Einem User Berechtigung für Spools nur! eines anderen Users geben?

[JonnyRico]

Hi,

ein Benutzer soll die Spools von einem anderen User "2 Ändern" können, aber das ganze nur von diesem einen User. Wie geht das ohne im SPLFCTL zu geben?? Vielen Dank im Voraus.

Gruß

Sascha

EDIT: Was mir da noch einfällt. Kennt jemand eine Seite wo das Konzept der "Adopted Authority" gut beschrieben und erklärt wird?

[Fuerchau]

Ggf. reicht es dem User die Berechtigung am Profil des anderen Users zu erteilen.
Ansonsten geht es nur über die Berechtigung der OUTQ bzw. eben *SPLCTL.

Was deine 2. Frage angeht, ich glaube das Workmanagement-Giude.

[cbe]

Die Berechtigung an fremden UsrPrfs könnte kritisch sein, weil dann theoretisch auch Jobs unter diesem Benutzer absetzbar sind.
Das kann eine Berechtigungslücke schaffen, wenn der andere Benutzer mehr Rechte und man selbst irgendwo eine Befehlszeile hat.

Mit einem Programm, welches mit USRPRF(*OWNER) läuft und entsprechende Rechte hat, wären ebenfalls Änderungen am Spool möglich.
(Dieses Programm darf natürlich nicht einfach WRKSPLF aufrufen: Befehlszeile mit zusätzlichen Rechten...)

Gruß
Christian

[JonnyRico]

Hi ihr beiden,

erstmal danke. Dem User die Berechtigung auf das andere Profil zu geben hat leider nicht geholfen
Ich denke ich werde um *SPLCTL nicht herumkommen.

Gruß und schönes Wochenende

Sascha

[cbe]

und riskieren, dass sich der User die Lohnspools anschaut?

[JonnyRico]

und riskieren, dass sich der User die Lohnspools anschaut?

nein...da Lohn nicht auf der iSeries läuft.
Hast du denn eine Idee außer der Eigenentwicklung "WRKSPLF"??

[cbe]

WRKSPLF nachzuprogrammieren ist natürlich eine Option.

Aber wenn der Benutzer im usrprf LMTCPB=*YES ist, dürfte eine Kommandozeile nicht so wild sein. Dann wäre WRKSPLF in meinen Augen ok.


Und bei LMTCPB=*NO kam mit folgende Idee, die ich gerne der Runde zur Diskussion stellen möchte:

Bsp: MAIER und SCHMIDT dürfen nur eigene Spools ansehen

Für jeden dieser User wird ein weiteres UsrPrf erstellt (MAIERSPL, SCHMIDTSPL), wobei
LMTCPB=*YES
SPCAUT(*SPLCTL)
INLPGM(SPL1)
Das Kennwort für MAIERSPL bekommt Hr.Schmidt etc.

Und für jeden dieser User wird ein Programm (SPL1, SPL2, ...) erstellt, wobei
PGM
WRKSPLF MAIER /* bzw. SCHMIDT, etc. */
SIGNOFF
ENDPGM

Wenn SCHMIDT in Urlaub ist, kann Hr.Maier mit dem Kennwort SCHMIDTSPL dessen Spools bearbeiten.


Abgesehen vom administrativen Aufwand wenn dieser Mechanismus firmenweit funktionieren soll, wäre dies von der Berechtigungsseite her dicht? Was meint Ihr?

[kuempi von stein]

WRKSPLF nachzuprogrammieren ist natürlich eine Option.

Aber wenn der Benutzer im usrprf LMTCPB=*YES ist, dürfte eine Kommandozeile nicht so wild sein. Dann wäre WRKSPLF in meinen Augen ok.


Und bei LMTCPB=*NO kam mit folgende Idee, die ich gerne der Runde zur Diskussion stellen möchte:

Bsp: MAIER und SCHMIDT dürfen nur eigene Spools ansehen

Für jeden dieser User wird ein weiteres UsrPrf erstellt (MAIERSPL, SCHMIDTSPL), wobei
LMTCPB=*YES
SPCAUT(*SPLCTL)
INLPGM(SPL1)
Das Kennwort für MAIERSPL bekommt Hr.Schmidt etc.

Und für jeden dieser User wird ein Programm (SPL1, SPL2, ...) erstellt, wobei
PGM
WRKSPLF MAIER /* bzw. SCHMIDT, etc. */
SIGNOFF
ENDPGM

Wenn SCHMIDT in Urlaub ist, kann Hr.Maier mit dem Kennwort SCHMIDTSPL dessen Spools bearbeiten.


Abgesehen vom administrativen Aufwand wenn dieser Mechanismus firmenweit funktionieren soll, wäre dies von der Berechtigungsseite her dicht? Was meint Ihr?

mhh...
hört sich viel zu kompliziert an.
wenns denn darum geht, den normaluser von bestimmten spools auszuschliessen (Lohn usw.) dann denke ich ist da der ansatz... (wenn überhaupt)

just my 2 cents

k.

[LGALF]

Hallo Sascha,
evtl. den Weg über die OUTQ-Berechtigung gehen.

z.B. OUTQ XXXOUTQ in XLIB

Wenn die OUTQ vom Bediener gesteuert *NO ist
(WRKOUTQ *ALL - 8 vor entsprechender OUTQ = Anzeige
Ändern über CHGOUTQ)

und über EDTOBJAUT
EDTOBJAUT OBJ(XLIB/XXXOUTQ) OBJTYPE(*OUTQ)
der USER hinterlegt ist,

müsste der USER über WRKSPLF und Unterstützungsstufe 1
(F21 im WRKSPLF) zum anderen USER wechseln und seine
Spools (der entsprechenden zugelassenen OUTQ) verwalten
können.

Mit *SPLCTL kann USER alle Spools des Systems verwalten,
ist m.E, nicht zu empfehlen.

Viele Grüsse + ein schönes Wochenend
Alf

[Fuerchau]

*SPLCTL erlaubt aber keinen Zugriff auf gesperrte OUTQ's. Wenn also, wie oben beschrieben, OUTQ's per Berechtigung z.B. für *PUBLIC *EXCLUDE sind, kommt nur ein *ALLOBJ-User an diese Spools.

[spiceisnice]

Also wenn sich beide EINE OUTQ teilen geht's einfach so wie hier beschrieben :

http://www-912.ibm.com/s_dir/slkbase...ure,spoolfiles

[JonnyRico]

WRKSPLF nachzuprogrammieren ist natürlich eine Option.

Aber wenn der Benutzer im usrprf LMTCPB=*YES ist, dürfte eine Kommandozeile nicht so wild sein. Dann wäre WRKSPLF in meinen Augen ok.


Und bei LMTCPB=*NO kam mit folgende Idee, die ich gerne der Runde zur Diskussion stellen möchte:

Bsp: MAIER und SCHMIDT dürfen nur eigene Spools ansehen

Für jeden dieser User wird ein weiteres UsrPrf erstellt (MAIERSPL, SCHMIDTSPL), wobei
LMTCPB=*YES
SPCAUT(*SPLCTL)
INLPGM(SPL1)
Das Kennwort für MAIERSPL bekommt Hr.Schmidt etc.

Und für jeden dieser User wird ein Programm (SPL1, SPL2, ...) erstellt, wobei
PGM
WRKSPLF MAIER /* bzw. SCHMIDT, etc. */
SIGNOFF
ENDPGM

Wenn SCHMIDT in Urlaub ist, kann Hr.Maier mit dem Kennwort SCHMIDTSPL dessen Spools bearbeiten.


Abgesehen vom administrativen Aufwand wenn dieser Mechanismus firmenweit funktionieren soll, wäre dies von der Berechtigungsseite her dicht? Was meint Ihr?

Hi,

damit ist das Problem doch aber nicht gelöst. Es geht ja nicht um die Commandline. Es kann ja im WRKSPLF auch der User oben einfach geändert werden. Wenn ich nun SPLCTL habe dann kann ich auch die Spools von Lohn anschauen. Wie gesagt ist ja bei uns nicht wild.
Ich hatte eigentlich gehofft ich könnte ein CL machen das nur WRKSPLF aufruft und es mit USRPRF(*OWNER) wandeln, aber leider funktioniert das auch nicht. Ich werde es dann also denke ich wirklich mit SPLCTL machen müssen.

Gruß

Sascha