Berechtigung auf LF

[andreaspr@aon.at]

Führe im STRSQL mal folgendes aus:

Code:

Grant Select On LIBVONVIEW/DEINEVIEW To Public

lg Andreas

[dibe]

Hallo Andreas

das geht z.Zt. nicht, das das PF verwendet wird.
(obwohl ich das über das LF gemacht habe)

DiBe

[andreaspr@aon.at]

Wie? Du kannst die Berechtigung der View mit GRANT nicht setzten weil die Tabelle verwendet wird??

[dibe]

Wie? Du kannst die Berechtigung der View mit GRANT nicht setzten weil die Tabelle verwendet wird??

ist keine View, ist ein LF

verhällt sich eine View anders?
Ich teste
DiBe

[dibe]

Berechtigung der View genauso.
der gtrant geht nicht.
Begründung du darfst das PF nicht lesen.

Code:

                        Weitere Nachrichteninformationen                       
                                                                               
 Nachrichten-ID . . . . :   SQL7027                                            
                                                                               
                                                                               
 Nachricht . . . :   Angegebene Berechtigungen für Objekt VO1M1XX der Art *FILE
   in XXLIB können nicht erteilt werden.                                       
                                                                               
 Ursache  . . . . :  Es wurde versucht, eine Operation GRANT für Sicht VO1M1XX 
   der Art *FILE in XXLIB durchzuführen. Diese Operation kann nicht            
   durchgeführt werden, da damit dem Benutzer die angegebenen zusätzlichen     
   Berechtigungen für die untergeordnete Datei VO1M1 in XXLIB erteilt würden.  
   Der Benutzer verfügt über die Systemberechtigung *OBJOPR oder *OBJMGT für   
   die untergeordnete Datei.

[dibe]

Ich habe die Situation nun mit anderen Dateien auf unserer Testmasch. nachgestellt.
Dann habe ich dem Testuser
OBJ Opr undDaten LESEN am PF gegeben.
Auch die Verwendung eines anderen Satzformates mit vermindertem Feldvorrat hat nicht geholfen.

Fazit:
Man darf man ein LF nicht lesend benutzen, wenn das PF nicht gelesen werden darf.

@alle
Wo ist da die Logik?

@Anderas:
Dein SQL Grant hilft nicht

Dietlinde Beck

[Logic IT-Services]

Fazit:
Man darf man ein LF nicht lesend benutzen, wenn das PF nicht gelesen werden darf.

@alle
Wo ist da die Logik?

Hallo Dietlinde

Ist doch logisch, wenn der Inhalt einer PF nicht gelesen werden darf, so darf er auch nicht über eine logische Datei gelesen werden.

Gruss

[dibe]

Hallo Dietlinde

Ist doch logisch, wenn der Inhalt einer PF nicht gelesen werden darf, so darf er auch nicht über eine logische Datei gelesen werden.

Gruss

Find ich nicht wirklich logisch.
Ich kann doch mit LF und View dem User nur best. Felder uder best. Sätze zeigen wollen. Nicht alle Daten des PF

[Logic IT-Services]

Du meinst, eigentlich ist alles lesen verboten, aber ein bisschen möcht ich schon.... ;-)

Siehe hier aus IBM's Dokumentation:

"To read data in a physical file through a logical file, you need object operational and read authorities to the logical file and read authority to the physical file."

siehe auch hier: http://publib.boulder.ibm.com/infoce...arllogical.htm

[dibe]

Ich habe nun dem User Leseberechtigung auf die Datei gegeben.
Gleichzeitig habe ich den User für die Lib auf exclude gesetzt.
(m.E. ein bisserl verrückt)

In einer anderen Lib hab ich ein LF erstellt und auch nur mit Leseberechtigung ausgestattet.
Der User darf nun das LF lesen, an das PF kommt er nicht ran.

So soll es sein

Danke an alle
Dietlinde Beck

[Fuerchau]

So ist es auch gedacht.
Wenn die LIB geschützt ist, benötigen die untergeordneten Objekte keinen weiteren Schutz (wer den Schutz der Lib knackt kann auch den Schutz eines Objektes knacken).

Es reicht also, die Lib auf PUBLIC EXCLUDE zu setzen, alle Objekte auf PUBLIC USE.

Per Views in anderen Libs kann ich nun gezielt einzelne Zugriffe steuern (AUTL's, Einzeluser).

[andreaspr@aon.at]

Beim GRANT auf die View setzt SQL auch die Berechtigung der Physischen Datei auf Lesen. Die Lib bleibt auf *EXCLUDE.
Zumindest bei einer SQL View.

P.S.: Eine SQL View ist auch ein LF