USRPRF - SPLCTL - wann

[LGALF]

Für einen bestimmten Software-Bereich (Lohn- und Gehalt) muss ich die Druckausgabe bei Anwendern schützen. Nun habe ich bei verschiedenen Anwendern (AS/400) immer wieder
das Problem, dass bei bestimten USERN bei
Sonderberechtigung *SPLCTL eingetragen ist - dieses wiederum übersteuert meinen Druckausgabe-Schutz. NUN DIE FRAGE - wann brauche ich eigentlich *SPLCTL - da ich auch ohne SPLCTL Drucker und Druckausgaben verwalten kann.

[schreibr]

Hallo LGALF, Anwender ohne SPLCTL können nur Ihre eigenen SPOOL-Einträge + Drucker bearbeiten. Mit SPLCTL können auch die Einträge anderer User sowie alle Drucker bearbeitet werden.
Gruss Reinhold

[hs]

Hallo LGALF,

ich hatte exakt das gleiche Problem und mir deshalb ein CL geschrieben.

Der Benutzer, der Spoolfiles verwalten soll, ruft dieses CL auf und muß dann den Benutzernamen eingeben, dessen Druckausgaben er anzeigen möchte.

Im CL werden dann bestimmte Benutzer (LOHN01 etc. beim IBM Lohn) abgefangen.

Das CL wandle ich als QSECOFR mit dem Parameter USRPRF *OWNER, somit ist es nicht mehr notwendig, dem Benutzer das Recht *SPLCTL zu geben.

Gruß
HS

[Fuerchau]

Diese Lösungen taugen fast nichts, da mittels F21-Taste z.B. in den Basis-Modus ungeschaltet werden kann, und dort dann neue Selektionen durchgeführt werden können.

Jeder Spool steht jedoch in einer OUTQ. Diese Objekte können durch explizite Berechtigungsvergabe (PUBLIC *EXCLUDE, UserX *USE, usw) geschützt werden, so dass selbst *SPLCTL-User nicht an die Spools kommen.

[LGALF]

vielen dank fuer die hilfe,
ich habe folgendes getestet - per edtobjaut
z.b. lgialib/ldrqdb99 *outq auf
*public und spezielle user auf *exlude
- zugiff von normal-user mit *splctl war per
wrksplf + F4 auf lohn99 mit anzeige druckjob war möglich - ohne *splctl war zwar ahnwahl moeglich, aber keine berechtigung fuer anzeige - ich habe auch per edtobjaut bei entsprechender prtf z.b. lprtdb99 getestet z.b. per *exlude fuer *public und spezielle user (und pgm-lauf mit neuem druck)
- ging auch nicht - m.e. liegt dies an dem
berechtigungseintrag in der outq fuer qspl -
qspl laesst sich weder beschraenken noch herausnehmen

waere eine anderer weg ueber berechtigungslisten ?

[Tornado]

Mal wieder alles "Muckefuck".

In der OUTQ den Parameter
Berechtigung prüfen . . . AUTCHK *DTAAUT richtig setzen und dann per ETDOBJAUT OUTQ für die endsprechende Anwenderfreischalten

Dann ist *SPLCTL im USRPRF ziemlich wurscht!

PS: Hilfe lesen bei AUTCHK

Gruß Tornado

[hs]

Hallo Tornado,

ich habs gerade wie von Dir beschrieben versucht - klappt leider nicht, der Benutzer mit *SPLCTL kann auch die Spoolfiles der geschützten OUTQ verwalten!

Oder bezieht sich der Schutz nur auf neu erstellte Spoolfiles?

Gruß
HolgiS

[Tornado]

Stimmt!

Der User QSPL läßt sich nämlich bei EDTOBJAUT nicht ändern und ist derjenige welcher die Eigenschaft *Change oder *ALL an die Benutzerprofile mit *SPLCTL vererbt.

Meine Lösung funktioniert nur, wenn die Anwender keine *SPLCTL haben. Aber brauchen die einfachen User eigentlich doch auch gar nicht. Oder ?!?

Gruß Tornado

[hs]

... leider eben doch.

der "normale User" nicht, aber der "normale Systemadministrator", der zwar die AS400 betreuen soll, aber eben im Lohn nichts zu suchen hat.

Irgendeine Lösung muss es doch geben, oder?

Gruß
HolgiS

[karin-vogelmann]

hallo hs,
bei uns ist die jeweilige lohn/gehalt-outq (die objekte selbst!) mit dem lohn/gehalt-eigner versehen und nur diese und qsecofr dürfen dann damit arbeiten. die berechtigung ist für den rest der user auf *exclude.
in den profilen der lohn/gehalt-user ist ferner diese outq passend fest hinterlegt.
außerdem verwalten unsere lohn/gehalt-user die outq's selbst, d.h., sie sind der notwendigen befehle mächtig und können selbstständig ausgabeprogramme starten etc.
klappt vorzüglich!
gruß, karin

[areichelt]

Hi,

gelinde gesagt ist es ganz einfach.

KEIN User braucht SPLCTL um Outq's zu steuern.
Dafür reicht völlig das Sonderrecht JOBCTL, wenn in den OUTQ's der Wert OPRCTL auf *yes steht. Das ist IBM-Unterlassungswert bei Erstellen der Outq's.
Also, Sonderrecht SPLCTL raus, die OUTQ's prüfen, die die geschützt werden sollen werden an dieser Stelle auf *no gestellt und im OUTQ-Objekt werden die entsprechenden Berechtigungen eingestellt.
Und schon klappts auch mit dem Schutz ;-)

Zugegeben, ist mit Pech etwas Arbeit, aber Sicherheit hat ihren Preis ;-)

Andree

[hs]

Das ist die Lösung!

Ich habe es soeben probiert, funktioniert. (und in den Lohn-Outqs stand der Wert -vermutlich standardmäßig- schon auf *NO.)

An eines sollte man jedoch noch denken:
Diese OUTQs sind keinem Drucker zugeordnet. Werden die Spollfiles jetzt auf den Drucker umgelegt, dann kann sie der Benutzer mit JOBCTL wieder anzeigen.

Man sollte deshalb eine weitere geschützte OUTQ anlegen, an welche ein Ausgabeprogramm angeschlossen ist und nur hierüber dürfen diese dann ausgedruckt werden.

Gruß
hs