Autorisierung des FTAC-Verwalters
Es empfiehlt sich, die Verwaltereigenschaft für openFT-AC an jenen Anwender im System weiterzugeben, der für den Datenschutz eines BS2000-Systems verantwortlich ist, da dieser am besten weiß, wo welche Schutzbedürfnisse bestehen.
Die FTAC-Verwalterfunktion wird mittels des SECOS-Privilegs FTAC-ADMINISTRATION zugeteilt. Sie kann gleichzeitig auch mehreren Kennungen verliehen werden. Bei BS2000-Installationen ohne SECOS ist die Verwaltereigenschaft fest der Kennung TSOS zugeteilt.
Besitzt der FTAC-Verwalter neben dem Privileg zur Administration von FTAC auch das TSOS-Privileg, so hat er zusätzliche Rechte:
Importiert er (für beliebige Benutzerkennungen) Profile, so kann er auswählen, ob die Profile sofort uneingeschränkt verfügbar oder ob sie anschließend gesperrt sind.
Legt er für fremde Kennungen Profile an, sind diese ebenfalls sofort verfügbar. Das bedeutet, dass er eine gültige Zugangsberechtigung auch ohne Kenntnis des LOGON-Kennwortes der Zielkennung vergeben kann. Auf diese Weise können auch Profile eingerichtet werden, die nach einer Änderung des LOGON-Kennwortes weiterhin gültig bleiben.
Entsprechend kann er auch Zugangsberechtigungen bestehender Profile ändern, ohne das LOGON-Kennwort des Profileigentümers zu kennen.
Anpassung des Standardberechtigungssatzes
Nach der Installation von openFT-AC sind alle Werte des Standardberechtigungssatzes auf 0 gesetzt!
Das bedeutet, dass mit dem lokalen System noch kein File-Transfer möglich ist. Solange nämlich noch keine anderen Berechtigungssätze mit MODIFY-FT-ADMISSION-SET bearbeitet wurden, gilt für alle Benutzerkennungen der Standardberechtigungssatz. Die maximale Sicherheitsstufe 0 für die Grundfunktionen (Inbound Senden, Inbound Empfangen, Inbound Folgeverarbeitung, Inbound Dateimanagement, Outbound Senden, Outbound Empfangen) bedeutet, dass diese Grundfunktionen nicht benutzt werden dürfen. Deshalb muss der FTAC-Verwalter mit dem Kommando MODIFY-FT-ADMISSION-SET die Werte des Standardberechtigungssatzes anheben.
Standard-Sicherheitsstufen für Partner
Der FT-Verwalter kann mit MODIFY-FT-OPTIONS (Operand SECURITY-LEVEL) Standard-Sicherheitsstufen für alle in der Partnerliste eingetragenen Partnersysteme definieren. Dabei kann er entweder einen festen Wert eingeben oder mit *BY-PARTNER-ATTRIBUTES festlegen, dass die Sicherheitsstufe automatisch eingestellt wird: Partnern, die von openFT authentifiziert werden, wird die Sicherheitsstufe 10 zugeteilt. Partner, die in BCAM bekannt sind (also per BCAM-Namen angesprochen werden) erhalten die Sicherheitsstufe 90. Alle anderen Partner erhalten die Sicherheitsstufe 100.
Dieser Automatismus kann auch partnerspezifisch mit gleich lautenden Operanden aktiviert werden:
ADD-FT-PARTNER und MODIFY-FT-PARTNER...,SEC-LEV=*BY-PART-ATTR
Für alle Partner, die nicht in der Partnerliste eingetragen sind, gilt immer der Automatismus.
Beispiele
Alle Partnersysteme sollen für alle FTAC-Benutzer per File-Transfer erreichbar sein. Dazu werden alle Werte des Standardberechtigungssatzes auf 100 gesetzt. Das geht mit folgendem Kommando:
/MOD-FT-AD *STD,MAX-LEV=100Näheres zu dem Kommando MODIFY-FT-ADMISSION-SET finden Sie im openFT-Handbuch "Kommandoschnittstelle für BS2000/OSD".
Eine differenziertere Festlegung des Standardberechtigungssatzes könnte wie folgt aussehen:
/MODIFY-FT-ADMISSION-SET USER-IDENTIFICATION=*STD, - MAX-LEVELS=(OUTBOUND-SEND=50, - OUTBOUND-RECEIVE=50, - INBOUND-SEND=20, - INBOUND-RECEIVE=20, - INBOUND-PROCESSING=10, - INBOUND-MANAGEMENT=0)Die verschiedenen Sicherheitsstufen werden selektiv vergeben; so ist z. B. die Funktion „Inbound Management“ durch Angabe der Sicherheitsstufe 0 völlig unterbunden.
WARNUNG!Es ist zu beachten, dass openFT-AC nur für angeschlossene Produkte wie openFT oder FTP wirksam ist. Wenn also im System weitere Dateitransferprodukte ohne openFT-AC Anschluss eingesetzt werden, ist ein abgestimmtes Sicherheitskonzept sinnvoll.