Berechtigung eines IFS-Orders

[dino]

Was geb ich denn dann für eine Berechtigung in WRKUSRPRF an, wenn IFS-Zugriff auf bestimmte Ordner erlaubt sein soll? Hab testweise eine ALLOBJ-Ber. auf *SPLCTL zurückgedreht, schon klappte die Anmeldung am System nicht mehr (CWBSY1008=Sicherheitsfehler). Der User soll Zugriff auf "seine" IFS-Ordner haben (persönlich über Navigator eingestellt), nicht aber auf andere Ordner.

[Christian Bartels]

Ich fürchte, die Anforderung läßt sich nicht durch Änderungen am Benutzerprofil lösen, sondern nur durch Änderungen an den Verzeichnissen oder Dateien.

Grundsätzlich muß jeder Benutzer *X-Berechtigung (Execute) an allen Verzeichnissen von der Root bis zum Zielverzeichnis haben, um damit arbeiten zu können. *R (Read) ist nicht erforderlich, und nur das würde den Benutzer in die Lage versetzen, den Inhalt des Verzeichnisses auflisten zu können.

Wenn ich also möchte, daß jeder Benutzer ein eigenes Verzeichnis /home/<Benutzer> bekommt und nicht auf die anderen zugreifen darf, dann kann ich für die Root ('/') und '/home' jeweils *PUBLIC = *X vergeben, und bei '/home/<Benutzer>' setze ich dann *PUBLIC = *NONE und mache <Benutzer> zum Eigentümer des Verzeichnisses, der dann alle Rechte hat. Wenn ich mehrere Benutzer zusammenfassen möchte, kann ich entweder mit Gruppenprofilen arbeiten, oder mit Berechtigungslisten.

Mit freundlichen Grüßen,
Christian Bartels.

[dino]

Hallo Christian, mit welchem Befehl ändere ich den Eigner-Namen?
Mit Berechtigung arbeiten

Objekt . . . . . . . . . . . . : /home/buchhaltung
Art . . . . . . . . . . . . . : DIR
Eigner . . . . . . . . . . . . : LUECKENO
Primärgruppe . . . . . . . . . : *NONE
Berechtigungsliste . . . . . . : *NONE

Auswahl eingeben und Eingabetaste drücken.
1=Benutzer hinzufügen 2=Benutzerberechtigung ändern
4=Benutzer entfernen

Daten- ----------Objektberechtigungen----------
Ausw Benutzer berecht. Existenz Verwaltung Änderung Referenz

*PUBLIC *EXCLUDE
LUECKENO *RWX X X X X
ENK *RWX X X X X

In obigem Fall soll statt "Lueckeno" "ENK" neuer Eigner sein und "LUECKENO" soll dann gelöscht werden. "ENK" soll dann Eigner und alleiniger Berechtigter dieses Ordners sein.
Muss *public auf *none gesetzt werden oder ist *exclude dasselbe?

[Pikachu]

... mit welchem Befehl ändere ich den Eigner-Namen?

Mit CHGOWN

[Christian Bartels]

Aus der Anzeige WRKLNK -> 9 ("Mit Berechtigung arbeiten") kommt man mit F19 direkt in CHGOWN. Mann kann dann auch gleich den Eigentümer aller Unterverzeichnisse ändern (-> SUBTREE).

Mit freundlichen Grüßen,
Christian Bartels.

[dino]

Sorry wenn ich nerve: Nochmal der Beuspielordner im IFS:
Mit Berechtigung arbeiten

Objekt . . . . . . . . . . . . : /home/buchhaltung
Art . . . . . . . . . . . . . : DIR
Eigner . . . . . . . . . . . . : ENK
Primärgruppe . . . . . . . . . : *NONE
Berechtigungsliste . . . . . . : *NONE

Auswahl eingeben und Eingabetaste drücken.
1=Benutzer hinzufügen 2=Benutzerberechtigung ändern
4=Benutzer entfernen

Daten- ----------Objektberechtigungen----------
Ausw Benutzer berecht. Existenz Verwaltung Änderung Referenz

*PUBLIC *EXCLUDE
ENK *RWX X X X X
MERSCH *RWX X X X X
Ende

Diesen Ordner kann ich auf einem PC - nicht AS/400 angemeldet - ganz normal öffnen und bearbeiten. Liegt das daran, dass dieser PC mit "Administrator" läuft? Und wenn ja, wie kann ich dann den Zugriff verwehren?

[Christian Bartels]

Diesen Ordner kann ich auf einem PC - nicht AS/400 angemeldet - ganz normal öffnen und bearbeiten. Liegt das daran, dass dieser PC mit "Administrator" läuft? Und wenn ja, wie kann ich dann den Zugriff verwehren?

Das hängt wohl davon ab, wie der PC auf das Verzeichnis zugreift. Wahrscheinlich ist es ja ein NetServer-Share, oder? Nach meiner Kenntnis muß sich dann der PC-Benutzer irgendwann einmal (beim ersten Logon) anmelden, es sei denn, Username und Password sind auf dem PC und auf der IBM i (a.k.a AS/400) identisch. Die Berechtigungen dieses Benutzers kommen dann zum Tragen. Man kann sich die offenen Sitzungen auf einem Share anzeigen, indem man im System i Navigator mit der rechten Maustaste auf "File Shares" geht und dann "Open i5/OS NetServer" auswählt. Wenn man in der dann angezeigten Liste aller Shares einen auswählt, kann man sehen, welche Benutzer von welchen IP-Adressen aus eine Sitzung auf diesem Share offen haben.

Mit freundlichen Grüßen,
Christian Bartels.

[Fuerchau]

Wie oben bereits gesagt, ein User mit *ALLOBJ kann nie ausgeschlossen werden.
Das wird nicht durch den Windows-User bestimmt sondern durch die Netzanmeldung an der AS/400.

[dino]

Hilfe, wo finde ich den "File Shares " im Op. Nav.?

[Pikachu]

Unter "Dateisysteme" müßte das sein, sofern installiert.

[Gerd/400]

Hallo,
tut mir leid das ich das noch einmal aufgreife. Ich möchte eine Ordnerberechtigung wie sie Christian Bartels beschrieben hat und stehe jetzt vor einem Problem: Wie ändere ich die Rechte für die Root ('/')?

[Christian Bartels]

Normalerweise mit WRKAUT OBJ('/') und dann Menü-geführt. Funktioniert das aus irgendeinem Grund nicht?