Eine Stufe über den Schutzattributen ACCESS/USER-ACCESS liegt in der Hierarchie der Zugriffsschutzmechanismen die einfache Zugriffskontroll-Liste (Basic Access Control List, BACL). Sie ist für ein Objekt dann wirksam, wenn für das Objekt kein Guards-Schutz definiert ist. Kennwortschutz und Schutzfrist sind zusätzlich wirksam.
Mit einer BACL können für den Objekt-Eigentümer, für die Mitglieder seiner Benutzergruppe und für alle anderen Benutzer unterschiedliche Zugriffsrechte definiert werden. Eine Festlegung von Zugriffsrechten für einzelne Benutzerkennungen ist mit diesem Zugriffsschutzmechanismus jedoch nicht möglich.
Eine einfache Zugriffskontroll-Liste für Dateien wird mit dem Operanden BASIC-ACL der Kommandos CREATE-FILE oder MODIFY-FILE-ATTRIBUTES definiert.
Einfache Zugriffskontroll-Listen für Jobvariablen können entsprechend mit den Kommandos CREATE-JV oder MODIFY-JV-ATTRIBUTES definiert werden.
Benutzerklassen
Aufbauend auf dem Konzept der Benutzergruppen werden Benutzerklassen für den Zugriff auf Objekte festgelegt. Die Benutzerklassen unterteilen die Menge aller Benutzer jeweils in die Teilmengen OWNER, GROUP und OTHERS.
OWNER | der Eigentümer eines Objekts, also die Benutzerkennung, unter der die Datei oder Jobvariable katalogisiert ist, sowie Miteigentümer, die mit Hilfe des Miteigentümerschutzes festgelegt wurden |
GROUP | alle Benutzerkennungen der Benutzergruppe, der der Eigentümer angehört, mit Ausnahme des Eigentümers selbst und der Miteigentümer |
OTHERS | alle übrigen Benutzer mit Ausnahme der Miteigentümer |
Zur Festlegung der Benutzerklasse wird die Definition der Gruppenstruktur auf dem Home-Pubset herangezogen.
Hinweise zur Benutzerklasse GROUP
Alle Benutzer, die keiner explizit eingerichteten Gruppe zugeordnet sind, sind automatisch Mitglied der implizit eingerichteten Gruppe *UNIVERSAL. Dies gilt insbesondere dann, wenn gar keine Gruppen explizit eingerichtet wurden. In diesem Fall sind alle Systembenutzer Mitglied derselben Gruppe. Bei der Auswertung einer BACL erhalten daher alle zugreifenden Benutzerkennungen außer dem Objekteigentümer selbst die Zugriffsrechte aus dem GROUP-Eintrag und nicht die des OTHERS-Eintrags.
Für Mitglieder der Benutzergruppe *UNIVERSAL wird daher dringend empfohlen, für die Benutzerklassen GROUP und OTHERS die gleichen Zugriffsrechte zu vergeben.
Zugriffsrechte
In einer BACL sind neun Zugriffsberechtigungen für eine Datei festgelegt. Der Datei können für jede der drei Benutzerklassen OWNER, GROUP, OTHERS drei Zugriffstypen separat zugeordnet werden:
Lesen (R)
Schreiben (W)
Ausführen (X)
Keines dieser Zugriffsrechte schließt ein anderes ein.
Auswertung der einfachen Zugriffskontroll-Liste
Ist die Benutzerkennung, die den Zugriff wünscht, der Eigentümer oder ein Miteigentümer des Objekts bzw. TSOS, gelten die unter OWNER abgespeicherten Zugriffsrechte.
Gehört die Benutzerkennung der Benutzergruppe des Eigentümers an, gelten die unter GROUP abgespeicherten Zugriffsrechte.
Für alle anderen Benutzerkennungen gelten die unter OTHERS abgespeicherten Zugriffsrechte.
Beispiel
OWNER = R W X
GROUP = R W -
OTHERS = R - -
Der Eigentümer dieser Datei darf auf die Datei lesend, schreibend und ausführend zugreifen. Die Gruppe des Dateieigentümers darf die Datei lesen und in die Datei schreiben. Der Rest darf die Datei nur lesen.