von Dan Riehl

Hier finden Sie Informationen über die Sonderberechtigungen, die OS/400 zur Verfügung stellt und über die Risiken, die mit ihrer Vergabe verbunden sind. Wenn Sie diese Einführung gelesen haben, wissen Sie, warum es so wichtig ist, Sonderberechtigungen nicht wahllos zu vergeben.

*SPLCTL

Beschreibung: Spoolkontrolle. Vielleicht die am häufigsten falsch verstandene Sonderberechtigung. *SPLCTL macht einen Benutzer zum Herren über alle Spool-Dateien auf Ihrem System. Wie der Name „Spool Control“ andeutet, hat ein Benutzer mit dieser Sonderberechtigung die volle Kontrolle über alle Spool-Funktionen des Systems. Diese Kontrolle umfasst nicht nur Ausgabewarteschlangen sondern auch Jobwarteschlangen. Der Benutzer kann Job- und Ausgabewarteschlangen anhalten, freigeben und leeren.

Risiken: Mit *SPLCTL kann ein Benutzer alle Spooldateien im System ansehen und bearbeiten, auch wenn sie in einer besonders abgesicherten Ausgabewarteschlange stehen. Auch die vertraulichsten Dokumente sind für einen Benutzer mit der Sonderberechtigung *SPLCTL zugänglich.

*ALLOBJ

Beschreibung: Alle Objekte. Die umfassendste Sonderberechtigung. Mit *ALLOBJ hat ein Benutzer die Berechtigung, jedes Objekt auf dem System zu bearbeiten. Ein Benutzer mit *ALLOBJ-Berechtigung kann auf Objektebene Berechtigungen vergeben, unabhängig davon, welche Berechtigung bereits für ein Objekt angegeben ist.

Risiken: Alle Dateien, Programme, Datenbereiche und alle anderen Objekte auf Ihrem System können von einem Benutzer mit *ALLOBJ-Berechtigung angesehen, verändert und sogar gelöscht werden. Die Bibliothek der Lohn- und Gehaltsabrechnung löschen? Kein Problem mit *ALLOBJ! Ein Benutzer mit der Sonderberechtigung *ALLOBJ kann auch einen Batchjob absetzen, der ein anderes, hochrangiges Benutzerprofil verwendet, um jede beliebige Systemfunktion auszuführen. Auch wenn Sie einem Benutzer, der über die Sonderberechtigung *ALLOBJ verfügt, nicht die Sonderberechtigung *SECADM geben, kann dieser Benutzer z.B. einen Batchjob für ein Benutzerprofil mit *SECADM-Berechtigung absetzen und damit andere Benutzerprofile erstellen oder verändern.

*SECADM

Beschreibung: Sicherheitsadministration. Die Sonderberechtigung *SECADM autorisiert einen Benutzer zum Warten von Benutzerprofilen. Beim Erstellen oder Ändern von Benutzerprofilen kann ein Benutzer mit *SECADM-Berechtigung nur die Sonderberechtigungen vergeben, über die er auch selbst verfügt. Es ist wie bei einem Schnupfen: Sie können ihn nicht weitergeben, wenn Sie selbst keinen haben. Es gibt eine Einschränkung: Nur ein Benutzer, der selbst die Sonderberechtigungen *ALLOBJ und *SECADM besitzt, kann einem anderen Profil die *SECADM-Berechtigung geben. *SECADM erlaubt es einem Benutzer nicht, ein anderes Benutzerprofil zu ändern, wenn er keine Objektberechtigung für dieses Profil besitzt. So kann z.B. ein Benutzer mit *SECADM-Berechtigung normalerweise das QSECOFR-Kennwort nicht ändern, sondern nur dann, wenn er auch die Sonderberechtigung *ALLOBJ besitzt.

Risiken: Ein Benutzer mit *SECADM-Berechtigung kann nach Belieben Benutzerprofile erstellen und ändern. Sie müssen sicher sein, dass ein solcher Benutzer Ihre Sicherheitsrichtlinien bezüglich Benutzerprofilen versteht und einhält. Zusätzlich sollten Sie das Erstellen und Ändern von Benutzerprofilen überwachen und protokollieren, um die Einhaltung der Richtlinien sicherzustellen.

 

*JOBCTL