iWorldトップ › フォーラム › ここなら聞けます。今さら聞けない基礎知識(初心者向け) › オブジェクト権限とユーザーの特殊権限について › 返信先: オブジェクト権限とユーザーの特殊権限について
イグアス次郎SPIKAさん、イグアス次郎です。
お疲れ様です。
セキュリテイレベル20->40は、ぜひ実現して下さい。
ご要望を満たす設定として、プログラム借用権限を使用して
セキュリティを強化するための設定の方法があります。
1. 例えばプログラム開発者グルーブ(PGMRS)を作り、プログラムを作った
ユーザーを全て含めておきます。
(グルーブ(PGMRS)のユーザークラスはQPGMRです。)
2. 使用するプログラムのオーナー(所有者)をグルーブ(PGMRS)に変更します。
コマンド
CHGOBJOWN PGM(XXXLIB/YYYPGM) OBJTYPE(*PGM) NEWOWN(PGMRS)
3. 例えば社員グルーブ(SYAIN)を作り、個々の必要とするユーザーを
全て含めておきます。
4. グルーブ(SYAIN)が使用するブログラムで、借用権限の使用を*YESに
変更します。
コマンド
CHGPGM PGM(XXXLIB/YYYPGM) USEADPAUT(*YES)
5. グルーブ(SYAIN)が使用するブログラムへの権限を編集し、
*PUBLICを消して、グルーブ(SYAIN)を*USEで追加します。
コマンド
RVKOBJAUT OBJ(XXXLIB/YYYPGM) OBJTYPE(*PGM) USER(*PUBLIC)
GRTOBJAUT OBJ(XXXLIB/YYYPGM) OBJTYPE(*PGM) USER(SYAIN) AUT(*USE)
6. ブログラムが参照するファイルの権限を編集し*PUBLICを消します。
コマンド
RVKOBJAUT OBJ(XXXLIB/ZZZFILE) OBJTYPE(*FILE) USER(*PUBLIC)
これで、ユーザーが含まれる社員グルーブが、プログラムを使用出来る
ようになり、ブログラムの所有者の権限でファイルをアクセスできる様に
なり、該当のプログラム経由以外では、ユーザーはアクセスできません。
基本的な考え方は以上です。
※1:プログラム所有者のグループの精査は必須です。
※2:十分にテストを行ってください。
(別環境とか、誰も使用していない時にテストを行ってください。)