Einem User Berechtigung für Spools nur! eines anderen Users geben?

[JonnyRico]

Hi ihr beiden,

erstmal danke. Dem User die Berechtigung auf das andere Profil zu geben hat leider nicht geholfen
Ich denke ich werde um *SPLCTL nicht herumkommen.

Gruß und schönes Wochenende

Sascha

[cbe]

und riskieren, dass sich der User die Lohnspools anschaut?

[JonnyRico]

und riskieren, dass sich der User die Lohnspools anschaut?

nein...da Lohn nicht auf der iSeries läuft.
Hast du denn eine Idee außer der Eigenentwicklung "WRKSPLF"??

[cbe]

WRKSPLF nachzuprogrammieren ist natürlich eine Option.

Aber wenn der Benutzer im usrprf LMTCPB=*YES ist, dürfte eine Kommandozeile nicht so wild sein. Dann wäre WRKSPLF in meinen Augen ok.


Und bei LMTCPB=*NO kam mit folgende Idee, die ich gerne der Runde zur Diskussion stellen möchte:

Bsp: MAIER und SCHMIDT dürfen nur eigene Spools ansehen

Für jeden dieser User wird ein weiteres UsrPrf erstellt (MAIERSPL, SCHMIDTSPL), wobei
LMTCPB=*YES
SPCAUT(*SPLCTL)
INLPGM(SPL1)
Das Kennwort für MAIERSPL bekommt Hr.Schmidt etc.

Und für jeden dieser User wird ein Programm (SPL1, SPL2, ...) erstellt, wobei
PGM
WRKSPLF MAIER /* bzw. SCHMIDT, etc. */
SIGNOFF
ENDPGM

Wenn SCHMIDT in Urlaub ist, kann Hr.Maier mit dem Kennwort SCHMIDTSPL dessen Spools bearbeiten.


Abgesehen vom administrativen Aufwand wenn dieser Mechanismus firmenweit funktionieren soll, wäre dies von der Berechtigungsseite her dicht? Was meint Ihr?

[kuempi von stein]

WRKSPLF nachzuprogrammieren ist natürlich eine Option.

Aber wenn der Benutzer im usrprf LMTCPB=*YES ist, dürfte eine Kommandozeile nicht so wild sein. Dann wäre WRKSPLF in meinen Augen ok.


Und bei LMTCPB=*NO kam mit folgende Idee, die ich gerne der Runde zur Diskussion stellen möchte:

Bsp: MAIER und SCHMIDT dürfen nur eigene Spools ansehen

Für jeden dieser User wird ein weiteres UsrPrf erstellt (MAIERSPL, SCHMIDTSPL), wobei
LMTCPB=*YES
SPCAUT(*SPLCTL)
INLPGM(SPL1)
Das Kennwort für MAIERSPL bekommt Hr.Schmidt etc.

Und für jeden dieser User wird ein Programm (SPL1, SPL2, ...) erstellt, wobei
PGM
WRKSPLF MAIER /* bzw. SCHMIDT, etc. */
SIGNOFF
ENDPGM

Wenn SCHMIDT in Urlaub ist, kann Hr.Maier mit dem Kennwort SCHMIDTSPL dessen Spools bearbeiten.


Abgesehen vom administrativen Aufwand wenn dieser Mechanismus firmenweit funktionieren soll, wäre dies von der Berechtigungsseite her dicht? Was meint Ihr?

mhh...
hört sich viel zu kompliziert an.
wenns denn darum geht, den normaluser von bestimmten spools auszuschliessen (Lohn usw.) dann denke ich ist da der ansatz... (wenn überhaupt)

just my 2 cents

k.

[LGALF]

Hallo Sascha,
evtl. den Weg über die OUTQ-Berechtigung gehen.

z.B. OUTQ XXXOUTQ in XLIB

Wenn die OUTQ vom Bediener gesteuert *NO ist
(WRKOUTQ *ALL - 8 vor entsprechender OUTQ = Anzeige
Ändern über CHGOUTQ)

und über EDTOBJAUT
EDTOBJAUT OBJ(XLIB/XXXOUTQ) OBJTYPE(*OUTQ)
der USER hinterlegt ist,

müsste der USER über WRKSPLF und Unterstützungsstufe 1
(F21 im WRKSPLF) zum anderen USER wechseln und seine
Spools (der entsprechenden zugelassenen OUTQ) verwalten
können.

Mit *SPLCTL kann USER alle Spools des Systems verwalten,
ist m.E, nicht zu empfehlen.

Viele Grüsse + ein schönes Wochenend
Alf

[Fuerchau]

*SPLCTL erlaubt aber keinen Zugriff auf gesperrte OUTQ's. Wenn also, wie oben beschrieben, OUTQ's per Berechtigung z.B. für *PUBLIC *EXCLUDE sind, kommt nur ein *ALLOBJ-User an diese Spools.

[spiceisnice]

Also wenn sich beide EINE OUTQ teilen geht's einfach so wie hier beschrieben :

http://www-912.ibm.com/s_dir/slkbase...ure,spoolfiles

[JonnyRico]

WRKSPLF nachzuprogrammieren ist natürlich eine Option.

Aber wenn der Benutzer im usrprf LMTCPB=*YES ist, dürfte eine Kommandozeile nicht so wild sein. Dann wäre WRKSPLF in meinen Augen ok.


Und bei LMTCPB=*NO kam mit folgende Idee, die ich gerne der Runde zur Diskussion stellen möchte:

Bsp: MAIER und SCHMIDT dürfen nur eigene Spools ansehen

Für jeden dieser User wird ein weiteres UsrPrf erstellt (MAIERSPL, SCHMIDTSPL), wobei
LMTCPB=*YES
SPCAUT(*SPLCTL)
INLPGM(SPL1)
Das Kennwort für MAIERSPL bekommt Hr.Schmidt etc.

Und für jeden dieser User wird ein Programm (SPL1, SPL2, ...) erstellt, wobei
PGM
WRKSPLF MAIER /* bzw. SCHMIDT, etc. */
SIGNOFF
ENDPGM

Wenn SCHMIDT in Urlaub ist, kann Hr.Maier mit dem Kennwort SCHMIDTSPL dessen Spools bearbeiten.


Abgesehen vom administrativen Aufwand wenn dieser Mechanismus firmenweit funktionieren soll, wäre dies von der Berechtigungsseite her dicht? Was meint Ihr?

Hi,

damit ist das Problem doch aber nicht gelöst. Es geht ja nicht um die Commandline. Es kann ja im WRKSPLF auch der User oben einfach geändert werden. Wenn ich nun SPLCTL habe dann kann ich auch die Spools von Lohn anschauen. Wie gesagt ist ja bei uns nicht wild.
Ich hatte eigentlich gehofft ich könnte ein CL machen das nur WRKSPLF aufruft und es mit USRPRF(*OWNER) wandeln, aber leider funktioniert das auch nicht. Ich werde es dann also denke ich wirklich mit SPLCTL machen müssen.

Gruß

Sascha

[Guenther]

Was wäre, wenn die beiden Benutzer ein Gruppenprofil bekommen und dieses Gruppenprofil die Berechtigung auf die spooled files hätte? Dann müßten doch theoretisch alle User der Gruppe darauf zugreifen können. Oder?

[cbe]

@Günther: Berechtigung auf Spoolfiles lässt sich leider nicht direkt vergeben, sondern lt. IBM-Handbuch (Security Reference) nur über OUTQs.


@Sascha: Was meinst Du mit Der User lässt sich ändern"?
Ich habe nicht gefunden, wie das bei folgendem CL ginge:
PGM
WRKSPLF MAIER /* bzw. SCHMIDT, etc. */
SIGNOFF
ENDPGM

Gruß
Christian

[LGALF]

Hallo Christian,
wenn Du Dein Programm (PGM ... WRKSPLF MAIER ...)
oder das Command WRKSPLF MAIER aufrufst und es
erscheint: Mit allen Spool-Dateien arbeiten .. ist dies
die Unterstützungsstuf 2, wenn Du nun in diesem Bildschirm
per F21 auf Stufe 1 wechselst: Mit Druckausgabe arbeiten ...
kannst Du oben den USER wechseln (F4=mögliche USER)

(EDIT 26.09.05-12.04 / Ändern USER geht nur bei *JOBCTL im USR-Profil)

Hallo Sascha,
ein Hinweis noch zum Testen: Nach Umstellung z.B. Berechtigungen-Einstellung -
mit Spool-Files testen, die nach Umstellung erstellt wurden.

Viele Grüsse
Alf