我想创建将要查看所有用户个人资料和群组个人资料的用户,但不应该访问更改或删除AS400计算机上的任何内容。
为实现此目的,我创建了具有以下权限的用户 -
User class - *SECADM
Special Authority - *ALLOBJ, *SECADM.
通过创建这种类型的用户,我们只能实现对此的只读访问。 IBMi版本 - V7R1和V7R2
我的主要要求是创建具有最小权限的用户意味着只能从IBMi机器读取数据并且无法更改任何内容。
如果有人对此有任何疑问,请分享。
答案 0 :(得分:0)
*ALLOBJ是IBM i上非常强大的特殊权限,允许用户更改或删除IBM i上的几乎所有内容。
来自IBM i Security manual(v7.3):
风险: * ALLOBJ特殊权限赋予用户对系统上所有资源的广泛权限。用户可以查看,更改或删除任何对象。用户还可以授予其他用户使用对象的权限。
*SECADM是IBM i上非常具体的特殊权限,它允许用户创建,更改和删除用户配置文件。可能不是您希望普通用户能够做到的事情。应该严格控制。
用户类几乎没有意义,因为它只控制菜单访问。在AS400通常是独立系统或仅与其他AS400联网的那一天,基于菜单的权限很有用。
注意:我在这里使用AS400,因为它是当天的整个系统(硬件和操作系统)的名称,新硬件上的当前命名很复杂,但IBM i是以前称为OS的操作系统的名称400
解决问题的一种方法是在他的评论中指出 user2338816 ,即创建一个包含单个命令MYGETUSER或DSPUSRPRF的CL程序RTVUSRPRF取决于你想要对信息做什么。如果要通过命令在屏幕上显示所有用户配置文件信息,请使用DSPUSRPRF。如果要将特定用户配置文件属性检索到调用程序,请使用RTVUSRPRF。您的CL程序MYGETUSER需要使用USRPRF(*OWNER)进行编译,并且必须由对您希望能够显示的所有用户配置文件具有*READ权限的用户配置文件拥有。您可以在授权列表中收集这些用户配置文件,以避免必须将私有权限分配给所有内容。现在,您可以为需要查看用户配置文件的任何用户或CL程序显示的用户配置文件属性分配*USE权限给CL程序MYGETUSER。
注意:请务必仅将最低权限分配给CL程序的所有者以获取所需信息,并仅向需要它的用户授予对该程序的访问权限。 / p>
答案 1 :(得分:0)
可能也取决于对象。如果他们没有对象的对象权限,他们就无法访问它。你必须要GRTOBJAUT。