GUARDS (Generally Usable Access contRol aDministration System) ermöglicht es, unterschiedliche Schutzmechanismen für Objekte des BS2000 einzurichten. GUARDS stellt spezielle Behälter – die Guards – zur Verfügung, in denen die gewünschten Schutzmechanismen eingetragen werden. Entsprechend dieser Eintragungen werden die Objektzugriffe überwacht.
Zum besseren Verständnis von GUARDS, der in den Guards eingetragenen Schutzmechanismen und deren Überwachung wird zwischen folgenden Hauptaufgabenbereichen unterschieden:
Verwaltung der Guards hinsichtlich ihrer Funktion als Behälter
Verwaltung des Inhalts der Guards
Zuordnung der Guards zu ihren Schutzobjekten
Verwaltung der Guards hinsichtlich ihrer Funktion als Behälter
Diese Verwaltung ist unabhängig vom Inhalt und Zweck der einzelnen Guards. Zur Verwaltung beliebiger Guards stehen die Kommandos und Makros der GUARDS-Verwaltung zur Verfügung.
Näheres dazu finden Sie im Abschnitt „GUARDS-Verwaltung".
Verwaltung des Inhalts der Guards
Abhängig von der Art des Inhalts, den ein Guard hat, sind verschiedene Instanzen für die Verwaltung dieses Inhalts zuständig. Welche Objekte mit diesen Guards auf welche Weise geschützt werden sollen, ist in diesem Zusammenhang nicht von Belang.
Es gibt folgende unterschiedliche Guardinhalte:
Zugriffsbedingungen
Hierbei handelt es sich um Bedingungen, die bestimmten Subjekttypen (Benutzer, Gruppen, alle übrigen) einen Zugriff generell gestatten, generell verbieten oder unter bestimmten Umständen gestatten. Es können beliebig viele Guards mit Zugriffsbedingungen angelegt werden.
Die GUARDS-Verwaltung verwaltet diese Guards unter dem Guardtyp STDAC.
Die Verwaltung der Dateninhalte dieser Guards übernimmt die Standardbedingungsverwaltung mit entsprechenden Kommandos und Makros.
Näheres hierzu finden Sie im Abschnitt „Zugriffs- und Zugangsschutz".
Standardschutzregeln
Diese Regeln bestimmen, welche Objekte standardmäßig mit bestimmten Schutzattributwerten versehen werden sollen. Es können beliebig viele Guards mit Standardschutzregeln angelegt werden.
Die GUARDS-Verwaltung verwaltet diese Guards unter dem Guardtyp DEFAULTP.
Die Verwaltung der Dateninhalte dieser Guards des Typs DEFAULTP übernimmt die Standardschutzverwaltung mit entsprechenden Kommandos und Makros.
Näheres hierzu finden Sie im Abschnitt „Standardschutz (Default protection)".
Schutzattribute
Hier handelt es sich um die Festlegung besonderer Schutzattributwerte.
Es können beliebig viele Guards mit Standardwerten für Schutzattribute angelegt werden.
Die GUARDS-Verwaltung verwaltet diese Guards unter dem Guardtyp DEFPATTR.
Die Verwaltung der Dateninhalte dieser Guards übernimmt die Standardschutzverwaltung mit entsprechenden Kommandos und Makros.
Näheres hierzu finden Sie im Abschnitt „Festlegung der Schutzattribut-Standardwerte".
Benutzerkennungs- und Benutzergruppenlisten (nur für die Systemverwaltung)
Hier können Festlegungen getroffen werden, die einer pubsetglobalen eindeutigen Objektnamenszuordnung dienen. Zum Beispiel kann die Festlegung: USER-ID=HUGO der pubsetglobal eindeutigen Identifizierung aller Objekte namens $HUGO.OBJ* dienen. Es können beliebig viele Guards mit Listen von Benutzerkennungen und Benutzergruppen angelegt werden.
Die GUARDS-Verwaltung verwaltet diese Guards unter dem Guardtyp DEFPUID.
Die Verwaltung der Dateninhalte dieser Guards übernimmt die Standardschutzverwaltung mit entsprechende Kommandos und Makros.
Näheres hierzu finden Sie im Abschnitt „Festlegung der Benutzer- und Gruppenkennungen für Pfadnamen (nur für Systemverwaltung)".
Miteigentümerschutzregeln
Hierbei handelt es sich um Regeln, die für bestimmte Subjekttypen (Benutzer, Gruppen, alle übrigen) festlegen, welche Objekte sie unter bestimmten Bedingungen mitverwalten dürfen. Es können beliebig viele Guards mit Miteigentümerschutzregeln angelegt werden.
Die GUARDS-Verwaltung verwaltet diese Guards unter dem Guardtyp COOW-NERP.
Die Verwaltung der Dateninhalte dieser Guards übernimmt die Miteigentümerverwaltung mit entsprechende Kommandos und Makros.
Näheres hierzu finden Sie im Abschnitt „Miteigentümerschutz (Co-owner protection)".
Zuordnung der Guards zu ihren Schutzobjekten
Die Schutzmechanismen sind in den einzelnen Guards unabhängig von den zu schützenden Objekten festgelegt. Damit sie wirksam werden können, muss zusätzlich festgelegt werden, welche Guards zum Einsatz kommen und welche Aufgaben sie dabei übernehmen sollen. Es wird zwischen drei Arten unterschieden:
Direkte Verknüpfung mit dem Schutzobjekt.
Die Objektverwaltung, die einen GUARDS-Schutz für ihre Objekte anbietet, stellt spezielle Kommando- oder Schnittstellenoperanden zur Verfügung. Über diese werden die zu schützenden Objekte mit den Guards verknüpft, die die gewünschten Schutzmechanismen enthalten.
Zum Beispiel bietet die Objektverwaltung DVS zum Schutz von DVS-Dateien im Kommando /CREATE-FILE den Operanden PROTECTION=(GUARDS=()) an, über den Guardnamen für den Lese-, Schreib- und Ausführschutz zugeordnet werden können.
Näheres über die direkte Verknüpfung zwischen Guards und Schutzobjekt finden Sie im Abschnitt „Zugriffs- und Zugangsschutz".
Vergabe eines vorgeschriebenen Guardnamens.
Ein Schutzmechanismus wird dadurch aktiviert, dass ein Guard mit einem fest vorgeschriebenen Namen existiert.
Zum Beispiel werden Regeln über die Miteigentümerschaft bestimmter DVS-Dateien dadurch wirksam, dass sie in ein Guard mit dem Namen SYS.UCF eingetragen werden.
Näheres über die Verwendung vorgeschriebener Guardnamen finden Sie in den Abschnitten „Standardschutz (Default protection)" und „Miteigentümerschutz (Co-owner protection)".
Indirekte Verknüpfung mit dem Schutzobjekt.
Guards, in denen Regeln für einen Schutzmechanismus eingetragen werden, enthalten einen Verweis auf ein weiteres Guard.
Zum Beispiel können in einem Guard Regeln angegeben sein, die festlegen, welchen Objekten standardmäßig bestimmte Schutzattributwerte zugewiesen werden sollen. Diese Regeln verweisen auf ein weiteres Guard, in dem diese Attributwerte definiert sind.
Näheres über die in indirekte Verknüpfung zwischen Guards und Schutzobjekt finden Sie im Abschnitt „Standardschutz (Default protection)" und Abschnitt „Miteigentümerschutz (Co-owner protection)".
Die folgende Tabelle zeigt, welche Objektverwaltungen für welche ihrer Objekte einen GUARDS-Schutz anbieten und welche Guardtypen dafür ausgewertet werden.
Objektverwaltung | Objekt | Schutzmechanismus | |||
Zugriffs- | Zugangs- | Standard- | Miteigentümer- | ||
DVS | Dateien |
|
|
| |
Storage-Klassen |
| ||||
LMS (Library | Bibliothekselemente |
| |||
Bibliothek mit dem |
| ||||
HSMS (Hierarchisches | HSMS-Management- |
| |||
JVS | Jobvariablen |
|
|
| |
FITC (Fast Intertask | Ports |
| |||
SRPM | Gruppenzuordnung |
| |||
Terminal-Sets |
| ||||
Dialog-Zugang zu einer |
| ||||
Batch-Zugang zu einer |
| ||||
POSIX-Rlogin-Zugang |
| ||||
POSIX-Remote-Zugang |
| ||||
Netzdialog-Zugang zu |
| ||||
Tabelle 9: Objektverwaltungen und zugehörige Objekte
Die entsprechenden Verknüpfungsmechanismen sind in den folgenden Abschnitten beschrieben:
„Zugangsschutz" und die Unterabschnitte „Einschränkung des Zugangsüber Terminal-Sets" und „Zugangsschutz mit Guards"
Die Bedeutung der Guardtypen finden Sie in der Tabelle „Guardtypen und ihre Bedeutung" (Schutzmechanismen von GUARDS im Überblick).
Systemtechnisch ist die gesamte Schutzfunktionalität, die in einzelnen Guards spezifiziert werden kann, auf drei Subsysteme verteilt:
GUARDS
Dieses Subsystem beinhaltet die Verwaltung aller Guards in ihrer Funktion als Datenbehälter (GUARDS-Verwaltung) und die Verwaltung der Inhalte aller Guards des Typs STDAC (Standardbedingungsverwaltung).
GUARDDEF
Dieses Subsystem beinhaltet sowohl die Standardschutzverwaltung als auch die sie unterstützende Attribut- und Objektpfadverwaltung.
GUARDCOO
Dieses Subsystem beinhaltet die Miteigentümerschutzverwaltung.
Hinzu kommt das Dienstprogramm:
GUARDS-SAVE
ist ein Dienstprogramm, mit dem alle oder einzelne Guards gesichert werden können, indem sie aus dem aktuellen Guardskatalog selektiert und in eine Datei geschrieben werden. Umgekehrt können Guards restauriert werden, indem sie aus dieser Datei wieder in den aktuellen Guardskatalog eingespielt werden.
Diese Beschreibung ist wie folgt gegliedert:
Die Beschreibung der GUARDS-Verwaltung finden Sie in den Abschnitten
Die einzelnen, in Guards spezifizierbaren Schutzmechanismen sind im Abschnitt„Schutzmechanismen von GUARDS im Überblick" beschrieben, sowie in den Unterabschnitten
Hinweise zur Anwendung des Dienstprogramms GUARDS-SAVE finden Sie im Abschnitt „Dienstprogramm GUARDS-SAVE".
Bei der Beschreibung der GUARDS-Funktionen wird auf die GUARDS-Kommandos und -Makros bezug genommen.
Die Beschreibung der GUARDS-Kommandos finden Sie ab "GUARDS-Kommandos".
Die GUARDS-Makros sind ab "Funktionelle Übersicht" beschrieben.
Hinweise zur SDF-Metasyntax finden Sie im Handbuch „Kommandos“ [4].