Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Configuración de fábrica
*PUBLIC *CHANGE
QSYS *ALL SI
Nota: La comprobación de estos valores se ha realizado en dos equipos con
versiones 6.1 y 7.2. Ninguno de los objetos está protegido con lista de autorizaciones
ni tiene asignado Grupo primario.
A primera vista se observa que cualquier usuario que pudiera introducir un mandato
en el sistema podría planificar o manipular entradas de trabajos. En realidad esta
situación no es exactamente así. Por ejemplo, para añadir un trabajo planificado
además se requiere:
Por otro lado, un usuario sólo podrá utilizar los mandatos CHGJOBSCDE,
RMVJOBSCDE, HLDJOBSCDE y RLSJOBSCDE con las entradas planificadas por él
mismo. Si se intenta modificar una entrada planificada por otro usuario se emitirá
el mensaje de error CPF1630.
La siguiente tabla resume las autorizaciones que debe tener un usuario para
gestionar los trabajos planificados:
Resumen de autorizaciones
Autorización
Aut Planificado Aut Aut Aut Aut Aut sobre
Mandato QDFTJOBSCD
mandato por JOBD JOBQ USER MSGQ bibliotecas
*JOBSCD
*USE
ADDJOBSCDE *USE *USE *USE *USE *CHANGE *EXECUTE
*ADD
*USE
CHGJOBSCDE *USE Usuario ADD *USE *USE *USE *CHANGE *EXECUTE
*ADD
Protección extrema
Se pueden aplicar diferentes políticas para proteger los trabajos planificados, desde
la más suave que consiste en dejar las cosas como vienen de fábrica; o exageradas
como impedir cualquier tipo de operación sobre la lista de trabajos.
El siguiente ejemplo ilustra una proteción extrema que impide que cualquier
usuario sin autorizaciones explícitas pueda planificar o cambiar una entrada. Ni
siquiera extraer información de los trabajos planificados. Sin embargo, todos los
usuarios autorizados podrán hacer de todo siempre que se cumplan los requisitos
para la entrada en cuestión.
El esquema propuesto se sustenta en dos elementos clave: en un grupo de usuarios
y en una lista de autorizaciones. Todos los miembros del grupo podrán alterar la lista
de trabajos. La lista de autorizaciones establece los permisos del grupo de usuarios y
se empleará para proteger los mandatos de planificación. Esta estructura permite
que un usuario quede autorizado por hacerle miembro del grupo. La lista de
autorizaciones facilita un cambio en los permisos del grupo en un solo paso, sin tener
que cambiar cada uno de los objetos protegidos.
En el ejemplo, el grupo de usuarios se ha llamadao GRPJOBSCD (Grupo para
trabajos planificados) y será el responsable de los trabajos planificados:
CrtAutL AutL( JOBSCDE ) +
Text( 'Proteger trabajos planificados.' ) +
Aut( *EXCLUDE )
AddAutlE AutL( JOBSCDE ) +
User( GRPJOBSCD ) Aut( *USE )
La lista de autorizaciones se crea con *PUBLIC *EXCLUDE por dos motivos: para
evitar que los usuarios sin permisos específicos puedan alterarla y para impedir el
empleo de los mandatos protegidos. Los miembros del grupo podrán utilizar los
mandatos al diponer de la autorización *USE.
A continuación, el mandato ADDJOBSCDE se protege con la lista de
autorizaciones:
GrtObjAut Obj( ADDJOBSCDE ) ObjType( *CMD ) +
AutL( JOBSCDE )
GrtObjAut Obj( ADDJOBSCDE ) ObjType( *CMD ) +
User( *PUBLIC ) Aut( *AUTL )
Indirectamente, estas dos operaciones otorgan al grupo GRPJOBSCD el permiso
para utilizar el mandato ADDJOBSCDE y se le impide al público en general
(*PUBLIC). Repítanse estas operaciones con los mandatos CHGJOBSCDE,
RMVJOBSCDE, HLDJOBSCDE, RLSJOBSCDE y WRKJOBSCDE.
Finalmente se protege el objeto que contiene la información de los trabajos
planificados:
GrtObjAut Obj( QDFTJOBSCD ) ObjType( *JOBSCD ) +
User( *PUBLIC ) Aut( *EXCLUDE )
GrtObjAut Obj( QDFTJOBSCD ) ObjType( *JOBSCD ) +
User( GRPJOBSCD ) Aut( *CHANGE )
GrtObjAut Obj( QDFTJOBSCD ) ObjType( *JOBSCD ) +
User( QSRVAGT ) Aut( *CHANGE )
Se prohibe al público en general cualquier operación sobre los trabajos planificados,
como por ejemplo: salvarlos o restaurarlos, obtener una lista de los trabajos
mediante una API del sistema, etc. Se le concede autorización *CHANGE a los
miembros del grupo GRPJOBSCD. También se incluye al usuario QSRVAGT por
prudencia ya que está autorizado a usar los mandatos ADDJOBSCDE y
CHGJOBSCDE.
Este esquema no habilita a los usuarios del grupo a planificar cualquier trabajo, el
sistema seguirá comprobando las autorizaciones sobre todos los objetos
especificados en los mandatos ADDJOBSCDE y CHGJOBSCDE. Además, el usuario
deberá tener la autorización especial *JOBCTL si quisiera cambiar, retener, liberar
o eliminar una entrada planificada por otro usuario.
Finalmente, estos cambios en la seguridad no parecen afectar a los procesos
realizados por el sistema para someter los trabajos a su hora y para modificar la
información de último sometimiento. Probablemente sea el usuario QSYS quien
realice todas estas operaciones.