1 / 126

大型机高级系统管理技术

大型机高级系统管理技术. 第六章 RACF 概述. 第六章 内容提要. 概述 用户和组的管理 数据集的保护 通用资源引论 RACF 选项. RACF 概述. RACF 概述 RACF(resource access control facility) 是 OS/390 的安全子系统。它可以证实一个用户,并且保护数据集不会被有意或者恶意地破坏、修改、泄露或使用。 RACF 有四大功能: 证实一个用户 资源授权管理 记录和报告 安全管理. RACF 概述 —— 证实一个用户.

nida
Download Presentation

大型机高级系统管理技术

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 大型机高级系统管理技术 第六章 RACF概述

  2. 第六章 内容提要 • 概述 • 用户和组的管理 • 数据集的保护 • 通用资源引论 • RACF选项

  3. RACF概述 RACF概述 • RACF(resource access control facility)是OS/390的安全子系统。它可以证实一个用户,并且保护数据集不会被有意或者恶意地破坏、修改、泄露或使用。 • RACF有四大功能: • 证实一个用户 • 资源授权管理 • 记录和报告 • 安全管理

  4. RACF概述——证实一个用户 • RACF使用用户ID和口令来证实一个用户。定义用户时,系统管理员给用户一个暂时的口令,用户首次登录后RACF强制用户改变自己的口令。 • 每一个RACF定义的用户均有一个PROFILE,其内容有用户ID、拥有者、口令、属性、SECURITY CIALLIFICATION、组及段 • 在RACF中用户可划分为组。一个用户组通常是许多具有类似权限的用户的集合。 • 一个用户可以同时属于多个组,当一个用户成为一个组中的成员时,我们说这个用户连接到这个组中,同时他也具有了这个组的权限

  5. RACF概述——资源授权检查 • 控制用户是否对资源具有访问权。 • 控制用户如何去访问资源,比如只读还是可读可写,或者必须通过某种手段(诸如通过特定的程序)访问。 • 控制访问许多类的资源,诸如MVS数据集、终端、控制台、CICS和IMS交易甚至程序等 • 每个资源有一个PROFILE,主要内容有:PROFILE名、拥有者、UACC(通用访问权限)、访问控制列表、SECURITY CLASSFICATION及审计信息

  6. RACF概述——记录和报告 • 具有AUDITOR属性的用户可以指定那些事件需要记录,比如所有事件、企图访问成功时记录、失败时记录、或读时记录或写时记录。如需要记录,则写到RMF数据集,同时送系统控制台,也可指定通知一个特定的用户 • 具有AUDITOR属性的用户可以看PROFILE,可以设置是否记录和PROFILE有关的访问事件,或在什么条件下记录,但无权修改PROFILE,无权访问资源

  7. RACF概述——安全管理 RACF定义的用户: • 一般用户:有自己的访问资源的权限。 • 具有SPECIAL属性的用户:可以在RACF数据库中定义、改变、查看、删除PROFILE。没有权限直接访问资源。 • 具有OPERATION属性的用户:负责维护系统中的磁盘。 • 具有AUDIT属性的用户:可以规定系统中的审计策略

  8. RACF概述——安全管理 • 用户的SPECIAL、AUDIT、OPERATION三种属性可以赋予特定的某一个用户,使他只在某一个范围内有这个权力。这样可以实现用户或组的放权管理。只在特定范围内有效的这三种属性分别称为:GROUP SPECIAL、GROUP AUDIT、GROUP OPERATION • 利用RACF可以控制对系统及系统中的子系统的访问。这些子系统包括JES,TSO,IMS,CICS,SMS,DB2,VTAM和APPC会话。也可控制对资源的访问,它们包括:终端,控制台,数据(编目、数据集等),程序,交易等

  9. RACF概述——安全管理 用户或组在使用资源时是否会得到授权取决于以下4个因素: • 用户标识(USERID) • 属性,用户属性主要有:SPECIAL、AUDITOR、OPERATIONS、CLAUTH、REVOKE等,组属性指当一个用户连接到一个组中时,连接的属性。主要有:USE,CREATE,CONNECT,JOIN • 安全标识:每一个用户和资源的PROFILE都有一个安全标识。当用户访问一个资源时,RACF将资源与用户的安全标识相比较,如果用户的安全标识低于资源的安全标识,则直接拒绝用户的访问 • 访问授权:访问授权有以下几种:NONE,EXECUTE,READ,UPDATE,CONTROL,ALTER。其权限由低至高,逐次增加

  10. RACF概述——安全管理 • PROFILE的类型: • 用户PROFILE:记录用户安全特性 • 组PROFILE:记录组安全特性 • 数据集PROFILE:描述通用资源的访问权限 • 通用资源PROFILE:描述数据集访问权限

  11. RACF概述——安全管理 • 数据集和通用资源的访问权限分布在PROFILE中的两个地方 • UACC:一般的访问权限,访问列表中没有记录的用户的访问权限 • 访问列表:特别指出特定的用户或组具有什么样的权限

  12. RACF概述——安全管理 在RACF中权限可以是以下几种: • ALTER:对资源或数据集具有完全的控制。仅可以读、写、执行此PROFILE保护的数据集或资源,还可以创建此PROFILE保护的数据集或资源 • UPDATE:可读可写 • READ:可读 • EXECUTE:可执行 • NONE:无任何权限

  13. RACF概述——安全管理 PROFILE: • 通用PROFILE:PROFILE名字中可以有通配符,一个PROFILE可以覆盖多个名字类似的资源,因此这种PROFILE允许你定义一个PROFILE保护多个名字类似的资源。 • 分散PROFILE:每一个PROFILE只对应一个被保护的对象,因此每一个PROFILE只保护一个资源

  14. RACF概述——安全管理 • RACF的管理方式: • 集中式:系统安全管理员管理所有的安全事务 • 分散式:系统安全管理员放权给若干用户,使他们承担一部分安全管理工作 • 可以通过命令、TSO的ISPF菜单、及JCL使用RACF建立PROFILE。最常用的方式是使用TSO的ISPF菜单,但如果一次建立很多PROFILE时,采用JCL批处理的方式会更方便

  15. 用户和组 定义用户和组的方式: • RACF菜单 • 命令 • JCL作业

  16. 用户和组 组的定义 • 一个组中可以有多个用户,也可以有多个组,当一个用户成为一个组的成员时,称该用户连接到这个组。 • 权限级别最高的组:SYS1 • 除了SYS1以外,每个组都有一个前驱组和拥有者和若干个子组。

  17. 用户和组 • 定义一个组的用户必须具有以下权限之一 • 具有SPECIAL属性。 • 具有GROUP SPECIAL属性,并要定义的组的前驱组在其管理范围之内。 • 用户是要定义的组的前驱组的拥有者。 • 具有要定义的组的前驱组的JOIN授权。

  18. 用户和组 • 定义一个组: 实际上在RACF数据库中创建了一个组PROFILE,组PROFILE由RACF段、DFP段和OMVS段及其他段组成。每个段又由若干个FIELD组成。 • RACF段包含了最基本的信息,由以下FIELD组成: • GROUP-NAME:组的名字 • OWNER:组的拥有者。组的拥有者可以是组的前趋组也可以是一个用户。默认为定义这个组的用户。拥有者最好是一个组而不是一个用户 • SUPGROUP:组的前驱组 • TERMUACC或NOTERMUACC:指示对终端的访问控制是否可以基于终端PROFILE的UACC • MODEL:创建新组时使用的模版PROFILE • DATA:有关组的描述信息

  19. 用户和组 • DFP段由以下FIELD组成: • DATAAPPL:用户DFP数据应用标识 • DATACLAS:分配数据集时实用的默认的DATA CLASS • MGMTCLAS:数据集分配后默认的MANAGEMENT CLASS • STORCLAS:组默认的STORAGE CLASS • OMVS段由GID FIELD组成,指示该组在OE环境下的组标号,它是一个整数。不同的组应该有不同的GID,为避免安全上的漏洞。要改变用户的PROFILE中的OMVS段的内容,用户应具有SPECIAL属性,并授权访问FIELD类中的GROUP.OMVS.* PROFILE或GROUP.OMVS.GID 两个PROFILE之一

  20. 用户和组 • 组的拥有者具有以下权限: • 定义新用户 • 把用户从组中删除或连接到组中 • 改变组的属性,放权其他用户管理改组 • 改变、显示、删除组的PROFILE • 定义、删除、显示改组的子组

  21. 用户和组 • 每一个用户连接到一个组时,必须以一定的授权级别连接进来,这些授权级别是: • USE:用户可以在组的权限内访问资源 • CREATE:用户可以创建新的属于组的数据集并且控制这些数据集的访问权限 • CONNECT:用户可以把其他用户连接到组中,并且具有USE、CREATE及CONNECT授权 • JOIN:用户可以创建新的组和用户,新创建的组为该组的子组。当创建新用户时,具有JOIN授权的用户还需要在USER CLASS具有CLAUTH属性 • 这四个授权级别以USE、CREATE、CONNECT、JOIN为顺序增加。一般地,高级别的授权包含地级别授权的权限

  22. 定义组的命令格式 定义一个组的命令格式如下: ADDGROUP/AG (组名) DATA(‘注释’) [DFP([DATAAPPL(应用名)] [DATACLA(DATA CLASS名)] [MGMTCLAS(MANAGEMENT CLASS名)] [STORCLAS(STORE CLASS名)] [MODEL(模版名)])] [OMVS([GID(组标识)])] [OWER(用户或组名)] [SUPGROUP(组名)] [TERMUACC/NOTERMUACC]

  23. 定义一个组的步骤 步骤1:确定组的前趋组、组名、拥有者,如果系统中用RACF保护终端并且组中的用户限制使用特定的终端,创建组时应指定NOTERMUACC。如果安装了DFSMS,则在组的DFP段中指定特定的初始值 步骤2:创建组PROFILE。例如: ADDGROUP DEPTA OWNER(ALLDEPT) SUPGROUP(ALLDEPT) 步骤3:连接合适的用户到组中。例如: CONNECT (STEVEH LIZS) GROUP(DEPTA) OWNER(DEPTA) AUTHORITY(CONNECT) CONNECT GENEK GROUP(DEPTA) OWNER(DEPTA)

  24. 定义一个组的步骤 步骤4:如果组要拥有数据集,则创建一个通用的数据集PROFILE。例如: ADDSD 'DEPTA.**' UACC(NONE) 步骤5:如果组需要访问RACF保护的资源,则授权给该组,例如: PERMIT 'RACF.PROTECT.DATA' ID(DEPTA) ACCESS(READ) 步骤6:如果组需要访问OE的资源,则改变组的PROFILE,并赋予一个GID。例如: ALTGROUP DEPTA OMVS(GID(100))

  25. 删除组 • 命令格式为: DELGROUP/DG (组名) • 删除一个组的步骤 • 移去组中的所有用户(REMOVE命令) • 找出所有与该组有关的数据集,一般来讲也就是HLQ是该组名的数据集,把他们删除或改名 • 把要删除的组的子组,其前驱组改为已存在的组 • 如果组还拥有其他PROFILE,改变拥有者为其他组或用户 • 在所有访问列表中删除该组 • 用DELGROUP命令删除组的PROFILE

  26. 改变组属性 改变一个组的属性所需要的权限和创建组命令一 样,其命令格式如下: ALTGROUP/ALG (组名) DATA(‘注释’) [DFP([DATAAPPL(应用名)] [DATACLA(DATA CLASS名)] [MGMTCLAS(MANAGEMENT CLASS 名)] [STORCLAS(STORE CLASS名)] [MODEL(模版名)])] [OMVS([GID(组标识)])] [OWER(用户或组名)] [SUPGROUP(组名)] [TERMUACC/NOTERMUACC]

  27. LISTGRP命令 • LISTGRP命令用于显示出组PROFILE的详细内容。包括组的前趋组、拥有者、终端特性、所有子组、注释信息、模版PROFILE名、连接到该组中的用户信息(用户ID、用户在组中的授权、用户已该组作为当前连接的组进入系统的次数、用户的连接属性、挂起或RESUME的日期)以及DFP、OMVS段的信息。要使用该命令,用户应具有以下权限之一: • 具有SPECIAL或AUDITOR属性 • 在要显示的组中具有GROUP SPECIAL或GROUP AUDITOR属性 • 是组的拥有者 • 在组中具有JOIN或CONNECT权限

  28. LSDTGRP命令 例:用LISTGRP命令列出某系统中SYS1组的内容: INFORMATION FOR GROUP SYS1 SUPERIOR GROUP=NONE OWNER=IBMUSER NO INSTALLATION DATA NO MODEL DATA SET TERMUACC SUBGROUP(S)= SYSCTLG VSAMDSET ADMIN APK OSASF TTY OMVSGRP DCEGRP IMWEB EXTERNAL EMPLOYEE SPECIAL SYSDATA NOTES CMNGRP USER(S)= ACCESS= ACCESS COUNT= UNIVERSAL ACCESS= IBMUSER JOIN 006635 READ CONNECT ATTRIBUTES=NONE REVOKE DATE=NONE RESUME DATE=NONE

  29. LISTGRP命令 CICSUSER USE 000052 NONE CONNECT ATTRIBUTES=NONE REVOKE DATE=NONE RESUME DATE=NONE SYSADM USE 000086 NONE CONNECT ATTRIBUTES=NONE REVOKE DATE=NONE RESUME DATE=NONE SYSOPR USE 000000 NONE CONNECT ATTRIBUTES=NONE REVOKE DATE=NONE RESUME DATE=NONE USERA USE 000310 NONE CONNECT ATTRIBUTES=NONE REVOKE DATE=NONE RESUME DATE=NONE NO DFP INFORMATION OMVS INFORMATION -------------------------------------------- GID=0000000000

  30. 用户的定义 • 定义一个用户就是在RACF数据库中创建一个用户PROFILE。用户PROFILE由以下几个段组成 • RACF • DFP • TSO • CICS • LANGUAGE • OPERAPARM • WORKATTR • OMVS • NETVIEW • 每一个段都由若干个FIELD组成 • 定义或改变用户的PROFILE时可以指定各段中的FIELD参数,使用LISTUSER命令可以显示出用户PROFILE及其各段的信息

  31. RACF段 RACF段由以下FIELD组成: • USERID:用户ID,可以是1~8个字符(包括字母、数字及# @ $),但必须是字母打头。用户ID不可与组或其他用户重名 • NAME:用户真正的名字 • OWNER:PROFILE的拥有者 • DFLTGRP:用户默认的组 • AUTHORITY:用户在默认的组中的授权 • PASSWORD:口令。加密存放于PROFILE中 • REVOKE:用户被挂起的日期。所谓挂起即用户暂时不能登录。当时间到达此日期是,用户自动被挂起。或一个用户多次登录而未成功,系统会自动挂起此用户。一旦被挂起,只有请求有权限的用户将其RESUME,才能再次登录,即使用户口令输入正确 • RESUME:用户被resume的日期

  32. RACF段 • UACC:用户定义的资源的通用访问权限 • WHEN:用户在一个星期中的那一天及几点钟可访问系统 • ADDCATEGORY:该用户是否可以指定安全类别 • SECLEVLE:用户的安全级别 • CLAUTH:用户可定义的PROFILE类 • 例如你如果指定CLAUTH为USER,则你可以定义用户 • 一个用户如果具有定义某一类PROFILE的授权,并不意味着该用户可以随便保护该类资源,它所保护的资源必须在其管理范围之内。例如一个用户具有USER授权,如果他要有权在组中定义用户PROFILE,则它还必须以SPECIAL或JOIN属性被连接到组中 • SPECIAL:用户具有系统范围的SPECIAL属性,具有这样的属性的用户可以发布所有的RACF命令,可对RACF数据库中的PROFILE进行完全的控制。也可以在组一级上分配这一属性(用CONNECT命令),称之为GROUP SPECIAL

  33. RACF段 • AUDITOR:用户具有系统范围的AUDITOR属性,具有这样属性的用户可以发布诸如:LISTDSD、LISTUSER、LISTGRP及LISTGRP命令列出指定的PROFILE内容。也可设置GROUP AUDITOR,其审计范围同GROUP SPECIAL • OPEARTION:用户具有系统范围的OPERATION属性,具有这样属性的用户对诸如数据集等资源具有完全的访问权限,也可设置GROUP OPERATION属性(用CONNECT命令) • DATA:有关用户的注释信息 • ADSP:只是用户定义的所有永久数据集是否要用分离的PROFILE保护 • GRPACC:只是足内其他成员是否可以访问用户数据集PROFILE保护的组数据集 • MODEL:用户创建数据集时使用的模版PROFILE名 • OIDCARD:用户在登录时必须提供一些操作员ID卡。现在已不需要 • SECLABEL:用户默认的安全标记

  34. DFP段 DFP段由以下FIELD组成: • DATAAPPL:用户DFP数据应用标识 • DATACLAS、MGMTCLAS、STORCLAS:用户创建数据集时使用的默认的CONSTRUCT

  35. TSO段 一个用户想要从TSO登录,必须定义该用户的TSO段 TSO段由以下FIELD组成: • ACCTNUM:用户默认的记账信息 • JOBCLASS:用户JOB CLASS的默认值 • MSGCLASS:用户MESSAGE CLASS的默认值 • HOLDCLASS:用户HOLD CLASS的默认值 • SYSOUTCLASS:用户SYSOUT数据集的目标ID • PROC:用户默认的登陆过程 • MAXSIZE:用户最大的REGION大小 • SIZE:用户默认的REGION大小 • SECLABEL:安全标识 • UNIT用户分配数据集时使用的默认的设备 • USERDATA:注释

  36. OE段 OE段由以下FIELD组成: • HOME:用户登录后的工作目录 • PROGRAM:用户登录后的SHELL程序 • UID:用户的OE用户标识,是一个整数,如果是0,则是OE中的超级用户。与组类似,UID应该唯一

  37. 定义用户命令的格式 定以一个用户的命令的格式如下: ADDUSER/AU (用户ID) [ADDCATEGORY()] [ADSP/NOADSP] [AUDIT/NOAUDIT] [AUTHRITY(授权)] [CLAUTH(类名)/NOCLAUTH] [DATA(注释)] [DFLTGRP(组名)] [DFP(DATAAPPL(应用名)) [DATACLAS(DATACLASS名)] [MGMTCLAS(MANAGEMENT CLASS 名)] [STORCLAS(STORAGE CLASS名)]] [GRPACC/NOGRPACC] [MODEL(数据集名)] [NAME(‘用户名’)] [OMVS([HOME(工作目录名)] [PROGRAM(SHELL程序名)] [UID(用户标识)])] [OPERATIONS/NOOPERATIONS] [OWNER(用户或组名)] [PASSWORD(口令)/NOPASSWORD] [SECLABEL(安全标识名)] [SECLEVEL(安全级别名)] [SPECIAL/NOSPECIAL] [UACC(访问权限)] [WHEN([DAYS(日期)] [TIME(时间)])]

  38. 用户的定义 • 定义一个用户应具备以下权限之一: • 具有SPECIAL属性 • 如果是所定义的用户的默认的组的拥有者,或者具备所定义的用户所在的默认组的JOIN授权,或者所定义的用户的组在你的GROUP属性范围之内,并且你的CLAUTH必须是USER • 不能定义一个权限比你高的或权限范围超过你的范围的用户。如果要给新用户OPERATION、SPECIAL或AUDITOR属性,或给用户分配安全类别,则必须具有SPECIAL属性。如果要同时定义除RACF段以外其他段的内容,则必须具有SPECIAL属性,或对这些段具有至少UPDATA权限

  39. 定义用户的步骤 步骤1:确定用户ID、所在组、拥有者、口令、登录的时间 限制、属性、安全标识及各个段的FIELD 步骤2:创建用户PROFILE。例如:ADDUSER STEVEH DEFTGRP(DEPTA) OWNER(DEPTA) NAME(‘STEVEN H’) PASSWORD(R316VQX) TSO(ACCTNUM(123456)) PROC(PROC01)) 步骤3:创建用户数据集的PROFILE。例如:ADDSD ‘STEVEH. **’ UACC(NONE) 步骤4:如果用户打算创建自己的通用资源PROFILE,授权适当的类给CLAUTH属性

  40. 定义用户的步骤 • 步骤5:如果用户要访问RACF保护的资源,可用以下两种方式之一: • 把用户连接到可以访问这一资源的组中。例如:CONNECT STEVEH GROUT(DEPTA) OWNER(DEPTA) • 指定用户可以使用这一资源。例如:PERMIT CUSTERPROC CLASS(DEPTA) ID(STEVEH) ACCESS(READ)

  41. 删除用户 • 删除用户可以用命令DELUSER,格式为:DELUSER/DU (用户ID) • 要删除一个用户,必须具有以下权限之一: • 具有SPECIAL权限 • 如果具有GROUP SPECIAL权限,则要删除的用户必须在你管辖范围内 • 用户PROFILE的拥有者 • 要删除一个用户,在其默认的组中具有JOIN权限的用户其权限是不够的。还需要具有USER类的授权

  42. 删除用户的步骤 步骤1:挂起这个用户ALTUSER 用户ID REVOKE 步骤2:如果用户已登录在系统中,或有作业在运行,请求系统操作员将其删除 步骤3:找出所有与该用户有关的数据集,如果数据集是该用户的,将其删除或改变拥有者。如果数据的PROFILE是分离的,则应当将其PROFILE也一并删除;如果用户在数据集的访问列表中,则将用户ID从访问列表中删除 步骤4:删除这个用户DELUSER SIVLE

  43. 改变用户的属性 • 可以通过ALTUSER/ALU命令改变用户的属性。其语法格式与创建用户一样。若被改变属性的用户正好在系统中,则其改变的属性并不起作用,只有用户LOGOFF后,再次登录后才会起作用,尽管用LISTUSER命令显示出的属性已改变 • 改变用户属性所需要的权限根据要改变的属性而定: • 具有SPECIAL的用户可以改变任何属性 • 如果用户在你的GROUP SPECIAL管辖范围内,你可以改变除SPECIAL、AUDITOR及OPERATION之外的任何属性 • 组的用有着可以改变组内用户的如下属性:MODEL/NOMODELPASSOWRD/NOPASSOWRD、DATA/NODATA、NAMEDELGRP、GRPACC/NOGRPACC、OWNERRESUME/REVOKE、WHEN

  44. 改变用户的口令 • 改变一个用户的口令可用PASSWORD命令PASSWORD/PW [INTERVAL(口令间隔时间)/NOINTERVAL] [PASSWORD(当前口令 新口令)] [USER(用户ID)] • 口令间隔时间指用户在多少天内必须改变自己的口令 • 使用PASSWORD可以改变自己的口令,必须知道自己的旧口令 • 使用USER授权的用户可RESET其他用户的口令 • 如果同时制定了PASSWORD和USER,PASSWORD参数会被忽略

  45. 改变用户的口令 • 对于普通用户,在第一次登录或口令被RESET之后第一次登陆,或者口令间隔时间一到,则必须改变口令。所谓RESET用户的口令,指把一个用户的口令改成默认的值(即用户默认组的组名) • 用户可以RESET自己的口令。如果要改变其他用户的口令或口令间隔时间,则必须具有SPECIAL属性,或GROUP SPECIAL属性并且用户在你的管辖范围之内,或是组的拥有者

  46. 显示用户的信息 • 可以使用LISTUSER命令来显示用户的信息,命令格式如下:LISTUSER/LU [(用户ID/ *] [CICS] [DCE] [DFP] [LANGUAGE] [NETVIEW] [NORACF] [OMVS] [OPERPARM] [OVM] [TSO] [WORKATTR] • 大多数参数指定所要显示的段,而NORACF标识不显示RACF段 • 在RACF段中可显示出用户ID、PROFILE的拥有者、用户被定义的时间、默认的组、上次口令改变时间、口令的时间间隔、用户的属性、上次登录的时间、授权定义PROFILE的类、注释、默认的数据集模版PROFILE名、REVOKE或RESUME的日期、安全标识、安全级别及安全类别、连接到的组的组名、在所连接的组中的授权、谁把用户连接到组中、连接的日期、在所连接的组中登录的次数、上次以该组身份登录的日期、默认的通用访问权限、连接属性等信息

  47. 显示用户的信息 • 下面是一个用LISTUSER命令列出系统中用户WANGX的内容: USER=WANGX NAME=WANG XIAOSHAN OWNER=SYS1 CREATED= 98.077 DEFAULT-GROUP=SYS1 PASSDATE=99.349 PASS-INTERVAL= 30 ATTRIBUTES=SPECIAL OPERATIONS ATTRIBUTES=AUDITOR REVOKE DATE=NONE RESUME DATE=NONE LAST-ACCESS=99.358/16:35:30 CLASS AUTHORIZATIONS=NONE NO-INSTALLATION-DATA NO-MODEL-NAME LOGON ALLOWED (DAYS) (TIME) --------------------------------------------- ANYDAY ANYTIME

  48. 显示用户的信息 GROUP=SYS1 AUTH=USE CONNECT-OWNER=SYS1 CONNECT-DATE=98.077 CONNECTS= 2,994 UACC=NONE LAST-CONNECT=99.358/16:35:30 CONNECT ATTRIBUTES=NONE REVOKE DATE=NONE RESUME DATE=NONE GROUP=USER AUTH=USE CONNECT-OWNER=WANGX CONNECT-DATE=98.292 CONNECTS= 00 UACC=ALTER LAST-CONNECT=UNKNOWN CONNECT ATTRIBUTES=NONE SECURITY-LEVEL=NONE SPECIFIED CATEGORY-AUTHORIZATION NONE SPECIFIED SECURITY-LABEL=NONE SPECIFIED

  49. 显示用户的信息 TSO INFORMATION --------------- ACCTNUM= ACCT# PROC= IKJACCNT SIZE= 00004096 MAXSIZE= 00000000 UNIT= SYSDA USERDATA= 0000 COMMAND= NO DFP INFORMATION NO CICS INFORMATION NO LANGUAGE INFORMATION NO OPERPARM INFORMATION OMVS INFORMATION ---------------- UID= 0000000000 HOME= / PROGRAM= /bin/sh

  50. 连接一个用户到组 • 连接一个用户到组就是把一个用户以一定的权限加入到一个组中,其命令格式如下:CONNECT/CO (用户ID) [GROUP(组名)] [OWNER(用户ID或组名)] [AUTHORITY(USE,CREATE,CONNECT,JOIN)] [SPECIAL/NOSPECIAL] [OPERATION/NOOPERATION] [AUDITOR/NOAUDITOR] [REVOKE(日期)] [UACC(访问权限)] • 例如:把用户TOM连接到DIVACUSR组中,使其成为DIVACUSR组中的一个成员,连接的属性为USE CO TOM GROUP(DIVACUSR)

More Related