发布时间 : 星期一 文章AS400-ZOS安全配置 - 图文更新完毕开始阅读3f40c6c6bb4cf7ec4afed073
DSPAUT OBJ('/qsys.lib/qaanzlog.file')
F11=Display detail data authorities
Figure 7-10. Display Authority-1
Figure 7-11. Display Authority-2
在AS/400系统上,用户访问某一对象(Object)或完成某一任务的能力是受其操作系统OS/400控制的,OS/400控制是基于用户对对象或任务的权限(即访问对象或完成任务的能力)。系统权限组成见图7-7,它使用两类权限:特殊权
13
限 (Special Authority ) 和特定权限(Specific Authority ),其中特殊权限与用户描述(User Profile )相关,控制系统操作,拥有系统范围的作用域,完成一定任务不需要附加对象权限;特定权限与对象相关,控制用户如何访问对象(在用户特殊权限被允许完成任务的情况下)。
特殊权限: 特殊权限共有8种,其含义和功能描述见 图7-12。
特殊权限在用户描述中设定,由命令CRTUSRPRF或CHGUSRPRF中的参数SPCAUT指定,当SPCAUT设为 *usrcls,且系统的安全级别在30 级或以上,用户级别(User class)与特殊权限有 图7-13 描述的对应关系。当然对指定用户级别,你可以随意赋予其一种、多种特殊权限或不赋予任何特殊权限。查找用户特殊权限需使用 DSPUSRPRF命令。
Figure 7-12. Special Authority
14
特定权限: 特定定权限分为对象权限(Object Authority)和数据权限(Data Authority)见图7-7。对象权限定义对对象整体的操作权限;数据权限定义对对象内部数据的使用权限,10种指定权限的功能描述见 图7-14 。在授权时可以指定其中的一种、几种权限(称为User-defined),或使用系统定义的权限(称为 system-defined)*ALL、 *CHANGE、 *USE、 *EXCLUDE.
Figure 7-13. User Class and Special Authority
Figure 7-14. Specific Authority
15
可用GRTOBJAUT或RVKOBJAUT命令授权对象或取消对象权限,通常用WRKOBJ命令完成对对象的各种操作,包括对对象权限操作。要授予或取消一个对象的权限,用户描述必需满足下列条件或其中之一:(1)拥有此对象;(2)拥有特殊权限*ALLOBJ;(3)拥有对象*OBJMGT权限(仅有*OBJMGT权限不允许授予另外一个用户简要表*OBJMGT权限)。特定权限可以通过用户描述或对象查看,分别使用DSPUSRPRF或DSPOBJAUT命令。
1.6 Public Authority
Public Authority at Object Creation
Figure 7-15. Public Authority at Object Creation
Where *PUBLIC Authority Comes from
Figure 7-16. Where *PUBLIC Authority Comes from
*PUBLIC Authority
16