AS400安全与权限管理.docx
《AS400安全与权限管理.docx》由会员分享,可在线阅读,更多相关《AS400安全与权限管理.docx(42页珍藏版)》请在冰点文库上搜索。
AS400安全与权限管理
AS/400安全与权限管理
AS/400安全体系包括系统安全、用户控制和资源保护三个层次,融贯于整个计算机系统中。
可以说从外部硬件到系统内部,从用户登录开始,到用户访问的每一界面(菜单、命令行等),访问的任何资源,安全检查一直处于活跃状态。
能有效地对数据进行保护,免遭破坏和非法访问。
本单元介绍OS/400的包括用户描述、与安全相关的系统参数、权限表、组描述、安全工具及安全向导等安全概念。
安全包括系统内置的用来控制系统设备、数据、系统上安装程序使用的安全措施。
安全阻止未授权的用户访问数据,从而保护数据的完整性。
菜单是用来控制用户访问权限的方法之一。
用户描述扩展了此权限,可控制用户的登录。
1系统安全
1.1SecurityTypes
Figure7-1.TypesofSecurity
Thereare3typesofsecurityontheAS/400system:
Physicalsecurity、Sign-onsecurityandResourcesecurity
Physicalsecurity
PhysicalsecurityprovidesprotectionofyourAS/400system,device,deviceoutputandmediaonwhichdataisstoredfromaccidentalordeliberatelossordamage.
ResourceSecurity
Resourcesecurityprotectsthedataonthesystembylimitingaccesstofiles,programs,libraries,andotherobjects.
Sign-onsecurity
Sign-onsecuritylimitswhocansignontoanAS/400systemandwhattheycandowhentheysignon(forexample,whichmenuoptionsappear).
对于AS/400计算机系统来说,系统应该有三级安全保护机制。
物理安全性(PhysicalSecurity)、登录安全性(Sign-onSecurity)和资源安全性(ResourceSecurity)。
物理安全性是指提供系统和相关设备及存贮数据介质的保护,以防意外或有意的数据丢失、破坏。
登录安全性限制谁可以在系统上登录,以及登录后可以执行那些操作。
资源安全性是在用户登录系统后,附加的用于保护对象和对象中数据安全性,避免非法访问。
这里我们主要讨论后两种安全性管理。
1.2SecurityLevels
Figure7-2.SecurityLevels
Thesystemoffers5levelsofsecurity:
10,20,30,40and50.
为了满足商务需求,AS/400的安全机制能够实现从没有安全性到C2级标准的安全性,这是依赖于系统值的调节功能。
与安全有关的系统有很多,最重要的是QSECURITY。
系统值SECURITY用于制定当前系统运行在什么样的安全级别,它有五个值:
10、20、30、40、50,分别对应五个不同的安全级别。
以V4R3M0开始的QSECURITY默认值为40,且不能将QSECURITY值置回为10。
如果系统当前的安全级别为10,在安装了V4R3M0后仍为10,但如果将系统值改为高于10的值,就不能再改回为10级。
10级:
没有安全性。
这是系统的最低安全级别,表示系统没有安全性。
进入系统不需要口令,所有用户都有权访问系统中的全部资源,对系统对象的访问也没有限制。
20级:
20级的用户在登录前必须先注册,注册用户在登录时,要输入正确的口令才能进入系统。
一旦用户成功进入系统,即可访问任何系统资源,这时和10级没有区别。
但在20级的系统中,可以设定用户为受限制用户,只允许进行菜单选择,不允许使用命令行。
30级:
资源保护。
30级具备20级的全部功能,所不同的是在30级的系统中,用户对系统资源的访问受到了限制。
系统设置了用户对资源的访问权限,只有获得相应权限的用户才可以访问相应的系统资源。
但在这一级别上,用户的对象和操作系统的对象不加区别,用户可以授权访问大多数MI下方的内部对象。
40级:
40级与30级相比又有很大程度的加强。
在40级的系统中,不允许访问非标准界面,即用户不允许访问或调用全部的MI指令。
用户程序只能使用IBM认可的由部分MI指令组成的标准指令集,包括数百个供独立软件提供商(ISV)使用的API。
然而,在40级安全性下,禁止应用程序使用的那些MI指令对于OS/400来说还是有效的。
为了区分OS/400程序和用户程序,在AS/400中定义了两个执行状态:
系统态(SystemState)和用户态(UserState)。
AS/400中的每一个进程都运行于其中的某一个状态,只有在系统态下才能使用对应用程序禁止的MI指令。
50级:
C2级保护。
美国联邦政府定义的安全级别从高到低依次为A、B、C、D。
B和C下又分了若干子级别。
C2级是商务计算中的最高级别。
50级安全性获得了联邦机构的认证,符合联邦政府C2级安全级别。
如果系统运行在50等级下,系统性能会因其带来的附加检验而受影响。
常用的是30和40两个级别。
有相关权限(*ALLOBJ或*SECADM)的用户可对QSECURITY系统值自由修改,但所改的系统值只在下一次IPL时生效.可用DSPSECA命令显示系统的安全级别。
1.3SecurityRelatedSystemValues
Figure7-3.SecurityRelatedSystemValues
除了QSECURITY之外,还有一些系统值与安全密切相关,在不同的层次上实施安全控制。
以下几个是安全管理员经常使用的。
QMAXSIGN 此系统值控制本地或远程用户的最多无效登录次数。
当达到最大值时系统采用QMAXSGNACN系统值中的相应措施。
QMAXSGNACN 此系统值决定当用户无效登录次数达到最大值时,系统应采取的相应措施:
①逻辑断开设备②使用户描述无效③既逻辑断开设备又使用户描述无效。
QINACTITV 此系统值指定系统所允许的交互式作业处于非活动状态的分钟数。
主要是预防没有Sign-Off而离开工作站,可将此值置为*NONE(系统不检查非活动的交互式作业)或置为5-300分钟.当规定的时间到时,系统采取QINACTMSGQ系统值规定的措施。
建议值为30-60分钟。
QINACTMSGQ 此系统值指定当交互式作业处于非活动状态的时间间隔(即为QINACTITV所规定的)后,系统所应采取的相应措施。
交互式作业可能被终止、断开连接,或者有消息会被送到指定消息队列。
建议值为*DSCJOB
QDSPSGNINF 显示最后一次Sign-On日期和时间,无效的Sign-On次数,以及再过几天需要更换口令。
能有效地帮助用户发现是否有其他用户使用过或试图使用自己的帐号。
QLMTSECOFR 限制拥有特权(*ALLOBJ或*SERVICE)的用户只能在指定的终端上登录,防止权力扩散。
QPWDEXPITV 此系统值通过跟踪最进修改密码时间或用户描述的创建时间,来控制用户使用密码的天数。
在密码将要失效的前七天,用户登录时(即使不显示登录信息)会有一警告,告诉用户更新密码,如果在规定时间内用户没更新密码,用户不能登录,直至更新密码为止。
此参数值可置为*NOMAX(密码可长期使用)或者一定天数(1-366).
QLMTDEVSSN 限制用户同时能否在多台工作站上Sign-On。
注:
可用WRKSYSVAL*SEC命令查看修改所有安全相关系统值。
Figure7-4.WorkwithSystemValues
1.4UserProfile
Figure7-5.UserProfile
WhatisUserProfile
WhatisUserProfile
Theuserprofileisthestartingpointforsecurity,sinceevenforlevel20,theusermustuseapasswordtosignonthesystem.Theuserprofilecontainsgeneralinformationabouttheuserincludingsecurityinformation,alistofobjectstheprofileownsandalistofallobjectstheprofilehasbeenspecificallyauthorizedtouse.
DSPUSRPRFUSRPRF(USER××)TYPE(*OBJOWN,*OBJAUT)
用户描述既是一个OS/400对象又是一个MI系统对象,每个用户都有一个对应的用户描述,当然也允许多个用户共享一个用户描述。
在用户描述中包含有和系统安全有关的信息,这些信息被用于OS/400安全功能部分和SLIC对象权限功能部分。
CRTUSRPRF命令或AS/400的操作浏览器允许安全员或安全管理员建立用户描述并指定用户安全操作的参数。
CRTUSRPRF命令的重要参数
DSPUSRPRFUSRPRF()TYPE(*OBJOWN,*OBJAUT)命令显示用户拥有的对象或被授权的对象。
此命令的TYPE参数是非常有用的参数,给不同的参数值可以查看指定用户的不同信息。
CRTUSRPRF命令的重要参数
Figure7-6.CreateUserProfile
用户描述(UserProfile)是系统中的一种对象,是系统安全性的起点。
用户描述中定义了用户的通常信息,包括该用户描述拥有的对象、有权访问的对象等与安全性有关的信息。
通过CRTUSRPRF命令可以定义一个用户描述,其中有以下主要参数:
--Userprofile:
定义了用户用来登录的名字,也是用户描述对象的名字。
--Userpassword:
登录时需要的口令。
--Setpaswordtoexpire:
可以将用户的口令设置为过期,当用户再登录时必须更改口令。
--Passwordexpirationinterval:
设置用户口令使用的天数,当一个用户的口令使用天数超过这个值时,用户必须更改口令。
--InitialprogramtocallorInitialmenu:
设置用户的初始化程序或初始化菜单。
--Specialenvironment:
由于AS/400的系统是从原有的System/36发展起来的,有的用户可能需要在旧的平台上工作,这里可以设置用户工作的环境。
--Limitcapabilities:
取值*YES可以限制用户只能够使用初始化程序或初始化菜单,不能够使用命令行
--Limitdevicesessions:
用来限制同样的用户和口令是否允许在多个工作站上登录。
--Attentionprogram:
用来定义当用户按下ATTENTION键时那一个程序会被调用。
--Usercalss:
可以定义用户的类别,根据用户的类别不同,用户可以在系统中完成的操作不同。
系统共定义了5种用户类别:
*SECOFR(Securityofficer)、*SECADM(Securityadministrator)、*PGMR(Programmer)、*SYSOPR(Systemoperator)和*USER(User)。
--Specialauthorities:
定义用户是否拥有特殊的权限。
--Groupprofile:
定义用户是否属于某一个用户组。
--Owner:
如果用户属于某一个用户组,该参数定义谁将拥有该用户所建立的对象,用户还是用户组。
--Groupauthority:
定义对于新建的对象,用户组所拥有的权限。
--Supplementalgroups:
定义用户是否还属于其他用户组,这里最多可以输入15个用户组。
1.5SystemAuthority
Figure7-7.SystemAuthority
TherearetwotypesofauthorityavailablewiththeAS/400system:
specialauthorityandspecificAuthority
SpecifyingSpecificAuthorityforObjectsintheIntegratedFileSystem
SpecialAuthority
Figure7-8.SpecialAuthority
SpecialAuthorityspecifiesthetypesofactionsausercanperformonansystemresources.
Thespecialauthoritiesare:
*ALLOBJ(Allobject)
*SAVSYS(SaveSystem)
*JOBCTL(JobControl)
*SERVICE(Service)
*SECADM(SecurityAdministrator)
*SPLCTL(SpoolControl)
*AUDIT(Service)
*IOSYSCFG(SystemConfiguration)
SpecificAuthority
Figure7-9.SpecificAuthority-ObjectAuthority
SpecificAuthorityspecifiestheoperationsausercanperformonanobject.
Thereare2typesofspecificauthoritytoobjects:
authoritytotheobjectitself,whichisshownabove,andauthoritytothedatawithintheobjectwhichisshownonthenextvisual.
Anotherspecificauthorityis*EXCLUDEwhichdeniesaccesstoanobject.
Theobjectauthoritiesare:
*OBJOPR(ObjectOperational)
*OBJMGT(ObjectManagement)
*OBJEXIST(ObjectExistence)
*OBJALTER(ObjectAlteration)
*OBJREF(ObjectReference)
*AUTLMGT(AuthorizationListManagement)Validonlyforauthorizationlistobjects
SpecifyingSpecificAuthorityforObjectsintheIntegratedFileSystem
*RWX *RX *RW *WX *R *W *X *EXCLUDE *AUTL
*RWX
Theuseraregiven*RWXauthoritytotheobjects.Theuseraregiven*RWXauthoritytoperformalloperationsontheobjectexceptthoselimitedtotheownerorcontrolledbyobjectexistence,objectmanagement,objectalter,andobjectreferenceauthority.Theusercanchangetheobjectandperformbasicfunctionsontheobject.*RWXauthorityprovidesobjectoperationalauthorityandallthedataauthorities.
*RX
Theusersaregiven*RXauthoritytoperformbasicoperationsontheobject,suchasrunningaprogramordisplayingthecontentsofafile.Theuserispreventedfromchangingtheobject.*RXauthorityprovidesobjectoperationalauthorityandreadandexecuteauthorities.
*RW
Theuseraregiven*RWauthoritytoviewthecontentsofanobjectandchangethecontentsofanobject.*RWauthorityprovidesobjectoperationalauthorityanddataread,add,updateanddeleteauthorities.
*WX
Theuseraregiven*WXauthoritytochangethecontentsofanobjectandrunaprogramorsearchalibraryordirectory.*WXauthorityprovidesobjectoperationalauthorityanddataadd,updatedelete,andexecuteauthorities.
*R
Theuseraregiven*Rauthoritytoviewthecontentsofanobject.*Rauthorityprovidesobjectoperationalauthorityanddatareadauthority.
*W
Theuseraregiven*Wauthoritytochangethecontentsofanobject.*Wauthorityprovidesobjectoperationalauthorityanddataadd,update,anddeleteauthority.
*X
Theusersaregiven*Xauthoritytorunaprogramorsearchalibraryordirectory.*Xauthorityprovidesobjectoperationalauthorityanddataexecuteauthority.
*EXCLUDE
Excludeauthoritypreventstheuserfromaccessingtheobject.
*AUTL
ThepublicauthorityoftheauthorizationlistspecifiedintheAUTLparameterisusedforthepublicauthorityfortheobject.
AuthoritiescanbedisplayedviaIntegratedFileSystemCommand.
DSPAUTOBJ('/qsys.lib/qaanzlog.file')
Figure7-10.DisplayAuthority-1
F11=Displaydetaildataauthorities
Figure7-11.DisplayAuthority-2
在AS/400系统上,用户访问某一对象(Object)或完成某一任务的能力是受其操作系统OS/400控制的,OS/400控制是基于用户对对象或任务的权限(即访问对象或完成任务的能力)。
系统权限组成见图7-7,它使用两类权限:
特殊权限(SpecialAuthority)和特定权限(SpecificAuthority),其中特殊权限与用户描述(UserProfile)相关,控制系统操作,拥有系统范围的作用域,完成一定任务不需要附加对象权限;特定权限与对象相关,控制用户如何访问对象(在用户特殊权限被允许完成任务的情况下)。
特殊权限:
特殊权限共有8种,其含义和功能描述见图7-12。
Figure7-12.SpecialAuthority
特殊权限在用户描述中设定,由命令CRTUSRPRF或CHGUSRPRF中的参数SPCAUT指定,当SPCAUT设为*usrcls,且系统的安全级别在30级或以上,用户级别(Userclass)与特殊权限有图7-13描述的对应关系。
当然对指定用户级别,你可以随意赋予其一种、多种特殊权限或不赋予任何特殊权限。
查找用户特殊权限需使用DSPUSRPRF命令。
Figure7-13.UserClassandSpecialAuthority
特定权限:
特定定权限分为对象权限(ObjectAuthority)和数据权限(DataAuthority)见图7-7。
对象权限定义对对象整体的操作权限;数据权限定义对对象内部数据的使用权限,10种指定权限的功能描述见图7-14。
在授权时可以指定其中的一种、几种权限(称为User-defined),或使用系统定义的权限(称为system-defined)*ALL、*CHANGE、*USE、*EXCLUDE.
Figure7-14.SpecificAuthority