Your Browser is not longer supported

Please use Google Chrome, Mozilla Firefox or Microsoft Edge to view the page correctly
Loading...

{{viewport.spaceProperty.prod}}

Miteigentümerschutz (Co-owner protection)

Über den Miteigentümerschutz legt ein Objekteigentümer fest, für welche seiner Objekte er Miteigentümer benennen will und welche Bedingungen die Miteigentümer bei Verwaltungszugriffen zu erfüllen haben.

Ein Objekteigentümer ist diejenige Benutzerkennung, unter der ein Objekt eingerichtet ist oder eingerichtet wird.

Ein Miteigentümer ist eine Benutzerkennung, die ungleich der Benutzerkennung des Objekteigentümers ist, aber in Bezug auf ein bestimmtes Objekt dieselben Rechte besitzt wie der Objekteigentümer.

Allgemein gilt für Miteigentümer:

Alle Lese-, Schreib- und Ausführungszugriffe auf Dateien und Jobvariablen werden nach Regeln der traditionellen Schutzmechanismen kontrolliert:

  • Ist eine Datei oder Jobvariable über SHARE/ACCESS oder über BACL geschützt, hat ein Miteigentümer dieselben Lese-, Schreib- und Ausführungsrechte wie der Eigentümer.

  • Ist eine Datei oder Jobvariable durch Guards geschützt, erfolgt die Zugriffsregelung durch Auswertung von Zugriffsbedingungen, die in STDAC-Guards festgelegt sind.

Erzeugt ein Miteigentümer unter fremder Kennung eine Datei oder Jobvariable und schützt diese mit einem STDAC-Guard, so muss er vor einem Zugriff dafür sorgen, dass seiner Kennung ein Zugriffsrecht auf dieses Objekt eingeräumt ist. Umgekehrt muss einem Eigentümer bewusst sein, dass ihm Datenzugriffe durch Miteigentümer untersagt werden können.

Mit dem Kommando /MODIFY-FILE-ATTRIBUTES (bzw. /MODIFY-JV-ATTRIBUTES) können sich jedoch sowohl Dateieigentümer als auch Miteigentümer das Zugriffsrecht jederzeit und uneingeschränkt wieder zurückbeschaffen.

Miteigentümerobjekte sind Dateien und Jobvariablen.

Miteigentümer werden in Form von Regeln mit den entsprechenden Namen der Objekte verknüpft, die sie mitverwalten dürfen. Die Objektmenge kann dabei mit Hilfe von Musterzeichen festgelegt werden.

Die Regeln werden sessionübergreifend in Regelbehältern (Guards des Typs DEFAULTP) gespeichert. Ein Anwender kann unter seiner Kennung beliebig viele solcher Regelbehälter erstellen. Entspricht der Name eines Regelbehälters einer ganz bestimmten Namenskonvention (z.B. SYS.UCF), gilt er als aktiv und wird für die Überprüfung der Miteigentümerzugriffe verwendet (z.B. bei Ausführung des Kommandos /CREATE-FILE FILE-NAME=$FOREIGN.FILE, wenn sich die angegebene Benutzerkennung von der des Kommandogebers unterscheidet). Näheres ist dem Abschnitt „Aktivierung eines Regelbehälters" zu entnehmen.

Miteigentümerschaft von TSOS

Standardmäßig besitzt die Benutzerkennung TSOS systemweit ein uneingeschränktes Mitverwaltungsrecht für Dateien und Jobvariablen. SECOS erlaubt es jedoch, dieses Recht einzuschränken. Das bedeutet:

  • Ein Benutzer unter der Benutzerkennung TSOS darf eine festgelegte Menge von Attributen eines fremden Objekts nur dann nicht verändern, wenn es ihm der Objekteigentümer über den Miteigentümerschutz explizit verbietet.

  • Für nichtprivilegierte Benutzer ändert sich durch diese neue Funktion nichts. Sie dürfen Attribute einer fremden Datei oder Jobvariablen nur dann verändern, wenn es der Objekteigentümer über den Miteigentümerschutz explizit erlaubt.

Die Einschränkung der TSOS-Mitverwaltungsrechte hat folgende Ziele:

  • Dem Benutzer unter der Benutzerkennung TSOS soll es verwehrt werden, sich durch Ändern der Schutzattribute fremder Dateien oder Jobvariablen unberechtigten Zugriff auf Daten zu verschaffen.

  • Sabotage-Attacken, wie zum Beispiel das Löschen von Objekten, sollen unterbunden werden.

Näheres zu diesem Thema finden Sie im Abschnitt „Einschränkung der TSOS-Miteigentümerschaft".

Powered by Atlassian Confluence and Scroll Viewport.