Your Browser is not longer supported

Please use Google Chrome, Mozilla Firefox or Microsoft Edge to view the page correctly
Loading...

{{viewport.spaceProperty.prod}}

Systemglobale Benutzerverwaltung (USER-ADMINISTRATION)

Die systemglobale Benutzerverwaltung darf auf allen lokalen Pubsets Aktionen zur Benutzer- oder Benutzergruppenverwaltung durchführen (für alle Benutzer oder Benutzergruppen). Für die Vergabe von Betriebsmitteln und Benutzerrechten (wie z.B. START-IMMEDIATE, NO-CPU-LIMIT,...) an Benutzerkennungen und Benutzergruppen gibt es keine Begrenzungen.

Bei den POSIX-Benutzerattributen dürfen alle Funktionen der POSIX-Benutzerverwaltung ausgeführt werden.

Bei Auslieferung ist das Privileg USER-ADMINISTRATION an die Kennung TSOS vergeben. Der Sicherheitsbeauftragte kann das Privileg an jede andere Kennung (außer an sich selbst) vergeben.

Der Benutzerverwaltung stehen zur Verfügung:

  • die Programmschnittstellen SRMUINF (SVC 185), GETUGR und SRMSUG (SVC 49) für alle Benutzerkennungen, Gruppen und Pubsets

  • folgende Kommandos für alle Benutzerkennungen bzw. Benutzergruppen und alle Pubsets:

    ADD-USER

    ADD-USER-GROUP

    MODIFY-USER-ATTRIBUTES

    MODIFY-USER-GROUP

    REMOVE-USER

    REMOVE-USER-GROUP

    LOCK-USER

    UNLOCK-USER

    SHOW-USER-GROUP

    SHOW-USER-ATTRIBUTES

    MODIFY-POSIX-USER-ATTRIBUTES

    SHOW-POSIX-USER-ATTRIBUTES

    SET-LOGON-PROTECTION

    MODIFY-POSIX-USER-DEFAULTS

    MODIFY-LOGON-PROTECTION

    SHOW-POSIX-USER-DEFAULTS

    SHOW-LOGON-PROTECTION


Der Benutzerkatalog eines Pubset wird beim Importieren dieses Pubset geöffnet und bleibt offen bis zum Exportieren des Pubset. Daher ist ein direkter Zugriff auf den Benutzerkatalog für den Benutzer nicht möglich (das heißt, ein Zugriff über andere als die genannten Schnittstellen).

Eine Benutzerkennung kann auf ein- und demselben Pubset nicht gleichzeitig das Privileg „systemglobaler Benutzerverwalter“ besitzen und als Verwalter einer Benutzergruppe definiert sein. Eine Benutzerkennung kann aber im laufenden System als systemglobaler Benutzerverwalter fungieren (das heißt auf dem Home-Pubset das Privileg USER-ADMINISTRATION haben) und auf einem importierten Pubset Gruppenverwalter sein.

Da der Inhaber des Privilegs USER-ADMINISTRATION den Zugangsschutz für alle Kennungen des Systems festlegen darf, kann er sich Zugang zu allen Benutzerkennungen verschaffen, insbesondere zu den privilegierten (wie z.B. der Kennung des Sicherheitsbeauftragten). Damit könnte er Funktionen ausüben, für die er nicht berechtigt ist, da sie nicht zum Funktionsumfang eines Benutzerverwalters gehören. Hier erweist sich eine Kontrolle durch Protokollierung mit SAT als besonders sinnvoll (siehe Handbuch „SECOS - Security Control System - Beweissicherung“ [1]).

Das Privileg „systemglobale Benutzerverwaltung“ wird in Kommandos und Meldungen mit USER-ADMINISTRATION, in Makros als USERADM angesprochen.

Powered by Atlassian Confluence and Scroll Viewport.