SECOS V5.6 (de)

An diesem Beispiel soll demonstriert werden, wie die eingeschränkte TSOS-Miteigentümerschaft festgelegt wird, und wie danach auf TSOS-Zugriffe reagiert wird.

Festlegung der systemspezifischen Einstellungen

Der Sicherheitsbeauftragte (standardmäßig SYSPRIV) entzieht der Benutzerkennung TSOS die beiden Privilegien USER-ADMINISTRATION und GUARD-ADMINISTRATION. Damit kann sich der Benutzer TSOS weder den Zugang zu fremden Benutzerkennungen verschaffen, noch Guards administrieren und damit Guardinhalte verändern:

/reset-privilege privilege=(*guard-administration,*user-administration), -
/ user-id=tsos

Der Sicherheitsbeauftragte ernennt die Benutzerkennung USERADM zum neuen Benutzerverwalter:

/set-privilege privilege=*user-administration, -
/ user-id=useradm

Der Sicherheitsbeauftragte ernennt die Benutzerkennung GUARDADM zum neuen Guard-Administrator:

/set-privilege privilege=*guard-administration, -
/ user-id=guardadm

Festlegung der benutzerspezifischen Einstellungen

Der Benutzer CUSTOMER gibt sich allein das volle Zugriffsrecht für seine Datei MY-OWN. Die Zugriffsbedingung soll durch das Guard GUA1 geregelt werden.

/add-access-conditions guard-name=$customer.gua1,-
/                      subjects=*user(customer), -
/                      admission=*yes
/modify-file-attributes file-name=$customer.my-own, -
/                       protection=*par(guards=(read=$customer.gua1, -
/                                               write=$customer.gua1, -
/ exec=$customer.gua1))

Der Benutzer CUSTOMER möchte, dass seine Datei TSOS-ACC-RESTRICTED nur eingeschränkt von TSOS mitverwaltet werden darf.

Er gibt sich allein das volle Zugriffsrecht für seine Datei TSOS-ACC-RESTRICTED. Die Zugriffsbedingung wird ebenfalls durch das Guard GUA1 geregelt.

/add-coowner-protection-rule rule-container-guard=$customer.sys.ucf, -
/                            protection-rule=rule1, -
/                            protect-object=(name=tsos-acc-restricted, -
/                                            condition-guard=*none, -
/                                            tsos-access=*restricted)
/modify-file-attributes file-name=$customer.tsos-acc-restricted, -
/                       protection=*par(guards=(read=gua1, -
/                                               write=gua1, -
/ exec=gua1))

Der Benutzer CUSTOMER macht einen Fehler. Er möchte zwar, dass auch seine Datei TSOS-ERROR nur eingeschränkt von TSOS mitverwaltet wird. Er vergisst aber, die Datei mit dem Guard GUA1 zu verknüpfen. Deshalb hat TSOS zwar ein eingeschränktes Mitverwaltungsrecht, behält aber das volle Zugriffsrecht für die Datei.

/add-coowner-protection-rule $customer.sys.ucf, -
/                             protection-rule=rule2, -
/                             protect-object=(name=tsos-error, -
/                                             condition-guard=*none, -
/                                             tsos-access=*restricted)

Zusammenfassung der benutzerspezifischen Einstellungen

Nachdem der Benutzer CUSTOMER die beschriebenen Einstellungen vorgenommen hat, haben seine Dateien die folgenden Schutzattribute:

Datei $CUSTOMER.MY-OWN

/show-file-attributes file-name=$customer.my-own, -
/ information=(security=*yes)

%00000003 :2OSC:$CUSTOMER.MY-OWN
%  ------------------------------- SECURITY     -------------------------------
%  READ-PASS  = NONE        WRITE-PASS = NONE        EXEC-PASS  = NONE
%  USER-ACC   = OWNER-ONLY  ACCESS     = WRITE       ACL        = NO
%  AUDIT      = NONE        FREE-DEL-D = *NONE       EXPIR-DATE = 2018-03-23
%  DESTROY    = NO          FREE-DEL-T = *NONE       EXPIR-TIME =   00:00:00
%  SP-REL-LOCK= NO
%  GUARD-READ = $CUSTOMER.GUA1
%  GUARD-WRIT = $CUSTOMER.GUA1
%  GUARD-EXEC = $CUSTOMER.GUA1

Datei $CUSTOMER.TSOS-ACC-RESTRICTED

/show-file-attributes file-name=$customer.tsos-acc-restricted, - / information=(security=*yes)

%00000003 :2OSC:$CUSTOMER.TSOS-ACC-RESTRICTED
%  ------------------------------- SECURITY     -------------------------------
%  READ-PASS  = NONE        WRITE-PASS = NONE        EXEC-PASS  = NONE
%  USER-ACC   = OWNER-ONLY  ACCESS     = WRITE       ACL        = NO
%  AUDIT      = NONE        FREE-DEL-D = *NONE       EXPIR-DATE = 2018-03-23
%  DESTROY    = NO          FREE-DEL-T = *NONE       EXPIR-TIME =   00:00:00
%  SP-REL-LOCK= NO
%  GUARD-READ = $CUSTOMER.GUA1
%  GUARD-WRIT = $CUSTOMER.GUA1
%  GUARD-EXEC = $CUSTOMER.GUA1
End of display

Datei $CUSTOMER.TSOS-ERROR

/show-file-attributes file-name=$customer.tsos.error, -
/ information=(security=*yes)

%00000003 :2OSC:$CUSTOMER.TSOS-ERROR
%  ------------------------------- SECURITY     -------------------------------
%  READ-PASS  = NONE        WRITE-PASS = NONE        EXEC-PASS  = NONE
%  USER-ACC   = OWNER-ONLY  ACCESS     = WRITE       ACL        = NO
%  AUDIT      = NONE        FREE-DEL-D = *NONE       EXPIR-DATE = 2018-03-23
%  DESTROY    = NO          FREE-DEL-T = *NONE       EXPIR-TIME =   00:00:00
%  SP-REL-LOCK= NO

Guard $CUSTOMER.GUA1

/show-access-conditions guard-name=$customer.gua1

%:2OSC:$CUSTOMER.GUA1
%   User   CUSTOMER has ADMISSION
%-----------------------------------------------------------------------------%Guards
 selected: 1

Regelbehälter $CUSTOMER.SYS.UCF

/show-coowner-protection-rule rule-container-guard=$customer.sys.ucf

%-----------------------------------------------------------------------------%RULE
 CONTAINER :2OSC:$CUSTOMER.SYS.UCF              ACTIVE  COOWNER PROTECTION
%-----------------------------------------------------------------------------%RULE1
         OBJECT      = TSOS-ACC-RESTRICTED
%              CONDITIONS  = *NONE
%              TSOS-ACCESS = RESTRICTED
%RULE2         OBJECT      = TSOS-ERROR
%              CONDITIONS  = *NONE
%              TSOS-ACCESS = RESTRICTED
%-----------------------------------------------------------------------------%RULE
 CONTAINER SELECTED: 1                                      END OF DISPLAY

TSOS-Zugriffe und Reaktionen

Der Benutzer TSOS unternimmt folgende Zugriffsversuche auf die Dateien des Benutzers CUSTOMER:

/show-file $customer.my-own

Ergebnis:
Der Zugriff wird abgelehnt.

% SHO0003 'DMS' REPORTED ERROR '0666'. COMMAND NOT PROCESSED

Grund:
Die Datei wird durch das Guard $CUSTOMER.GUA1 geschützt, in dem nur für CUSTOMER eine Zugriffsbedingung definiert ist. Für TSOS ist daher der Datenzugriff verboten.

/modify-file-attributes file-name=$customer.my-own,guard=*none

Ergebnis:
Die Änderung wird durchgeführt.

Grund:
Der aktive Miteigentümerregelbehälter unter der Benutzerkennung CUSTOMER enthält keine Regel für die Datei $CUSTOMER.MY-OWN. TSOS besitzt daher standardmäßig die uneingeschränkte Erlaubnis für Miteigentümerzugriffe.

/show-file file-name=$customer.tsos-acc-restricted

Ergebnis:
Der Zugriff wird abgelehnt.

% SHO0003 'DMS' REPORTED ERROR '0666'. COMMAND NOT PROCESSED

Grund:
Die Datei wird durch das Guard $CUSTOMER.GUA1 geschützt, in dem nur für CUSTOMER eine Zugriffsbedingung definiert ist. Für TSOS ist daher der Datenzugriff verboten.

/modify-file-attributes file-name=$customer.tsos-acc-restricted,guards=*none

Ergebnis:
Die Änderung wird abgelehnt.

% DMS0681 DMS ERROR '05CB' WHEN ACCESSING FILE ':A:$CUSTOMER.TSOS-ACC-RESTRICTED'.FOR FURTHER INFORMATION: /HELP-MSG DMS05CB

Grund:
Der aktive Miteigentümerregelbehälter unter der Benutzerkennung CUSTOMER enthält eine Regel, die das TSOS-Miteigentümerrecht für die Datei einschränkt. Daher ist für TSOS der Miteigentümerzugriff verboten.

/copy-file from-file=$customer.tsos-acc-restricted,to-file=$tsos.new-file

Ergebnis:
Der Zugriff wird abgelehnt.

% DMS0666 REQUESTED ACCESS TO FILE NOT PERMITTED DUE TO EXISTING FILE PROTECTION.COMMAND NOT PROCESSED

Grund:
Die Datei wird durch das Guard $CUSTOMER.GUA1 geschützt, in dem nur für CUSTOMER eine Zugriffsbedingung definiert ist. Für TSOS ist daher der Datenzugriff verboten.

/copy-file from-file=$customer.tsos-acc-restricted, -
/ to-file=$tsos.new-file, -
/ ignore-protection=*source-file

Ergebnis:
Der Zugriff wird abgelehnt.

% DMS0666 REQUESTED ACCESS TO FILE NOT PERMITTED DUE TO EXISTING FILE PROTECTION.COMMAND NOT PROCESSED

Grund:
Die Datei $CUSTOMER.TSOS-ACC-RESTRICTED wird durch das Guard $CUSTOMER.GUA1 geschützt, in dem nur für CUSTOMER eine Zugriffsbedingung definiert ist. Für TSOS ist daher der Datenzugriff verboten.
TSOS versucht zwar, diesen Schutz durch Angabe des Operanden IGNORE-PROTECTION zu umgehen, aber der aktive Miteigentümerregelbehälter unter der Benutzerkennung CUSTOMER enthält eine Regel, die das TSOS-Miteigentümerrecht für die Datei einschränkt. Daher ist für TSOS der Miteigentümerzugriff, also auch die Verwendung des Operanden IGNORE-PROTECTION, verboten.

/delete-file file-name=$customer.tsos-acc-restricted

Ergebnis:

Der Zugriff wird abgelehnt.

% DMS0801 ERROR WHEN DELETING FILE ':A:$CUSTOMER.TSOS-ACC-RESTRICTED'
% DMS0666 REQUESTED ACCESS TO FILE NOT PERMITTED DUE TO EXISTING FILE PROTECTION.
COMMAND NOT PROCESSED

Grund:
Die Datei wird durch das Guard $CUSTOMER.GUA1 geschützt, in dem nur für CUSTOMER eine Zugriffsbedingung definiert ist. Für TSOS ist daher der Datenzugriff verboten.

/delete-file file-name=$customer.tsos-acc-restricted, -
/ ignore-protection=*access

Ergebnis:

Der Zugriff wird abgelehnt.

% DMS0801 ERROR WHEN DELETING FILE ':A:$CUSTOMER.TSOS-ACC-RESTRICTED'
% DMS0666 REQUESTED ACCESS TO FILE NOT PERMITTED DUE TO EXISTING FILE PROTECTION.
COMMAND NOT PROCESSED

Grund:
Der aktive Miteigentümerregelbehälter unter der Benutzerkennung CUSTOMER enthält eine Regel, die das TSOS-Miteigentümerrecht für die Datei einschränkt. Daher ist für TSOS der Miteigentümerzugriff, also auch die Verwendung des Operanden IGNORE-PROTECTION, verboten.

/show-file file-name=$customer.tsos-error

Ergebnis:

Der Zugriff wird durchgeführt, d.h. die Datei wird angezeigt.

Grund:
Es wurde vergessen, die Datei mit einem GUARDS-Zugriffsschutz zu versehen. Deshalb besitzt TSOS die standardmäßig uneingeschränkte Erlaubnis für Datenzugriffe.

/modify-file-attributes file-name=$customer.tsos-error,guards=*none

Ergebnis:
Der Zugriff wird abgelehnt.

% DMS0681 DMS ERROR '05CB' WHEN ACCESSING FILE ':A:$CUSTOMER.TSOS-ACC-RESTRICTED'.FOR FURTHER INFORMATION: /HELP-MSG DMS05CB

Grund:
Der aktive Miteigentümerregelbehälter unter der Benutzerkennung CUSTOMER enthält eine Regel, die das TSOS-Miteigentümerrecht für die Datei einschränkt. Daher ist für TSOS der Miteigentümerzugriff verboten.

/copy-file from-file=$customer.tsos-error,to-file=$tsos.new-file

Ergebnis:
Der Zugriff wird durchgeführt.

Grund:
Es wurde vergessen, die Datei mit einem GUARDS-Zugriffsschutz zu versehen. Deshalb besitzt TSOS die standardmäßig uneingeschränkte Erlaubnis für Datenzugriffe.

/copy-file from-file=$customer.tsos-error, -
/ to-file=$tsos.new-file, -
/ ignore-protection=*source-file

Ergebnis:
Der Zugriff wird durchgeführt, d.h. die Datei wird angezeigt.

Grund:
Es wurde vergessen, die Datei mit einem GUARDS-Zugriffsschutz zu versehen. Deshalb besitzt TSOS die standardmäßig uneingeschränkte Erlaubnis für Datenzugriffe. Die Verwendung des Operanden IGNORE-PROTECTION ist hier unbedeutend, denn es kann kein Schutz ignoriert werden, der gar nicht gesetzt ist.

/delete-file file-name=$customer.tsos-error

Ergebnis:
Der Zugriff wird durchgeführt.

Grund:
Es wurde vergessen, die Datei mit einem GUARDS-Zugriffsschutz zu versehen. Deshalb besitzt TSOS die standardmäßig uneingeschränkte Erlaubnis für Datenzugriffe.

/delete-file file-name=$customer.tsos-error,ignore-protection=*access

Ergebnis:
Der Zugriff wird durchgeführt.

Grund:
Es wurde vergessen, die Datei mit einem GUARDS-Zugriffsschutz zu versehen. Deshalb besitzt TSOS die standardmäßig uneingeschränkte Erlaubnis für Datenzugriffe. Die Verwendung des Operanden IGNORE-PROTECTION ist hier unbedeutend, denn es kann kein Schutz ignoriert werden, der gar nicht gesetzt ist.

Your Browser is not longer supported

Please use Google Chrome, Mozilla Firefox or Microsoft Edge to view the page correctly

Anwendungsbeispiel

Festlegung der systemspezifischen Einstellungen

Festlegung der benutzerspezifischen Einstellungen

Zusammenfassung der benutzerspezifischen Einstellungen

TSOS-Zugriffe und Reaktionen