-
*ALLOBJ und kein Ende
Wenn man sich nur ein wenig Mühe gibt, kann man sich über die Gruppenberechtigung *ALLOBJ selbst die Berechtigung *ALLOBJ und auch *SECADM, also alles was geht, vergeben.
Sobald man *ALLOBJ besitzt, hilft auch kein Ausschluss der Berechtigung mehr !!
*ALLOBJ erlaubt eben ALLES !
Wie es geht ?
Schon mehrfach diskutiert und immer wieder gerne verwendet:
CHGPGM ... USRPRF(*OWNER)
Und schon kann ich ein Programm schreiben, dass unter der Berechtigung des Eigners, nämlich mein Gruppenprofil, läuft.
Jetzt benötige ich nur noch ein kleines CLP:
PGM
ADDJOBSCDE JOB(TEST) CMD(CHGUSRPRF USRPRF(MYPROF) +
SPCAUT(*JOBCTL *ALLOBJ *SECADM)) FRQ(*ONCE) +
USER(QSECOFR)
ENDPGM
Umwandeln, als Eigner das Gruppenprofil eintragen und unter Gruppenprofilrechten laufen lassen (CRTCLPGM ... USRPRF(*OWNER) bzw. CHGPGM) und nur noch per CALL aufrufen.
Und siehe da: Ich habe *ALLOBJ und sogar *SECADM und habe das gesamte System zur Verfügung !!!
ALSO VORSICHT MIT *ALLOBJ !!!!
-
 Zitat von Fuerchau
Ja OK, OK, OK.
Wenn der User dann explizit ausgeschlossen ist, probierst doch auch mal wenn *PUBLIC *EXCLUDE ist.
Wenn der Benutzer nicht selbst ausdrücklich *EXCLUDE hat, ist der Zugriff bei *PUBLIC *EXCLUDE möglich.
Zitat von Fuerchau
PGM
ADDJOBSCDE JOB(TEST) CMD(CHGUSRPRF USRPRF(MYPROF) +
SPCAUT(*JOBCTL *ALLOBJ *SECADM)) FRQ(*ONCE) +
USER(QSECOFR)
ENDPGM
Das submitten unter dem Benutzerprofil QSECOFR läßt das System nicht mehr zu; diese Hintertür ist also inzwischen versperrt.
Trotzdem hast du natürlich vollkommen recht mit deiner Warnung vor *ALLOBJ.
-
Denkste Hubert, SBMJOB ist zwar gesperrt, aber nicht der ADDJOBSCDE !!!!!
Mit *ALLOBJ kann ich lustig unter QSECOFR submitten bis V5R2, ob unter V5R3 muss ich noch probieren (oder auch jemand anderes).
-
Zitat von Fuerchau
Denkste Hubert, SBMJOB ist zwar gesperrt, aber nicht der ADDJOBSCDE !!!!!
Mit *ALLOBJ kann ich lustig unter QSECOFR submitten bis V5R2, ob unter V5R3 muss ich noch probieren (oder auch jemand anderes).
Danke Fuerchau,
da hab ich wieder etwas dazugelernt. (IBM hoffentlich auch)
-
pragmatisch...
Meine pragmatische Einstellung ist:
Es gibt nur einen User, der *ALLOBJ haben sollte (und vielleicht wirklich berechtigte Administratoren). Alle anderen sollten eingeschränkt sein. Bei brauchbarer Rechteverwaltung reicht für einen Programmierer ein lockeres *NIX
-h
Berechtigungen
- Neue Themen erstellen: Nein
- Themen beantworten: Nein
- You may not post attachments
- You may not edit your posts
-
Foren-Regeln
|
Erweiterte Foren Suche
Google Foren Suche
Forum & Artikel
Update eMail
AS/400 / IBM i
Server Expert Gruppen
Unternehmens IT
|
Kategorien online Artikel
- Big Data, Analytics, BI, MIS
- Cloud, Social Media, Devices
- DMS, Archivierung, Druck
- ERP + Add-ons, Business Software
- Hochverfügbarkeit
- Human Resources, Personal
- IBM Announcements
- IT-Karikaturen
- Leitartikel
- Load`n`go
- Messen, Veranstaltungen
- NEWSolutions Dossiers
- Programmierung
- Security
- Software Development + Change Mgmt.
- Solutions & Provider
- Speicher – Storage
- Strategische Berichte
- Systemmanagement
- Tools, Hot-Tips
Auf dem Laufenden bleiben
|
![[NEWSboard IBMi Forum]](images/duke/nblogo.gif)
[Content_Admin]
Mit Zitat antworten
Bookmarks