すべてのユーザープロファイルとグループプロファイルを表示するが、AS400マシン上の変更やアクセスを許可しないユーザーを作成したい。私たちは、このための唯一の読み取り専用アクセスを実現することができますこのタイプのユーザーを作成することによりpermissions-AS400の読み取り専用アクセス
User class - *SECADM
Special Authority - *ALLOBJ, *SECADM.
を次したユーザーを作成して、これを達成するために
。 IBMiバージョン - V7R1およびV7R2
私の主な要件は、IBM iマシンからのみデータを読み取ることができ、何かを変更する能力を持たないユーザーを最小限の権限で作成することです。
これについてご意見がありましたら、ぜひご連絡ください。
*ALLOBJは、IBM iの非常に強力な特殊権限であり、ユーザーはIBM iのほぼすべてを変更または削除できます。
リスク:IBM iのSecurity manual(V7.3)から
* ALLOBJ特殊権限は、システム上のすべてのリソースをユーザーの広範な権限を与えます。ユーザーは、オブジェクトを表示、変更、または削除できます。ユーザーは、オブジェクトを使用する権限を他のユーザーに付与することもできます。
*SECADMは、IBM iの非常に特殊な権限です。ユーザーは、ユーザー・プロファイルの作成、変更、および削除を行うことができます。たぶんあなたは普通のユーザーができるようにするものではありません。しっかりと管理しなければならない。
ユーザークラスは、メニューアクセスのみを制御するため、ほとんど意味がありません。メニューベースの権限は、AS400が一般的にスタンドアロンのシステムであったり、他のAS400とのみネットワーク化された日には有効でした。
注:AS400はシステム全体(ハードウェアおよびOS)の名前で使用されていたため、ここでは新しいハードウェアの現在の名前は複雑ですが、IBM iはこれまで知られていたOSの名前ですあなたの問題を解決するために、OS/400
一つの方法は、彼のコメントで示さuser2338816として、あなたが何をしたいかに応じて、単一のコマンドDSPUSRPRFまたはRTVUSRPRFが含まれているCLプログラムMYGETUSERを作成することであるとして、情報。コマンドですべてのユーザープロファイル情報を画面に表示する場合は、DSPUSRPRFを使用します。特定のユーザープロファイル属性を呼び出しプログラムに取得する場合は、RTVUSRPRFを使用します。あなたのCLプログラムMYGETUSERは、USRPRF(*OWNER)でコンパイルする必要があり、表示できるようにするすべてのユーザープロファイルに対して*READの権限を持つユーザープロファイルが所有している必要があります。個人の権限をすべてに割り当てる必要がないように、これらのユーザー・プロファイルを許可リストに収集することができます。これで、ユーザー・プロファイルを表示する必要があるユーザー、またはCLプログラムが表示するユーザー・プロファイルの属性について、*USE権限をCLプログラムMYGETUSERに割り当てることができます。
注:あなたが必要な情報を得るためにあなたCLプログラムの所有者にのみ最小限の権限を割り当てるようにしてください、とだけそれを必要とするユーザーにそのプログラムへのアクセス権を与える。
ありがとうございます@jmarkmurphy、私はこのアプローチを試してみましょう。 –
おそらく、オブジェクトにもよるでしょう。オブジェクトに対するオブジェクト権限がない場合、オブジェクトにアクセスすることはできません。 GRTOBJAUTにする必要があります。
適切な承認された権限では不要です。 – user2338816
いいえ* ALLOBJのユーザーは、他の任意の権限を取得できます。 * ALLOBJ(および場合によっては他の特殊権限)を持つユーザーはほんのわずかです(大規模システムでは10未満)。 * USRPRFオブジェクトを表示する代わりに、採用された権限を使用してください。 – user2338816
読み取り専用ユーザーを作成する方法を知っていますか –
DSPUSRPRF?USRPRF()だけで構成され、USRPRF(* OWNER)としてコンパイルされたプログラムを作成します。対象となるすべての* USRPRFオブジェクトに対する権限を持つサイトのユーザープロファイルの1つに所有権を割り当てます。 (QSECOFRもIBM提供のプロファイルも所有していません)。次に、「読み取り専用ユーザー」に* USE権限を付与し、その他の不要な権限を与えないでください。 – user2338816