AS/400e基本概念和基本操作资料（3）

新客网 XKER.COM 2008-02-21 来源：新客网Unix系统佚名收藏本文

　　OS/400安全性基本概念和相关操作命令：

　　用户简要表中包含该用户对哪些对象拥有所有权（Owns）和对哪些对象有权限（Authorized）。可使用命令DSPUSRPRF USRPRF（XXXXXX） TYPE（*OBJOWN，*OBJAUT）查看上述权限。用户共有八种非凡权限：*ALL；*SECADM；*JOBCTL；*SPLCTL；*SAVSYS；*SERVICE；*AUDIT；*IOSYSCFG。这八种非凡权限的含义分别为：

　　*ALL 用户能访问任何对象。

　　*SECADM 用户如对命令CRTUSRPRF和CHGUSRPRF有权限，则可创建和修改用户简要表。

　　*JOBCTL 用户能控制所有作业；能启动打印机和停止活动的子系统等。

　　*SPLCTL 用户有控制假脱机文件权限。

　　*SAVSYS 用户对所有对象有备份，恢复和释放硬盘空间的能力。

　　*SERVICE 用户有使用命令STRSST的权限。

　　*AUDIT 用户能改变和执行审计功能的权限。

　　*IOSYSCFG 用户有改变系统I/O和TCP/IP服务器配置的能力。

　　在用户简要表中有五种用户级别（User Class）：Security Officer(*SECOFR)；Security Administrator(*SECADM)；Programmer(*PGMR)；System Operator(*SYSOPR)；User(*USER)。其中*SECOFR有上述全部八种权限，QSECOFR是OS/400内置的最高权限用户；*SECADM只有*SECADM一种非凡权限；*PGMR不含上述任何一种非凡权限；*SYSOPR有*JOBCTL和*SAVSYS二种非凡权限；*USER不含上述任何一种非凡权限。

　　QSECURITY系统值分为10，20，30，40，50五个等级。其中10表示无任何安全性措施；20表示只要用密码登录OS/400后，系统就无任何安全性措施；30表示用户要用密码登录OS/400并要有相应权限才可访问对象；40在30的基础上，增加了集成安全性，防止对系统的整体完整性进行破坏；50是满足C2级的具有相当严格安全措施的安全等级。一般QSECURITY值设为40。

　　用户对于对象的权限分为*OBJOPR，*OBJMGT，*OBJEXIST，*OBJALTER，*OBJREF五种，对于对象中的资料的权限分为*READ，*ADD，*UPD，*DLT，*EXECUTE五种。五种对象权限的含义分别为：

　　*OBJOPR 用户能使用对象，如有资料权限则可查看对象描述。

　　*OBJMGT 包含 *OBJALTER和 *OBJREF权限加上移动，改名对象，给对象赋安全性权限等。

　　*OBJEXIST 用户能控制对象的存在和所有权。

　　*OBJALTER 用户能改变对象的属性，例如给数据库文件加上或去除触发器。

　　*OBJREF 用户能在数据库的交叉完整性中将对象指定为外部要害词。

　　OS/400定义了*ALL，*CHANGE，*USE，*EXCLUDE四种权限，它们实际上是对象权限和资料权限的组合：*ALL包括所有的对象和资料权限；*CHANGE包括*OBJOPR对象权限和所有的资料权限；*USE包括*OBJOPR对象权限和*EXECUTE，*READ资料权限；*EXCLUDE不包括任何对象和资料权限，用户可自定义对象和资料权限的组合。

　　对某个对象，用户被赋予特定的权限后就对该对象拥有私有权限（Private Authority），没有私有权限的其它用户对该对象拥有公有权限（Public Authority）。私有权限存放在该对象中和对该对象有私有权限的用户简要表中，公有权限在对象创建时就只存在于该对象中。

　　权限列表（Authorization List）包含了一些用户简要表的权限清单，把某一权限列表和某一对象相连后，权限列表中的用户就对该对象拥有在权限列表中的权限了。组简要表（Group Profile）是一种非凡的用户简要表，在组简要表中定义了对一些对象的权限，在用户简要表中可以指明该用户属于哪个组简要表，假如不对同属于一个组简要表的用户再单独赋予权限的话，则这些用户就对这些对象具有相同的权限。一个用户最多可属于16个组简要表，而组简要表不能再属于另一个组简要表。

　　用户对对象是否有指定权限的搜索顺序为：用户是否有*ALLOBJ权限 -> 用户对对象是否有私有权限 -> 用户是否位于对象的权限列表中 -> 用户所属组是否有*ALLOBJ权限 -> 用户所属组对对象是否有私有权限 -> 用户所属组是否位于对象的权限列表中 -> 用户对对象的公有权限是否够用 -> 对象权限列表中的公有权限是否够用。在上述搜索顺序中，某一环节对对象的权限够用时，搜索就停止。

　　安全性操作相关命令：DSPUSRPRF，WRKOBJ，WRKUSRPRF，EDTOBJAUT等。

　　OS/400设备治理的基本概念和相关操作命令：

　　AS/400e出厂时设定为设备自动配置（Device Autoconfiguration），这样系统在IPL后将自动辨别和创建设备描述。使用缺省的命名规则，则第一个光驱的设备名为OPT01，第一个磁带机的设备名为TAP01。远程设备的描述必须通过手工方式建立。

　　通过双同轴可连接终端，打印机等5250设备家族中的设备。双同轴主控终端必须连接在双同轴连接器的0号埠上，否则AS/400e IPL时将报告找不到终端，在每一条双同轴连接路径上最多可接连7个双同轴设备。PC能通过令牌环网络（Token-Ring）或以太网络（Ethernet）连接到AS/400e。可通过查看QSYSOPR消息队列中的消息来监视设备的状态。

　　OS/400中共有四种配置对象（Configuration Object）：网络服务器描述（Network Server Description NWSD）；线路描述（Line Description LIND）；控制器描述（Controller Description CTLD）；设备描述（Device Description DEVD）。这四种配置对象的含义分别为：

　　NSWD 集成PC服务器的描述（Integrated PC Server IPCS）。

　　LIND 对于和AS/400e本地或远程连接，描述物理线路和线路协议，包括线路速度和位址等。

　　CTLD 描述远程系统，控制器或网络的物理属性，代表物理或逻辑设备。

　　DEVD 描述连接到AS/400e的物理或逻辑设备。

　　可使用命令GO DEVICE，在Device菜单中治理设备。使用命令WRKCFGSTS可治理设备的状态，设备状态有VARIED ON，VARIED OFF，ACTIVE等。当发现设备状态不是ACTIVE或VARIED ON时，应先将设备VARIED OFF，再VARIED ON。

　　对通讯的治理可使用命令GO CMNSTS，在Communication菜单中对通讯进行治理。可使用命令PRTDEVADR打印设备地址。可使用命令WRKHDWRSC治理硬件资源，AS/400e的硬件资源共有七个：*CMN（Communication），*CSA（Coupled Adapter），*LAN（Token-Ring LAN Adapter），*LWS（Local Workstation），*PRC（Processor），*STG（Storage），*CRP（Cryptographic Resources）。可使用命令STRSST启动系统服务工具（System Service Tools），治理AS/400e的所有硬件。

　　设备治理操作的相关命令：CRTDEVDSP，CRTDEVPRT，CRTDEVTAP，CRTLINETH，WRKCFGSTS，WRKHDWRSC，PRTDEVADR，WRKLIND，WRKCTLD，WRKDEVD，STRSST等。

上一篇：AS/400e基本概念和基本操作资料（2）下一篇：AS/400e基本概念和基本操作资料（4）

【收藏】【评论】【推荐】【投稿】【打印】【关闭】