Dieses Kapitel beschreibt die Schnittstellen zur Verwaltung der POSIX-Benutzerattribute einer BS2000-Benutzerkennung. Diese Schnittstellen sind Bestandteil des Bausteins SRPM, der im Softwareprodukt SECOS und in BS2000 implementiert ist. Das Softwareprodukt SECOS muss jedoch nicht installiert sein, um mit POSIX arbeiten zu können.
Jeder BS2000-Benutzer ist gleichzeitig auch POSIX-Benutzer. Außer einer BS2000-Benutzerkennung mit gültigen individuellen POSIX-Benutzerattributen sind keine weiteren Bedingungen zu erfüllen, um Zugang zu POSIX und seinen Schnittstellen zu erhalten.
Näheres zu SRPM finden Sie im Abschnitt „Beschreibung der Privilegien" und im SECOS-Handbuch „Zugangs- und Zugriffskontrolle“ [46].
Die POSIX-Funktionalität in BS2000 wird ausführlich in den Handbüchern „POSIX-Kommandos“ [38] und „POSIX-Grundlagen“ [39] beschrieben.
Was ist POSIX ?
Unter POSIX (Portable Open System Interface for UNIX) versteht man eine Reihe von Standards auf UNIX-Basis. Diese Standards gewährleisten die Kompatibilität und Interoperabilität von Anwendungen in einem heterogenen Netzwerk. Ein heterogenes Netzwerk besteht aus Servern und Produkten von verschiedenen Herstellern sowie aus System- und Benutzersoftware von verschiedenen Software-Anbietern.
Der POSIX-Standard wurde vom Institute of Electrical and Electronics Engineers (IEEE) 1989 als nationaler amerikanischer Standard definiert. Anschließend wurde er vom X/OPEN-Konsortium und 1990 als internationaler Standard verabschiedet (X/OPEN Portability Guide IV, XPG4).
Dem Benutzer stehen die Bibliotheksfunktionen des XPG4-Standards über eine C-Bibliothek und eine definierte Menge von Kommandos über eine Shell (POSIX-Shell) zur Verfügung.
Mit POSIX lassen sich Anwendungsprogramme leicht portieren – unabhängig vom ausführenden Betriebssystem. Deshalb können XPG4-konforme Programme nach einer Neuübersetzung auch in BS2000 ablaufen.
Die POSIX-Programmschnittstellen werden parallel zu den BS2000-Schnittstellen angeboten. Die gemischte Nutzung von BS2000- und POSIX-Programmschnittstellen in einem Programm ist möglich.
Einige Software-Komponenten und -Produkte von BS2000 wurden funktionell erweitert, um POSIX-Dateien bearbeiten zu können. Zum Beispiel können mit SPOOL auch POSIX-Dateien ausgedruckt, sowie mit HSMS POSIX-Dateien, -Dateiverzeichnisse und -Dateisysteme gesichert und rekonstruiert werden.
Kommando | Bedeutung |
ADD-POSIX-USER | Festlegen der POSIX-Benutzerattribute |
ADD-USER | Erstellen eines Benutzereintrags im Benutzerkatalog 1 |
MODIFY-LOGON-PROTECTION | Ändern von Schutzattributen 2 |
MODIFY-POSIX-USER-ATTRIBUTES | Ändern der POSIX-Benutzerattribute einer BS2000-Benutzerkennung |
MODIFY-POSIX-USER-DEFAULTS | Ändern der POSIX-Standardattribute eines Pubsets |
MODIFY-USER-ATTRIBUTES | Ändern des Katalogeintrags eines Benutzers 1 |
SET-LOGON-PROTECTION | Vereinbaren von Schutzattribute 2 |
SHOW-LOGON-PROTECTION | Anzeigen von Schutzattributen 2 |
SHOW-POSIX-STATUS | Anzeigen des POSIX-Status |
SHOW-POSIX-USER-ATTRIBUTES | Anzeigen der POSIX-Benutzerattribute einer BS2000-Benutzerkennung |
SHOW-POSIX-USER-DEFAULTS | Anzeigen der POSIX-Standardattribute eines Pubsets |
SHOW-USER-ATTRIBUTES | Ausgabe von Informationen über die Einträge im Benutzerkatalog 1 |
START-POSIX-SHELL | POSIX-Shell zur Verfügung stellen |
Makro | Bedeutung |
SRMUINF | Lesen der Daten aus dem Benutzerkatalog und Übertragen in einen vorher festgelegten Bereich |
Tabelle 14: BS2000-Schnittstellen zur POSIX-Benutzerverwaltung
1 Kommandos zum Verwalten der Abrechnungsnummer für den Zugang über einen fernen Server.
2 Kommandos zum Verwalten der Zugangsberechtigung über einen fernen Server:
Wenn das Softwareprodukt SECOS eingesetzt wird, kann für bereits existierende BS2000-Benutzerkennungen festgelegt werden, ob sich der Benutzer eines fernen Servers mit dem UNIX-Kommando rlogin Zugang zum System (POSIX) verschaffen darf. Dazu steht der Operand POSIX-RLOGIN-ACCESS=*YES(PASSWORD-CHECK=*YES/*NO) bzw. POSIX-RLOGIN-ACCESS=*NO bei den Kommandos SET- und MODIFY-LOGON-PROTECTION zur Verfügung.
Diese und weitere POSIX-Kommandos sind in den Handbüchern „SECOS - Zugangs- und Zugriffskontrolle“ [46] und „Kommandos“ [27] beschrieben.
POSIX-Benutzerattribute
Siehe das Kapitel „POSIX-Benutzer verwalten“ im Handbuch „POSIX-Grundlagen“ [39].
Privilegierung zur Verwaltung der POSIX-Benutzerattribute
Für POSIX gibt es das Privileg POSIX-ADMINISTRATION. Inhaber dieses Privilegs werden POSIX-Verwalter genannt. Sie haben folgende Aufgaben und Rechte:
Verwaltung der POSIX-Benutzerattribute aller BS2000-Benutzerkennungen auf allen Pubsets
Verwaltung der POSIX-Standardattribute auf allen Pubsets
Aufruf von privilegierten POSIX-Funktionen
Das Privileg POSIX-ADMINISTRATION ist standardmäßig an die System-Benutzerkennung SYSROOT geknüpft. Dieses Privileg kann SYSROOT nicht entzogen werden.
Der Sicherheitsbeauftragte (Privileg SECURITY-ADMINISTRATION) kann dieses Privileg auch anderen BS2000-Benutzerkennungen verleihen und entziehen.
SYSROOT ist das POSIX-Gegenstück zur Systemverwalterkennung root in UNIX-Systemen. SYSROOT wird beim First-Start des BS2000-Systems eingerichtet und erhält automatisch die Benutzernummer 0. SYSROOT kann keine andere Benutzernummer zugewiesen werden.
Inhaber des Privilegs USER-ADMINISTRATION erhalten zusätzlich die Berechtigung, die POSIX-Benutzerattribute und die Standardwerte für die POSIX-Benutzerattribute zu verwalten. Sie sind diesbezüglich dem POSIX-Verwalter gleichgestellt.
Die Berechtigung des Gruppenverwalters der Gruppe *UNIVERSAL wird auf die POSIX-Benutzerattribute ausgedehnt. Er ist bei der Verwaltung der POSIX-Benutzerattribute auf dem von ihm verwalteten Pubset den Inhabern des Privilegs USER-ADMINISTRATION gleichgestellt. Deshalb gelten für ihn nicht die im Folgenden aufgeführten Einschränkungen für Gruppenverwalter seiner Hierarchie.
Gruppenverwalter dürfen ebenfalls die POSIX-Benutzerattribute verwalten. Allerdings gelten für sie folgende Einschränkungen:
Sie können nicht die POSIX-Standardattribute verwalten.
Die Art der POSIX-Benutzerattribute, die ihrer Verwaltung unterstellt sind, hängt von ihrer Autorisierung ab (ADM-AUTHORITY).
Der Wertebereich der POSIX-Benutzerattribute ist für sie eingeschränkt.
Sie können nur die Gruppen- und Untergruppenmitglieder verwalten, die ihnen unterstellt sind.
Für weitere Informationen zum Thema Privilegierung siehe Abschnitt „Privilegien".
Benutzernummer einer BS2000-Benutzerkennung zuordnen
Siehe das Kapitel „POSIX-Benutzer verwalten“ im Handbuch „POSIX-Grundlagen“ [39].
BS2000- und POSIX-Gruppen verwalten
Siehe das Kapitel „POSIX-Benutzer verwalten“ im Handbuch „POSIX-Grundlagen“ [39].
Neue POSIX-Benutzer eintragen
Siehe das Kapitel „POSIX-Benutzer verwalten“ im Handbuch „POSIX-Grundlagen“ [39].
POSIX-Benutzerattribute im POSIX-Dateisystem abbilden
Das POSIX-Benutzerattribut „Benutzernummer“ ist eng mit dem POSIX-Dateisystem verbunden: Die Benutzernummer dokumentiert, wer der Eigentümer einer Datei ist. Anders als in BS2000 kann der Root-Berechtigte einer Datei oder einem Dateiverzeichnis auf einfache Weise einen neuen Eigentümer zuweisen (POSIX-Kommando chown).
Benutzerinformationen per Programm lesen
Siehe das Kapitel „POSIX-Benutzer verwalten“ im Handbuch „POSIX-Grundlagen“ [39].