Your Browser is not longer supported

Please use Google Chrome, Mozilla Firefox or Microsoft Edge to view the page correctly
Loading...

{{viewport.spaceProperty.prod}}

Benutzerspezifische Einstellungen

Um ein Objekt (Datei oder Jobvariable) wirksam vor TSOS zu schützen, muss der Objekteigentümer zwei benutzerspezifische Schutzeinstellungen vornehmen:

  1. Der Objekteigentümer muss dem Benutzer TSOS das Mitverwaltungsrecht für seine Objekte entziehen.

    Siehe dazu „Festlegungen für den TSOS-Miteigentümerschutz".

  2. Der Objekteigentümer muss dem Benutzer TSOS das Zugriffsrecht für seine Objekte entziehen. Hierzu muss der GUARDS-Zugriffsschutz genutzt werden, da nur mit diesem TSOS-Zugriffe unterbunden werden können.

    Diese Einstellung ist aus folgendem Grund erforderlich: Das Entziehen des Mitverwaltungsrechts im 1. Schritt verbietet nur die Modifikation von Schutzattributen. Es verbietet keine Datenzugriffe, wie z.B. das Lesen oder Verschlüsseln einer Datei.

    Siehe dazu „Benutzerspezifische Einstellungen ".

Festlegungen für den TSOS-Miteigentümerschutz

Die Einschränkung der TSOS-Miteigentümerschaft basiert auf dem Miteigentümerschutz, das heißt:

  • Es muss ein aktiver Regelbehälters mit Namen SYS.UCF (bzw. SYS.UCJ) eingerichtet werden.
    (Kommando /CREATE-GUARD)

  • Es müssen Miteigentümerregeln definiert werden, aus denen hervorgeht, welche Datei der Benutzer TSOS nicht mitverwalten darf.
    (Kommando /ADD-COOWNER-PROTECTION-RULE)

In einer Miteigentümerregel kann für ein Objekt sowohl eine Festlegung über Miteigentümerbedingungen für normale Benutzer getroffen werden, als auch eine Festlegung über die Art der TSOS-Miteigentümerschaft. Dazu gliedert sich eine Miteigentümerregel in drei Teile:

1. Regelteil:

Dieser Regelteil enthält die Angabe, für welche Datei oder Jobvariable eine Miteigentümerschaft festgelegt oder eingeschränkt werden soll.

2. Regelteil

In diesem Regelteil wird festgelegt, welche Miteigentümerbedingungen normale Benutzer erfüllen müssen, um Miteigentümer des im 1. Regelteil genannten Objektes zu sein.

Die eigentlichen Miteigentümerbedingungen werden dabei in einem eigenen Guard (Typ STDAC) definiert, der 2. Regelteil verweist lediglich auf dieses Guard.

3. Regelteil

In diesem Regelteil wird festgelegt, ob der Benutzer TSOS das volle oder nur ein eingeschränktes Mitverwaltungsrecht für das im 1. Regelteil genannte Objekt besitzt.

Alternativ sind die beiden Werte *SYSTEM-STD oder *RESTRICTED möglich.

Folgendes ist zu beachten:

  • In einer Regel können Angaben für die Miteigentümerschaft nichtprivilegierter Benutzer und des Benutzers unter der Benutzerkennung TSOS alternativ oder gemeinsam festgelegt werden.

  • Wird in einer Regel die Miteigentümerschaft für nichtprivilegierte Benutzer festgelegt werden, muss im 2. Regelteil der Verweis auf ein Guard eingetragen sein. Für die TSOS-Miteigentümerschaft sind dieses Guard und die dort festgelegten Miteigentümerbedingungen unbedeutend.

    Beispiel

    /show-coowner-protection-rule rule-container-guard=$customer.sys.ucf 


    %-----------------------------------------------------------------------------%RULE
 CONTAINER :2OSC:$CUSTOMER.SYS.UCF              ACTIVE  COOWNER PROTECTION 
 %-----------------------------------------------------------------------------%RULE1
         OBJECT      = COOWNER.* 
 %              CONDITIONS  = $CUSTOMER.GUA 
 %              TSOS-ACCESS = SYSTEM-STD    *) 
 %-----------------------------------------------------------------------------%RULE
 CONTAINER SELECTED: 1                                      END OF DISPLAY

    *) von Bedeutung für die TSOS-Miteigentümerschaft

    /show-access-conditions guard-name=$customer.gua 

    %:2OSC:$CUSTOMER.GUA
%   User   TSOS         has NO ADMISSION  **) 
 %-----------------------------------------------------------------------------%Guards
 selected: 1                                              End of display

    **) ohne Bedeutung für die TSOS-Miteigentümerschaft

  • Soll in einer Regel nur die eingeschränkte TSOS-Miteigentümerschaft festgelegt werden, muss im 2. Regelteil statt eines Guardverweises der Wert *NONE eingetragen werden. Der 3. Regelteil muss auf *RESTRICTED gesetzt werden. Damit wird die Miteigentümerschaft des Benutzer TSOS für das im 1. Regelteil genannte Objekt eingeschränkt.

    Beispiel

    /add-coowner-protection-rule rule-container-guard=sys.ucf, -
    / protection-rule=rule2, -
    / protect-object=*par(name=not-for-tsos, -
    / condition-guard=*none, -
    / tsos-access=*restricted)
    /show-coowner-protection-rule rule-container-guard=$customer.sys.ucf 

    %-----------------------------------------------------------------------------%RULE
 CONTAINER :2OSC:$CUSTOMER.SYS.UCF              ACTIVE  COOWNER PROTECTION 
 %-----------------------------------------------------------------------------%RULE1
         OBJECT      = COOWNER.* 
 %              CONDITIONS  = $CUSTOMER.GUA 
 %              TSOS-ACCESS = SYSTEM-STD 
 %RULE2         OBJECT      = NOT-FOR-TSOS 
 %              CONDITIONS  = *NONE 
 %              TSOS-ACCESS = RESTRICTED 
 %-----------------------------------------------------------------------------%RULE
 CONTAINER SELECTED: 1                                      END OF DISPLAY

Genaueres zum Miteigentümerschutz finden Sie in Abschnitt „Miteigentümerschutz".

Festlegungen für den TSOS-Zugriffsschutz

Der Schutz vor TSOS-Zugriffen basiert auf dem GUARDS-Zugriffsschutz, das heißt:

  • Es muss ein Zugriffsbedingungsguard (Typ STDAC) einrichtet werden.(Kommando /CREATE-GUARD)

  • Darin muss für den Benutzer TSOS (*SUBJECTS) definiert werden, dass er kein Zugriffsrecht besitzen soll.
    (Kommando /ADD-ACCESS-CONDITIONS)

  • Das Zugriffsbedingungsguard muss mit dem zu schützenden Objekt verknüpft werden.(Kommando /MODIFY-FILE-ATTRIBUTES)

Genaueres zum GUARDS-Zugriffsschutz finden Sie in Abschnitt „Zugriffs- und Zugangsschutz".

Mit den Schutzmechanismen BACL oder ACCESS/USER-ACCESS können keine TSOS-Zugriffe unterbunden werden.
Powered by Atlassian Confluence and Scroll Viewport.