Jetzt versteh ich das Problem :

Es geht hier eigentlich um den CMD CHGJOBCDE.
Dieser steht standardmäßig nicht auf *PUBLIC *EXCLUDE.
Also noch einmal: QPGMR mit SPCAUT *ALLOBJ erstellt einen Scheduler-Entrag mit USER(QSECOFR). *USRPRF-Objekt QSECOFR steht auf *PUBLIC EXCLUDE, QPGMR darf QSECOFR beim ADDJOBSCDE aber verwenden, weil er *ALLOBJ hat. - Im Gegensatz zu SMBJOB oder CRTJOBD, wo u.a. QSECOFR generell nicht erlaubt ist.
Das ist aber noch kein Sicherheitsproblem, sondern so gewollt.

Jetzt das eigentliche Sicherheitsproblem :
Jeder User, welcher den Command CHGJOBSCDE ausführen kann und SPCAUT *JOBCTL hat, darf bei einem solchen Scheduler Eintrag, z.B. Datum und Zeit ändern und damit einen Job ändern/ausführen, den er eigentlich gar nicht geplant hat.
Aber auch das ist in http://as400bks.rochester.ibm.com/is...5/c4153026.pdf ab Seite 372 beschrieben.

Sven


[Dieser Beitrag wurde von Sven Schneider am 07. April 2003 editiert.]