Vereinbart Schutzattribute für existierende Benutzerkennungen.

Berechtigt zur Ausführung des Kommandos sind:

• Systemglobale Benutzerverwalter (Inhaber des Privilegs USER-ADMINISTRATION) für alle Benutzerkennungen

• Gruppenverwalter, die mindestens das Attribut MANAGE-MEMBERS besitzen, für die ihrer Benutzergruppe zu- und untergeordneten Benutzerkennungen

Der Operandenwert *LOGON-DEFAULT bedeutet, dass die mit dem Kommando SET- oder MODIFY-LOGON-DEFAULTS festgelegte Standard-Einstellung für den Operanden übernommen wird.

USER-IDENTIFICATION = <name 1..8>
Benutzerkennung, deren Schutzattribute festgelegt werden sollen.

PUBSET = *HOME / <cat-id 1..4>
Pubset, in dessen Benutzerkatalog die Schutzattribute eingetragen werden sollen.

PUBSET = *HOME
Der Eintrag erfolgt auf dem Home-Pubset.

PUBSET = <cat-id 1..4>
Der Eintrag erfolgt auf dem angegebenen Pubset.

EXPIRATION-DATE = *LOGON-DEFAULT / *NONE / <date 8..10> / <integer 0..366>
Nach dem angegebenen Datum wird die Benutzerkennung gesperrt, d.h. für LOGON nicht mehr zugänglich. Die für die Benutzerkennung katalogisierten Dateien bleiben erhalten. Während des Zeitraums, der im Operanden EXPIRATION-WARNING angegeben ist, erhält der Benutzer bei jedem LOGON die Meldung SRM3201 auf SYSOUT.

EXPIRATION-DATE = *NONE
Die Benutzerkennung wird nicht zu einem bestimmten Datum gesperrt.

EXPIRATION-DATE = <date 8..10>
Verfallsdatum der Benutzerkennung.

EXPIRATION-DATE = <integer 0..366>
Lebensdauer der Benutzerkennung.

EXPIRATION-WARNING = *LOGON-DEFAULT / *STD / <integer 0..366>
Definiert den Zeitraum in Tagen, innerhalb dessen der Benutzer vor dem Überschreiten des Verfallsdatums der Benutzerkennung gewarnt wird. Der Standardwert beträgt 28 Tage.

PASSWORD = *PARAMETERS(...)
Vorgaben für Kennwörter festlegen.

LOGON-PASSWORD = *NONE / *SECRET / <c-string 1..8> / <c-string 9..32> / <x-string 1..16>
Vom Benutzer einzugebendes Kennwort.

LOGON-PASSWORD = *NONE
Für den Zugang zu dieser Benutzerkennung wird kein Kennwort vereinbart.

LOGON-PASSWORD = *SECRET
Das Kennwort wird dunkelgesteuert angefordert.

ENCRYPTION = *YES / *NO
Gibt an, ob das Kennwort unverändert oder verschlüsselt abgelegt wird.

ENCRYPTION = *YES
Es wird gemäß dem Systemparameter ENCRYPT verschlüsselt.

MANAGEMENT = *LOGON-DEFAULT / *USER-CHANGE-ONLY / *BY-USER / *BY-ADMINISTRATOR
Definiert die Berechtigung zur Verwaltung des Kennworts.

MANAGEMENT = *USER-CHANGE-ONLY
Der Benutzer darf das Kennwort vereinbaren und ändern, aber nicht löschen.

MANAGEMENT = *BY-USER
Der Benutzer darf das Kennwort vereinbaren, ändern und löschen.

MANAGEMENT = *BY-ADMINISTRATOR
Das Kennwort kann nur mit den Systembetreuungs-Kommandos /MODIFY-USER-ATTRIBUTES und /MODIFY-LOGON-PROTECTION verändert werden.

MINIMAL-LENGTH = *LOGON-DEFAULT / *NONE / <integer 1..8>
Gibt die minimale Länge an, die ein vom Benutzer vereinbartes Kennwort haben muss. Bei Verwendung von langen Kennwörtern, beachten Sie bitte die Hinweise auf "Kennwortschutz".

MINIMAL-LENGTH = *NONE
Es wird keine minimale Länge festgelegt. Der Benutzer darf Kennwörter bis zu einer Länge von 8 Zeichen vereinbaren.

MINIMAL-LENGTH = <integer 1..8>
Gibt die minimale Länge an, die ein vom Benutzer vereinbartes Kennwort haben muss (in Zeichen). Bei Verwendung dieses Operanden muss das Kennwort mit einem Zeichen ungleich Leerzeichen enden.

MINIMAL-COMPLEXITY = *LOGON-DEFAULT / *NONE / <integer 1..4>
Gibt die minimale Komplexität an, die ein vom Benutzer vereinbartes Kennwort haben muss. Bei Verwendung von langen Kennwörtern, beachten Sie bitte die Hinweise auf "Kennwortschutz".

MINIMAL-COMPLEXITY = *NONE
Der Benutzer darf Kennwörter beliebiger Komplexität vereinbaren.

MINIMAL-COMPLEXITY = <integer 1..4>
Komplexitätsstufen mit folgenden Vorschriften (jede Stufe beinhaltet alle anderen Stufen mit kleinerer Kennziffer):

INITIAL-LIFETIME = *LOGON-DEFAULT / *STD / *EXPIRED / <integer 0..366> /<date 8..10>
Definiert den ersten Lebensdauer-Zyklus.

INITIAL-LIFETIME = *STD
Das Verfallsdatum des Kennwortes wird aus LIFETIME-INTERVAL berechnet.

INITIAL-LIFETIME = *EXPIRED
Das eingetragene Logon-Kennwort wird als ’verfallen’ gekennzeichnet. Der Eigentümer der Benutzerkennung muss zunächst ein neues Logon-Kennwort vereinbaren, bevor er mit seiner Benutzerkennung arbeiten kann. Näheres hierzu siehe Operand UNLOCK-EXPIRATION.

INITIAL-LIFETIME = <integer 0..366>
Lebensdauer des Kennwortes.

INITIAL-LIFETIME = <date 8..10>
Verfallsdatum des Kennwortes.

LIFETIME-INTERVAL = *LOGON-DEFAULT / *UNLIMITED / <integer 1..366>(...)
Definiert den Zeitraum, in dem das Kennwort vom Benutzer immer wieder geändert werden muss. Ändert der Benutzer das Kennwort nicht rechtzeitig, wird die Benutzerkennung gesperrt. Während des Zeitraums, der im Operanden EXPIRATION-WAR-NING des Kennwortes angegeben ist, erhält der Benutzer bei jedem LOGON die Meldung SRM3201 auf SYSOUT.

LIFETIME-INTERVAL = *UNLIMITED
Das Kennwort muss vom Benutzer nicht geändert werden.

LIFETIME-INTERVAL = <integer 1..366>(...)
Gibt den Zeitraum an.

DIMENSION = *DAYS / *MONTHS
Einheit des angegebenen Zahlenwertes. Bei Angabe von *MONTHS ist der maximal zulässige Wert für integer 12.

EXPIRATION-WARNING = *LOGON-DEFAULT / *STD / <integer 0..366>
Definiert den Zeitraum in Tagen, innerhalb dessen der Benutzer vor dem Überschreiten des Verfallsdatums des Kennwortes gewarnt wird. Der Standardwert beträgt 28 Tage.

UNLOCK-EXPIRATION = *LOGON-DEFAULT / *BY-ADMINISTRATOR-ONLY / *BY-USER
Gibt an, wer berechtigt ist, ein verfallenes Kennwort durch ein neues zu ersetzen.

UNLOCK-EXPIRATION = *BY-ADMINISTRATOR-ONLY
Nach Überschreiten des Verfallsdatums des Kennwortes wird die Kennung gesperrt. Die Systembetreuung muss ein neues Logon-Kennwort eintragen, um damit dem Eigentümer der Benutzerkennung den Zugang wieder zu ermöglichen.

UNLOCK-EXPIRATION = *BY-USER
Nach Überschreiten des Verfallsdatums wird dem Anwender bei Angabe des verfallenen Kennwortes ein eingeschränkter Dialog-Zugang gewährt. Dabei hat der Anwender nur die Möglichkeit ein neues Kennwort zu vereinbaren oder die Dialog-Task wieder zu beenden.

PASSWORD-MEMORY = *LOGON-DEFAULT / *NONE / *YES(...)
Gibt an, ob bei einer Änderung des Kennwortes das alte Kennwort in einer Liste abgelegt wird. Kennwörter, die in dieser Liste enthalten sind, dürfen bei einer Kennwortänderung nicht als neues Kennwort vergeben werden. Außerdem kann die Häufigkeit von Kennwortänderungen eingeschränkt werden.

PASSWORD-MEMORY = *NONE
Es wird keine Kennwortliste angelegt. Falls bereits eine existiert, wird sie gelöscht. Die Häufigkeit von Kennwortänderungen wird nicht eingeschränkt.

PASSWORD-MEMORY = *YES(...)
Es wird eine Kennwortliste angelegt. Außerdem wird eine Maximalzahl für Kennwortänderungen festgelegt, die innerhalb eines definierten Zeitraums erlaubt sind.

Die Operanden PERIOD, CHANGES-PER-PERIOD und BLOCKING-TIME hängen folgendermaßen voneinander ab:

• • • PERIOD <= BLOCKING-TIME
    • CHANGES-PER-PERIOD <= (100 * PERIOD) / BLOCKING-TIME

PERIOD = 1 / <integer 1..32767>
Legt den Zeitraum fest, für den mit dem Operanden CHANGES-PER-PERIOD ein Maximalwert für die Anzahl von Kennwortänderungen festgelegt wird. Die Dauer wird in Tagen angegeben. Standardmäßig wird ein Zeitraum von einem Tag eingestellt.

CHANGES-PER-PERIOD = 1 / <integer 1..100>
Gibt die maximale Anzahl erlaubter Kennwortänderungen innerhalb des Zeitraums an, der im Operanden PERIOD festgelegt wird. Kennwortänderungen auf das Kennwort *NONE werden bei dieser Zählung nicht berücksichtigt. Standardmäßig kann das Kennwort ein Mal pro Tag geändert werden.

BLOCKING-TIME = 100 / <integer 1..32767>
Legt fest, wie lange ein Kennwort in der Kennwortliste gespeichert bleibt. Die Dauer wird in Tagen angegeben und beginnt an dem Tag, an dem ein Kennwort durch ein anderes ersetzt wird. Standardmäßig wird ein verbrauchtes Kennwort 100 Tage gesperrt.

SUSPEND-ATTRIBUTES = *LOGON-DEFAULT / *NONE / *YES(...)
Legt die Attribute für die Suspendierung fest. Die temporäre Sperre einer Benutzerkennung bzw. des Benutzers einer Benutzerkennung nach einer Anzahl fehlerhafter Zugangsversuche kann lokal für diese Benutzerkennung oder global in den Standard-Attributen festgelegt werden.

SUSPEND-ATTRIBUTES = *NONE
Es findet keine Suspendierung statt.

SUSPEND-ATTRIBUTES = *YES(...)
Vereinbart die Parameter für die Suspendierung.

COUNT = *LOGON-DEFAULT / <integer 0..32767>
Anzahl fehlerhafter Zugangsversuche, die innerhalb des mit OBSERVE-TIME festgelegten Zeitraums erlaubt sind. Weitere fehlerhafte Zugangsversuche haben eine Suspendierung zur Folge.

OBSERVE-TIME = *LOGON-DEFAULT / <integer 0..32767> (...)
Zeitraum, innerhalb dessen die mit dem Operanden COUNT angegebene Anzahl fehlerhafter Zugangsversuche stattfinden muss. Der Zeitraum beginnt mit dem ersten fehlerhaften Zugangsversuch. Ist der Beobachtungszeitraum beendet, ohne dass eine Suspendierung erfolgt ist, beginnt die Zählung beim nächsten Fehlversuch von vorne.

OBSERVE-TIME = <integer 0..32767> (...)
Angabe des Beobachtungszeitraums.

DIMENSION = *MINUTE / *HOUR
Zeiteinheit für den Beobachtungszeitraum.

SUSPEND-TIME = *LOGON-DEFAULT / <integer 1..32767> (...) / *UNLIMITED
Vereinbart die Dauer der Suspendierung. Während der Suspendierung wird ein Benutzer mit den Meldungen SRM3208 oder SRM3209 über die Tatsache und ggf. Dauer der Suspendierung informiert.

SUSPEND-TIME = <integer 1..32767> (...)
Dauer der Suspendierung.

DIMENSION = *MINUTE / *HOUR
Zeiteinheit für die Suspendierung.

SUSPEND-TIME = *UNLIMITED
Die Suspendierung ist von unbegrenzter Dauer.

SUBJECT = *LOGON-DEFAULT / *USER-IDENTIFICATION / *INITIATOR
Legt fest, ob die Benutzerkennung oder die Person, die die Zugangsversuche unternommen hat, suspendiert werden soll.

SUBJECT = *USER-IDENTIFICATION
Die Benutzerkennung wird suspendiert.

Diese Angabe ist bei der Systemkennung TSOS und der Benutzerkennung des Sicherheitsbeauftragten nicht erlaubt und wird mit Meldung SRM3672 abgewiesen.

SUBJECT = *INITIATOR
Die „Person“, die die Zugangsversuche unternommen hat, wird suspendiert (siehe Abschnitt „Sperrung von Terminals/Benutzerkennungen nach erfolglosen Zugangsversuchen").

INACTIVITY-LIMIT = *LOGON-DEFAULT / *NONE / <integer 1..366> (...)
Vereinbart die Zeit der Inaktivität, also die seit dem letzten Logon verstrichene Zeit, nach der die Benutzerkennung gesperrt werden soll. Die Sperre kann mit dem Kommando /MODIFY-USER-ATTRIBUTES aufgehoben werden.

INACTIVITY-LIMIT = *NONE
Es findet keine Überwachung der Inaktivität statt.

INACTIVITY-LIMIT = <integer 1..366> (...)
Angabe der Zeit bis zum Eintritt der Sperre (Inaktivitätslimit).
Diese Angabe ist bei den Systemkennungen nicht erlaubt und wird mit Meldung SRM3673 abgewiesen.

DIMENSION = *DAYS / *MONTHS
Zeiteinheit für das Inaktivitätslimit.

DIALOG-ACCESS = *LOGON-DEFAULT(...) / *YES(...) / *NO
Definiert die im Dialogbetrieb wirksamen Zugangskontrollen.

DIALOG-ACCESS = *YES(...)
Legt fest, dass Zugangskontrollen durchgeführt werden.

PASSWORD-CHECK = *YES / *NO
Legt fest, ob im Dialog eine Kennwortprüfung stattfindet.

TERMINALS-ALLOWED =
Legt die Datensichtstationen fest, von denen aus der Zugang erlaubt ist. Dieser Operand wird aus Kompatibilitätsgründen unterstützt. Die Steuerung über den Operanden TERMINAL-SET ist zu bevorzugen.

Bei gleichzeitiger Angabe der Operanden TERMINALS-ALLOWED und TERMINAL-SET beachten Sie bitte den Hinweis beim Operanden TERMINAL-SET im Kommando "SET-LOGON-PROTECTION".

TERMINALS-ALLOWED = *ALL
Alle Datensichtstationen sind zugelassen.

TERMINALS-ALLOWED = *PARAMETERS(...)
Schränkt den Zugang zur Benutzerkennung auf bestimmte Datensichtstationen ein (BCAM-Namen).

PROCESSOR = <name 1..8 with-wild>
BCAM-Name des Rechners, von dem aus die Verbindung zu $DIALOG aufgebaut wird (z.B. ein PC, auf dem eine Datensichtstations-Emulation läuft).

STATION = <name 1..8 with-wild>
Logischer Name der Datensichtstation.

TERMINAL-SET =
Angabe, ob die Kennung mit Terminal-Sets geschützt wird.

Hinweis

Bei gleichzeitiger Angabe der Operanden TERMINALS-ALLOWED (!=*ALL) und TERMINAL-SET (!= *NO-PROTECTION) ist Folgendes zu beachten:

Die Prüfung der Datensichtstation erfolgt zunächst anhand der Terminal-Liste (TERMINALS-ALLOWED). Gewährt diese den Zugang, wird die Terminal-Set-Liste nicht mehr überprüft. Eventuell widersprechende Angaben in einer Negativ-Liste oder im Guard eines Terminal-Sets bleiben unberücksichtigt. Nur falls die Prüfung der Terminal-Liste das Ergebnis „Kein Zugang“ liefert, findet eine Prüfung der Terminal-Set-Liste statt. Das Ergebnis dieser Prüfung entscheidet dann, ob ein Zugang zum aktuellen Zeitpunkt erlaubt ist oder nicht.

TERMINAL-SET = *NO-PROTECTION
Die Kennung wird nicht mit Terminal-Sets geschützt.

TERMINAL-SET = *NONE
Der Kennung wird eine leere Terminal-Set-Liste zugewiesen, d.h. es ist kein Dialogzugang erlaubt.

TERMINAL-SET = *EXCEPTION-LIST(...)
Es wird eine Negativliste von Terminal-Sets zugewiesen.

TERMINAL-SET = *NONE / list-poss(48): <name 1..8>(...)
Die Negativliste ist leer, d.h. der Dialogzugang ist uneingeschränkt erlaubt.

TERMINAL-SET = list-poss(48): <name 1..8>(...)
Den Datensichtstationen mit den Namen, die auf die Datensichtstationsnamen in den angegebenen Terminal-Sets passen, wird der Dialogzugang verboten.

Die Bedeutung der untergeordneten Operanden ist wie beim folgenden Operanden TERMINAL-SET.

TERMINAL-SET = list-poss(48): <name 1..8>(...)
Es wird eine Positivliste von Terminal-Sets zugewiesen. Den Datensichtstationen mit den Namen, die auf die Datensichtstationsnamen in den angegebenen Terminal-Sets passen, wird der Dialogzugang erlaubt.

SCOPE =
Klasse des Terminal-Set Namens.

SCOPE = *STD
Ein systemglobaler Benutzerverwalter weist standardmäßig globale, ein Gruppenverwalter lokale Terminal-Sets zu.

SCOPE = *USER
Es wird ein Terminal-Set aus dem Eigentum der Benutzerkennung zugewiesen.

SCOPE = *GROUP
Es wird ein Terminal-Set aus dem Eigentum der Gruppe der Benutzerkennung zugewiesen.

SCOPE = *SYSTEM
Es wird ein Terminal-Set aus gemeinschaftlichem Eigentum zugewiesen.

GUARD-NAME =
Gibt an, ob der Dialog-Zugang zu einer Benutzerkennung mit einem Guard geschützt wird.

GUARD-NAME = *NONE
Der Dialog-Zugang zur Benutzerkennung wird nicht mit einem Guard geschützt.

GUARD-NAME = <filename 1..18 without-cat-gen-vers>
Der Zugang zur Benutzerkennung ist nur erlaubt, wenn die Zugriffsbedingungen im angegebenen Guard erfüllt sind.

Die geschützte Benutzerkennung muss berechtigter Benutzer des angegebenen Guards sein. Bei der Auswertung des Guards werden nur die Zeitbedingungen Date, Time und Weekday berücksichtigt. Welche Benutzerkennung als Subjekt in der Zugriffsbedingung des Guards zugelassen sein muss, hängt vom Operanden PERSONAL-LOGON ab. Bei PERSONAL-LOGON=*NO gilt die geschützte Benutzerkennung als Subjekt der Zugriffsbedingung. Bei PERSONAL-LOGON=*YES ist das die persönliche Benutzerkennung.

PERSONAL-LOGON =
Legt fest, ob beim Dialogzugang neben der Logon- auch eine persönliche Benutzerkennung verlangt wird.

PERSONAL-LOGON = *NO
Es wird nur die Logon-Benutzerkennung verlangt.

PERSONAL-LOGON = *YES
Es wird zusätzlich zur Logon- eine persönliche Benutzerkennung verlangt.

PERSONAL-LOGON = *PRIVILEGED
Es wird zusätzlich zur Logon- eine persönliche Benutzerkennung verlangt.

Außerdem erhält die Dialog-Task zusätzlich zu den Privilegien der Logon-Kennung auch die der persönlichen Kennung (außer TSOS, falls vorhanden).

Die Vorgabe zur Protokollierung aller Ereignisse (AUDIT-SWITCH=*ON) wird aus den Einstellungen der SAT-Preselection für die Protokollierung der persönlichen Benutzerkennung (USER-AUDITING) in die Dialog-Task übernommen.

Ist die Logon-Kennung Gruppenverwalter und die persönliche Kennung Benutzerverwalter, übernimmt die Dialog-Task die Rolle des Gruppenverwalters und erhält nicht das Privileg USER-ADMINISTRATION.

Die Vereinigungsmenge der Privilegien kann mit folgendem Kommando angezeigt werden:

/SHOW-PRIVILEGE INFORMATION = *RUN-PRIVILEGE(...)

DIALOG-ACCESS = *NO
Die Zugangsklasse DIALOG ist für diese Benutzerkennung gesperrt.

BATCH-ACCESS = *LOGON-DEFAULT(...) / *YES(...) / *NO
Definiert, ob und welche Zugangskontrollen im Batchbetrieb wirksam sein sollen.

BATCH-ACCESS = *YES(...)
Definiert die im Batchbetrieb wirksamen Zugangskontrollen.

PASSWORD-CHECK = *YES / *NO / *GUARD(...)
Legt fest, ob für Batchaufträge eine Kennwortprüfung stattfindet.

PASSWORD-CHECK = *GUARD(...)
Das Recht, Batchaufträge ohne Kennwort zu starten, wird über ein Guard verwaltet.

GUARD-NAME = <filename 1..18 without-cat-gen-vers>
Batchaufträge dürfen ohne Kennwort gestartet werden, wenn für die aufrufende Benutzerkennung die Zugriffsbedingungen im angegebenen Guard erfüllt sind.

Die geschützte Benutzerkennung muss berechtigter Benutzer des angegebenen Guards sein. Bei der Auswertung des Guards sind zwei Fälle zu unterscheiden:

USER-ACCESS =
Legt fest, von welchen Benutzerkennungen auf dieser Benutzerkennung Batchaufträge gestartet werden dürfen.

Bei gleichzeitiger Angabe der Operanden USER-ACCESS und GUARD-NAME beachten Sie bitte den Hinweis beim Operanden GUARD-NAME im Kommando SET-LOGON-PROTECTION.

USER-ACCESS = *ALL
Von allen Benutzerkennungen und Bedienstationen dürfen Batchaufträge gestartet werden.

USER-ACCESS = *OWNER
Von der unter USER-IDENTIFICATION angegebenen Benutzerkennung selbst dürfen Batchaufträge gestartet werden.

USER-ACCESS = *GROUP
Von allen zur Gruppe der USER-IDENTIFICATION gehörigen Benutzerkennungen (ohne die unter USER-IDENTIFICATION angegebene Benutzerkennung selbst) dürfen Batchaufträge auf dieser Benutzerkennung gestartet werden.

USER-ACCESS = *OTHERS
Von allen Benutzerkennungen des Rechners (ohne die unter USER-IDENTIFICATION angegebene Benutzerkennung und deren Benutzergruppe) dürfen Batchaufträge unter der Benutzerkennung gestartet werden.

USER-ACCESS = *CONSOLE
Von einem Operator ohne eigene Benutzerkennung dürfen auf dieser Benutzerkennung Batchaufträge gestartet werden.

USER-ACCESS = <name 1..8>
Von allen angegebenen Benutzerkennungen dürfen Batchaufträge unter der Benutzerkennung gestartet werden.

GUARD-NAME =
Gibt an, ob der Batch-Zugang zu einer Benutzerkennung mit einem Guard geschützt wird.

Hinweis

Bei gleichzeitiger Angabe der Operanden USER-ACCESS (!=*ALL) und GUARD-NAME (!=*NONE) ist Folgendes zu beachten:

Die Prüfung der Benutzerkennung des Aufrufers erfolgt zunächst anhand der User-Access-Liste. Gewährt diese den Zugang, wird das Guard nicht mehr überprüft. Eventuell widersprechende Angaben im Guard bleiben unberücksichtigt. Nur falls die Prüfung der User-Access-Liste das Ergebnis „Kein Zugang“ liefert, findet eine Prüfung des Guards statt. Das Ergebnis dieser Prüfung entscheidet dann, ob ein Zugang zum aktuellen Zeitpunkt erlaubt ist oder nicht.

GUARD-NAME = *NONE
Der Batch-Zugang zur Benutzerkennung wird nicht mit einem Guard geschützt.

GUARD-NAME = <filename 1..18 without-cat-gen-vers>
Der Batch-Zugang zur Benutzerkennung ist nur erlaubt, wenn für die aufrufende Benutzerkennung die Zugriffsbedingungen im angegebenen Guard erfüllt sind.

Die geschützte Benutzerkennung muss berechtigter Benutzer des angegebenen Guards sein. Bei der Auswertung des Guards sind zwei Fälle zu unterscheiden:

BATCH-ACCESS = *NO
Die Zugangsklasse BATCH ist für die Benutzerkennung gesperrt.

OPERATOR-ACCESS-TERM = *LOGON-DEFAULT(...) / *YES(...) / *NO
Definiert die im Operator-Betrieb für einen über Terminal angeschlossenen Dialogpartner wirksamen Authentisierungsverfahren. Die Möglichkeiten der Operator-Authentisierung sind detailliert im Handbuch „Einführung in die Systembetreuung“ [2] beschrieben.

OPERATOR-ACCESS-TERM = *YES(...)
Die Zugangsklasse Operating-Betrieb ist für diese Kennung erlaubt.

PASSWORD-CHECK = *YES / *NO
Legt fest, ob im Operating-Betrieb eine Kennwortprüfung stattfindet oder nicht.

OPERATOR-ACCESS-TERM = *NO
Die Zugangsklasse Operating-Betrieb ist für diese Kennung gesperrt.

OPERATOR-ACCESS-PROG = *LOGON-DEFAULT(...) / *YES(...) / *NO
Definiert die im Operating-Betrieb für programmierte Operator (PROP-XT) wirksamen Authentisierungsverfahren.

OPERATOR-ACCESS-PROG = *YES(...)

PASSWORD-CHECK = *YES / *NO
Legt fest, ob für den programmierten Operator eine Kennwortprüfung stattfindet oder nicht.

OPERATOR-ACCESS-PROG = *NO
Die Zugangsklasse OPERATOR-ACCESS-PROGRAM ist für den programmierten Operator gesperrt.

OPERATOR-ACCESS-CONS = *LOGON-DEFAULT(...) / *YES(...) / *NO
Bestimmt, ob unter dieser Benutzerkennung ein Zugang an der physikalischen Konsole im inkompatiblen Modus erlaubt ist.

OPERATOR-ACCESS-CONS = *YES(...)

PASSWORD-CHECK = *YES / *NO
Legt fest, ob beim Konsol-Zugang eine Kennwortprüfung stattfindet.

OPERATOR-ACCESS-CONS = *NO
Es ist kein Konsol-Zugang möglich.

POSIX-RLOGIN-ACCESS = *LOGON-DEFAULT(...) / *YES(...) / *NO
Die Zugangsklassen-Attribute für POSIX-Remote-Login können festgelegt werden.

POSIX-RLOGIN-ACCESS = *YES(...)
Die BS2000-Benutzerkennung ist für den Systemzugang über POSIX-Remote-Login offen.

PASSWORD-CHECK = *YES / *NO
Legt fest, ob beim Zugang über POSIX-Remote-Login eine Kennwortprüfung stattfindet.

TERMINAL-SET =
Angabe, ob die Kennung für den Zugang über POSIX-Remote-Login mit Terminal-Sets geschützt wird.

TERMINAL-SET = *NO-PROTECTION
Die Kennung wird nicht mit Terminal-Sets geschützt.

TERMINAL-SET = *NONE
Der Kennung wird eine leere Terminal-Set-Liste zugewiesen, d.h. es ist kein POSIX-Remote-Login erlaubt.

TERMINAL-SET = *EXCEPTION-LIST(...)
Es wird eine Negativliste von Terminal-Sets zugewiesen.

TERMINAL-SET = *NONE / list-poss(48): <name 1..8>(...)
Die Negativliste ist leer, d.h. POSIX-Remote-Login ist uneingeschränkt erlaubt.

TERMINAL-SET = list-poss(48): <name 1..8>(...)
Den UNIX-Clients mit den Namen, die auf die Datensichtstationsnamen in den angegebenen Terminal-Sets passen, wird der Zugang über POSIX-Remote-Login verboten.

Die Bedeutung der untergeordneten Operanden ist wie beim folgenden Operanden TERMINAL-SET.

TERMINAL-SET = list-poss(48): <name 1..8>(...)
Es wird eine Positivliste von Terminal-Sets zugewiesen. Den UNIX-Clients mit den Namen, die auf die Datensichtstationsnamen in den angegebenen Terminal-Sets passen, wird der Zugang über POSIX-Remote-Login erlaubt.

SCOPE =
Klasse des Terminal-Set Namens.

SCOPE = *STD
Ein systemglobaler Benutzerverwalter weist standardmäßig globale, ein Gruppenverwalter lokale Terminal-Sets zu.

SCOPE = *USER
Es wird ein Terminal-Set aus dem Eigentum der Benutzerkennung zugewiesen.

SCOPE = *GROUP
Es wird ein Terminal-Set aus dem Eigentum der Gruppe der Benutzerkennung zugewiesen.

SCOPE = *SYSTEM
Es wird ein Terminal-Set aus gemeinschaftlichem Eigentum zugewiesen.

GUARD-NAME =
Gibt an, ob der Zugang über POSIX-Remote-Login mit einem Guard geschützt wird.

GUARD-NAME = *NONE
Der Zugang über POSIX-Remote-Login wird nicht mit einem Guard geschützt.

GUARD-NAME = <filename 1..18 without-cat-gen-vers>
Der Zugang über POSIX-Remote-Login ist nur erlaubt, wenn die Zugriffsbedingungen im angegebenen Guard erfüllt sind. Die geschützte Benutzerkennung muss berechtigter Benutzer des angegebenen Guards sein. Bei der Auswertung des Guards werden nur die Zeitbedingungen Date, Time und Weekday berücksichtigt. Subjekt der Zugriffsbedingung ist die geschützte Benutzerkennung.

POSIX-RLOGIN-ACCESS = *NO
Die BS2000-Benutzerkennung ist für den Systemzugang über POSIX-Remote-Login gesperrt.

POSIX-REMOTE-ACCESS = *LOGON-DEFAULT(...) / *YES(...) / *NO
Die BS2000-Benutzerkennung wird für den Systemzugang über ein POSIX-Remote-Kommando geöffnet oder gesperrt.

TERMINAL-SET =
Angabe, ob die Kennung für den Zugang über ein POSIX-Remote-Kommando mit Ter-minal-Sets geschützt wird.

TERMINAL-SET = *NO-PROTECTION
Die Kennung wird nicht mit Terminal-Sets geschützt.

TERMINAL-SET = *NONE
Der Kennung wird eine leere Terminal-Set-Liste zugewiesen, d.h. es ist kein Zugang über ein POSIX-Remote-Kommando erlaubt.

TERMINAL-SET = *EXCEPTION-LIST(...)
Es wird eine Negativliste von Terminal-Sets zugewiesen.

TERMINAL-SET = *NONE / list-poss(48): <name 1..8>(...)
Die Negativliste ist leer, d.h. der Zugang über ein POSIX-Remote-Kommando ist uneingeschränkt erlaubt.

TERMINAL-SET = list-poss(48): <name 1..8>(...)
Den UNIX-Clients mit den Namen, die auf die Datensichtstationsnamen in den angegebenen Terminal-Sets passen, wird der Zugang über ein POSIX-Remote-Kommando verboten.

Die Bedeutung der untergeordneten Operanden ist wie beim folgenden Operanden TERMINAL-SET.

TERMINAL-SET = list-poss(48): <name 1..8>(...)
Es wird eine Positivliste von Terminal-Sets zugewiesen. Den UNIX-Clients mit den Namen, die auf die Datensichtstationsnamen in den angegebenen Terminal-Sets passen, wird der Zugang über ein POSIX-Remote-Kommando erlaubt.

SCOPE =
Klasse des Terminal-Set Namens.

SCOPE = *STD
Ein systemglobaler Benutzerverwalter weist standardmäßig globale, ein Gruppenverwalter lokale Terminal-Sets zu.

SCOPE = *USER
Es wird ein Terminal-Set aus dem Eigentum der Benutzerkennung zugewiesen.

SCOPE = *GROUP
Es wird ein Terminal-Set aus dem Eigentum der Gruppe der Benutzerkennung zugewiesen.

SCOPE = *SYSTEM
Es wird ein Terminal-Set aus gemeinschaftlichem Eigentum zugewiesen.

GUARD-NAME =
Gibt an, ob der Zugang über ein POSIX-Remote-Kommando mit einem Guard geschützt wird.

GUARD-NAME = *NONE
Der Zugang über ein POSIX-Remote-Kommando wird nicht mit einem Guard geschützt.

GUARD-NAME = <filename 1..18 without-cat-gen-vers>
Der Zugang über ein POSIX-Remote-Kommando ist nur erlaubt, wenn die Zugriffsbedingungen im angegebenen Guard erfüllt sind. Die geschützte Benutzerkennung muss berechtigter Benutzer des angegebenen Guards sein. Bei der Auswertung des Guards werden nur die Zeitbedingungen Date, Time und Weekday berücksichtigt. Subjekt der Zugriffsbedingung ist die UNIX/POSIX-Benutzerkennung, unter der das Kommando rsh bzw. rcp eingegeben wurde. Es ist nicht notwendig, dass diese Kennung im BS2000 existiert.

POSIX-REMOTE-ACCESS = *NO
Die BS2000-Benutzerkennung ist für den Systemzugang über ein POSIX-Remote-Kommando gesperrt.

NET-DIALOG-ACCESS = *LOGON-DEFAULT(...) / *YES(...) / *NO
Angabe, ob der Dialogzugang aus dem Netzwerk erlaubt ist.

NET-DIALOG-ACCESS = *YES(...)
Der Dialogzugang aus dem Netzwerk ist zugelassen.

PASSWORD-CHECK = *YES / *NO
Legt fest, ob beim Netzwerk-Zugang die Prüfung des Logon-Kennwortes stattfinden soll.

PRINCIPAL =
Angabe, ob der Zugang unter Nutzung der Kerberos-Authentisierung erlaubt ist.

PRINCIPAL = *NO-PROTECTION
Für diese Benutzerkennung ist keine Kerberos-Authentisierung vorgesehen. Der Client wird nicht zur Vorlage eines Kerberos-Tickets aufgefordert, sondern der Zugang direkt der Klasse DIALOG-ACCESS zugeordnet.

PRINCIPAL = *NONE
Die Liste der Kerberos-Namen wird leer angelegt, der Netzwerkzugang ist ausgeschlossen.

PRINCIPAL = *ALL
Für diese Benutzerkennung ist keine Kerberos-Authentisierung vorgesehen. Der Client wird aber zur Vorlage eines Kerberos-Tickets aufgefordert. Der darin enthaltene Ker-beros-Name wird in der Logon-History angezeigt und als Audit-Identifikation verwendet. Unterstützt der Client keine Kerberos-Authentisierung, wird der Zugang der Klasse DIALOG-ACCESS zugeordnet.

PRINCIPAL = list-poss(48): <composed-name 1..1800 with-under with-wild> / <c-string 1..1800 with-low>
Gibt die Liste der Kerberos-Namen der Clients an, die zu dieser Benutzerkennung Zugang haben, wenn sie über ein gültiges Kerberos-Ticket verfügen. Unterstützt der Client keine Kerberos-Authentisierung wird der Zugang der Klasse DIALOG-ACCESS zugeordnet. Die Prüfung des Kerberos-Namens berücksichtigt nicht die Groß- und Kleinschreibung. Bei der Prüfung werden Wildcard-Zeichen ausgewertet. Einzelne Wildcard-Zeichen können im Format <c-string> durch Voranstellen des Zeichens ’\’ entwertet werden.

TERMINAL-SET =
Angabe, ob die Kennung für den Netzwerkzugang mit Terminal-Sets geschützt wird.

TERMINAL-SET = *NO-PROTECTION
Die Kennung wird nicht mit Terminal-Sets geschützt.

TERMINAL-SET = *NONE
Der Kennung wird eine leere Terminal-Set-Liste zugewiesen, d.h. es ist kein Netzwerkzugang erlaubt.

TERMINAL-SET = *EXCEPTION-LIST(...)
Es wird eine Negativliste von Terminal-Sets zugewiesen.

TERMINAL-SET = *NONE / list-poss(48): <name 1..8>(...)
Die Negativliste ist leer, d.h. der Netzwerkzugang ist uneingeschränkt erlaubt.

TERMINAL-SET = list-poss(48): <name 1..8>(...)
Den Datensichtstationen mit den Namen, die auf die Datensichtstationsnamen in den angegebenen Terminal-Sets passen, wird der Netzwerkzugang verboten.

Die Bedeutung der untergeordneten Operanden ist wie beim folgenden Operanden TERMINAL-SET.

TERMINAL-SET = list-poss(48): <name 1..8>(...)
Es wird eine Positivliste von Terminal-Sets zugewiesen. Den Datensichtstationen mit den Namen, die auf die Datensichtstationsnamen in den angegebenen Terminal-Sets passen, wird der Netzwerkzugang erlaubt.

SCOPE =
Klasse des Terminal-Set Namens.

SCOPE = *STD
Ein systemglobaler Benutzerverwalter weist standardmäßig globale, ein Gruppenverwalter lokale Terminal-Sets zu.

SCOPE = *USER
Es wird ein Terminal-Set aus dem Eigentum der Benutzerkennung zugewiesen.

SCOPE = *GROUP
Es wird ein Terminal-Set aus dem Eigentum der Gruppe der Benutzerkennung zugewiesen.

SCOPE = *SYSTEM
Es wird ein Terminal-Set aus gemeinschaftlichem Eigentum zugewiesen.

GUARD-NAME =
Gibt an, ob der Netzwerkzugang mit einem Guard geschützt wird.

GUARD-NAME = *NONE
Der Netzwerkzugang wird nicht mit einem Guard geschützt.

GUARD-NAME = <filename 1..18 without-cat-gen-vers>
Der Netzwerkzugang ist nur erlaubt, wenn die Zugriffsbedingungen im angegebenen Guard erfüllt sind. Die geschützte Benutzerkennung muss berechtigter Benutzer des angegebenen Guards sein. Bei der Auswertung des Guards werden nur die Zeitbedingungen Date, Time und Weekday berücksichtigt. Subjekt der Zugriffsbedingung ist die geschützte Benutzerkennung.

NET-DIALOG-ACCESS = *NO
Die BS2000-Benutzerkennung ist für den Netzwerkzugang gesperrt.

Hinweis

Das Zusammenspiel mit dem Kommando /ADD-USER kann durch den Operanden LOCK-USER dieser Kommandos erfolgen:

Beim Eintragen des Benutzers kann dieser mit LOCK-USER=*YES gesperrt werden, um LOGON-Versuche bis zur Eingabe des Kommandos /SET-LOGON-PROTECTION zu verhindern. Nach Vereinbarung von Schutzattributen kann die Benutzerkennung mit /UNLOCK-USER freigegeben werden.

Kommando-Returncode

Beispiel