Der Sicherheitsbeauftragte hat das Recht zur Privilegienverwaltung, der Verwaltung der Operator-Roles und Kerberos-Schlüssel und zum Schalten der Protokollierung (siehe Handbuch „SECOS - Security Control System - Beweissicherung“ [1]). Für den Inhaber dieses Privilegs ist die Protokollierung mit SAT immer eingeschaltet und kann nicht abgeschaltet werden.
Bei der Auslieferung ist das Privileg SECURITY-ADMINISTRATION an die Kennung SYSPRIV vergeben. Es kann während des laufenden Betriebs keiner anderen Kennung durch das Kommando SET-PRIVILEGE zugewiesen oder durch das Kommando /RESET-PRIVILEGE entzogen werden, und es ist auch nicht möglich, dieses Privileg einem Sammelprivileg zuzuordnen.
Wegen der herausragenden Bedeutung der Sicherheitsverwaltung kann nur mit Hilfe des Startup-Parameterservice festgelegt werden, welche Kennung das Recht des Sicherheitsbeauftragten haben soll (siehe auch "Berechtigungen zur Benutzerverwaltung").
Einer Kennung, die auf einem bestimmten Pubset das Privileg SECURITY-ADMINISTRATION besitzt, kann auf diesem Pubset kein anderes Privileg oder Sammelprivileg zugewiesen oder entzogen werden. Insbesondere kann der Sicherheitsbeauftragte also seiner eigenen Kennung auf dem Home-Pubset kein Privileg zuweisen, da seine Kennung dort ja das Privileg SECURITY-ADMINISTRATION besitzt. Der Sicherheitsbeauftragte kann jedoch seiner Kennung auf einem anderen Pubset, auf dem er nicht das Privileg SECURITY-ADMINISTRATION besitzt, ein Privileg zuweisen.
Die Beschränkungen bei der Ernennung des Sicherheitsbeauftragten und SAT-Datei-Verwalters bezüglich der Benutzerkennungen und koexistierender Privilegien und Rechte können bei Bedarf aufgehoben werden (siehe Abschnitt „Zentralisierte Administration").
Privilegienverwaltung
Die Privilegienverwaltung darf die einzelnen systemglobalen Privilegien und Sammelprivilegien verwalten, das heißt
Vergabe von Systemprivilegien und Sammelprivilegien an Benutzerkennungen auf allen Pubsets
Entzug von Systemprivilegien und Sammelprivilegien für Benutzerkennungen auf allen Pubsets
Abfrage von Informationen über die aktuelle Verteilung der Systemprivilegien und Sammelprivilegien
Definition, Modifikation und Löschen von Sammelprivilegien auf allen Pubsets
Abfrage von Information über die aktuellen Definitionen der Sammelprivilegien
Der Privilegienverwaltung stehen folgende Kommandos zur Verfügung:
CREATE-PRIVILEGE-SET
DELETE-PRIVILEGE-SET
MODIFY-PRIVILEGE-SET
RESET-PRIVILEGE
SET-PRIVILEGE
SHOW-PRIVILEGE
SHOW-PRIVILEGE-SET
Schalten beim Protokollieren
Der Sicherheitsbeauftragte darf
die Protokollierung mit SAT aktivieren und deaktivieren
die Protokollierung für Benutzerkennungen und protokollierbare Ereignisse ein- und ausschalten (siehe Handbuch „SECOS - Security Control System -
Beweissicherung“ [1])
Verwaltung der Operator-Roles
Der Sicherheitsbeauftragte darf
Operator-Roles definieren, modifizieren und löschen
Operator-Roles an Kennungen vergeben oder entziehen
Informationen über die aktuelle Definition und Verteilung der Operator-Roles abfragen
Dem Sicherheitsbeauftragten stehen für die Verwaltung der Operator-Roles folgende Kommandos zur Verfügung:
CREATE-OPERATOR-ROLE
DELETE-OPERATOR-ROLE
MODIFY-OPERATOR-ROLE
SHOW-OPERATOR-ROLE
MODIFY-OPERATOR-ATTRIBUTES
SHOW-OPERATOR-ATTRIBUTES
Verwaltung von Kerberos-Schlüsseln
Der Sicherheitsbeauftragte verwaltet die im BS2000 hinterlegten Schlüssel für Kerberos-Authentisierung. Dafür stehen ihm folgende Kommandos zur Verfügung:
ADD-KEYTAB-ENTRY
MODIFY-KEYTAB-ENTRY
REMOVE-KEYTAB-ENTRY
SHOW-KEYTAB-ENTRY
Das Privileg Sicherheitsbeauftragter wird in Kommandos und Meldungen mit SECURITY-ADMINISTRATION, in Makros mit SECADM angesprochen.