![Künstler Burgy Zapp [http://burgyzapp.de]](http://newsolutions.de/it/wp-content/uploads/b2_co_Image-330_Z_fg_o_Negativ.jpg "b2_co_Image-330_Z_fg_o_Negativ")
von Dan Riehl
Im Laufe der Jahre habe ich die Security-Implementierungen zahlreicher i5/OS Systeme überprüft und denke, dass immer noch einige Verunsicherung darüber besteht, welche Auswirkungen es letztlich hat, einem Benutzerprofil – wie nachfolgend dargestellt – das Attribut Limited Capabilities zuzuordnen:
CHGUSRPRF USRPRF(MYUSER) LMTCPB(*YES)
Vielfach wird angenommen, dass diese Einstellung den Benutzer auf die Ausführung von CL-Anweisungen innerhalb von CL-Programmen beschränkt. Das stimmt zwar grundsätzlich, ist aber nicht die ganze Wahrheit. Wird für ein Benutzerprofil LMTCPB(*YES) angegeben, bedeutet das für den Benutzer, dass er die überwiegende Zahl der CL-Anweisungen nicht mehr in einer i5/OS Befehlszeile eingeben kann. Einige Anweisungen sind jedoch dennoch ausführbar, wie z.B.
- DSPJOB (Display Job)
- DSPJOBLOG (Display Job Log)
- DSPMSG (Display Messages)
- SNDMSG (Send Message)
- SIGNOFF (Sign Off)
- WRKMSG (Work with Messages)
Sollen Benutzer mit eingeschränkten Berechtigungen darüber hinaus weitere CL-Anweisungen von der i5/OS Befehlszeile aus aufrufen dürfen, so lässt sich die obige Liste durch Änderung der jeweiligen CL-Anweisung erweitern. Sollen also diese Benutzer beispielsweise die Anweisung WRKWTR (Work with Writers) über die i5/OS Befehlszeile benutzen dürfen, kann dies über die Anweisung CHGCMD (Change Command) geschehen, indem dort angegeben wird, dass auch Benutzer mit eingeschränkten Berechtigungen diese Anweisung nutzen dürfen:
CHGCMD CMD(WRKWTR) ALWLMTUSR(*YES)
Bei diesen Überlegungen darf aber keinesfalls außer Acht gelassen werden, dass das Attribut „Limited Capabilities“ nur dann eine Beschränkung auf Befehlszeilenebene zur Folge hat, wenn der Benutzer ausschließlich eine Greenscreen 5250 Session wie z.B. Telnet nutzen darf. Da die meisten Benutzer heutzutage aber Windows-Workstations betreiben, die über TPC/IP-Dienstprogramme und iSeries Access verfügen, ist Telnet nur eine von vielen Möglichkeiten, auf i5/OS Daten und Programme zuzugreifen. Desktop-Tools wie ODBC, DDM, File Transfer, DRDA und FTP sind auf den meisten Desktops der Endbenutzer vorhanden. Mit vielen dieser Desktop-Tools lassen sich Anweisungen an i5/OS übergeben und fast alle dieser Tools kümmern sich nicht um das Limited Capabilities-Attribut im Benutzerprofil. Wenn Sie eine Überraschung erleben möchten versuchen Sie Folgendes:
- Öffnen Sie auf dem PC eine DOS-Befehlszeile.
- Geben Sie die Anweisung RMTCMD CRTLIB UH_OH ein. Die Bibliothek wird auf dem System i erstellt.
- Booten Sie nun Ihren PC neu und melden sich als Benutzer mit eingeschränkten Berechtigungen an. Versuchen Sie nun, mit Hilfe der Anweisung RMTCMD eine weitere Bibliothek anzulegen. Sie werden erstaunt sein, denn auch diese zweite Bibliothek wird erstellt.
Also denken Sie bitte daran, dass Limited Capabilities nur bei Greenscreen- und einigen wenigen Netzwerk-Tools Auswirkungen haben. Vertrauen Sie nicht auf diese Möglichkeiten der Zugriffsbeschränkung, um Ihr System zu sichern. Wenn Benutzer über zu hohe Daten-Berechtigungen verfügen, kann das eine ganze Produktionsdatenbank in Gefahr bringen.
Diese Netzwerk-Anweisungsschnittstellen lassen sich wirkungsvoll nur über Exit Point-Programme überwachen und kontrollieren.
Ähnliche Artikel:
