Eine Access-List ist eine Menge von Zugangscodes (numerische Codes), die einem Service zugeordnet wird. Die Zugangscodes in der Access-List können als Rollen der Benutzer innerhalb ihrer Organisationsstruktur aufgefasst werden (z.B. Sachbearbeiter, Abteilungsleiter, Administrator), die Zugriff auf diesen Service haben sollen.
Wenn Sie das Administrationstool WinAdmin oder WebAdmin verwenden, können Sie statt der numerischen Codes auch sprechende Namen verwenden.
Eine Access-List wird mit der KSET-Anweisung definiert und mit der TAC-Anweisung einem Service zugeordnet. Die Rollen für den Benutzer (USER) werden ebenfalls mit einer KSET-Anweisung als Keyset definiert und zugewiesen. In gleicher Weise kann einem LTERM-Partner eine bestimmte Menge von Rollen zugeordnet werden.
Ein Benutzer kann nur dann auf einen so geschützten Service (TAC) zugreifen, wenn sowohl das Keyset des Benutzers als auch das Keyset des LTERM-Partners, über den der Benutzer angemeldet ist, jeweils mindestens eine der Rollen enthält, die in der Access-List des Service enthalten sind.
 | Die Unterschiede von Lock-/Keycode- und Access-List-Konzept sind ausführlich im openUTM-Handbuch „Konzepte und Funktionen“, Security-Funktionen, beschrieben. |
| KSET-Anweisung im Abschnitt "KSET - Keyset definieren" |
keysetname
Name des Keysets bzw. der Access-List.
KEYS=
bei Vergabe einer Access-List an einen Service (TAC):
Angabe einer oder mehrerer Rollen (als numerische Werte), die Zugriff auf den mit keysetname geschützten Service haben.bei Vergabe eines Keysets an einen Benutzer (USER):
Angabe einer oder mehrerer Rollen (als numerische Werte), die dem Benutzer zugeordnet werden sollen.bei Vergabe eines Keysets an einen LTERM-Partner (LTERM):
Angabe einer oder mehrerer Rollen (als numerische Werte), die bei Anmeldung über diesen LTERM-Partner ausgeübt werden dürfen.Beim Einsatz von WinAdmin oder WebAdmin können die Rollen auch mit alphanumerischen Namen vergeben werden.
| TAC-Anweisung im Abschnitt "TAC - Eigenschaften von Transaktionscodes und TAC-Queues festlegen" |
tacname
Name des TACs.
ACCESS-LIST=
Gibt die Access-List an, die den Zugriff auf diesen TAC kontrolliert. Nur Benutzern, deren Keyset mindestens eine der Rollen in dieser Access-List enthält und die sich über ein Terminal anmelden, das auch mindestens eine der Rollen zugeordnet bekommen hat, ist der Zugriff auf diesen TAC erlaubt.
ACCESS-LIST darf nicht zusammen mit LOCK angegeben werden.
| USER-Anweisung im Abschnitt "USER - Benutzerkennungen definieren" |
username
UTM-Benutzerkennung.
KSET=
Gibt den Namen des Keysets an, das der Benutzerkennung zugeordnet wird. Das Keyset muss mit der KSET-Anweisung definiert worden sein. Jedem Benutzer kann max. ein Keyset zugeordnet werden.
Will ein Benutzer auf einen Service zugreifen, der mit einer Access-List geschützt ist, muss mindestens eine seiner Rollen in der Access-List vorhanden sein. Sonst wird der Zugriff auf den Service verweigert.
| LTERM-Anweisung im Abschnitt "LTERM - LTERM-Partner für Clients und Drucker definieren" |
ltermname
Name des LTERM-Partners (nur für LTERM-Anweisung).
LTERM= , NUMBER=
Name des LTERM-Partners (nur für TPOOL-Anweisung).
KSET=
Gibt den Namen des Keysets an, das dem LTERM-Partner zugeordnet wird. Bei LTERM-Partnern eines UPIC-Clients oder einer TS-Anwendung ohne explizit generierte Verbindungs-Benutzerkennung ist dieses Keyset zugleich das Keyset der Verbindungs-Benutzerkennung. Das Keyset muss mit der KSET-Anweisung definiert worden sein. Jedem LTERM-Partner kann max. ein Keyset zugeordnet werden.
USER-KSET= (nur für TPOOL-Anweisung)
Gibt in LTERM-Pools für TS-Anwendungen oder UPIC-Clients den Namen des Keysets an, das der Verbindungs-Benutzerkennung zugeordnet wird. Das Keyset muss mit der KSET-Anweisung definiert worden sein. Die Zugriffsrechte ergeben sich aus der Schnittmenge der Keysets von KSET= und USER-KSET=.
Der Zugriff auf LTERM-Partner kann nicht mit Access-Lists geschützt werden. Bei der Nutzung von Access-Lists zur Zugriffskontrolle auf Services sollte deshalb auf einen Zugriffsschutz auf LTERM-Partner verzichtet, d.h. der Parameter LOCK der LTERM- und TPOOL-Anweisung nicht angegeben werden.
Zugriffsschutz für Service-gesteuerte Queues mit Access-Lists
Auch Service-gesteuerte Queues können vor unbefugtem Lesen und Löschen oder Schreiben geschützt werden. Dazu wird eine Access-List definiert (TAC-/USER-Anweisung).
| TAC-Anweisung im Abschnitt "TAC - Eigenschaften von Transaktionscodes und TAC-Queues festlegen" |
tacname
Name der TAC-Queue.
Q-READ-ACL=
Q-WRITE-ACL=
Name der Access-List, die den Lese- und Lösch- bzw. Schreibzugriff eines Benutzers auf diese Queue kontrolliert. Die Access-List muss mit der KSET-Anweisung generiert worden sein.
Ein Benutzer kann nur dann lesend oder schreibend auf die TAC-Queue zugreifen, wenn das Keyset des Benutzers und das Keyset des LTERM-Partners, über das der Benutzer angemeldet ist, jeweils mindestens eine Rolle der für die TAC-Queue definierten Access-List enthalten.
Das Keyset muss für den Benutzer und den LTERM-Partner mit USER- bzw. LTERM-Anweisungen generiert werden.
| USER-Anweisung im Abschnitt "USER - Benutzerkennungen definieren" |
username
UTM-Benutzerkennung.
KSET=
Gibt den Namen des Keysets an, das der Benutzerkennung zugeordnet wird. Das Keyset muss mit der KSET-Anweisung definiert worden sein. Jedem Benutzer kann max. ein Keyset zugeordnet werden.
Q-READ-ACL=
Q-WRITE-ACL=
Name der Access-List, über die der Benutzer seine eigenen USER-Queues vor Lesen und Löschen oder Schreiben schützt. Die Access-List muss mit der KSET-Anweisung generiert worden sein.
Der Eigentümer einer Queue hat immer Lese-, Lösch- und Schreibrechte in seiner USER-Queue, unabhängig davon, ob der Lese- bzw. Schreibzugriff für andere Benutzer beschränkt ist.Ein fremder Benutzer kann nur dann lesend oder schreibend auf die USER-Queue eines anderen Benutzers zugreifen, wenn das Keyset des fremden Benutzers und das Keyset des LTERM-Partners, über das der fremde Benutzer angemeldet ist, jeweils mindestens eine Rolle der für die USER-Queue definierten Access-List enthalten.
Geben Sie Q-READ-ACL/Q-WRITE-ACL nicht an, dann hat jeder Benutzer Lese- und Lösch- bzw. Schreibrechte in der Queue.
| Für ausführliche Informationen zu Message Queues siehe Abschnitt "Service-gesteuerte Queues generieren" . |