Berechtigung eines IFS-Orders

**dino** · 04-11-11, 11:00

Habe bei einem IFS-Ordner bei "public" "Ausschließen" eingestellt. Nur ein User darf Lesen, Schreiben usw.
Trotzdem kann ein anderer User diesen Ordner mappen.
Warum greift hier die (Nicht-)Berechtigung nicht?

**Fuerchau** · 04-11-11, 11:04

Hat der andere User ggf. *ALLOBJ ?

**dino** · 04-11-11, 12:15

Hallo Fuerchau, der User hatte *ALLOBJ. Nehme ich ihm diese weg, kommt er aber auch nicht mehr auf andere IFS-Ordner. Irgendwie unlogisch...

**Pikachu** · 04-11-11, 12:32

Er braucht auch eine Berechtigung für alle Verzeichnisse im kompletten Pfad.

**Fuerchau** · 04-11-11, 12:37

Der Default für neue IFS-Ordner und Objekte ist grundsätzlich *PUBLIC *EXCLUDE.
Mittels *ALLOBJ darf ich eben an alles dran, im übrigen auch an alle Libs und Daten!
Hat ein User nicht *ALLOBJ muss er gerade im IFS für jedes einzelne Objekt berechtigt werden.
Dies kann man über Berechtigungslisten dann genauer steuern, da dann neue IFS-Objekte vom übergeordneten Ordner erben können, ansonsten wird nicht vererbt.

**dino** · 07-11-11, 08:44

Was geb ich denn dann für eine Berechtigung in WRKUSRPRF an, wenn IFS-Zugriff auf bestimmte Ordner erlaubt sein soll? Hab testweise eine ALLOBJ-Ber. auf *SPLCTL zurückgedreht, schon klappte die Anmeldung am System nicht mehr (CWBSY1008=Sicherheitsfehler). Der User soll Zugriff auf "seine" IFS-Ordner haben (persönlich über Navigator eingestellt), nicht aber auf andere Ordner.

**Christian Bartels** · 07-11-11, 15:52

Ich fürchte, die Anforderung läßt sich nicht durch Änderungen am Benutzerprofil lösen, sondern nur durch Änderungen an den Verzeichnissen oder Dateien.

Grundsätzlich muß jeder Benutzer *X-Berechtigung (Execute) an allen Verzeichnissen von der Root bis zum Zielverzeichnis haben, um damit arbeiten zu können. *R (Read) ist nicht erforderlich, und nur das würde den Benutzer in die Lage versetzen, den Inhalt des Verzeichnisses auflisten zu können.

Wenn ich also möchte, daß jeder Benutzer ein eigenes Verzeichnis /home/<Benutzer> bekommt und nicht auf die anderen zugreifen darf, dann kann ich für die Root ('/') und '/home' jeweils *PUBLIC = *X vergeben, und bei '/home/<Benutzer>' setze ich dann *PUBLIC = *NONE und mache <Benutzer> zum Eigentümer des Verzeichnisses, der dann alle Rechte hat. Wenn ich mehrere Benutzer zusammenfassen möchte, kann ich entweder mit Gruppenprofilen arbeiten, oder mit Berechtigungslisten.

Mit freundlichen Grüßen,
Christian Bartels.

**dino** · 08-11-11, 08:48

Hallo Christian, mit welchem Befehl ändere ich den Eigner-Namen?
Mit Berechtigung arbeiten

Objekt . . . . . . . . . . . . : /home/buchhaltung
Art . . . . . . . . . . . . . : DIR
Eigner . . . . . . . . . . . . : LUECKENO
Primärgruppe . . . . . . . . . : *NONE
Berechtigungsliste . . . . . . : *NONE

Auswahl eingeben und Eingabetaste drücken.
1=Benutzer hinzufügen 2=Benutzerberechtigung ändern
4=Benutzer entfernen

Daten- ----------Objektberechtigungen----------
Ausw Benutzer berecht. Existenz Verwaltung Änderung Referenz

*PUBLIC *EXCLUDE
LUECKENO *RWX X X X X
ENK *RWX X X X X

In obigem Fall soll statt "Lueckeno" "ENK" neuer Eigner sein und "LUECKENO" soll dann gelöscht werden. "ENK" soll dann Eigner und alleiniger Berechtigter dieses Ordners sein.
Muss *public auf *none gesetzt werden oder ist *exclude dasselbe?

**Pikachu** · 08-11-11, 09:01

Zitat von dino

... mit welchem Befehl ändere ich den Eigner-Namen?

Mit CHGOWN

**Christian Bartels** · 08-11-11, 09:21

Aus der Anzeige WRKLNK -> 9 ("Mit Berechtigung arbeiten") kommt man mit F19 direkt in CHGOWN. Mann kann dann auch gleich den Eigentümer aller Unterverzeichnisse ändern (-> SUBTREE).

Mit freundlichen Grüßen,
Christian Bartels.

**dino** · 08-11-11, 13:40

Sorry wenn ich nerve: Nochmal der Beuspielordner im IFS:
Mit Berechtigung arbeiten

Objekt . . . . . . . . . . . . : /home/buchhaltung
Art . . . . . . . . . . . . . : DIR
Eigner . . . . . . . . . . . . : ENK
Primärgruppe . . . . . . . . . : *NONE
Berechtigungsliste . . . . . . : *NONE

Auswahl eingeben und Eingabetaste drücken.
1=Benutzer hinzufügen 2=Benutzerberechtigung ändern
4=Benutzer entfernen

Daten- ----------Objektberechtigungen----------
Ausw Benutzer berecht. Existenz Verwaltung Änderung Referenz

*PUBLIC *EXCLUDE
ENK *RWX X X X X
MERSCH *RWX X X X X
Ende

Diesen Ordner kann ich auf einem PC - nicht AS/400 angemeldet - ganz normal öffnen und bearbeiten. Liegt das daran, dass dieser PC mit "Administrator" läuft? Und wenn ja, wie kann ich dann den Zugriff verwehren?

**Christian Bartels** · 08-11-11, 15:15

Zitat von dino

Diesen Ordner kann ich auf einem PC - nicht AS/400 angemeldet - ganz normal öffnen und bearbeiten. Liegt das daran, dass dieser PC mit "Administrator" läuft? Und wenn ja, wie kann ich dann den Zugriff verwehren?

Das hängt wohl davon ab, wie der PC auf das Verzeichnis zugreift. Wahrscheinlich ist es ja ein NetServer-Share, oder? Nach meiner Kenntnis muß sich dann der PC-Benutzer irgendwann einmal (beim ersten Logon) anmelden, es sei denn, Username und Password sind auf dem PC und auf der IBM i (a.k.a AS/400) identisch. Die Berechtigungen dieses Benutzers kommen dann zum Tragen. Man kann sich die offenen Sitzungen auf einem Share anzeigen, indem man im System i Navigator mit der rechten Maustaste auf "File Shares" geht und dann "Open i5/OS NetServer" auswählt. Wenn man in der dann angezeigten Liste aller Shares einen auswählt, kann man sehen, welche Benutzer von welchen IP-Adressen aus eine Sitzung auf diesem Share offen haben.

Mit freundlichen Grüßen,
Christian Bartels.

Thema: Berechtigung eines IFS-Orders

Thread Tools

Bewerten Sie diesen Thema

Display