Your Browser is not longer supported

Please use Google Chrome, Mozilla Firefox or Microsoft Edge to view the page correctly
Loading...

{{viewport.spaceProperty.prod}}

Sammelprivilegien

Es ist dem Sicherheitsbeauftragten möglich, systemglobale Privilegien zu Sammelprivilegien mit einem frei wählbaren Namen zusammenzufassen.

Mit Hilfe der Sammelprivilegien können Berechtigungsprofile erstellt werden, die genau auf die Bedürfnisse des jeweiligen Anwenders zugeschnitten sind.

Ein Systemprivileg kann in mehreren Sammelprivilegien enthalten sein. Sammelprivilegien werden im Benutzerkatalog hinterlegt. Auf jedem Pubset können also andere Definitionen hinterlegt werden. Für die laufende Sitzung gelten die Definitionen des Home-Pubsets.

Für die Sicherheitsverwaltung ergeben sich folgende Vorteile:

  • Sammelprivilegien werden zentral im Benutzerkatalog verwaltet. Im Benutzerkatalog ist für die Sammelprivilegien Folgendes hinterlegt:

    • Name und die Definition

    • Bei jedem Benutzer die Namen der zugewiesenen Sammelprivilegien.

    Da die Definitionen der Sammelprivilegien und die Zuweisung der Namen zu einem Benutzer voneinander unabhängig sind, können mit Hilfe einer geänderten Definition großen Gruppen von Kennungen mit nur einem Befehl Privilegien gegeben oder entzogen werden. Es gibt keinen Zeitverzug dadurch, dass jeder Kennung einzeln ein bestimmtes Privileg entzogen oder ein bestimmtes Privileg zugewiesen werden muss.

  • der Sicherheitsverwalter bekommt einen schnellen Überblick über Verteilung und Zuordnung von Privilegien (siehe auch Kommando SHOW-PRIVILEGE-SET).

Für den Benutzer haben Sammelprivilegien folgende Auswirkungen:

  • ein Benutzer kann Sammel- und Einzelprivilegien besitzen.

  • Ist einem Benutzer ein Sammelprivileg zugeordnet, stehen ihm alle Systemprivilegien des Sammelprivilegs zur Verfügung. Einzel- und Sammelprivilegien sind voneinander unabhängig. Besitzt eine Kennung bereits ein Privileg, welches ihr auch über ein Sammelprivileg zusteht, wird dieses Privileg durch eine Änderung des Sammelprivilegs nicht berührt, es bleibt der Kennung solange erhalten, bis es ihr explizit entzogen wird.

  • Wird an einen Benutzer ein Sammelprivileg vergeben, so wird der Name des Sammelprivilegs bei der Benutzerkennung hinterlegt, nicht jedoch die Definition. Die Verbindung zwischen den Privilegien, die der Benutzer über das Sammelprivileg erhält und der Definition des Sammelprivilegs wird über den Namen des Sammelprivilegs hergestellt.

  • Sammelprivilegien werden für die Regelung, dass jede Kennung mindestens ein Einzelprivileg besitzen muss, nicht berücksichtigt (siehe folgender Abschnitt „Regeln für die Privilegienvergabe“). Das bedeutet, der Fall „eine Kennung besitzt nur ein Sammelprivileg, aber kein Einzelprivileg“ kann nicht auftreten. Könnte eine Kennung als einziges Privileg nur ein Sammelprivileg besitzen, könnte der Fall eintreten, dass alle Privilegien aus einem Sammelprivileg entfernt werden und dann eine Kennung überhaupt kein Privileg mehr besitzt.

Sollen Privilegien in Gruppen an einzelne Kennungen vergeben werden, empfiehlt es sich wegen der zentralen Wart- und Kontrollierbarkeit, Privilegien als Sammelprivilegien zu vergeben. Selbst wenn ein Sammelprivileg nur ein Privileg enthält, kann durch die zentrale Änderungsmöglichkeit die schnellste Wirkung erzielt werden. So wird sichergestellt, dass bei einer Umorganisation nicht eine Kennung vergessen und so eine potenzielle Sicherheitsgefährdung durch die Hintertür eingeführt wird.

Powered by Atlassian Confluence and Scroll Viewport.