发布时间 : 星期四 文章AS400-ZOS安全配置 - 图文更新完毕开始阅读
Figure 7-22. Authority List Example
权限表是一种对象(对象类型是*AUTL),可以用来保护其他对象。对具有类似安全需求的一组对象进行保护,权限表包含用户列表及各用户对权限表保护的一组对象的权限,不同用户对该表保护的对象可有不同的权限。 实现方法:
①先建立权限表(用CRTAUT命令)。
②权限表与需管理的对象建立连接(用CRTXXX AUT(Auth-list-name)或GRTOBJAUT AUTL(Auth-list-name)命令)。
③在权限表中添加用户并设置权限(用ADDAUTLE命令)。 使用权限表应注意以下几点:
◇权限表不能保护*USRPRF和*AUTL类型的对象,一个权限表可以保护无限量的对象,但一个对象仅能受一个权限表保护。
◇可以使用权限表定义公共权限。假如公共权限设为*AUTL,对象就从权限表上得到公共权限。
◇仅仅对象的拥有者或带有*ALLOBJ特殊权限或对对象有*ALL 权限的用户可以增加或从权限表上移去对象。
◇可以对权限表颁发操作特殊权限*AUTLMGT,带有*AUTLMGT的用户允许增加或移去表上的用户,且改变用户的权限。 ◇仅可以给其它用户相同或比自已少的权限。
21
对权限表进行操作可用如下命令: CRTAUTL 创建权限表 ADDAUTLE 添加权限表条目 EDTAUTL 编辑权限表 WRKAUTL 处理权限表
图7-22所示例子中,权限表AUTL1的所有者为USER3。权限表保护四个对象:LIBA(*LIB)、LFILEB(*FILE)、PFILEC(*FILE)和PROGD(*PGM).表中每个用户对四个对象可以有不同的权限,但同一用户对它们有相同的权限。USER5对于权限表AUTL1有管理权限,除此之外其他用户对这些对象没有任何操作权限。
以下是这个例子的实现方法之一:
1.用CRTUSRPRF命令创建用户描述(USER1,USER2,USER3和USER5)。 2.创建权限表,并增加用户及授权。 CRTAUTL AUTL(AUTL1) AUT (*EXCLUDE)
ADDAUTLE AUTL(AUTL1) USER(USER1) AUT(*USE) ADDAUTLE AUTL(AUTL1) USER(USER2) AUT(*CHANGE) ADDAUTLE AUTL(AUTL1) USER(USER3) AUT(*ALL)
ADDAUTLE AUTL(AUTL1) USER(USER5) AUT(*CHANGE*AUTLMGT) 3.创建对象。
CRTLIB LIB(LIBA) AUT(AUTL1) CRTLF FILE(LFILEB) AUT(AUTL1) CRTPF FILE(PFILEC) AUT(AUTL1) CRTPGM PGM(PROGD) AUT(AUTL1)
22
1.9 Authorization List versus Group Profile
Figure 7-23. Authorization List versus Group Profile
Group profile: Many users in the group,each with the same authority as the other,but which may differ object to object as the group profile is authorized. Authorization list: Many users,each of whose authority may be different from the other but it stays the same for every object which is secured by the authorization list. Spend some time on this comparixon between a group profile and authorization list. Example1:
GRPPRF APDEPT GRTOBJAUT OBJ(APFILE1) USER(APDETPT) AUT(*USE)
USERS: AP1 GRTOBJAUT OBJ(APFILE2) USER(APDEPT) AUT(*CHANGE) AP2 AP3
Resulting authority: APFILE1 APFILE2 AP1 *USE *CHANGE AP2 *USE *CHANGE
23
AP3 *USE *CHANGE Example2:
AUTL: PAYLIST GRTOBJAUT OBJ(PAYFILE1) AUTL(PAYLIST) USERS: PAY1 *ALL PAY2 *CHANGE PAY3 *USE
Resulting authority: PAYFILE1 PAYFILE2 PAY1 *ALL *ALL PAY2 *CHANGE *CHANGE PAY3 *USE *USE 1.10 Adopted Authority What is Adopted Authority
Figure 7-24. What Is Adopted Authority?
What is Adopted Authority
Adopted authority is a way to give a user the authority to use all objects needed by a program but only while the user is running the program. When not running the program, the user has no specific authority to the objects. Adopted authority: ◇Avoids grants and revokes of authority
◇Temporarily lends a program owner's authority to the program user
24