Eine Stufe über den Schutzattributen ACCESS/USER-ACCESS liegt in der Hierarchie der Zugriffsschutzmechanismen die einfache Zugriffskontrollliste (Basic Access Control List, BACL). Sie ist für ein Objekt dann wirksam, wenn für das Objekt kein Guards-Schutz definiert ist. Kennwortschutz und Schutzfrist sind zusätzlich wirksam.

Mit einer BACL können für den Objekt-Eigentümer, für die Mitglieder seiner Benutzergruppe und für alle anderen Benutzer unterschiedliche Zugriffsrechte definiert werden. Eine Festlegung von Zugriffsrechten für einzelne Benutzerkennungen ist mit diesem Zugriffsschutzmechanismus jedoch nicht möglich.

Eine einfache Zugriffskontrollliste für Dateien wird mit dem Operanden BASIC-ACL der Kommandos /CREATE-FILE oder /MODIFY-FILE-ATTRIBUTES definiert.

Einfache Zugriffskontrolllisten für Jobvariablen können entsprechend mit den Kommandos /CREATE-JV oder /MODIFY-JV-ATTRIBUTES definiert werden.

Benutzerklassen

Aufbauend auf dem Konzept der Benutzergruppen gibt es beim Schutzmechanismus BACL Benutzerklassen, die jeweils unterschiedliche Zugriffsrechte erhalten können. Die Benutzerklassen unterteilen die Menge aller Benutzer in folgende Teilmengen:

OWNER:

Eigentümer eines Objekts – die Benutzerkennung, unter der die Datei oder Jobvariable katalogisiert ist

GROUP:

Alle Benutzerkennungen, die derselben Benutzergruppe wie der Eigentümer angehören, mit Ausnahme des Eigentümers selbst und der Miteigentümer

OTHERS:

Alle übrigen Benutzer mit Ausnahme der Miteigentümer

Die Benutzer werden individuell aus der Sicht des Objekteigentümers klassifiziert. Bezüglich eines Objekts sind die Benutzerklassen OWNER, GROUP und OTHERS immer disjunkte Mengen von Benutzern.

Hinweise zur Benutzerklasse GROUP

Alle Benutzer, die keiner explizit eingerichteten Gruppe zugeordnet sind, sind automatisch Mitglied der implizit eingerichteten Gruppe *UNIVERSAL. Dies gilt insbesondere dann, wenn gar keine Gruppen explizit eingerichtet wurden. In diesem Fall sind alle Systembenutzer Mitglied derselben Gruppe. Bei der Auswertung einer BACL erhalten daher alle zugreifenden Benutzerkennungen außer dem Objekteigentümer selbst die Zugriffsrechte aus dem GROUP-Eintrag und nicht die des OTHERS-Eintrags.

Zugriffsrechte

Für jede der Benutzerklassen können drei Zugriffsrechte festgelegt werden:

• Lesen (R)

• Schreiben (W)

• Ausführen (X)

Beispiel

Der Eigentümer einer Datei will auf diese lesend, schreibend und ausführend zugreifen. Den Mitgliedern seiner Benutzergruppe will er den lesenden und schreibenden Zugriff gestatten. Allen anderen Benutzern soll nur der lesende Zugriff erlaubt sein.

%00000003 :AAAA:$EVA.TEST
%  ------------------------------- SECURITY     -------------------------------
%  READ-PASS  = NONE        WRITE-PASS = NONE        EXEC-PASS  = NONE
%  USER-ACC   = OWNER-ONLY  ACCESS     = WRITE       ACL        = NO
%  OWNER      = R W X       GROUP      = R W -       OTHERS     = R - -
%  AUDIT      = NONE        FREE-DEL-D = *NONE       EXPIR-DATE = NONE
%  DESTROY    = NO          FREE-DEL-T = *NONE       EXPIR-TIME = NONE
%  SP-REL-LOCK= NO 

Weitere Informationen zur BACL finden Sie im Handbuch „Einführung in das DVS“ [6].