advertisement
SET-LOGON-PROTECTION
BS2000-Kommandos für POSIX
SET-LOGON-PROTECTION
Schutzattribute vereinbaren
Anwendungsbereich:
USER-ADMINISTRATION
Privilegierung:
STD-PROCESSING, USER-ADMINISTRATION
Vereinbart Schutzattribute für existierende Benutzerkennungen.
Berechtigt zur Ausführung des Kommandos sind:
– Systemglobale Benutzerverwalter (Inhaber des Privilegs USER-ADMINISTRATION) für alle Benutzerkennungen
– Gruppenverwalter, die mindestens das Attribut MANAGE-MEMBERS besitzen, für die ihrer Benutzergruppe zu- und untergeordneten Benutzerkennungen.
An der Benutzeroberfläche des Kommandos SHOW-LOGON-PROTECTION ändert sich durch POSIX nichts. Die folgende Syntaxdarstellung zeigt nur den POSIX-relevanten Teil des Kommandos. Zusätzlich kann noch der Operand BATCH-ACCESS von Bedeutung sein
(z.B. für at, batch, crontab).
Das vollständige Kommando finden Sie im Handbuch „
“ [
232
U22795-J-Z125-6
BS2000-Kommandos für POSIX
SET-LOGON-PROTECTION
Format
SET-LOGON-PROTECTION
. . .
= *YES (...) / *NO
*YES(...)
⏐
⏐
= *NO-PROTECTION / *NONE / *EXCEPTION-LIST(…) /
⏐ list-poss(48): <name 1..8>(…)
⏐
*EXCEPTION-LIST (…)
⏐
⏐
⏐
TERMINAL-SET = *NONE / list-poss(48): <name 1..8>(…)
⏐
<name 1..8>(…)
⏐ ⏐ ⏐
= *STD / *USER / *GROUP / *SYSTEM
⏐
<name 1..8>(…)
⏐ ⏐
= *STD / *USER / *GROUP / *SYSTEM
⏐
= *NONE / <filename 1..18 without-cat-gen-vers>
*YES(...)
⏐
= *NO-PROTECTION / *NONE / *EXCEPTION-LIST(…) /
⏐ list-poss(48): <name 1..8>(…)
⏐
*EXCEPTION-LIST (…)
⏐
⏐
⏐
(TERMINAL-SET = *NONE / list-poss(48): <name 1..8>(…)
⏐
<name 1..8>(…)
⏐ ⏐ ⏐
= *STD / *USER / *GROUP / *SYSTEM
⏐
<name 1..8>(…)
⏐ ⏐
= *STD / *USER / *GROUP / *SYSTEM
⏐
= *NONE / <filename 1..18 without-cat-gen-vers>
= *YES / *NO
U22795-J-Z125-6
233
SET-LOGON-PROTECTION
BS2000-Kommandos für POSIX
Operandenbeschreibung
POSIX-RLOGIN-ACCESS =
Die Zugangsklassen-Attribute für POSIX-Remote-Login können festgelegt werden.
POSIX-RLOGIN-ACCESS = *YES(...)
Die BS2000-Benutzerkennung ist für den Systemzugang über POSIX-Remote-Login offen.
PASSWORD-CHECK = *YES / *NO
Legt fest, ob beim Zugang über POSIX-Remote-Login eine Kennwortprüfung stattfindet.
TERMINAL-SET =
Angabe, ob die Kennung für den Zugang über POSIX-Remote-Login mit Terminal-Sets geschützt wird.
TERMINAL-SET = *NO-PROTECTION
Die Kennung wird nicht mit Terminal-Sets geschützt.
TERMINAL-SET = *NONE
Der Kennung wird eine leere Terminal-Set-Liste zugewiesen, d.h. es ist kein POSIX-
Remote-Login erlaubt.
TERMINAL-SET = *EXCEPTION-LIST(...)
Es wird eine Negativliste von Terminal-Sets zugewiesen.
TERMINAL-SET = *NONE / list-poss(48): <name 1..8>(…)
Die Negativliste ist leer, d.h. POSIX-Remote-Login ist uneingeschränkt erlaubt.
TERMINAL-SET = list-poss(48): <name 1..8>(…)
Den Datensichtstationen mit den Namen, die auf die Datensichtstationsnamen in den angegebenen Terminal-Sets passen, wird der Zugang über POSIX-Remote-
Login verboten.
Die Bedeutung der untergeordneten Operanden ist wie beim folgenden Operanden
TERMINAL-SET.
TERMINAL-SET = list-poss(48): <name 1..8>(…)
Es wird eine Positivliste von Terminal-Sets zugewiesen. Den Datensichtstationen mit den Namen, die auf die Datensichtstationsnamen in den angegebenen Terminal-Sets passen, wird der Zugang über POSIX-Remote-Login erlaubt.
SCOPE =
Klasse des Terminal-Set Namens.
SCOPE = *STD
Ein systemglobaler Benutzerverwalter weist standardmäßig globale, ein Gruppenverwalter lokale Terminal-Sets zu.
234
U22795-J-Z125-6
BS2000-Kommandos für POSIX
SET-LOGON-PROTECTION
SCOPE = *USER
Es wird ein Terminal-Set aus dem Eigentum der Benutzerkennung zugewiesen.
SCOPE = *GROUP
Es wird ein Terminal-Set aus dem Eigentum der Gruppe der Benutzerkennung zugewiesen.
SCOPE = *SYSTEM
Es wird ein Terminal-Set aus gemeinschaftlichem Eigentum zugewiesen.
GUARD-NAME =
Gibt an, ob der Zugang über POSIX-Remote-Login mit einem Guard geschützt wird.
GUARD-NAME = *NONE
Der Zugang über POSIX-Remote-Login wird nicht mit einem Guard geschützt.
GUARD-NAME = <filename 1..18 without-cat-gen-vers>
Der Zugang über POSIX-Remote-Login ist nur erlaubt, wenn die Zugriffsbedingungen im angegebenen Guard erfüllt sind. Die geschützte Benutzerkennung muss berechtigter Benutzer des angegebenen Guards sein. Bei der Auswertung des Guards werden nur die Zeitbedingungen Date, Time und Weekday berücksichtigt. Subjekt der Zugriffsbedingung ist die geschützte Benutzerkennung.
POSIX-RLOGIN-ACCESS = *NO
Die BS2000-Benutzerkennung ist für den Systemzugang über POSIX-Remote-Login gesperrt.
POSIX-REMOTE-ACCESS = *YES(...) / *NO
Die BS2000-Benutzerkennung wird für den Systemzugang über ein POSIX-Remote-Kommando geöffnet oder gesperrt.
TERMINAL-SET =
Angabe, ob die Kennung für den Zugang über ein POSIX-Remote-Kommando mit
Terminal-Sets geschützt wird.
TERMINAL-SET = *NO-PROTECTION
Die Kennung wird nicht mit Terminal-Sets geschützt.
TERMINAL-SET = *NONE
Der Kennung wird eine leere Terminal-Set-Liste zugewiesen, d.h. es ist kein Zugang
über ein POSIX-Remote-Kommando erlaubt.
TERMINAL-SET = *EXCEPTION-LIST(...)
Es wird eine Negativliste von Terminal-Sets zugewiesen.
TERMINAL-SET = *NONE / list-poss(48): <name 1..8>(…)
Die Negativliste ist leer, d.h. der Zugang über ein POSIX-Remote-Kommando ist uneingeschränkt erlaubt.
U22795-J-Z125-6
235
SET-LOGON-PROTECTION
236
BS2000-Kommandos für POSIX
TERMINAL-SET = list-poss(48): <name 1..8>(…)
Den Datensichtstationen mit den Namen, die auf die Datensichtstationsnamen in den angegebenen Terminal-Sets passen, wird der Zugang über ein POSIX-
Remote-Kommando verboten.
Die Bedeutung der untergeordneten Operanden ist wie beim folgenden Operanden
TERMINAL-SET.
TERMINAL-SET = list-poss(48): <name 1..8>(…)
Es wird eine Positivliste von Terminal-Sets zugewiesen. Den Datensichtstationen mit den Namen, die auf die Datensichtstationsnamen in den angegebenen Terminal-Sets passen, wird der Zugang über ein POSIX-Remote-Kommando erlaubt.
SCOPE =
Klasse des Terminal-Set Namens.
SCOPE = *STD
Ein systemglobaler Benutzerverwalter weist standardmäßig globale, ein Gruppenverwalter lokale Terminal-Sets zu.
SCOPE = *USER
Es wird ein Terminal-Set aus dem Eigentum der Benutzerkennung zugewiesen.
SCOPE = *GROUP
Es wird ein Terminal-Set aus dem Eigentum der Gruppe der Benutzerkennung zugewiesen.
SCOPE = *SYSTEM
Es wird ein Terminal-Set aus gemeinschaftlichem Eigentum zugewiesen.
GUARD-NAME =
Gibt an, ob der Zugang über ein POSIX-Remote-Kommando mit einem Guard geschützt wird.
GUARD-NAME = *NONE
Der Zugang über ein POSIX-Remote-Kommando wird nicht mit einem Guard geschützt.
GUARD-NAME = <filename 1..18 without-cat-gen-vers>
Der Zugang über ein POSIX-Remote-Kommando ist nur erlaubt, wenn die Zugriffsbedingungen im angegebenen Guard erfüllt sind. Die geschützte Benutzerkennung muss berechtigter Benutzer des angegebenen Guards sein. Bei der Auswertung des Guards werden nur die Zeitbedingungen Date, Time und Weekday berücksichtigt. Subjekt der
Zugriffsbedingung ist die POSIX-Benutzerkennung, unter der das Kommando rsh bzw.
rcp
eingegeben wurde. Es ist nicht notwendig, dass diese Kennung im BS2000 existiert.
POSIX-REMOTE-ACCESS = *NO
Die BS2000-Benutzerkennung ist für den Systemzugang über ein POSIX-Remote-Kommando gesperrt.
U22795-J-Z125-6
BS2000-Kommandos für POSIX
SET-LOGON-PROTECTION
POSIX-SERVER-ACCESS = *YES / *NO
Bestimmt, ob unter dieser Benutzerkennung Tasks mit Hilfe des POSIX-fork-Mechanismus gestartet werden dürfen.
Dieser Zugang bezieht sich nur auf die BS2000-spezifische Bibliotheksfunktion ufork, eine
Erweiterung der POSIX Bibliotheksfunktion fork. Diese gestattet es dem Vaterprozess, die
Benutzerkennung des Sohnprozesses explizit zu bestimmen.
Der Zugang über fork nach POSIX-Standard unterliegt keinen Beschränkungen durch die
BS2000-Zugangskontrolle. Hierbei erbt der Sohnprozess die Benutzerkennung des Vaterprozesses. Diese lässt sich auch durch einen anschließenden Wechsel der Benutzernummer mit der Bibliotheksfunktion setuid nicht mehr verändern.
Beispiel
Die Benutzerkennung PSXROOT wird für den Systemzugang über einen fernen Rechner zugelassen:
/SET-LOGON-PROTECTION USER-ID=PSXROOT,POSIX-RLOGIN-ACCESS=*YES
U22795-J-Z125-6
237
advertisement
Related manuals
advertisement