temp. *SECADM-Rechte

**harbir** · 07-05-13, 08:54

Hallo,

wie kann ich einem User bzw. Job temporär *SECADM-Rechte geben?

Konkret geht es darum, dass definierte Benutzer folgenden Befehl in einem CL-Programm ausführen sollen dürfen.

CHGUSRPRF USRPRF(&User) PASSWORD(&Password) +

PWDEXP(&Expired) STATUS(&Enabled)

Danke vorab für die Antworten

harbir

>>

**andreaspr@aon.at** · 07-05-13, 09:06

Im Befehl CRTBNDCL gibt es den Parameter USRPRF.
Mit diesem kannst du definieren, dass der User/Job für die Ausführung des Programms die Berechtigung vom Owner erhält.

USRPRF(*OWNER)

*OWNER
Das Benutzerprofil des Programmeigners als auch das
des Programmbenutzers wird bei der Verarbeitung des
Programms verwendet. ...

Beachte nur, dass während der kompletten Laufzeit des Programms der User die Berechtigungen hat.
Also am besten nur für kurze Aufrufe verwenden.

lg Andreas

**Robi** · 07-05-13, 10:11

Pack den chgusrprf in ein eigenes cl
Das wandelst du, wie von Andreas beschrieben, als owner = ein_berechtigter_user) um
Wenn du das von deinem CL rufst, wird der Befehl durchgeführt und dein Pgm läuft weiter ohne 'besondere' rechte.
Robi
(wir wandeln diese besonders berechtigten CL's nach dem Test immer ohne Debugfähigkei, nicht wiederherstellbar)

**cbe** · 07-05-13, 15:09

Hallo,

so ein CHGUSR-Programm halte ich auch für eine gute Idee.
Aber um das ganze zu verkomplizieren, noch ein paar Aspekte zur Sicherheit:

*SECADM reicht möglicherweise nicht, man braucht auch Berechtigung auf das zu ändernde USRPRF.
Sinnvollerweise sind die einzenen USRPRF mit *PUBLIC(*EXCLUDE) angelegt, weil sonst User mit Befehlsberechtigung Jobs unter diesem USRPRF absetzen dürfen.

Wenn man dann aber dieses CHGUSR-Programm mit einem ALLOBJ-User umwandelt, dann darf der Aufrufende z.B. auch QSECOFR ein neues Kennwort geben. Und das ist selten gewünscht...

Aber vielleicht haben die zu ändernen USRPRF ja alle denselben Eigner, den könnte man dann als OWNER des CHGUSR-Programms verwenden.

Gruß, Christian

**Hawi** · 07-05-13, 20:52

Hi,

normal müsste das Gewünschte schon erreichbar sein, wenn Du den Befehl in einem CL-Programm absetzt, welches Du mit der Option USRPRF(*OWNER) mit dem QSECOFR umwandelst. Dann wird der Befehl zusätzlich mit den Rechten des Owners ausgeführt (adaptierte Rechte).

Hoffe es klappt

Gruß
Michael

**Fuerchau** · 08-05-13, 07:31

Zur Sicherheit:
QSECOFR ist ja *ALLOBJ und *SECADM und darf deshalb immer ein neues Kennwort für jeden vergeben.

*OWNER-Berechtigung für das ausführende Programm stellen immer ein Risiko dar. Man darf dieses Programm halt nicht sichtbar jedem zur Ausführung anbieten.

Gerade durch die CALL-Unterstützung in ODBC/JDBC kann man dieses Programm auch aus VBA und Varianten (VBScript, Excel, Access u.v.m.) jederzeit ausführen.

Hier hilft wie immer der viel diskutierte, nicht anmeldefähige APP-User der als einziger Zugriff auf die PGM-Lib hat und somit auch dieses Programm nur vom APP-User aufgerufen werden kann.

Thema: temp. *SECADM-Rechte

Thread Tools

Bewerten Sie diesen Thema

Display