Anwendungsbereich: | USER-ADMINISTRATION |
Privilegierung: | STD-PROCESSING, USER-ADMINISTRATION |
Ändert bereits bestehende Schutzattribute für Benutzerkennungen.
Berechtigt zur Ausführung des Kommandos sind:
Systemglobale Benutzerverwalter (Inhaber des Privilegs USER-ADMINISTRATION) für alle Benutzerkennungen
Gruppenverwalter, die mindestens das Attribut MANAGE-MEMBERS besitzen, für die ihrer Benutzergruppe zu- und untergeordneten Benutzerkennungen.
Nicht angegebene Operanden bleiben unverändert (Standardwert *UNCHANGED oder *NONE).
Das Kommando /MODIFY-LOGON-PROTECTION ist das gegebene Mittel, um Benutzerkennungen zu reaktivieren, die wegen Überschreitung ihres Verfallsdatums, wegen Inaktivität oder wegen zu lange nicht geändertem Kennwort vom System gesperrt wurden. Im ersten Fall muss ein neues, in der Zukunft liegendes Verfallsdatum (EXPIRATION-DATE) eingetragen, im zweiten INACTIVITY-LIMIT=*RENEW und im dritten ein neues Kennwort vereinbart werden.
MODIFY-LOGON-PROTECTION | ||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Der Operandenwert *LOGON-DEFAULT bedeutet, dass die mit dem Kommando /SET- oder /MODIFY-LOGON-DEFAULTS festgelegte Standard-Einstellung für den Operanden übernommen wird.
USER-IDENTIFICATION = <name 1..8>
Benutzerkennung, deren Schutzattribute geändert werden sollen.
PUBSET = *HOME / <cat-id 1..4>
Pubset, in dessen Benutzerkatalog die Vereinbarungen eingetragen werden sollen.
PUBSET = *HOME
Der Eintrag erfolgt auf dem Home-Pubset.
PUBSET = <cat-id 1..4>
Der Eintrag erfolgt auf dem angegebenen Pubset.
EXPIRATION-DATE = *UNCHANGED / *LOGON-DEFAULT / *NONE / <date 8..10> / <integer 0..366>
Nach dem angegebenen Datum wird die Benutzerkennung gesperrt, d.h. sie ist über LOGON nicht mehr zugänglich. Die für die Benutzerkennung katalogisierten Dateien bleiben erhalten. Während des Zeitraums, der im Operanden EXPIRATION-WARNING angegeben ist, erhält der Benutzer bei jedem LOGON die Meldung SRM3201 auf SYSOUT.
EXPIRATION-DATE = *NONE
Die Benutzerkennung wird nicht zu einem bestimmten Datum gesperrt.
EXPIRATION-DATE = <date 8..10>
Verfallsdatum der Benutzerkennung.
EXPIRATION-DATE = <integer 0..366>
Lebensdauer der Benutzerkennung.
EXPIRATION-WARNING = *STD / *LOGON-DEFAULT / <integer 0..366>
Definiert den Zeitraum in Tagen, innerhalb dessen der Benutzer vor dem Überschreiten des Verfallsdatums der Benutzerkennung gewarnt wird. Der Standardwert beträgt 28 Tage.
PASSWORD = *UNCHANGED / *PARAMETERS(...)
Vereinbarungen bezüglich des Kennworts.
PASSWORD = *PARAMETERS(...)
Die Vereinbarungen für das Kennwort werden wie angegeben geändert.
LOGON-PASSWORD = *UNCHANGED / *NONE / *SECRET /
<c-string 1..8> / <c-string 9..32> / <x-string 1..16>
Vom Benutzer einzugebendes Kennwort.
LOGON-PASSWORD = *NONE
Für den Zugang zu dieser Benutzerkennung wird kein Kennwort vereinbart.
LOGON-PASSWORD = *SECRET
Das Kennwort wird dunkelgesteuert angefordert. Dieser Operandenwert kann nur im ungeführten Dialog angegeben werden. Im geführten Dialog (Menü) steht für die Kennworteingabe generell ein dunkelgesteuertes Feld zur Verfügung.
ENCRYPTION = *YES / *NO
Gibt an, ob das Kennwort unverändert oder verschlüsselt abgelegt wird.
ENCRYPTION = *YES
Es wird gemäß dem Systemparameter ENCRYPT verschlüsselt.
MANAGEMENT = *UNCHANGED / *LOGON-DEFAULT / *USER-CHANGE-ONLY /
*BY-USER / *BY-ADMINISTRATOR
Definiert die Berechtigung zur Verwaltung des Kennworts.
MANAGEMENT = *USER-CHANGE-ONLY
Der Benutzer darf das Kennwort vereinbaren und ändern, aber nicht löschen.
MANAGEMENT = *BY-USER
Der Benutzer darf das Kennwort vereinbaren, ändern und löschen.
MANAGEMENT = *BY-ADMINISTRATOR
Das Kennwort kann nur mit den Systembetreuungs-Kommandos /MODIFY-USER-ATTRIBUTES und /MODIFY-LOGON-PROTECTION verändert werden.
MINIMAL-LENGTH = *UNCHANGED / *LOGON-DEFAULT / *NONE / <integer 1..8>
Gibt die minimale Länge an, die ein vom Benutzer vereinbartes Kennwort haben muss (in Zeichen).
MINIMAL-LENGTH = *NONE
Es wird keine minimale Länge festgelegt. Der Benutzer darf Kennwörter bis zu einer Länge von 8 Zeichen vereinbaren.
MINIMAL-LENGTH = <integer 1..8>
Gibt die minimale Länge an, die ein vom Benutzer vereinbartes Kennwort haben muss (in Zeichen). Bei Verwendung dieses Operanden muss das Kennwort mit einem Zeichen ungleich Leerzeichen enden.
MINIMAL-COMPLEXITY = *UNCHANGED / *LOGON-DEFAULT / *NONE / <integer 1..4>
Gibt die minimale Komplexität an, die ein vom Benutzer vereinbartes Kennwort haben muss.
MINIMAL-COMPLEXITY = *NONE
Der Benutzer darf Kennwörter beliebiger Komplexität vereinbaren.
MINIMAL-COMPLEXITY = <integer 1..4>
Komplexitätsstufen mit folgenden Vorschriften (jede Stufe beinhaltet alle anderen Stufen mit kleinerer Kennziffer):
Stufe 1: | Keine Einschränkungen. |
Stufe 2: | Maximal zwei aufeinander folgende Zeichen dürfen gleich sein. |
Stufe 3: | Es muss mindestens je ein Buchstabe und eine Ziffer im Kennwort angegeben sein. |
Stufe 4: | Es müssen mindestens je ein Buchstabe, eine Ziffer und ein Sonderzeichen |
INITIAL-LIFETIME = *UNCHANGED / *LOGON-DEFAULT / *STD / *EXPIRED /
<integer 0..366> / <date 8..10>
Definiert den ersten Lebensdauer-Zyklus.
INITIAL-LIFETIME = *STD
Das Verfallsdatum des Kennwortes wird aus LIFETIME-INTERVAL berechnet.
INITIAL-LIFETIME = *EXPIRED
Das eingetragene Logon-Kennwort wird als ’verfallen’ gekennzeichnet. Der Eigentümer der Benutzerkennung muss zunächst ein neues Logon-Kennwort vereinbaren, bevor er mit seiner Benutzerkennung arbeiten kann. Näheres hierzu siehe Operand UNLOCK-EXPIRATION.
INITIAL-LIFETIME = <integer 0..366>
Lebensdauer des Kennwortes.
INITIAL-LIFETIME = <date 8..10>
Verfallsdatum des Kennwortes.
LIFETIME-INTERVAL = *UNCHANGED / *LOGON-DEFAULT / *UNLIMITED / <integer 1..366>(...)
Definiert den Zeitraum, in dem das Kennwort vom Benutzer immer wieder geändert werden muss. Ändert der Benutzer das Kennwort nicht rechtzeitig, wird die Benutzerkennung gesperrt. Während des Zeitraums, der im Operanden EXPIRATION-WARNING des Kennwortes angegeben ist, erhält der Benutzer bei jedem LOGON die Meldung SRM3201 auf SYSOUT.
LIFETIME-INTERVAL = *UNLIMITED
Das Kennwort muss vom Benutzer nicht geändert werden.
LIFETIME-INTERVAL = <integer 1..366>(...)
Gibt den Zeitraum an, in dem das Kennwort vom Benutzer geändert werden muss.
DIMENSION = *DAYS / *MONTHS
Einheit des angegebenen Zahlenwertes. Bei Angabe von *MONTHS ist der maximal zulässige Wert 12.
EXPIRATION-WARNING = *UNCHANGED / *LOGON-DEFAULT / *STD / <integer 0..366>
Definiert den Zeitraum in Tagen, innerhalb dessen der Benutzer vor dem Überschreiten des Verfallsdatums des Kennwortes gewarnt wird. Der Standardwert beträgt 28 Tage.
UNLOCK-EXPIRATION = *UNCHANGED / *LOGON-DEFAULT / *BY-ADMINISTRATOR-ONLY / *BY-USER
Gibt an, wer berechtigt ist, ein verfallenes Kennwort durch ein neues zu ersetzen.
UNLOCK-EXPIRATION = *BY-ADMINISTRATOR-ONLY
Nach Überschreiten des Verfallsdatums des Kennwortes wird die Kennung gesperrt. Die Systembetreuung muss ein neues Logon-Kennwort eintragen, um damit dem Eigentümer der Benutzerkennung den Zugang wieder zu ermöglichen.
UNLOCK-EXPIRATION = *BY-USER
Nach Überschreiten des Verfallsdatums wird dem Anwender bei Angabe des verfallenen Kennwortes ein eingeschränkter Dialog-Zugang gewährt. Dabei hat der Anwender nur die Möglichkeit ein neues Kennwort zu vereinbaren oder die Dialog-Task wieder zu beenden.
PASSWORD-MEMORY = *UNCHANGED / *LOGON-DEFAULT / *NONE / YES(...)
Gibt an, ob bei einer Änderung des Kennwortes das alte Kennwort in einer Liste abgelegt wird. Kennwörter, die in dieser Liste enthalten sind, dürfen bei einer Kennwortänderung nicht als neues Kennwort vergeben werden. Außerdem kann die Häufigkeit von Kennwortänderungen eingeschränkt werden.
PASSWORD-MEMORY = *NONE
Es wird keine Kennwortliste angelegt. Falls bereits eine existiert, wird sie gelöscht. Die Häufigkeit von Kennwortänderungen wird nicht eingeschränkt.
PASSWORD-MEMORY = *YES(...)
Es wird eine Kennwortliste angelegt. Außerdem wird eine Maximalzahl für Kennwortänderungen festgelegt, die innerhalb eines definierten Zeitraums erlaubt sind.
Die Operanden PERIOD, CHANGES-PER-PERIOD und BLOCKING-TIME hängen folgendermaßen voneinander ab:
PERIOD <= BLOCKING-TIME
CHANGES-PER-PERIOD <= (100 * PERIOD) / BLOCKING-TIME
PERIOD = <integer 1..32767>
Legt den Zeitraum fest, für den mit dem Operanden CHANGES-PER-PERIOD ein Maximalwert für die Anzahl von Kennwortänderungen festgelegt wird. Die Dauer wird in Tagen angegeben.
CHANGES-PER-PERIOD = <integer 1..100>
Gibt die maximale Anzahl erlaubter Kennwortänderungen innerhalb des Zeitraums an, der im Operanden PERIOD festgelegt wird. Kennwortänderungen auf das Kennwort *NONE werden bei dieser Zählung nicht berücksichtigt.
BLOCKING-TIME = <integer 1..32767>
Legt fest, wie lange ein Kennwort in der Kennwortliste gespeichert bleibt. Die Dauer wird in Tagen angegeben und beginnt an dem Tag, an dem ein Kennwort durch ein anderes ersetzt wird.
SUSPEND-ATTRIBUTES = *UNCHANGED / *LOGON-DEFAULT / *NONE / *YES(...)
Legt die Attribute für die Suspendierung fest. Die temporäre Sperre einer Benutzerkennung bzw. des Benutzers einer Benutzerkennung nach einer Anzahl fehlerhafter Zugangsversuche kann lokal für diese Benutzerkennung oder global in den Standard-Attributen festgelegt werden.
SUSPEND-ATTRIBUTES = *NONE
Es findet keine Suspendierung statt.
SUSPEND-ATTRIBUTES = *YES(...)
Vereinbart die Parameter für die Suspendierung.
COUNT = *UNCHANGED / *LOGON-DEFAULT / <integer 0..32767>
Anzahl fehlerhafter Zugangsversuche, die innerhalb des mit OBSERVE-TIME festgelegten Zeitraums erlaubt sind. Weitere fehlerhafte Zugangsversuche haben eine Suspendierung zur Folge.
OBSERVE-TIME = *UNCHANGED / *LOGON-DEFAULT / <integer 0..32767> (...)
Zeitraum, innerhalb dessen die mit dem Operanden COUNT angegebene Anzahl fehlerhafter Zugangsversuche stattfinden muss. Der Zeitraum beginnt mit dem ersten fehlerhaften Zugangsversuch. Ist der Beobachtungszeitraum beendet, ohne dass eine Suspendierung erfolgt ist, beginnt die Zählung beim nächsten Fehlversuch von vorne.
OBSERVE-TIME = <integer 0..32767> (...)
Angabe des Beobachtungszeitraums.
DIMENSION = *MINUTE / *HOUR
Zeiteinheit für den Beobachtungszeitraum.
SUSPEND-TIME = *UNCHANGED / *LOGON-DEFAULT / <integer 1..32767> (...) / *UNLIMITED
Vereinbart die Dauer der Suspendierung. Während der Suspendierung wird ein Benutzer mit den Meldungen SRM3208 oder SRM3209 über die Tatsache und ggf. Dauer der Suspendierung informiert.
SUSPEND-TIME = <integer 1..32767> (...)
Dauer der Suspendierung.
DIMENSION = *MINUTE / *HOUR
Zeiteinheit für die Suspendierung.
SUSPEND-TIME = *UNLIMITED
Die Suspendierung ist von unbegrenzter Dauer.
SUBJECT = *UNCHANGED / *LOGON-DEFAULT / *USER-IDENTIFICATION / *INITIATOR
Legt fest, ob die Benutzerkennung oder die Person, die die Zugangsversuche unternommen hat, suspendiert werden soll.
SUBJECT = *USER-IDENTIFICATION
Die Benutzerkennung wird suspendiert.
Diese Angabe ist bei der Systemkennung TSOS und der Benutzerkennung des Sicherheitsbeauftragten nicht erlaubt und wird mit Meldung SRM3672 abgewiesen.
SUBJECT = *INITIATOR
Die „Person“, die die Zugangsversuche unternommen hat, wird suspendiert (siehe Abschnitt „Sperrung von Terminals/Benutzerkennungen nach erfolglosen Zugangsversuchen").
INACTIVITY-LIMIT = *UNCHANGED / *LOGON-DEFAULT / *NONE / <integer 1..366> (...) / *RENEW
Vereinbart die Zeit der Inaktivität, also die seit dem letzten Logon verstrichene Zeit, nach der die Benutzerkennung gesperrt werden soll, oder hebt eine Sperre wieder auf.
INACTIVITY-LIMIT = *NONE
Es findet keine Überwachung der Inaktivität statt.
INACTIVITY-LIMIT = <integer 1..366> (...)
Angabe der Zeit bis zum Eintritt der Sperre (Inaktivitätslimit).
Diese Angabe ist bei Systemkennungen nicht erlaubt und wird mit Meldung SRM3673 abgewiesen.
DIMENSION = *DAYS / *MONTHS
Zeiteinheit für das Inaktivitätslimit.
INACTIVITY-LIMIT = *RENEW
Erneuert aufgrund des eingestellten Inaktivitäts-Limits das Datum für die Sperre der Benutzerkennung. Dadurch wird eine Sperre wegen Inaktivität wieder aufgehoben und die Überwachungsphase beginnt von neuem.
DIALOG-ACCESS = *UNCHANGED / *LOGON-DEFAULT(...) / *NO / *YES(...)
Definiert die im Dialogbetrieb wirksamen Zugangskontrollen.
DIALOG-ACCESS = *NO
Dialogzugang ist prinzipiell verboten.
DIALOG-ACCESS = *YES(...)
Legt fest, dass Zugangskontrollen durchgeführt werden.
PASSWORD-CHECK = *UNCHANGED / *YES / *NO
Legt fest, ob im Dialog eine Kennwortprüfung stattfindet.
REMOVE-TERMINALS =
Liste der Datensichtstationen, von denen Dialog-LOGON nicht mehr möglich ist. Dieser Operand wird aus Kompatibilitätsgründen unterstützt. Die Steuerung über den Operanden TERMINAL-SET ist zu bevorzugen.
REMOVE-TERMINALS = *NONE
Es werden keine Datensichtstationen aus der Zugriffsliste entfernt.
REMOVE-TERMINALS = *ALL
Alle Datensichtstationen werden aus der Zugriffsliste entfernt.
REMOVE-TERMINALS = *PARAMETERS(...)
Explizite Angabe von Datensichtstationen, die aus der Zugriffsliste entfernt werden. Die explizite Angabe von Datensichtstationen ist nicht möglich, falls zuvor mit *ALL alle Datensichtstationen zugelassen waren.
PROCESSOR = <name 1..8 with-wild>
BCAM-Name des Rechners, von dem aus die Verbindung zu $DIALOG aufgebaut wird (z.B. ein PC, auf dem eine Datensichtstations-Emulation läuft).
STATION = <name 1..8 with-wild>
Logischer Name der Datensichtstation.
ADD-TERMINALS =
Liste der Datensichtstationen, von denen zusätzlich Dialog-LOGON möglich ist (BCAM-Namen). Dieser Operand wird aus Kompatibilitätsgründen unterstützt. Die Steuerung über den Operanden TERMINAL-SET ist zu bevorzugen.
ADD-TERMINALS = *NONE
Es werden keine zusätzlichen Datensichtstationen zugelassen.
ADD-TERMINALS = *ALL
Alle Datensichtstationen sind zugelassen. Etwaige Listen explizit angegebener Datensichtstationen werden gelöscht. ADD-TERMINALS=*ALL ist nur in Verbindung mit REMOVE-TERMINALS=*NONE zulässig.
ADD-TERMINALS = *PARAMETERS(...)
Explizite Angabe von Datensichtstationen, die zugelassen werden.
PROCESSOR = <name 1..8 with-wild>
BCAM-Name des Rechners, von dem aus die Verbindung zu $DIALOG aufgebaut wird.
STATION = <name 1..8 with-wild>
Logischer Name der Datensichtstation.
TERMINAL-SET = *UNCHANGED / *NO-PROTECTION / *NONE /
*EXCEPTION-LIST(...) / *MODIFY-LIST(...) / list-poss(48): <name 1..8>(...)
Angabe, ob der Dialog-Zugang der Kennung mit Terminal-Sets geschützt wird.
TERMINAL-SET = *NO-PROTECTION
Der Schutz der Kennung durch Terminal-Sets wird abgeschaltet.
TERMINAL-SET = *NONE
Der Kennung wird für den Dialog-Zugang eine leere Terminal-Set-Liste zugewiesen, d.h. es ist kein Dialogzugang erlaubt.
TERMINAL-SET = *EXCEPTION-LIST(...)
Es wird eine Negativliste von Terminal-Sets zugewiesen.
TERMINAL-SET = list-poss(48): <name 1..8>(...)
Den Datensichtstationen mit den Namen, die auf die Datensichtstationsnamen in den angegebenen Terminal-Sets passen, wird der Dialogzugang verboten.
Die Bedeutung der untergeordneten Operanden ist wie beim folgenden Operanden TERMINAL-SET=list-poss(48): <name 1..8>(...).
TERMINAL-SET = *MODIFY-LIST(...)
Es werden Änderungen an einer bereits definierten Terminal-Set-Liste vorgenommen. Die Eigenschaft der Liste, ob sie eine Positiv- oder Negativliste ist, bleibt von der Modifikation unberührt.
REMOVE-TERMINAL-SETS =
Angabe von Terminal-Sets, die aus der Terminal-Set-Liste für den Dialog-Zugang der Benutzerkennung entfernt werden sollen.
Falls für den Dialog-Zugang der Benutzerkennung noch keine Terminal-Set-Liste definiert ist, wird eine Warnung ausgegeben und die Kommandobearbeitung fortgesetzt. Dasselbe gilt, wenn eines oder mehrere der zu entfernenden Terminal-Sets nicht in der Liste enthalten sind.
REMOVE-TERMINAL-SETS = *NONE
Es werden keine Terminal-Sets aus der Terminal-Set-Liste entfernt.
REMOVE-TERMINAL-SETS = *ALL
Alle Terminal-Sets werden aus der Terminal-Set-Liste entfernt.
REMOVE-TERMINAL-SETS = list-poss(48): <name 1..8>(...)
Die Terminal-Sets mit den angegebenen Namen werden aus der Terminal-Set-Liste entfernt.
Die Bedeutung der untergeordneten Operanden ist wie beim folgenden Operanden TERMINAL-SET=list-poss(48): <name 1..8>(...).
ADD-TERMINAL-SETS =
Angabe von Terminal-Sets, die in die definierte Terminal-Set-Liste für den Dialog-Zugang der Benutzerkennung eingefügt werden sollen.
Falls für den Dialog-Zugang der Benutzerkennung noch keine Terminal-Set-Liste definiert ist, wird implizit eine Positivliste angelegt. Wenn eines oder mehrere der einzufügenden Terminal-Sets bereits in der Liste enthalten sind, wird eine Warnung ausgegeben.
ADD-TERMINAL-SETS = *NONE
Es werden keine Terminal-Sets in die definierte Terminal-Set-Liste eingefügt.
ADD-TERMINAL-SETS = *ALL
Alle Terminal-Sets werden in dieTerminal-Set-Liste eingefügt.
ADD-TERMINAL-SETS = list-poss(48): <name 1..8>(...)
Die Terminal-Sets mit den angegebenen Namen werden in die definierte Terminal-Set-Liste eingefügt.
Die Bedeutung der untergeordneten Operanden ist wie beim folgenden Operanden TERMINAL-SET=list-poss(48): <name 1..8>(...).
TERMINAL-SET = list-poss(48): <name 1..8>(...)
Es wird eine Positivliste von Terminal-Sets zugewiesen. Den Datensichtstationen mit den Namen, die auf die Datensichtstationsnamen in den angegebenen Terminal-Sets passen, wird der Dialogzugang erlaubt.
SCOPE =
Klasse des Terminal-Set Namens.
SCOPE = *STD
Für systemglobaler Benutzerverwalter wirkt diese Angabe wie SCOPE=*SYSTEM.
Für Gruppenverwalter wirkt die Angabe wie SCOPE=*GROUP(GROUP-ID= *OWN).
SCOPE = *USER
Es wird ein Terminal-Set aus dem Eigentum der Benutzerkennung zugewiesen.
SCOPE = *GROUP
Es wird ein Terminal-Set aus dem Eigentum der Gruppe der Benutzerkennung zugewiesen.
SCOPE = *SYSTEM
Es wird ein Terminal-Set aus gemeinschaftlichem Eigentum zugewiesen.
GUARD-NAME = *UNCHANGED / *NONE / <filename 1..18 without-cat-gen-vers>
Gibt an, ob der Dialog-Zugang zu einer Benutzerkennung mit einem Guard geschützt wird.
GUARD-NAME = *NONE
Der Dialog-Zugang zur Benutzerkennung wird nicht mit einem Guard geschützt.
GUARD-NAME = <filename 1..18 without-cat-gen-vers>
Der Zugang zur Benutzerkennung ist nur erlaubt, wenn die Zugriffsbedingungen im angegebenen Guard erfüllt sind.
Die geschützte Benutzerkennung muss berechtigter Benutzer des angegebenen Guards sein. Bei der Auswertung des Guards werden nur die Zeitbedingungen Date, Time und Weekday berücksichtigt. Welche Benutzerkennung als Subjekt in der Zugriffsbedingung des Guards zugelassen sein muss, hängt vom Operanden PERSONAL-LOGON ab. Bei PERSONAL-LOGON=*NO gilt die geschützte Benutzerkennung als Subjekt der Zugriffsbedingung. Bei PERSONAL-LOGON=*YES ist das die persönliche Benutzerkennung.
PERSONAL-LOGON = *UNCHANGED / *NO / *YES / *PRIVILEGED
Legt fest, ob beim Dialogzugang neben der Logon- auch eine persönliche Benutzerkennung verlangt wird.
PERSONAL-LOGON = *NO
Es wird nur die Logon-Benutzerkennung verlangt.
PERSONAL-LOGON = *YES
Es wird zusätzlich zur Logon- eine persönliche Benutzerkennung verlangt.
PERSONAL-LOGON = *PRIVILEGED
Es wird zusätzlich zur Logon- eine persönliche Benutzerkennung verlangt.
Außerdem erhält die Dialog-Task zusätzlich zu den Privilegien der Logon-Kennung auch die der persönlichen Kennung (außer TSOS, falls vorhanden).
Die Vorgabe zur Protokollierung aller Ereignisse (AUDIT-SWITCH=*ON) wird aus den Einstellungen der SAT-Preselection für die Protokollierung der persönlichen Benutzerkennung (USER-AUDITING) in die Dialog-Task übernommen.
Ist die Logon-Kennung Gruppenverwalter und die persönliche Kennung Benutzerverwalter, übernimmt die Dialog-Task die Rolle des Gruppenverwalters und erhält nicht das Privileg USER-ADMINISTRATION.
Die systeminterne SCI-Schnittstelle (Synchronous Console Interface) ermöglicht die Eingabe von Operator-Kommandos aus einer Benutzer-Task. Diese Operator-Kommandos schlagen fehl, wenn sie erst durch ein persönliches Logon mit der Übernahme der Privilegien der persönlichen Benutzerkennung in den Kommandovorrat aufgenommen werden (z.B. diverse BCAM-Kommandos über das Privileg NET-ADMINISTRATION).
Die Vereinigungsmenge der Privilegien kann mit folgendem Kommando angezeigt werden:
/SHOW-PRIVILEGE INFORMATION = *RUN-PRIVILEGE(...)
BATCH-ACCESS = *UNCHANGED / *LOGON-DEFAULT(...) / *NO / *YES(...)
Definiert die im Batchbetrieb wirksamen Zugangskontrollen.
BATCH-ACCESS = *NO
Der Zugang im Batchbetrieb ist prinzipiell verboten.
BATCH-ACCESS = *YES(...)
Legt die im Batchbetrieb wirksamen Zugangskontrollen fest.
PASSWORD-CHECK = *UNCHANGED / *YES / *NO / *GUARD(...)
Legt fest, ob für Batchaufträge Kennwortprüfung stattfindet.
PASSWORD-CHECK = *GUARD(...)
Das Recht, Batchaufträge ohne Kennwort zu starten, wird über ein Guard verwaltet.
GUARD-NAME = <filename 1..18 without-cat-gen-vers>
Batchaufträge dürfen ohne Kennwort gestartet werden, wenn für die aufrufende Benutzerkennung die Zugriffsbedingungen im angegebenen Guard erfüllt sind.
Die geschützte Benutzerkennung muss berechtigter Benutzer des angegebenen Guards sein. Bei der Auswertung des Guards sind zwei Fälle zu unterscheiden:
- Wurde der Batchauftrag im BS2000 angefordert, werden alle Bedingungen berücksichtigt. Subjekt der Zugriffsbedingung ist die Benutzerkennung, unter der das Kommando ENTER-JOB eingegeben wurde.
- Wurde der Batchauftrag unter POSIX angefordert, werden nur die Zeitbedingungen Date, Time und Weekday berücksichtigt. Subjekt der Zugriffsbedingung ist die geschützte Benutzerkennung.
REMOVE-USER-ACCESS =
Legt fest, von welchen Benutzerkennungen keine Batchaufträge auf der Benutzerkennung gestartet werden dürfen.
REMOVE-USER-ACCESS = *NONE
Keine Einschränkungen gegenüber der bisher definierten Berechtigung.
REMOVE-USER-ACCESS = *ALL
Alle in der bisherigen Liste zugelassenen Benutzerkennungen werden entfernt.
REMOVE-USER-ACCESS = *OWNER
Von der unter USER-IDENTIFICATION angegebenen Benutzerkennung selbst dürfen keine Batchaufträge mehr gestartet werden.
REMOVE-USER-ACCESS = *GROUP
Von keiner der zur Gruppe der USER-IDENTIFICATION gehörigen Benutzerkennungen (ohne die unter USER-IDENTIFICATION angegebene Benutzerkennung selbst) dürfen Batchaufträge auf dieser Benutzerkennung gestartet werden.
REMOVE-USER-ACCESS = *OTHERS
Von keiner der Benutzerkennungen des Rechners (ohne die unter USER-IDENTIFICA-TION angegebene Benutzerkennung und deren Benutzergruppe) dürfen Batchaufträge unter der Benutzerkennung gestartet werden.
REMOVE-USER-ACCESS = *CONSOLE
Von einem Operator ohne eigene Benutzerkennung dürfen auf dieser Benutzerkennung keine Batchaufträge gestartet werden.
REMOVE-USER-ACCESS = <name 1..8>
Von keiner der in der Liste aufgeführten Benutzerkennungen dürfen Batchaufträge unter der Benutzerkennung gestartet werden.
ADD-USER-ACCESS =
Legt fest, von welchen Benutzerkennungen zusätzlich auf der Benutzerkennung Batchaufträge gestartet werden dürfen.
ADD-USER-ACCESS = *NONE
Keine zusätzliche Zugangsberechtigung wird vergeben.
ADD-USER-ACCESS = *ALL
Von allen Benutzerkennungen dürfen Batchaufträge gestartet werden. Etwaige Listen explizit angegebener Benutzerkennungen werden gelöscht. ADD-USER-
ACCESS=*ALL ist nur in Verbindung mit REMOVE-USER-ACCESS=*NONE zulässig.
ADD-USER-ACCESS = *OWNER
Von der unter USER-IDENTIFICATION angegebenen Benutzerkennung selbst dürfen Batchaufträge gestartet werden.
ADD-USER-ACCESS = *GROUP
Von allen zur Gruppe der USER-IDENTIFICATION gehörigen Benutzerkennungen (ohne die unter USER-IDENTIFICATION angegebene Benutzerkennung selbst) dürfen Batchaufträge auf dieser Benutzerkennung gestartet werden.
ADD-USER-ACCESS = *OTHERS
Von allen Benutzerkennungen des Rechners (ohne die unter USER-IDENTIFICATION angegebene Benutzerkennung und deren Benutzergruppe) dürfen Batchaufträge unter der Benutzerkennung gestartet werden.
ADD-USER-ACCESS = *CONSOLE
Von einem Operator ohne eigene Benutzerkennung dürfen auf dieser Benutzerkennung Batchaufträge gestartet werden.
ADD-USER-ACCESS = <name 1..8>
Von allen in der Liste aufgeführten Benutzerkennungen dürfen Batchaufträge unter der Benutzerkennung gestartet werden.
GUARD-NAME = *UNCHANGED / *NONE / <filename 1..18 without-cat-gen-vers>
Gibt an, ob der Batch-Zugang zu einer Benutzerkennung mit einem Guard geschützt wird.
GUARD-NAME = *NONE
Der Batch-Zugang zur Benutzerkennung wird nicht mit einem Guard geschützt.
GUARD-NAME = <filename 1..18 without-cat-gen-vers>
Der Batch-Zugang zur Benutzerkennung ist nur erlaubt, wenn für die aufrufende Benutzerkennung die Zugriffsbedingungen im angegebenen Guard erfüllt sind.
Die geschützte Benutzerkennung muss berechtigter Benutzer des angegebenen Guards sein. Bei der Auswertung des Guards sind zwei Fälle zu unterscheiden:
Wurde der Batchauftrag im BS2000 angefordert, werden alle Bedingungen berücksichtigt. Subjekt der Zugriffsbedingung ist die Benutzerkennung, unter der das Kommando ENTER-JOB eingegeben wurde.
Wurde der Batchauftrag unter POSIX angefordert, werden nur die Zeitbedingungen Date, Time und Weekday berücksichtigt. Subjekt der Zugriffsbedingung ist die geschützte Benutzerkennung.
OPERATOR-ACCESS-TERM = *UNCHANGED / *LOGON-DEFAULT(...) / *YES(...) / *NO
Definiert die im Operating-Betrieb für Dialog-Partner wirksamen Authentisierungsverfahren. Die Möglichkeiten der Operator-Authentisierung sind detailliert im Handbuch „Einführung in die Systembetreuung“ [2] beschrieben.
OPERATOR-ACCESS-TERM = *YES(...)
Operating-Betrieb ist für diese Kennung erlaubt.
PASSWORD-CHECK = *UNCHANGED / *YES / *NO
Legt fest, ob im Dialog eine Kennwortprüfung stattfindet.
OPERATOR-ACCESS-TERM = *NO
Es ist kein Operating-Betrieb für diese Kennung möglich.
OPERATOR-ACCESS-PROG = *UNCHANGED / *LOGON-DEFAULT(...) / *YES(...) / *NO
Definiert die im Operating-Betrieb für Programmierte Operatoren (PROP-XT) wirksamen Authentisierungsverfahren.
Die Möglichkeiten der Operator-Authentisierung sind detailliert im Handbuch „Einführung in die Systembetreuung“ [2] beschrieben.
OPERATOR-ACCESS-PROG = *YES(...)
PASSWORD-CHECK = *UNCHANGED / *YES / *NO
Legt fest, ob für den programmierten Operator eine Kennwortprüfung stattfindet oder nicht.
OPERATOR-ACCESS-PROG = *NO
Die Zugangsklasse OPERATOR-ACCESS-PROGRAM ist für den programmierten Operator gesperrt.
OPERATOR-ACCESS-CONS = *UNCHANGED / *LOGON-DEFAULT(...) / *YES(...) / *NO
Bestimmt, ob unter dieser Benutzerkennung ein Zugang an der physikalischen Konsole im inkompatiblen Modus erlaubt ist.
OPERATOR-ACCESS-CONS = *YES(...)
Der Konsol-Zugang ist erlaubt.
PASSWORD-CHECK = *UNCHANGED / *YES / *NO
Legt fest, ob beim Konsol-Zugang eine Kennwortprüfung stattfindet.
OPERATOR-ACCESS-CONS = *NO
Es ist kein Konsol-Zugang möglich.
POSIX-RLOGIN-ACCESS = *UNCHANGED / *LOGON-DEFAULT(...) / *YES(...) / *NO
Die Zugangsklassen-Attribute für POSIX-Remote-Login können festgelegt werden.
POSIX-RLOGIN-ACCESS = *YES(...)
Die BS2000-Benutzerkennung ist für den Systemzugang über POSIX-Remote-Login offen.
PASSWORD-CHECK = *UNCHANGED / *YES / *NO
Legt fest, ob beim Zugang über POSIX-Remote-Login eine Kennwortprüfung stattfindet.
TERMINAL-SET = *UNCHANGED / *NO-PROTECTION / *NONE /
*EXCEPTION-LIST(...) / *MODIFY-LIST(...) / list-poss(48): <name 1..8>(...)
Angabe, ob die Kennung für den Zugang über POSIX-Remote-Login mit Terminal-Sets geschützt wird. Im entsprechenden Eintrag des Terminal-Sets darf nur der Prozessorname des UNIX-Clients angegeben werden. Als Stationsname ist *ANY anzugeben.
TERMINAL-SET = *NO-PROTECTION
Die Kennung wird nicht mit Terminal-Sets geschützt.
TERMINAL-SET = *NONE
Der Kennung wird für den Zugang über POSIX-Remote-Login eine leere Terminal-Set-Liste zugewiesen, d.h. es ist kein POSIX-Remote-Login erlaubt.
TERMINAL-SET = *EXCEPTION-LIST(...)
Es wird eine Negativliste von Terminal-Sets zugewiesen.
TERMINAL-SET = *NONE
Die Negativliste ist leer, d.h. POSIX-Remote-Login ist uneingeschränkt erlaubt.
TERMINAL-SET = list-poss(48): <name 1..8>(...)
Den UNIX-Clients mit den Namen, die auf die Datensichtstationsnamen in den angegebenen Terminal-Sets passen, wird der Zugang über POSIX-Remote-Login verboten.
Die Bedeutung der untergeordneten Operanden ist wie beim folgenden Operanden TERMINAL-SET=list-poss(48): <name 1..8>(...).
TERMINAL-SET = *MODIFY-LIST(...)
Es werden Änderungen an einer bereits definierten Terminal-Set-Liste vorgenommen. Die Eigenschaft der Liste, ob sie eine Positiv- oder Negativliste ist, bleibt von der Modifikation unberührt.
REMOVE-TERMINAL-SETS =
Angabe von Terminal-Sets, die aus der Terminal-Set-Liste für den POSIX-Remote-Login-Zugang der Benutzerkennung entfernt werden sollen.
Falls für den POSIX-Remote-Login-Zugang der Benutzerkennung noch keine Terminal-Set-Liste definiert ist, wird eine Warnung ausgegeben und die Kommandobearbeitung fortgesetzt. Dasselbe gilt, wenn eines oder mehrere der zu entfernenden Terminal-Sets nicht in der Liste enthalten sind.
REMOVE-TERMINAL-SETS = *NONE
Es werden keine Terminal-Sets aus der Terminal-Set-Liste entfernt.
REMOVE-TERMINAL-SETS = *ALL
Alle Terminal-Sets werden aus der Terminal-Set-Liste entfernt.
REMOVE-TERMINAL-SETS = list-poss(48): <name 1..8>(...)
Die Terminal-Sets mit den angegebenen Namen werden aus der Terminal-Set-Liste entfernt.
Die Bedeutung der untergeordneten Operanden ist wie beim folgenden Operanden TERMINAL-SET=list-poss(48): <name 1..8>(...).
ADD-TERMINAL-SETS =
Angabe von Terminal-Sets, die in die definierte Terminal-Set-Liste für den POSIX-Remote-Login-Zugang der Benutzerkennung eingefügt werden sollen.
Falls für den POSIX-Remote-Login-Zugang der Benutzerkennung noch keine Terminal-Set-Liste definiert ist, wird implizit eine Positivliste angelegt. Wenn eines oder mehrere der einzufügenden Terminal-Sets bereits in der Liste enthalten sind, wird eine Warnung ausgegeben.
ADD-TERMINAL-SETS = *NONE
Es werden keine Terminal-Sets in die definierte Terminal-Set-Liste eingefügt.
ADD-TERMINAL-SETS = list-poss(48): <name 1..8>(...)
Die Terminal-Sets mit den angegebenen Namen werden in die definierte Terminal-Set-Liste eingefügt.
Die Bedeutung der untergeordneten Operanden ist wie beim folgenden Operanden TERMINAL-SET=list-poss(48): <name 1..8>(...).
TERMINAL-SET = list-poss(48): <name 1..8>(...)
Es wird eine Positivliste von Terminal-Sets zugewiesen. Den UNIX-Clients mit den Namen, die auf die Datensichtstationsnamen in den angegebenen Terminal-Sets passen, wird der Zugang über POSIX-Remote-Login erlaubt.
SCOPE =
Klasse des Terminal-Set Namens.
SCOPE = *STD
Ein systemglobaler Benutzerverwalter weist standardmäßig globale, ein Gruppenverwalter lokale Terminal-Sets zu.
SCOPE = *USER
Es wird ein Terminal-Set aus dem Eigentum der Benutzerkennung zugewiesen.
SCOPE = *GROUP
Es wird ein Terminal-Set aus dem Eigentum der Gruppe der Benutzerkennung zugewiesen.
SCOPE = *SYSTEM
Es wird ein Terminal-Set aus gemeinschaftlichem Eigentum zugewiesen.
GUARD-NAME = *UNCHANGED / *NONE / <filename 1..18 without-cat-gen-vers>
Gibt an, ob der Zugang über POSIX-Remote-Login mit einem Guard geschützt wird.
GUARD-NAME = *NONE
Der Zugang über POSIX-Remote-Login wird nicht mit einem Guard geschützt.
GUARD-NAME = <filename 1..18 without-cat-gen-vers>
Der Zugang über POSIX-Remote-Login ist nur erlaubt, wenn die Zugriffsbedingungen im angegebenen Guard erfüllt sind. Die geschützte Benutzerkennung muss berechtigter Benutzer des angegebenen Guards sein. Bei der Auswertung des Guards werden nur die Zeitbedingungen Date, Time und Weekday berücksichtigt. Subjekt der Zugriffsbedingung ist die geschützte Benutzerkennung.
POSIX-RLOGIN-ACCESS = NO
Die BS2000-Benutzerkennung ist für den Systemzugang über POSIX-Remote-Login gesperrt.
POSIX-REMOTE-ACCESS = *UNCHANGED / *LOGON-DEFAULT(...) / *YES(...) / *NO
Die BS2000-Benutzerkennung wird für den Systemzugang über ein POSIX-Remote-Kommando geöffnet oder gesperrt.
TERMINAL-SET = *UNCHANGED / *NO-PROTECTION / *NONE /
*EXCEPTION-LIST(...) / *MODIFY-LIST(...) / list-poss(48): <name 1..8>(...)
Angabe, ob die Kennung für den Zugang über ein POSIX-Remote-Kommando mit Ter-minal-Sets geschützt wird. Im entsprechenden Eintrag des Terminal-Sets darf nur der Prozessorname des UNIX-Clients angegeben werden. Als Stationsname ist *ANY anzugeben.
TERMINAL-SET = *NO-PROTECTION
Die Kennung wird nicht mit Terminal-Sets geschützt.
TERMINAL-SET = *NONE
Der Kennung wird für den Zugang über ein POSIX-Remote-Kommando eine leere Ter-minal-Set-Liste zugewiesen, d.h. es ist kein Zugang über ein POSIX-Remote-Kommando erlaubt.
TERMINAL-SET = *EXCEPTION-LIST(...)
Es wird eine Negativliste von Terminal-Sets zugewiesen.
TERMINAL-SET = *NONE / list-poss(48): <name 1..8>(...)
Die Negativliste ist leer, d.h. der Zugang über ein POSIX-Remote-Kommando ist uneingeschränkt erlaubt.
TERMINAL-SET = list-poss(48): <name 1..8>(...)
Den UNIX-Clients mit den Namen, die auf die Datensichtstationsnamen in den angegebenen Terminal-Sets passen, wird der Zugang über ein POSIX-Remote-Kommando verboten.
Die Bedeutung der untergeordneten Operanden ist wie beim folgenden Operanden TERMINAL-SET=list-poss(48): <name 1..8>(...).
TERMINAL-SET = *MODIFY-LIST(...)
Es werden Änderungen an einer bereits definierten Terminal-Set-Liste vorgenommen. Die Eigenschaft der Liste, ob sie eine Positiv- oder Negativliste ist, bleibt von der Modifikation unberührt.
REMOVE-TERMINAL-SETS =
Angabe von Terminal-Sets, die aus der Terminal-Set-Liste für den POSIX-Remote-Kommando-Zugang der Benutzerkennung entfernt werden sollen.
Falls für den POSIX-Remote-Kommando-Zugang der Benutzerkennung noch keine Terminal-Set-Liste definiert ist, wird eine Warnung ausgegeben und die Kommandobearbeitung fortgesetzt. Dasselbe gilt, wenn eines oder mehrere der zu entfernenden Terminal-Sets nicht in der Liste enthalten sind.
REMOVE-TERMINAL-SETS = *NONE
Es werden keine Terminal-Sets aus der Terminal-Set-Liste entfernt.
REMOVE-TERMINAL-SETS = *ALL
Alle Terminal-Sets werden aus der Terminal-Set-Liste entfernt.
REMOVE-TERMINAL-SETS = list-poss(48): <name 1..8>(...)
Die Terminal-Sets mit den angegebenen Namen werden aus der Terminal-Set-Liste entfernt.
Die Bedeutung der untergeordneten Operanden ist wie beim folgenden Operanden TERMINAL-SET=list-poss(48): <name 1..8>(...).
ADD-TERMINAL-SETS =
Angabe von Terminal-Sets, die in die definierte Terminal-Set-Liste für den POSIX-Remote-Kommando-Zugang der Benutzerkennung eingefügt werden sollen.
Falls für den POSIX-Remote-Kommando-Zugang der Benutzerkennung noch keine Terminal-Set-Liste definiert ist, wird implizit eine Positivliste angelegt. Wenn eines oder mehrere der einzufügenden Terminal-Sets bereits in der Liste enthalten sind, wird eine Warnung ausgegeben.
ADD-TERMINAL-SETS = *NONE
Es werden keine Terminal-Sets in die definierte Terminal-Set-Liste eingefügt.
ADD-TERMINAL-SETS = list-poss(48): <name 1..8>(...)
Die Terminal-Sets mit den angegebenen Namen werden in die definierte Terminal-Set-Liste eingefügt.
Die Bedeutung der untergeordneten Operanden ist wie beim folgenden Operanden TERMINAL-SET=list-poss(48): <name 1..8>(...).
TERMINAL-SET = list-poss(48): <name 1..8>(...)
Es wird eine Positivliste von Terminal-Sets zugewiesen. Den UNIX-Clients mit den Namen, die auf die Datensichtstationsnamen in den angegebenen Terminal-Sets passen, wird der Zugang über ein POSIX-Remote-Kommando erlaubt.
SCOPE =
Klasse des Terminal-Set Namens.
SCOPE = *STD
Ein systemglobaler Benutzerverwalter weist standardmäßig globale, ein Gruppenverwalter lokale Terminal-Sets zu.
SCOPE = *USER
Es wird ein Terminal-Set aus dem Eigentum der Benutzerkennung zugewiesen.
SCOPE = *GROUP
Es wird ein Terminal-Set aus dem Eigentum der Gruppe der Benutzerkennung zugewiesen.
SCOPE = *SYSTEM
Es wird ein Terminal-Set aus gemeinschaftlichem Eigentum zugewiesen.
GUARD-NAME = *UNCHANGED / *NONE / <filename 1..18 without-cat-gen-vers>
Gibt an, ob der Zugang über ein POSIX-Remote-Kommando mit einem Guard geschützt wird.
GUARD-NAME = *NONE
Der Zugang über ein POSIX-Remote-Kommando wird nicht mit einem Guard geschützt.
GUARD-NAME = <filename 1..18 without-cat-gen-vers>
Der Zugang über ein POSIX-Remote-Kommando ist nur erlaubt, wenn die Zugriffsbedingungen im angegebenen Guard erfüllt sind. Die geschützte Benutzerkennung muss berechtigter Benutzer des angegebenen Guards sein. Bei der Auswertung des Guards werden nur die Zeitbedingungen Date, Time und Weekday berücksichtigt. Subjekt der Zugriffsbedingung ist die UNIX/POSIX-Benutzerkennung, unter der das Kommando rsh bzw. rcp eingegeben wurde. Es ist nicht notwendig, dass diese Kennung im BS2000 existiert.
POSIX-REMOTE-ACCESS = *NO
Die BS2000-Benutzerkennung ist für den Systemzugang über ein POSIX-Remote-Kommando gesperrt.
NET-DIALOG-ACCESS = *UNCHANGED / *LOGON-DEFAULT(...) / *YES(...) / *NO
Angabe, ob der Dialogzugang aus dem Netzwerk erlaubt ist.
NET-DIALOG-ACCESS = *YES(...)
Der Dialogzugang aus dem Netzwerk ist zugelassen.
PASSWORD-CHECK = *YES / *NO
Legt fest, ob beim Netzwerk-Zugang die Prüfung des Logon-Kennwortes stattfinden soll.
REMOVE-PRINCIPAL =
Angabe für den Zugang unter Nutzung der Kerberos-Authentisierung.
Löschen von Kerberos-Namen aus der Liste von Kerberos-Namen, die Zugang zu dieser Benutzerkennung haben.
REMOVE-PRINCIPAL = *NONE
Aus der Liste von Kerberos-Namen werden keine Namen entfernt.
REMOVE-PRINCIPAL = *ALL
Die Liste der Kerberos-Namen wird geleert, bleibt aber gültig. Clients, die auf Nachfrage ein Kerberos-Ticket vorweisen können, werden abgewiesen.
REMOVE-PRINCIPAL = list-poss(48): <composed-name 1..1800 with-under with-wild> / <c-string 1..1800 with-low>
Die angegebenen Kerberos-Namen werden aus der Liste gelöscht.
ADD-PRINCIPAL =
Angabe für den Zugang unter Nutzung der Kerberos-Authentisierung.
Hinzufügen von Kerberos-Namen zu der Liste von Kerberos-Namen, die Zugang zu dieser Benutzerkennung haben.
ADD-PRINCIPAL = *NONE
Der Liste von Kerberos-Namen wird kein weiterer Name hinzugefügt.
ADD-PRINCIPAL = *NO-PROTECTION
Für die Benutzerkennung wird der Schutz durch Kerberos-Authentisierung aufgehoben. Eine eventuell bestehende Liste von Kerberos-Namen wird gelöscht. Der Client wird nicht zur Vorlage eines Kerberos-Ticket aufgefordert, der Zugang wird direkt der Klasse DIALOG-ACCESS zugeordnet.
ADD-PRINCIPAL = *ALL
Für die Benutzerkennung wird der Schutz durch Kerberos-Authentisierung aufgehoben. Eine eventuell bestehende Liste von Kerberos-Namen wird gelöscht. Der Client wird aber zur Vorlage eines Kerberos-Tickets aufgefordert. Der darin enthaltenen Ker-beros-Name wird in der Logon-History angezeigt und als Audit-Identifikation verwendet. Unterstützt der Client keine Kerberos-Authentisierung, wird der Zugang der Klasse DIALOG-ACCESS zugeordnet.
ADD-PRINCIPAL = list-poss(48): <composed-name 1..1800 with-under with-wild> /
<c-string 1..1800 with-low>
Die angegebenen Kerberos-Namen werden der Liste hinzugefügt.
TERMINAL-SET = *UNCHANGED / *NO-PROTECTION / *NONE / *EXCEPTION-LIST(...)
/ *MODIFY-LIST(...) / list-poss(48): <name 1..8>(...)
Angabe, ob die Kennung für den Netzwerkzugang mit Terminal-Sets geschützt wird.
TERMINAL-SET = *NO-PROTECTION
Die Kennung wird nicht mit Terminal-Sets geschützt.
TERMINAL-SET = *NONE
Der Kennung wird eine leere Terminal-Set-Liste zugewiesen, d.h. es ist kein Netzwerkzugang erlaubt.
TERMINAL-SET = *EXCEPTION-LIST(...)
Es wird eine Negativliste von Terminal-Sets zugewiesen.
TERMINAL-SET = *NONE / list-poss(48): <name 1..8>(...)
Die Negativliste ist leer, d.h. der Netzwerkzugang ist uneingeschränkt erlaubt.
TERMINAL-SET = list-poss(48): <name 1..8>(...)
Den Datensichtstationen mit den Namen, die auf die Datensichtstationsnamen in den angegebenen Terminal-Sets passen, wird der Netzwerkzugang verboten.
Die Bedeutung der untergeordneten Operanden ist wie beim folgenden Operanden TERMINAL-SET.
TERMINAL-SET = *MODIFY-LIST(...)
Es werden Änderungen an einer bereits definierten Terminal-Set-Liste vorgenommen. Die Eigenschaft der Liste, ob sie eine Positiv- oder Negativliste ist, bleibt von der Modifikation unberührt.
REMOVE-TERMINAL-SETS =
Angabe von Terminal-Sets, die aus der Terminal-Set-Liste für den Netzwerkzugang der Benutzerkennung entfernt werden sollen.
Falls für den Netzwerkzugang der Benutzerkennung noch keine Terminal-Set-Liste definiert ist, wird eine Warnung ausgegeben und die Kommandobearbeitung fortgesetzt. Dasselbe gilt, wenn eines oder mehrere der zu entfernenden Terminal-Sets nicht in der Liste enthalten sind.
REMOVE-TERMINAL-SETS = *NONE
Es werden keine Terminal-Sets aus der Terminal-Set-Liste entfernt.
REMOVE-TERMINAL-SETS = *ALL
Alle Terminal-Sets werden aus der Terminal-Set-Liste entfernt.
REMOVE-TERMINAL-SETS = list-poss(48): <name 1..8>(...)
Die Terminal-Sets mit den angegebenen Namen werden aus der Terminal-Set-Liste entfernt.
Die Bedeutung der untergeordneten Operanden ist wie beim folgenden Operanden TERMINAL-SET=list-poss(48): <name 1..8>(...).
ADD-TERMINAL-SETS =
Angabe von Terminal-Sets, die in die definierte Terminal-Set-Liste für den Netzwerkzugang der Benutzerkennung eingefügt werden sollen.
Falls für den Netzwerkzugang der Benutzerkennung noch keine Terminal-Set-Liste definiert ist, wird implizit eine Positivliste angelegt. Wenn eines oder mehrere der einzufügenden Terminal-Sets bereits in der Liste enthalten sind, wird eine Warnung ausgegeben.
ADD-TERMINAL-SETS = *NONE
Es werden keine Terminal-Sets in die definierte Terminal-Set-Liste eingefügt.
ADD-TERMINAL-SETS = list-poss(48): <name 1..8>(...)
Die Terminal-Sets mit den angegebenen Namen werden in die definierte Terminal-Set-Liste eingefügt.
Die Bedeutung der untergeordneten Operanden ist wie beim folgenden Operanden TERMINAL-SET=list-poss(48): <name 1..8>(...).
TERMINAL-SET = list-poss(48): <name 1..8>(...)
Es wird eine Positivliste von Terminal-Sets zugewiesen. Den Datensichtstationen mit den Namen, die auf die Datensichtstationsnamen in den angegebenen Terminal-Sets passen, wird der Netzwerkzugang erlaubt.
SCOPE =
Klasse des Terminal-Set Namens.
SCOPE = *STD
Ein systemglobaler Benutzerverwalter weist standardmäßig globale, ein Gruppenverwalter lokale Terminal-Sets zu.
SCOPE = *USER
Es wird ein Terminal-Set aus dem Eigentum der Benutzerkennung zugewiesen.
SCOPE = *GROUP
Es wird ein Terminal-Set aus dem Eigentum der Gruppe der Benutzerkennung zugewiesen.
SCOPE = *SYSTEM
Es wird ein Terminal-Set aus gemeinschaftlichem Eigentum zugewiesen.
GUARD-NAME = *UNCHANGED / *NONE / <filename 1..18 without-cat-gen-vers>
Gibt an, ob der Netzwerkzugang mit einem Guard geschützt wird.
GUARD-NAME = *NONE
Der Netzwerkzugang wird nicht mit einem Guard geschützt.
GUARD-NAME = <filename 1..18 without-cat-gen-vers>
Der Netzwerkzugang ist nur erlaubt, wenn die Zugriffsbedingungen im angegebenen Guard erfüllt sind. Die geschützte Benutzerkennung muss berechtigter Benutzer des angegebenen Guards sein. Bei der Auswertung des Guards werden nur die Zeitbedingungen Date, Time und Weekday berücksichtigt. Subjekt der Zugriffsbedingung ist die geschützte Benutzerkennung.
NET-DIALOG-ACCESS = *NO
Die BS2000-Benutzerkennung ist für den Netzwerkzugang gesperrt.
Kommando-Returncode
(SC2) | SC1 | Maincode | Bedeutung |
0 | CMD0001 | Kommando fehlerfrei ausgeführt | |
2 | 0 | SRM6001 | Kommando mit Warnung ausgeführt |
32 | SRM6020 | Systemfehler während der Kommandobearbeitung | |
64 | SRM6040 | Semantikfehler während der Kommandobearbeitung | |
130 | SRM6030 | Kommando kann vorübergehend nicht ausgeführt werden |
Beispiel
Ausgegangen werde von folgendem SET-LOGON-PROTECTION-Kommando:
|
Damit kann von den im Terminal-Set AREA52 angegebenen Terminals kein Dialog-LOGON mehr für TSOS durchgeführt werden. Stattdessen sind alle Terminals, die im Terminal-Set HOMEBASE enthalten sind, zugangsberechtigt.
/modify-logon-protection user-identification=tsos, -/ password=*parameters(lifetime-interval=3(dimension=*months))
Das Kennwort muss jetzt mindestens alle drei Monate gewechselt werden.
/modify-logon-protection user-identification=tsos, -batch-access=*yes(add-user-access=(*group,X,Y))
/
Zusätzlich zu TSOS selbst können jetzt auch alle Mitglieder der Gruppe von TSOS sowie die Kennungen X und Y Batchaufträge auf der Kennung TSOS starten.
Ausgegeben wird:
|