Dateien können auch durch die „einfache Zugriffskontroll-Liste“ BACL (Basic Access Control List) geschützt werden.
Nur permanente und Arbeitsdateien auf Platten können durch eine BACL geschützt werden. Temporäre Dateien sowie Banddateien werden durch eine BACL nicht geschützt. Bei der BACL können unabhängig voneinander in beliebiger Kombination die verschiedenen Zugriffsrechte für verschiedene Benutzerklassen vergeben werden. Diese Kombinationen werden in der einfachen Zugriffskontroll-Liste eingetragen.
Die BACL ist für ein Objekt dann wirksam, wenn für das Objekt kein Guards-Schutz definiert ist. Kennwortschutz und Schutzfrist sind zusätzlich wirksam.
Benutzerklassen
Beim Zugriffschutz mit BACL unterscheidet man drei Benutzerklassen:
OWNER: | der Eigentümer eines Objekts, also die Benutzerkennung, unter der die Datei katalogisiert ist, sowie Miteigentümer, die mit Hilfe des Miteigentümerschutzes festgelegt wurden (siehe "Festlegung einer Miteigentümerschaft (Co-Owner)"). |
GROUP: | alle Benutzerkennungen der Benutzergruppe, der der Eigentümer angehört, mit Ausnahme des Eigentümers selbst und der Miteigentümer; geprüft wird die Gruppenstruktur des Home-Pubsets. |
OTHERS: | alle übrigen Benutzer mit Ausnahme der Miteigentümer. |
Zugriffsrechte
In einer BACL sind neun Zugriffsberechtigungen für eine Datei festgelegt. Der Datei können für jede der drei Benutzerklassen OWNER, GROUP, OTHERS drei Zugriffstypen separat zugeordnet werden:
Lesen (R): die Datei darf gelesen und kopiert werden
Schreiben (W):in die Datei kann geschrieben bzw. sie darf überschrieben werden Anders als beim ACCESS-Attribut beinhaltet das Schreibrecht der BACL nicht automatisch auch das Leserecht (Datenschutz)
Ausführen (X): die Datei darf ausgeführt werden (Programm, Prozedur)
Keines dieser Zugriffsrechte schließt ein anderes ein.
Jedes der Attribute R, W und X kann gesetzt oder nicht gesetzt sein. Sie gelten unabhängig voneinander und ausschließlich für die angegebene Zugriffsart. Insbesondere ist für „X“ nicht Voraussetzung, dass „R“ gesetzt ist. Durch Angabe von NO-ACCESS für alle Benutzerklassen können dem Eigentümer bzw. den Benutzerkennungen der Gruppe bzw. den Benutzerkennungen außerhalb der Benutzergruppe alle Zugriffsrechte entzogen werden.
Die folgenden Tabellen zeigen, welche Werte für eine Datei in ihre Zugriffskontroll-Liste eingetragen werden müssen, um die gleiche Wirkung zu erzeugen, wie mit den Werten für die Operanden SHARE und ACCESS im Makro CATAL bzw. den Operanden ACCESS und USER-ACCESS im Kommando CREATE-FILE.
| Standard-Zugriffskontrolle (CATAL-Makro) | Einfache Zugriffskontroll-Liste BACL | |||
|---|---|---|---|---|
ACCESS | SHARE | OWNER | GROUP | OTHERS |
WRITE | NO | R W X | - - - | - - - |
WRITE | YES | R W X | R W X | R W X |
WRITE | SPECIAL | R W X | R W X | R W X |
READ | NO | R - X | - - - | - - - |
READ | YES | R - X | R - X | R - X |
READ | SPECIAL | R - X | R - X | R - X |
| Standard-Zugriffskontrolle (CREATE-FILE-Kommando) | Einfache Zugriffskontroll-Liste BACL | |||
|---|---|---|---|---|
ACCESS | USER-ACCESS | OWNER | GROUP | OTHERS |
WRITE | OWNER-ONLY | R W X | - - - | - - - |
WRITE | ALL-USERS | R W X | R W X | R W X |
WRITE | SPECIAL | R W X | R W X | R W X |
READ | OWNER-ONLY | R - X | - - - | - - - |
READ | ALL-USERS | R - X | R - X | R - X |
READ | SPECIAL | R - X | R - X | R - X |
BACL-Werte gemäß Standardzugriffskontroll-Attributen im Kommando CREATE-FILEAuswertung der einfachen Zugriffskontroll-Liste
Ist die Benutzerkennung, die den Zugriff wünscht, der (Mit-) Eigentümer des Objekts bzw. die Systembetreuung, gelten die unter OWNER abgespeicherten Zugriffsrechte.
Gehört die Benutzerkennung der Benutzergruppe des Eigentümers an, gelten die unter GROUP abgespeicherten Zugriffsrechte.
Für alle anderen Benutzerkennungen gelten die unter OTHERS abgespeicherten Zugriffsrechte.
Beispiel
OWNER | GROUP | OTHERS |
R W X | R W - | R - - |
Der (Mit-) Eigentümer dieser Datei darf auf die Datei lesend, schreibend und ausführend zugreifen. Die Gruppe des Dateieigentümers darf die Datei lesen und in die Datei schreiben. Der Rest darf die Datei nur lesen.
Hinweise
Nur bei Einsatz des Software-Produkts SECOS werden die Einträge aller drei Benutzerklassen vollständig ausgewertet (siehe Handbuch „SECOS“ [8]).
Die Definition von Benutzergruppen ist erst bei Einsatz des Software-Produkts SECOS möglich. Ist SECOS noch nicht eingesetzt, werden vorhandene Einträge in der Benutzerklasse GROUP ignoriert und nur die Einträge der Benutzerklassen OWNER und OTHERS ausgewertet.
In Hinblick auf den möglichen Einsatz von SECOS wird dennoch empfohlen, für die Benutzerklasse GROUP die gleichen Einträge aufzunehmen wie für OTHERS.
Aktivierung des BACL-Schutzes
BACL-Schutz wird aktiviert, wenn mindestens für eine Benutzerklasse ein BACL-Eintrag existiert.
In einer einfachen Zugriffskontroll-Liste können die Zugriffstypen READ, WRITE, EXECUTE (kurz R, W und X) in folgender Weise für Benutzerklassen vergeben werden:
Auf Makroebene wird BACL über die Operanden BASACL, OWNERAR, GROUPAR und OTHERAR des Makros CATAL eingestellt. Die Angabe eines Operanden ohne Operandenwert wird ignoriert.
Auf Kommandoebene wird BACL über den Operanden BASIC-ACL bei den Kommandos CREATE-FILE(-GROUP) und MODIFY-FILE(-GROUP)-ATTRIBUTES aktiviert.
Deaktivierung des BACL-Schutzes
Ein bestehender BACL-Schutz kann durch explizite Angabe zurückgesetzt werden (Makro CATAL, Kommando MODIFY-FILE(-GROUP)-ATTRIBUTES).
Wird ein höherer Zugriffsschutz aktiviert (GUARDS), wird der Schutz über BACL ignoriert.