von Carol Woodbury
Berechtigungsproblem trotz *EXCLUDE
Fragen
Ich möchte für einen Parameter eines eigenen CL-Befehls alle zulässigen Werte anzeigen. Entsprechend den Vorgaben im IBM Handbuch CL-Programmierung (SC41-3721) habe ich in der Befehlsquelle bei der PARMS-Anweisung die Parameter CHOICE(*PGM) und CHOICEPGM(programm name) für eine eigenes Auswahlprogramm eingesetzt.
Einer meiner Anwender ist mit der *EXCLUDE-Berechtigung für eine bestimmte Datei ausgestattet. Dadurch sollte er eigentlich keinerlei Rechte an der Datendatei haben. Dennoch konnte er sie per FTP (File Transfer Protocol) auf ein anderes System übertragen! Woran kann dies liegen?
Antwort
Stellen Sie zunächst fest, ob Ihr Anwender die Sonderberechtigung *ALLJOBJ hat. Dazu rufen Sie den Befehl DSPUSRPRF auf und überprüfen die Werte für den Parameter SPCAUT. Die Sonderberechtigung *ALLOBJ ist eine der ersten Autorisierungen, die vom OS/400-Berechtigungskontroll-Algorithmus abfragt werden. Ist diese Sonderberechtigung vorhanden, werden alle anderen Objekt- oder Gruppenprofilberechtigungen ignoriert!
![Künstler Burgy Zapp [http://burgyzapp.de]](http://newsolutions.de/it/wp-content/uploads//cl7_IMG_4889.jpg)
Berechtigungsprüfung bei mehreren Gruppenprofilen
Frage
Wie läuft die Berechtigungsprüfung ab, wenn einem Benutzerprofil mehrere Gruppenprofile zugeordnet sind?
Antwort
Wenn der OS/400-Berechtigungskontroll-Algorithmus keine Berechtigungen auf Benutzerebene findet, überprüft er als nächstes die angegebenen Gruppenprofile. Sobald bei einem der Gruppenprofile für das betreffende Objekt eine ausreichende Objekt- oder Datenberechtigung gefunden ist, wird der Zugriff auf das Objekt freigegeben.
Dazu folgendes Beispiel: für eine Datensatzänderung in einer Datei benötigt ein Anwender die *CHANGE-Berechtigung für das Dateiobjekt. Diese Berechtigung hat er selbst aber nicht. Ihm sind jedoch drei Gruppenprofile mit folgenden Berechtigungen zugeordnet: GRP1mit *OBJOPR-Rechte, GRP2 mit *READ- und *ADD-Berechtigung, GRP3 mit *CHANGE-Berechtigung. Sobald der Berechtigungskontroll-Algorithmus die Eintragungen zu GRP3 überprüft hat, wird der Zugriff auf die Datei freigegeben.
Zu beachten ist, daß eine zusätzlich vorhandene *EXCLUDE-Berechtigung den Zugriff nicht verhindert! Auf obiges Beispiel übertragen bedeutet dies, daß die Zuordnung eines vierten Gruppenprofils mit *EXCLUDE-Berechtigung für die Datei keine Auswirkung hätte!
Berechtigungsfehler nach Software-Update
Frage
Unsere Rechnungsschreibungs-Software arbeitet mit Berechtigungsübertragung („adopted Authority“) durch den Objekteigner, um den Anwendern die Zugangsberechtigung zu den benötigten Objekten zu verschaffen. Nach dem letzten Versions-Update der Anwendungs-Software traten Berechtigungsfehler auf. Welchen Grund kann dies haben?
Antwort
Die wahrscheinlichste Ursache ist, daß einige Programme der neuen Version einen falschen Eigentümer haben oder nicht mit dem Parameter USRPRF(*OWNER) erstellt wurden. Beim Prinzip der Berechtigungsübertragung werden alle Objektberechtigungen des Programmierers für die Dauer der Programmausführung auf den aktuellen Anwender übertragen. Bei Software-Paketen ist dieser Eigner meist ein einziges Benutzerprofil, dem alle Objekte des Anwendungspakets gehören bzw. das alle erforderlichen Objektrechte hat.
Überprüfen Sie mit dem Befehl DSPPGM, ob das betreffende Programm den richtigen Eigner hat und mit USRPRF(*OWNER) erstellt wurde. Den korrekten Eigner müßten Sie aus der Dokumentation der Anwendung oder von Ihrem Software-Lieferanten erfahren können.
- 7 Euro/Monat NEWSabo digital - sofort zugreifen.
- 13,5 Euro/Monat NEWSabo plus inklusive 5x Login & Print-Ausgabe - sofort zugreifen.
Ähnliche Artikel:
