发布时间 : 星期三 文章AS400-ZOS安全配置 - 图文更新完毕开始阅读3f40c6c6bb4cf7ec4afed073
Adopted Authority Example
Figure 7-25. Adopted Authority Example
借用权限(Adopt Authority ):有时对一个对象或一个应用,根据具体情况在不同场合用户需要不同权限,需使用借用权限,借用权限给用户临时的使用程序中所需的对象,它是借用程序拥有者的权限给程序的使用者,包括特权和特定权限。能否使用借用权限是由程序决定的。假如在此程序创建时将命令CRTXXXPGM中的参数USRPRF的值设为*Owner或程序创建后用命令CHGPGM将参数USRPRF的值设为*Owner,那么凡是对程序有调用权限的用户,在程序运行期间都可借用程序拥有者的权限。在程序运行中当程序的调用者的权限不够时,系统会检查程序拥有者的权限。
如图7-25所示,虽然USER5无权访问文件FILEX 和 FILEY,当 USER5 运行程序 PROG1,USER5借用PROG1所有者SPVR1的权限,这样就有权访问文件 FILEX 和 FILEY。 使用借用权限应注意以下几点:
(1)对象类型为*PGM,*SRVPGM和*SQLPKG的对象有借用权限功能。 (2)用户简要表中所有特殊权限(例如*ALLOBJ)和指定权限都可被借用,假如用户简要表是一个组的成员,则组的权限不能被借用。
(3)仅当用户拥有程序或有*ALLOBJ和*SECADM特殊权限时,才可以改变USRPRF参数的值。
25
(4)提交作业将不能使用借用权限。
(5)仅当用户、用户组或public对对象完成操作需要的权限不足够时,才查借用权限。
(6)借用权限为满足变化的权限需要提供了一个重要工具,但要小心使用,以防造成安全漏洞。
1.11 Authority Checking
Figure 7-26. Authority Checking
当一个用户企图对一个对象完成某一操作,系统要检查用户对此操作是否有足够的权限。系统首先检查对对象所在库的权限是否足够;若对库的权限足够,系统进一步检查对对象本身的权限。在权限检查的处理过程中,任何权限发现(即使对需要的操作不足够),权限检查停止,并且访问被允许或否定。对这个原则,借用权限例外,它可以临时覆盖任何发现的指定权限。
系统检查用户对对象的权限是按照如下流程图进行的:检查用户是否有
26
*ALLOBJ的特殊权限?用户对对象有无特定权限?用户是否在保护该对象的权限表上,表上能否找到相应权限?用户是否为某个组的成员,该组是否有*ALLOBJ特殊权限?组对对象有无特定权限?组是否在保护对象的权限表上? Public对对象有无特定权限? Public是否在保护该对象的权限表上?假如有借用权限,必要时系统检查程序拥有者的权限。
总上所述,系统确定用户能否对对象操作,先检查用户的用户描述;仅当用户描述中没有找到相应权限时,才搜索相关的组描述;仅当在用户描述和组户描述中均没有找到相应权限时,才搜索公共权限。
Sign-On过程的权限检查
27
Figure 7-27. Authority Checking at Sign On
1.12 Object Ownership Object Ownership
Figure 7-28. Object Ownership
QDFTOWN
Figure 7-29. QDFTOWN
QDFTOWN
28