我想要創建將要查看所有用戶配置文件和組配置文件的用戶,但不應該有權訪問AS400計算機上的更改或刪除任何內容。在AS400上的只讀權限
要做到這一點我已經創建的用戶具有以下permissions-
User class - *SECADM
Special Authority - *ALLOBJ, *SECADM.
通過創建這種類型的用戶才能實現只讀僅此訪問。 IBMi版本 - V7R1和V7R2
我的主要需求是創建一個擁有最小權限的用戶意味着誰只能從IBM機器讀取數據,並且無法更改任何事物。
如果有人對此有任何意見,請分享。
*ALLOBJ是IBM i上一個非常強大的特殊權限,允許用戶更改或刪除IBM i上的幾乎所有內容。
從IBM我Security manual(7.3版):
風險: * ALLOBJ特殊權限給出了所有資源系統上的用戶廣泛權力。用戶可以查看,更改或刪除任何對象。用戶還可以授予其他用戶使用對象的權限。
*SECADM是IBM i上一個非常特殊的權限,它允許用戶創建,更改和刪除用戶配置文件。可能不是你想讓普通用戶能夠做的事情。應該嚴格控制。
用戶類大多沒有意義,因爲它只控制菜單訪問。基於菜單的權限在AS400通常是獨立系統或僅與其他AS400聯網的當天很有用。
注意:我在這裏使用AS400,因爲它是當天整個系統(硬件和操作系統)的名稱,新硬件上的當前命名比較複雜,但IBM i是以前已知的操作系統的名稱爲您解決問題OS/400
的一種方式,如user2338816在他的評論所指出的,是創建CL程序MYGETUSER包含你想用做一個命令DSPUSRPRF或RTVUSRPRF根據信息。如果您想讓命令在屏幕上顯示所有用戶配置文件信息,請使用DSPUSRPRF。如果要檢索調用程序的特定用戶配置文件屬性,請使用RTVUSRPRF。您的CL程序MYGETUSER需要編譯爲USRPRF(*OWNER),並且它必須由具有*READ權限的用戶配置文件擁有,該用戶配置文件對您希望能夠顯示的所有用戶配置文件具有權限。您可能能夠在授權列表中收集這些用戶配置文件,以避免必須將私人權限分配給所有內容。現在,您可以爲CL程序MYGETUSER分配*USE權限,以便任何需要查看用戶配置文件的用戶或您的CL程序顯示的用戶配置文件屬性。
備註:請務必爲您的CL程序的所有者僅分配最低限度的權限,以獲取您需要的信息,並且只允許需要它的用戶訪問該程序。
謝謝@jmarkmurphy,我會嘗試這種方法。 –
否。具有* ALLOBJ的用戶可以獲得任何其他所需的權限。只有極少數用戶(大型系統上少於10個)應該有* ALLOBJ(可能還有其他特殊權限)。使用已採納的權限來查看* USRPRF對象。 – user2338816
你對如何創建只讀用戶有任何想法 –
創建一個基本上除了DSPUSRPRF?USRPRF()之外並編譯爲USRPRF(* OWNER)的程序。將所有權分配給您的站點的用戶配置文件之一,該用戶配置文件擁有您想要覆蓋的所有* USRPRF對象的權限。 (不歸QSECOFR所有,也不提供任何IBM提供的配置文件。)然後將* USE權限授予您的「只讀用戶」,並不提供其他不必要的權限。 – user2338816