[NEWSboard IBMi Forum]
Seite 1 von 2 1 2 Letzte
  1. #1
    KM is offline [professional_User]
    Registriert seit
    Apr 2003
    Beiträge
    1.005

    IFS-Berechtigungen

    Wir sind gerade dabei unsere IFS-Berechtigungen umzustrukturieren. Bis jetzt hatten wir viele Freigaben, die jeweils zu einem Laufwerk gemappt wurden. Jetzt wollen wir nur noch ein Laufwerk mappen (z.B. mit /home) und wollen die Zugriffe bzw. Sichtbarkeiten der Ordner und Dateien über Berechtigungen steuern. Jetzt hätte ich folgende Fragen:

    1.) Bei meinem ersten Versuch war es jetzt so, dass den Benutzern weiterhin bestimmte Ordner im Windows-Explorer angezeigt werden, obwohl für diese die Datenberechtigung auf *EXCLUDE steht und die Objektberechtigung auf *NONE. Wie kann das sein bzw. wie muss ich das ändern?

    2.) Kann mir bitte jemand mit verständlichen Worten den Unterschied zwischen Datenberechtigungen und Objektberechtigungen erklären? Aus der Bedienerhilfe werde ich irgendwie nicht schlau.

    3.) Wie kann ich es einstellen, dass Benutzer auf die Ordnerinhalte Vollzugriff haben, den Ordner selbst aber nicht verändern dürfen?

    4.) Sehe ich das richtig, dass ich bei übergeordneten Ordnern zumindest die Datenberechtigung *X vergeben muss, wenn der Benutzer zu einem untergeordneten Ordner navigieren können soll, für den er berechtigt ist?

    Vielen Dank schon mal für die Antworten!

    Gruß,
    KM

  2. #2
    Registriert seit
    Feb 2001
    Beiträge
    20.206
    Im Wesentlichen hast du die Antworten ja schon selber gegeben.
    Datenberechtigung bezeichnet den Inhalt einer Streamfile, eines Verzeichnisses.
    Objektberechtigung das Objekt selber.

    Die Hilfe des Befehles CHGAUT zeigt eigentlich alles.

    Auch hier gilt meine Empfehlung AUTL-'s zu verwenden. Dies erleichtert so manches.

    Das Problem ist natürlich, dass ich ein Verzeichnis lesen können muss um Verzeichnisse/Dateien sehen zu können. Allerdings werden dann Datenberechtigungen der untergeordneten Objekte nicht geprüft.

    Dies ist bei Windows per Default ebenso. Erst bei erweiterten Berechtigungen kann ich auch die Sichtbarkeit ausschließen.
    Dienstleistungen? Die gibt es hier: http://www.fuerchau.de
    Das Excel-AddIn: https://www.ftsolutions.de/index.php/downloads
    BI? Da war doch noch was: http://www.ftsolutions.de

  3. #3
    KM is offline [professional_User]
    Registriert seit
    Apr 2003
    Beiträge
    1.005
    Im Wesentlichen hast du die Antworten ja schon selber gegeben.
    Ich hab eigentlich hauptsächlich Fragen gestellt und keine Antworten gegeben. Sonst bräuchte ich ja das Forum nicht.

    Die Hilfe des Befehles CHGAUT zeigt eigentlich alles.
    Das sehe ich ehrlich gesagt nicht so. Bei der Datenberechtigung *RX steht z.B. "Eine Änderung des Objekts ist nicht möglich." Bei der Objektberechtigung *OBJALTER steht "Die Benutzer erhalten die Objektänderungsberechtigung für das Objekt." Wenn ich nun ein Objekt ändern will, brauche ich dann das *W oder das *OBJALTER oder beides? Außerdem habe ich gelesen, dass sowohl *W als auch *OBJEXISTS für das Löschen von Objekten geprüft wird. Welches braucht man nun? Das *W das *OBJEXISTS oder beides?

    Allerdings werden dann Datenberechtigungen der untergeordneten Objekte nicht geprüft.
    Wie ist das gemeint?

    Erst bei erweiterten Berechtigungen kann ich auch die Sichtbarkeit ausschließen.
    Was ist mit "erweiterten Berechtigungen" gemeint?

    Ich würde immernoch gerne wissen warum Ordner angezeigt werden (auch auf unterster Ebene), obwohl die Berechtigungen auf *EXCLUDE und *NONE stehen.

  4. #4
    Registriert seit
    Aug 2009
    Beiträge
    121
    Eine allgemeine Übersicht über Objekt- und Datenberechtigungen im IFS findet man hier: https://www.ibm.com/support/knowledg...fscommands.htm


    Zu den Fragen:


    Bei meinem ersten Versuch war es jetzt so, dass den Benutzern weiterhin bestimmte Ordner im Windows-Explorer angezeigt werden, obwohl für diese die Datenberechtigung auf *EXCLUDE steht und die Objektberechtigung auf *NONE. Wie kann das sein bzw. wie muss ich das ändern?
    Ich konnte das bei mir nicht reproduzieren, wenn der Benutzer keine Rechte am Verzeichnis hat, kann er damit auch nichts machen. Neben der privaten Berechtigung des Benutzers muss man auch noch die Berechtigung von Gruppenprofilen berücksichtigen (sofern vorhanden), die *PUBLIC-Berechtigung, und die Berechtigung *ALLOBJ setzt alle anderen Berechtigungen außer Kraft. Außerdem können Sonderregelungen gelten, wenn der Benutzer der Eigentümer des Objektes ist. Vielleicht findet sich da ein Ansatz.

    Kann mir bitte jemand mit verständlichen Worten den Unterschied zwischen Datenberechtigungen und Objektberechtigungen erklären? Aus der Bedienerhilfe werde ich irgendwie nicht schlau.
    Datenberechtigungen betreffen den Inhalt der Datei, also die Frage, ob ich die Datei z.B. mit Notepad öffnen kann (*R), und ob ich den geänderten Inhalt wieder speichern kann (*RW). Die Datenberechtigung *X spielt eine Rolle, wenn es sich um ein ausführbares Programm handelt (z.B. in PASE), oder eben bei Verzeichnissen. Objektberechtigungen werden benötigt, wenn ich die Dateien oder Verzeichnisse umbenennen, verschieben oder löschen will. Alle Details findet man unter dem oben angegebenen Link.

    Wie kann ich es einstellen, dass Benutzer auf die Ordnerinhalte Vollzugriff haben, den Ordner selbst aber nicht verändern dürfen?
    Ich denke, Objektberechtigung *NONE und Datenberechtigung *RWX am Ordner müsste funktionieren. Dazu noch Datenberechtigung *X für alle Ordner vom Root-Verzeichnis '/' bis zum Verzeichnis selber.

    Sehe ich das richtig, dass ich bei übergeordneten Ordnern zumindest die Datenberechtigung *X vergeben muss, wenn der Benutzer zu einem untergeordneten Ordner navigieren können soll, für den er berechtigt ist?
    Das ist korrekt.

    Mit freundlichen Grüßen,
    Christian Bartels.

  5. #5
    KM is offline [professional_User]
    Registriert seit
    Apr 2003
    Beiträge
    1.005
    Hallo,

    im Green-Screen scheint das wohl auch einigermaßen zu funktionieren. Aber im Windows-Explorer überhaupt nicht. Ich hab jetzt zum Testen mal einen Benutzer angelegt und ihn für einen bestimmten Ordner berechtigt (*RWX bzw. *ALL für diesen Benutzer). Im Green-Screen kommt dieser Benutzer in den Ordner rein und sieht die Inhalte. Aber im Windows-Explorer kommt die Meldung "Zugriff verweigert". Ein anderer Benutzer, der genau dieselben Berechtigungen hat, kommt auch im Windows-Explorer in diesen Ordner.
    Dem Testbenutzer hab ich auf Benutzerebene alle Berechtigungen gegeben (also Datenberechtigung *RWX und Objektberechtigung *ALL), und das auch bei den Parent-Ordnern. Bei *PUBLIC hab ich *EXCLUDE BZW. *NONE hinterlegt, weil ich nicht will, dass andere Benutzer zugreifen können. Meldung für den Testbenutzer "Zugriff verweigert". Wenn ich beim Ordner für *PUBLIC nun *RX eintrage, dann funktioniert der Zugriff, aber halt auch für alle anderen Benutzer.
    Das macht irgendwie alles keinen Sinn. So kann man keine vernünftige Berechtigungsstruktur einrichten.

    Gruß.
    KM

  6. #6
    Registriert seit
    Aug 2009
    Beiträge
    121
    Es gibt noch die Möglichkeit, dass ein Benutzer im NetServer "Disabled" ist, das spielt sich dann außerhalb des allgemeinen Berechtiungskonzeptes ab. Das kann man sehen, wenn man den IBM Navigator for i startet und dort auf Network -> Servers -> TCP/IP Servers geht. In der Liste der TCP/IP-Server gibt es den IBM i NetServer. Wenn man den auswählt, kann man die Aktion "Disabled User IDs" auswählen und kriegt dann die Benutzerprofile angezeigt, die aus irgendwelchen Gründen für den Zugriff aus Windows gesperrt sind. Hier kann man die Benutzer dann auch wieder freischalten.

    Mit freundlichen Grüßen,
    Christian Bartels.

  7. #7
    KM is offline [professional_User]
    Registriert seit
    Apr 2003
    Beiträge
    1.005
    Das mit dem Netserver war jetzt schon mal ein guter Hinweis. Es lag zwar nicht an "Disabled Users". Das hatte ich vorher schon geprüft. Aber mir ist jetzt aufgefallen, dass für den Testbenutzer keine Kerberos-Authentifizierung eingerichtet war. Das hab ich jetzt gemacht und jetzt werden die Berechtigungen und Berechtigungslisten auf einmal korrekt geprüft.

    Verstanden hab ich es jetzt aber trotzdem nicht. Warum werden Berechtigungen über eine Kerberos-Authentifizierung geprüft, aber beim normalen Verbinden eines IFS-Netzlaufwerks nicht?

    Gruß,
    KM

  8. #8
    Registriert seit
    Aug 2009
    Beiträge
    121
    Ich kann nur spekulieren. Beim Einrichten von Kerberos für NetServer scheint man das einstellen zu können:


    • If you select Passwords/Network authentication, clients that do not support Kerberos or clients that do support Kerberos but are not currently participating in a Kerberos realm use encrypted passwords to authenticate.


    • If you select Network authentication, all clients must use Kerberos to authenticate with the server. Therefore, only clients that support Kerberos V5 can connect to IBM i NetServer after this support is enabled.


    (Quelle: https://www.ibm.com/support/knowledg...lkrbv5auth.htm)

    Es ist immer etwas schwierig, aus der Entfernung ohne genaue Kenntnis der Konfiguration aus der Fülle der Konfigurationsmöglichkeiten die Einstellung zu finden, die für das konkrete Verhalten verantwortlich ist.

    Mit freundlichen Grüßen,
    Christian Bartels.

  9. #9
    KM is offline [professional_User]
    Registriert seit
    Apr 2003
    Beiträge
    1.005
    Also bei uns ist der Netserver mit "Passwords/Network Authentication" eingerichtet, weil es vereinzelt noch Benutzer geben könnte, die kein Kerberos verwenden. Ich vermute mal, dass es irgendwie mit dem Benutzernamen zu tun hat, denn *PUBLIC Berechtigungen funktionierten ja. Ich schätze mal, dass mit Kerberos andere Benutzernamen verwendet bzw. geprüft werden (z.B. Benutzer + Domain) und dass das dann nicht so recht zusammenpasst.

    Naja, wie auch immer, mit Kerberos funktioniert es ja nun. Jetzt hätte ich aber noch eine letzte Frage. Wenn ich einen Ordner "Parent" habe und darunter die Ordner "Child1", "Child2" und "Child3". Jetzt will ich, dass einem bestimmten Benutzer unterhalb von "Parent" nur der Ordner "Child2" angezeigt wird. Die anderen beiden sollen gar nicht aufgeführt werden. Kann man das überhaupt so einrichten? So wie ich das verstanden habe, muss ich "Parent" auf *RX setzen, damit die Unterordner aufgelistet werden. Damit werden aber alle Unterordner aufgelistet, auch die die gar nicht erscheinen sollen. Da hilft es auch nichts die Unterordner auf *EXCLUDE zu setzen. Das bedeutet ja nur, dass man nicht in die Unterordner rein kann. Aber aufgelistet werden sie trotzdem. Kann man das irgendwie vermeiden? Ich schätze aber mal da müsste ich die komplette Ordnerstruktur anders aufbauen.

    Gruß,
    KM

  10. #10
    Registriert seit
    Feb 2001
    Beiträge
    20.206
    Da musst du je User eine eigene Freigabe einrichten. Da ja jeder nur an seine Freigabe kommt stellt sich das Problem nicht mehr:

    Pfad des Users => Freigabename
    Parent/Child1 => Child1
    Parent/Child2 => Child2
    Parent/Child3 => Child3

    Weder Parent noch die anderen Childs sind sichtbar.
    Dienstleistungen? Die gibt es hier: http://www.fuerchau.de
    Das Excel-AddIn: https://www.ftsolutions.de/index.php/downloads
    BI? Da war doch noch was: http://www.ftsolutions.de

  11. #11
    KM is offline [professional_User]
    Registriert seit
    Apr 2003
    Beiträge
    1.005
    Da musst du je User eine eigene Freigabe einrichten.
    Die vielen Freigaben wollten wir ja eigentlich vermeiden. Deshalb überarbeiten wir die ganze Berechtigungsstruktur. Wir hatten bereits viele Freigaben und somit auch viele Laufwerkmappings. Aber ich dachte mir schon, dass es nicht anders geht.

    Gruß,
    KM

  12. #12
    Registriert seit
    Mar 2002
    Beiträge
    5.286
    Zitat Zitat von Fuerchau Beitrag anzeigen
    Da musst du je User eine eigene Freigabe einrichten. Da ja jeder nur an seine Freigabe kommt stellt sich das Problem nicht mehr:

    Pfad des Users => Freigabename
    Parent/Child1 => Child1
    Parent/Child2 => Child2
    Parent/Child3 => Child3

    Weder Parent noch die anderen Childs sind sichtbar.
    ... eine Freigabe ist doch nur ein externer link auf ein Verzeichnis, das selbe müsste man doch auch erreichen können mit einer Freigabe eines gemeinsamen Verzeichnisses, das links enthält, die User spezifische Berechtigungen haben.

    D*B
    AS400 Freeware
    http://www.bender-dv.de
    Mit embedded SQL in RPG auf Datenbanken von ADABAS bis XBASE zugreifen
    http://sourceforge.net/projects/appserver4rpg/

Similar Threads

  1. Liste von Berechtigungen
    By Marlin in forum NEWSboard Windows
    Antworten: 0
    Letzter Beitrag: 04-03-03, 08:34
  2. QDLS -. Berechtigungen
    By Max in forum IBM i Hauptforum
    Antworten: 6
    Letzter Beitrag: 27-02-03, 15:38
  3. QSTRUP - Berechtigungen
    By PeterKarsten in forum IBM i Hauptforum
    Antworten: 2
    Letzter Beitrag: 14-11-02, 15:51
  4. Berechtigungen im IFS vererben
    By muadeep in forum IBM i Hauptforum
    Antworten: 3
    Letzter Beitrag: 24-05-02, 07:58
  5. Berechtigungen im Root
    By Markus Ralf in forum IBM i Hauptforum
    Antworten: 2
    Letzter Beitrag: 25-10-01, 13:29

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • You may not post attachments
  • You may not edit your posts
  •