大型機(jī)S390系統(tǒng)管理第五章RACF概述

1、RACF概述概論 RACF(Resource Access Control Facility)是OS/390的安全子系統(tǒng)。它可以證實(shí)一個(gè)用戶，并且保護(hù)數(shù)據(jù)不會(huì)被有意或無意地破壞、修改、泄漏或使用。RACF有四大功能：證實(shí)一個(gè)用戶 RACF使用用戶ID和口令來證實(shí)一個(gè)用戶。當(dāng)一個(gè)用戶試圖登錄時(shí)，RACF將檢查這個(gè)用戶是否在RACF中有定義，口令是否有效，用戶是否已被掛起，用戶是否被授權(quán)使用這個(gè)終端，用戶是否被授權(quán)使用這個(gè)應(yīng)用，用戶是否允許此時(shí)登錄，終端是否允許此時(shí)登錄。所有的安全檢查通過后，用戶才會(huì)被允許登錄進(jìn)入系統(tǒng)。定義用戶時(shí)，系統(tǒng)管理員會(huì)給用戶一個(gè)暫時(shí)的口令，用戶登錄后RACF會(huì)強(qiáng)制用戶改變

2、自己的口令，這樣系統(tǒng)中的任何用戶都不會(huì)知道用戶的口令，除非用戶自己泄漏。當(dāng)用戶忘了自己的口令時(shí)，系統(tǒng)管理員會(huì)給他改變口令，這樣當(dāng)用戶再次登錄時(shí)，又需要強(qiáng)制改變自己的口令。當(dāng)一個(gè)MVS用戶已登錄在系統(tǒng)中時(shí)，他也不能再次登錄，只有在LOGOFF后才能在登錄。 每一個(gè)RACF定義的用戶均有一個(gè)PROFILE，其內(nèi)容有用戶ID、擁有者、口令、屬性、SECURITY CLASSIFICATION、組及段。在RACF中用戶可劃分為組。一個(gè)用戶組通常是許多具有類似權(quán)限的用戶的集合。組主要是為了管理方便，因?yàn)樗梢院?jiǎn)化PROFILE中的訪問列表。一個(gè)用戶可同時(shí)屬于多個(gè)組，當(dāng)一個(gè)用戶成為一個(gè)組中的成員時(shí)，我們說

3、這個(gè)用戶連接到這個(gè)組中，同時(shí)他也具有了這個(gè)組的權(quán)限。 2.資源授權(quán)檢查當(dāng)一個(gè)用戶企圖訪問一個(gè)特定的資源時(shí)，系統(tǒng)會(huì)調(diào)用RACF去確定用戶是否允許使用該資源。RACF不僅控制用戶對(duì)資源的訪問，而且還控制用戶如何去訪問資源，比如是只讀還是可讀可寫，或者必須通過某種手段(諸如通過特定的程序)訪問。RACF可用于控制訪問許多類的資源，諸如MVS數(shù)據(jù)集、終端、控制臺(tái)、CICS和IMS交易甚至程序等。RACF對(duì)資源的控制也是通過PROFILE來進(jìn)行，資源PROFILE的主要內(nèi)容有：PROFILE名、擁有者、UACC(通用訪問權(quán)限)、訪問控制列表、SECURITY CLASSIFICATION及審計(jì)信息。資源

4、授權(quán)檢查的流程見圖6.1：圖6.1 資源授權(quán)檢查的流程圖中：用戶通過一個(gè)資源管理器（比如TSO/E，CICS或IMS）請(qǐng)求訪問資源。資源管理器發(fā)布一個(gè)RACF請(qǐng)求確定用戶是否可以訪問資源。在大多數(shù)情況下，這是一個(gè)RACROUTE宏，其它情況下則是一個(gè)獨(dú)立的RACF宏。RACF訪問RACF數(shù)據(jù)庫(kù)（或者從RACF數(shù)據(jù)庫(kù)拷貝到內(nèi)存中的PROFILE）.檢查合適的資源PROFILE.傳遞PROFILE中的內(nèi)容。RACF將請(qǐng)求的狀態(tài)（即用戶是否可以訪問資源）通知資源管理器。資源管理器獲得或否決用戶的請(qǐng)求。記錄和報(bào)告RACF決定允許或不允許用戶訪問系統(tǒng)后，它會(huì)檢查是否應(yīng)當(dāng)記錄這一事件(由安全管理員或具有A

5、UDITOR屬性的用戶指定)。具有AUDITOR屬性的用戶可以指定那些事件需要記錄，比如所有事件、企圖訪問成功時(shí)記錄、失敗時(shí)記錄、或讀時(shí)記錄或?qū)憰r(shí)記錄。如需要記錄，則寫到RMF數(shù)據(jù)集，同時(shí)送系統(tǒng)控制臺(tái)，也可指定通知一個(gè)特定的用戶。具有AUDITOR屬性的用戶可以看PROFILE，可以設(shè)置是否記錄和PROFILE有關(guān)的訪問事件，或在什么條件下記錄，但無權(quán)修改PROFILE，無權(quán)訪問資源。 4.安全管理在RACF中，大多數(shù)用戶都是一般用戶，他們有其自己的訪問資源的權(quán)限。除一般用戶外，RACF還可以定義具有SPECIAL、OPERATIONS、AUDIT屬性的用戶，它們各自具有一定的系統(tǒng)管理、特殊訪

6、問權(quán)限和審計(jì)功能。具有SPECIAL屬性的用戶有權(quán)管理系統(tǒng)中的安全。這種用戶可以在RACF數(shù)據(jù)庫(kù)中定義、改變、查看、刪除PROFILE。這種用戶并沒有權(quán)限直接訪問資源，但可以控制其他用戶的訪問。SPECIAL屬性也可授予一個(gè)特定的用戶，使他只具有管理某個(gè)組或其子組的成員，這個(gè)屬性稱之為GROUP SPECIAL。具有OPERATION屬性的用戶負(fù)責(zé)維護(hù)系統(tǒng)中的磁盤，可對(duì)數(shù)據(jù)集進(jìn)行COPY、編目等工作，可看機(jī)密數(shù)據(jù)，甚至可改變刪除數(shù)據(jù)集。具有AUDIT屬性的用戶則可以規(guī)定系統(tǒng)的審計(jì)策略。用戶的SPECIAL、AUDIT、OPERATION三種屬性可以賦予特定的某一個(gè)用戶，使他只在某一個(gè)范圍內(nèi)有這

7、個(gè)權(quán)力。這樣可以實(shí)現(xiàn)用戶或組的放權(quán)管理。只在特定范圍內(nèi)有效的這三種屬性分別稱為：GROUP SPECIAL、GROUP AUDIT、GROUP OPERATION.屬性。利用RACF可以控制對(duì)系統(tǒng)及系統(tǒng)中的子系統(tǒng)的訪問。這些子系統(tǒng)包括JES，TSO，IMS，CICS，SMS，DB2，VTAM和APPC會(huì)話。也可控制對(duì)資源的訪問，它們包括：終端，控制臺(tái)，數(shù)據(jù)（編目、數(shù)據(jù)集等），程序，交易等。用戶或組在使用資源時(shí)是否會(huì)得到授權(quán)取決于以下因素：用戶標(biāo)識(shí)（USERID）：當(dāng)用戶被創(chuàng)建時(shí)，必須要有一個(gè)1到8字符的用戶標(biāo)識(shí)。用戶登錄時(shí)使用這個(gè)標(biāo)識(shí)及口令證實(shí)用戶的身份。當(dāng)用戶使用資源時(shí)，RACF使用這個(gè)標(biāo)識(shí)

8、確定用戶是否有權(quán)訪問資源。屬性：用戶屬性確定了訪問系統(tǒng)時(shí)的特權(quán)限制。它分為用戶屬性和組屬性兩類。用戶屬性主要有：SPECIAL，AUDITOR，OPERATIONS，CLAUTH，REVOKE等等。組屬性指當(dāng)一個(gè)用戶連接到一個(gè)組中時(shí)，連接的屬性。主要有：USE，CREATE，CONNECT，JOIN。安全標(biāo)識(shí)：每一個(gè)用戶和資源的PROFILE都有一個(gè)安全標(biāo)識(shí)。當(dāng)用戶訪問一個(gè)資源時(shí)，RACF將資源與用戶的安全標(biāo)識(shí)相比較，如果用戶的安全標(biāo)識(shí)低于資源的安全標(biāo)識(shí)，則直接拒絕用戶的訪問。訪問授權(quán)：訪問授權(quán)有以下幾種：NONE，EXECUTE，READ，UPDATE，CONTROL，ALTER。其權(quán)限由低

9、至高，逐次增加。系統(tǒng)安全管理員或授權(quán)的用戶可以定義用戶、組、保護(hù)資源。RACF 使用PROFILE定義用戶和組、保護(hù)資源。每一個(gè)PROFILE都有一個(gè)擁有者，或者是用戶，或者是組。建議PROFILE的擁有者是組。如果建立PROFILE時(shí)未指定擁有者，則默認(rèn)的擁有者是建立PROFILE的用戶。所有用戶、組、數(shù)據(jù)集及其他資源的PROFILE 保存在RACF數(shù)據(jù)庫(kù)中。因此每建立一個(gè)PROFILE，實(shí)際上在RACF數(shù)據(jù)庫(kù)中寫入了一項(xiàng)。所以它應(yīng)當(dāng)有一個(gè)備份，有問題時(shí)可以切換到備份。系統(tǒng)中也提供了一些工具，利用這些工具可以將RACF數(shù)據(jù)庫(kù)中的內(nèi)容復(fù)制到DB2或其他數(shù)據(jù)處理子系統(tǒng)中，也可以將DB2或其它數(shù)據(jù)

10、處理子系統(tǒng)中保存的RACF數(shù)據(jù)恢復(fù)到RACF數(shù)據(jù)集中。每一個(gè)PROFILE均屬于RACF中的某一類，例如，保護(hù)終端的PROFILE屬于TERMINAL類，用戶PROFILE則屬于USER類。RACF中的類至少有幾十個(gè)，限于篇幅，本書只涉及到其中的一部分，感興趣的讀者可參考IBM紅皮書OS/390 Security Server(RACF) System Programers Guide。PROFILE的類型有以下幾種： -用戶PROFILE -組PROFILE -數(shù)據(jù)集PROFILE-通用資源PROFILE 用戶PROFILE和組PROFILE記錄了用戶或組的安全特性。數(shù)據(jù)集PROFILE和通

11、用資源PROFILE則描述了數(shù)據(jù)集和通用資源的訪問權(quán)限。這些訪問權(quán)限分布在PROFILE中的兩個(gè)地方，一個(gè)叫UACC，另一個(gè)叫訪問列表。UACC表示一般的訪問權(quán)限，也就是說訪問列表中沒有記錄的用戶的訪問權(quán)限。而訪問列表則特別指出特定的用戶或組具有什么樣的權(quán)限。在RACF中權(quán)限可以是以下幾種：-ALTER：對(duì)資源或數(shù)據(jù)集具有完全的控制。如果這一權(quán)限出現(xiàn)在一個(gè)通用PROFILE中，則表示不僅可以讀、寫、執(zhí)行此PROFILE保護(hù)的數(shù)據(jù)集或資源，還可以創(chuàng)建此PROFILE保護(hù)的數(shù)據(jù)集或資源。-UPDATE：可讀可寫。-READ：可讀。-EXECUTE：可執(zhí)行。-NONE：無任何權(quán)限。PROFILE按其

12、管理的內(nèi)容的范圍又可分為通用PROFILE和分散PROFILE： 通用PROFILE：PROFILE名字中可以有通配符，一個(gè)PROFILE可以覆蓋多個(gè)名字類似的資源，因此這種PROFILE允許你定義一個(gè)PROFILE保護(hù)多個(gè)名字類似的資源。顯然，使用這種PROFILE可以大幅度減少RACF數(shù)據(jù)庫(kù)中的項(xiàng)目，方便管理。當(dāng)然用一個(gè)這種PROFILE保護(hù)的所有資源，安全要求是一樣的。 分散PROFILE：PROFILE的名字預(yù)備保護(hù)的對(duì)象名字完全一致，每一個(gè)這種PROFILE只對(duì)應(yīng)一個(gè)被保護(hù)的對(duì)象，因此每一個(gè)PROFILE只保護(hù)一個(gè)資源。 RACF的管理方式可以有兩種： 集中式：系統(tǒng)安全管理員管理所有

13、的安全事務(wù)。 分散式：系統(tǒng)安全管理員放權(quán)給若干用戶，使他們承擔(dān)一部分安全管理工作。 可以通過命令、TSO的ISPF菜單及JCL使用RACF。最常用的方式是使用TSO的ISPF菜單，但如果一次建立很多PROFILE時(shí)，采用JCL批處理的方式會(huì)更方便。本書主要以命令方式講述，但使用的命令中的選項(xiàng)或參數(shù)均可在菜單中找到。使用JCL批處理方式的JCL示例如下：/jobname JOB ./STEP1 EXEC PGM=IKJEFT01，DYNAMNBR=20/SYSTSPRT DD SYSOUT=A/SYSTSIN DD * ADDGROUP PROJECTA ADDUSER (PAJ5 ESH25)

14、TA PERMIT PROJECTA.XYZ.DATA ID(PAJ5) ACCESS(UPDATE)/*用戶和組的管理621用戶和組的定義定義用戶和組可以使用多種方式，其中包括RACF菜單、命令以及JCL作業(yè)。PROFILE的擁有者可以是用戶或組，建議屬于組。組的定義RACF中組的結(jié)構(gòu)類似于一個(gè)單位中的樹狀組織管理的結(jié)構(gòu)。也就是說，每一個(gè)組中可以有多個(gè)成員，組中的成員可以是用戶，也可以是組。一個(gè)組中可以有多個(gè)用戶，當(dāng)一個(gè)用戶成為一個(gè)組中的成員時(shí)，我們稱該用戶連接到了這個(gè)組中。一個(gè)用戶也可以同時(shí)連接到多個(gè)組中。SYS1組是系統(tǒng)安裝后權(quán)限級(jí)別最高的組，因此它沒有前趨組或擁有者。一個(gè)組中最多可以有

15、5900個(gè)用戶。一個(gè)組中的用戶實(shí)際上代表了工作性質(zhì)類似的一組用戶，比如一個(gè)單位中的一個(gè)部門或小組。在RACF中每一個(gè)組，除了SYS1以外，均有一個(gè)前趨組（父組）和擁有者和若干個(gè)子組。定義一個(gè)組的用戶必須具有以下權(quán)限之一：具有SPECIAL屬性。具有GROUP SPECIAL屬性，并且要定義的組的前趨組在你的管理范圍之內(nèi)。用戶是要定義的組的前趨組的擁有者。具有要定義的組的前趨組的JOIN授權(quán)。當(dāng)你定義一個(gè)組時(shí)，你實(shí)際上在RACF數(shù)據(jù)庫(kù)中創(chuàng)建了一個(gè)組PROFILE。如圖6.2所示，是組PROFILE的格式：GROUP NAMEOWNERSUPGROUPDATATERMUACCMODELDFPOMV

16、S圖6.2 組PROFILE的格式由圖中可以看出，組PROFILE由RACF段、DFP段和OMVS段及其他段組成。每個(gè)段又由若干個(gè)FIELD組成。你可以使用LISTGRP命令列出組中各段的屬性。RACF段包含了RACF所需要的最基本的信息，它由以下FIELD組成：*GROUP-NAME：組的名字。*OWNER：組的擁有者。組的擁有者可以是組的前趨組也可以是一個(gè)用戶。默認(rèn)為定義這個(gè)組的用戶。擁有者最好是一個(gè)組而不是一個(gè)用戶，因?yàn)槿绻且粋€(gè)用戶，當(dāng)這個(gè)用戶被刪除后，或者離開了工作崗位，原擁有者的擁有者成為這個(gè)組的擁有者，可能會(huì)出現(xiàn)安全上的漏洞。*SUPGROUP：組的前趨組。*TERMUACC或N

17、OTERMUACC：指示對(duì)終端的訪問控制是否可以基于終端PROFILE的UACC*MODEL：創(chuàng)建新組時(shí)使用的模版PROFILE。*DATA：有關(guān)組的描述信息。組PROFILE的DFP段含有對(duì)SMS管理的數(shù)據(jù)集默認(rèn)的管理屬性和DASD存儲(chǔ)器特性。要定義或改變組PROFILE中的DFP段，用戶必須具有SPECIAL屬性。它有以下FIELD組成：*DATAAPPL：用戶DFP數(shù)據(jù)應(yīng)用標(biāo)識(shí)。*DATACLAS：分配性數(shù)據(jù)集時(shí)使用的默認(rèn)的DATA CLASS.*MGMTCLAS：數(shù)據(jù)集分配后默認(rèn)的MANAGEMENT CLASS.*STORCLAS：組默認(rèn)的STORAGE CLASS. OMVS段由G

18、ID FIELD組成，指示該組在OE環(huán)境下的組標(biāo)號(hào)。它是一個(gè)整數(shù)。盡管不同的組可以分配相同的GID，但不建議這樣。不同的組應(yīng)該有不同的GID。因?yàn)樵贠E中，相同的GID被認(rèn)為是同一個(gè)組，這樣會(huì)引起安全上的漏洞。要改變用戶的PROFILE中的OMVS段的內(nèi)容，用戶應(yīng)具有SPECIAL屬性，并授權(quán)訪問FIELD類中的GROUP.OMVS.* PROFILE或GROUP.OMVS.GID 兩個(gè)PROFILE之一。 組的名字是1-8個(gè)字符組成的字母(包括#、$、)數(shù)字串，并且不得以數(shù)字開頭。組不能與組或用戶重名。 使用組后，管理員可以把對(duì)資源的控制以組為單位來進(jìn)行，即把組名放在該資源PROFILE的訪

19、問列表中即可。因此資源PROFILE的訪問列表變得簡(jiǎn)短而易于維護(hù)。比如你如果希望多個(gè)用戶可以訪問某一資源時(shí)，若不使用組，你必須在這個(gè)資源PROFILE的訪問列表中加入有關(guān)這幾個(gè)用戶的權(quán)限說明。使用組后，你可以創(chuàng)建一個(gè)組，在資源PROFILE的訪問列表中加入有關(guān)這組的權(quán)限說明，然后將這些用戶連接到這個(gè)組中即可。 在用ADDGROUP創(chuàng)建一個(gè)組或用ALTGROUP改變一個(gè)組時(shí)，你可指定組PROFILE的擁有者。如果不指定擁有者，則創(chuàng)建者成為擁有者。組的擁有者(或連接到該組的具有GROUP-SPECIAL屬性的用戶)具有以下權(quán)限： (1)定義新用戶(當(dāng)然應(yīng)在USER CLASS中具有CLAUTH屬性

20、) (2)把用戶從組中刪除或連接的組中。 (3)改變組的屬性，放權(quán)其他用戶管理該組。 (4)改變、顯示、刪除組的PROFILE。 (5)定義、刪除、顯示該組的子組。可以使一個(gè)RACF組作為一個(gè)用戶、組、數(shù)據(jù)集或通用資源PROFILE的擁有者。任何一個(gè)用戶如果以GROUP SPECIAL的屬性連接到一個(gè)組中，則他具有該組擁有者的權(quán)限。組中的每個(gè)用戶都有特定的授權(quán)級(jí)別，也就是說，每一個(gè)用戶在連接到一個(gè)組中時(shí)，必須以一定的授權(quán)級(jí)別連接進(jìn)來，這些授權(quán)級(jí)別是： USE： 用戶可以在組的權(quán)限內(nèi)訪問資源。這是用戶連接到一個(gè)組中的最低授權(quán)級(jí)別也是默認(rèn)的授權(quán)級(jí)別，也就是說用戶可以訪問該組用戶被授權(quán)訪問的資源。

21、CREATE：用戶可以創(chuàng)建新的屬于組的數(shù)據(jù)集并且控制這些數(shù)據(jù)集的訪問權(quán)限。 CONNECT：用戶可以把其他用戶連接到組中，并具有USE、CREATE及CONNECT授權(quán)。JOIN：用戶可以創(chuàng)建新的組和用戶，新創(chuàng)建的組成為該組的子組。當(dāng)然，要?jiǎng)?chuàng)建新用戶，具有JOIN授權(quán)的用戶還需要在USER CLASS具有CLAUTH屬性。顯然，這四個(gè)授權(quán)級(jí)別以USE、CREATE、CONNECT、JOIN為順序，其中JOIN級(jí)別最高，USE級(jí)別最低。一般來講，高級(jí)別的授權(quán)包含了低級(jí)別授權(quán)的權(quán)限。定義一個(gè)組的命令格式如下：ADDGROUP/AG (組名) DATA(注釋) DFP(DATAAPPL(應(yīng)用名) D

22、ATACLA(DATA CLASS名) MGMTCLAS(MANAGEMENT CLASS 名)STORCLAS(STORE CLASS名) MODEL(模版名) OMVS(GID(組標(biāo)識(shí)) OWER(用戶或組名) SUPGROUP(組名) TERMUACC/NOTERMUACC其中，命令格式中出現(xiàn)的各段的內(nèi)容大部分我們?cè)谇懊嬉阎v過，在此不再另行說明。在此我們只討論以前我們沒有說明的內(nèi)容。注釋是說明性的東西，對(duì)安全管理沒有太大的作用，僅僅說明該用戶的一些額外信息。MODEL(模版名)：指示創(chuàng)建此PROFILE時(shí)，從指定的模版PROFILE復(fù)制信息到此PROFILE。TERMUACC/NOTER

23、MUACC： 一個(gè)組如果具有NOTERMUACC屬性，則這個(gè)組的成員只能從RACF保護(hù)的并且用戶授權(quán)登錄的終端上登錄，而不能基于終端的UACC。如果具有TERMUACC屬性，則無此限制。定義一個(gè)組的步驟：步驟1：確定組的前趨組、組名、擁有者，如果系統(tǒng)中用RACF保護(hù)終端并且組中的用戶限制使用特定的終端，創(chuàng)建組時(shí)應(yīng)指定NOTERMUACC。如果安裝了DFSMS，則在組的DFP段中指定特定的初始值。 步驟2：創(chuàng)建組PROFILE。例如：創(chuàng)建一個(gè)組，組名是DEPTA，組的擁有者是ALLDEPT，該組是ALLDEPT的一個(gè)成員，可以使用如下命令： ADDGROUP DEPTA OWNER(ALLDEP

24、T) SUPGROUP(ALLDEPT) 步驟3：連接合適的用戶到組中。多數(shù)用戶只需具有USE授權(quán)即可，根據(jù)實(shí)際安全管理的要求，少數(shù)幾個(gè)用戶可具有高于USE的授權(quán)。例如：將STEVEN、LIZS和GENEK三個(gè)用戶連接到組的DEPTA中，其中STEVEN和LIZS連接的屬性是CONNECT，也就是說這兩個(gè)用戶可以將其它用戶連接到DEPTA中；用戶GENEK的連接屬性是USE，所以僅僅是一般用戶。 CONNECT (STEVEH LIZS) GROUP(DEPTA) OWNER(DEPTA) AUTHORITY(CONNECT) CONNECT GENEK GROUP(DEPTA) OWNER(

25、DEPTA) 步驟4：如果組要擁有數(shù)據(jù)集，則創(chuàng)建一個(gè)通用的數(shù)據(jù)集PROFILE。例如：定義一個(gè)HLQ是DEPTA的PROFILE，其UACC是NONE，以保護(hù)該組所擁有的數(shù)據(jù)集。 ADDSD DEPTA.* UACC(NONE) 步驟5：如果組需要訪問RACF保護(hù)的資源，則授權(quán)給該組。例如：允許該組成員對(duì)RACF.PROTECT.DATA PROFILE所保護(hù)的資源有讀的權(quán)限，則發(fā)布如下命令： PERMIT RACF.PROTECT.DATA ID(DEPTA) ACCESS(READ) 步驟6：如果組需要訪問OE的資源，則改變組的PROFILE，并賦予一個(gè)GID。例如，使DEPTA組的成員登

26、錄到OE時(shí)，使用的GID是100，使用如下命令：ALTGROUP DEPTA OMVS(GID(100)刪除一個(gè)組時(shí)，這個(gè)組首先必須要存在，并且沒有子組，不再擁有組或用戶，沒有任何用戶連接在其中。其命令格式：DELGROUP/DG (組名) 刪除一個(gè)組的步驟： 步驟1：移去組中的所有用戶(REMOVE命令)。 步驟2：找出所有與該組有關(guān)的數(shù)據(jù)集，一般來講也就是HLQ是該組組名的數(shù)據(jù)集，把它們刪除或改名。 步驟3：把要?jiǎng)h除的組的子組，其前趨組改為已存在的組。 步驟4：如果組還擁有其他PROFILE，改變擁有者為其他組或用戶。 步驟5：在所有訪問列表中刪除該組。步驟6：用DELGROUP命令刪除組

27、的PROFILE。改變一個(gè)組的屬性所需要的權(quán)限與創(chuàng)建組命令一樣，其命令格式如下：ALTGROUP/ALG (組名) DATA(注釋) DFP(DATAAPPL(應(yīng)用名) DATACLA(DATA CLASS名) MGMTCLAS(MANAGEMENT CLASS 名)STORCLAS(STORE CLASS名) MODEL(模版名) OMVS(GID(組標(biāo)識(shí)) OWER(用戶或組名) SUPGROUP(組名) TERMUACC/NOTERMUACCLISTGRP命令用于顯示出組PROFILE的詳細(xì)內(nèi)容。包括組的前趨組、擁有者、終端特性、所有子組、注釋信息、模版PROFILE名、連接到該組中的用

28、戶信息(用戶ID、用戶在組中的授權(quán)、用戶已該組作為當(dāng)前連接的組進(jìn)入系統(tǒng)的次數(shù)、用戶的連接屬性、掛起或RESUME的日期)以及DFP、OMVS段的信息。要使用該命令，用戶應(yīng)具有以下權(quán)限之一：具有SPECIAL或AUDITOR屬性在要顯示的組中具有GROUP SPECIAL或GROUP AUDITOR屬性。是組的擁有者。在組中具有JOIN或CONNECT權(quán)限。其命令格式是：LISTGRP/LG (組名)/* DFP NORACF OMVS以下是用LISTGRP命令列出某系統(tǒng)中SYS1組的內(nèi)容：INFORMATION FOR GROUP SYS1 SUPERIOR GROUP=NONE OWNER=

29、IBMUSER NO INSTALLATION DATA NO MODEL DATA SET TERMUACC SUBGROUP(S)= SYSCTLG VSAMDSET ADMIN APK OSASF TTY OMVSGRP DCEGRP IMWEB EXTERNAL EMPLOYEE SPECIAL SYSDATA NOTES CMNGRP USER(S)= ACCESS= ACCESS COUNT= UNIVERSAL ACCESS= IBMUSER JOIN 006635 READ CONNECT ATTRIBUTES=NONE REVOKE DATE=NONE RESUME DATE

30、=NONE CICSUSER USE 000052 NONE CONNECT ATTRIBUTES=NONE REVOKE DATE=NONE RESUME DATE=NONE SYSADM USE 000086 NONE CONNECT ATTRIBUTES=NONE REVOKE DATE=NONE RESUME DATE=NONE SYSOPR USE 000000 NONE CONNECT ATTRIBUTES=NONE REVOKE DATE=NONE RESUME DATE=NONE USERA USE 000310 NONE CONNECT ATTRIBUTES=NONE REV

31、OKE DATE=NONE RESUME DATE=NONE NO DFP INFORMATION OMVS INFORMATION GID= 0000000000從以上列表中可以看出，系統(tǒng)中SYS1組沒有前趨組，擁有者是IBMUSER，OE中的組ID是0，沒有注釋信息和模版數(shù)據(jù)集，具有TERMUACC屬性。組中有15個(gè)子組，它們是SYSCTLG、VSAMDSET ADMIN、APK、OSASF、TTY、OMVSGRP、DCEGRP、IMWEB、EXTERNAL、EMPLOYEE、SPECIAL、SYSDATA、NOTES和CMNGRP ，有5個(gè)用戶，他們是IBMUSER、CICSUSER 、

32、SYSADM、SYSOPR、USERA。用戶的定義 定義一個(gè)用戶就是在RACF數(shù)據(jù)庫(kù)中創(chuàng)建一個(gè)用戶PROFILE。用戶PROFILE由RACF段及DFP、TSO、CICS、LANGUAGE、OPERPARM、WORKATTR、OMVS和NETVIEW段組成。用戶PROFILE的每一個(gè)段都由若干個(gè)FIELD組成。定義(用ADDUSER命令)或改變(用ALTUSER命令)用戶的PROFILE時(shí)，可以指定PROFILE中各段的FIELD參數(shù)。使用LISTUSER命令可以顯示出用戶PROFILE及其各段的信息。 RACF段由以下FIELD組成： USERID：用戶ID。用戶ID可以是1-8個(gè)符號(hào)(包括

33、字母、數(shù)字及#、$、)，但必須以字母打頭。用戶ID也不得與組或其他用戶重名。 NAME：用戶真正的名字。 OWNER：PROFILE的擁有者。它可以是一個(gè)用戶或一個(gè)組，默認(rèn)為創(chuàng)建這個(gè)用戶的用戶。建議擁有者是一個(gè)組而不是一個(gè)用戶，因?yàn)槿绻且粋€(gè)用戶，當(dāng)這個(gè)用戶被刪除后，可能會(huì)帶來安全上的漏洞。 DFLTFRP：用戶默認(rèn)的組。 AUTHORITY：用戶在默認(rèn)的組中的授權(quán)。 PASSWORD：口令，用戶的口令在PROFILE中是以加密的形式存放的，任何人都不能夠以任何方式讀取，包括系統(tǒng)的安全管理員。如果用戶忘記了自己的口令，只能由授權(quán)的用戶重新賦予一個(gè)新口令，用戶再次登錄時(shí)，必須強(qiáng)制修改自己的口令。

34、為了安全起見，在任何情況下修改口令時(shí)，新口令必須輸入兩次，而且兩次輸入的新口令必須一致。 REVOKE：用戶被掛起的日期，所謂被掛起，指用戶暫時(shí)不能登錄。當(dāng)時(shí)間到達(dá)此日期時(shí)，用戶自動(dòng)被掛起。當(dāng)然，如果一個(gè)用戶多次登錄(具體多少次可在RACF中設(shè)置)而未成功，系統(tǒng)也會(huì)自動(dòng)掛起此用戶。一旦被掛起，只有請(qǐng)求有權(quán)限的用戶將其RESUME，才能再次登錄。這樣防止其他用戶猜測(cè)用戶的口令。 RESUME：用戶被resume的日期。當(dāng)用戶被掛起后，可以將用戶RESUME，這樣用戶就可以再次登錄。 UACC：用戶定義的資源的通用訪問權(quán)限。 WHEN：用戶在一個(gè)星期中的那一天及幾點(diǎn)鐘可訪問系統(tǒng)。 ADDCATEG

35、ORY：該用戶是否可以指定安全類別。 SECLEVEL：用戶的安全級(jí)別。有關(guān)安全類別和安全級(jí)別的描述，請(qǐng)讀者參見本章第四節(jié)通用資源引論的有關(guān)描述。CLAUTH：用戶可定義的PROFILE的類。如果一個(gè)用戶在某一類中具有該權(quán)限，則用戶可以定義該類中的PROFILE。例如你如果指定CLAUTH為USER，則你可以定義用戶。如果指定CLAUTH為TERMINAL，則你可以定義終端。這個(gè)屬性可以分派給具有GROUP SPECIAL屬性的用戶，使他可以定義特定類的PROFILE。一個(gè)用戶如果具有定義某一類PROFILE的授權(quán)，并不意味著該用戶可以隨便保護(hù)該類資源，它所保護(hù)的資源必須在其管理范圍之內(nèi)。例如

36、一個(gè)用戶盡管具有USER授權(quán)，如果它要有權(quán)在組中定義PROFILE，則它還必須以SPECIAL或JOIN屬性被連接到組中。 SPECIAL：用戶具有系統(tǒng)范圍的SPECIAL屬性，具有這樣的屬性的用戶可以發(fā)布所有的RACF命令，可對(duì)RACF數(shù)據(jù)庫(kù)中的PROFILE進(jìn)行完全控制。你可以在組一級(jí)上分配這一屬性(用CONNECT命令)，這稱之為GROUP SPECIAL。具有GROUP SPECIAL屬性的用戶如果又同時(shí)具有了USER類的授權(quán)，則對(duì)其組以下范圍的用戶和組具有完全的控制。但對(duì)其范圍外的用戶和組并無管理權(quán)限。 AUDITOR：用戶具有系統(tǒng)范圍的AUDITOR屬性，具有這樣的屬性的用戶可以發(fā)

37、布諸如LISTDSD、LISTUSER、LISTGRP及LISTGRP命令列出指定的PROFILE內(nèi)容。也可指定RACF要記錄的安全日志。這些安全日志記錄在SMF數(shù)據(jù)集中。也可設(shè)置GROUP AUDIT屬性(用CONNECT命令)，其審計(jì)范圍同GROUP SPEACIAL類似。 OPERATIONS：用戶具有系統(tǒng)范圍的OPERATIONS屬性，具有這樣的屬性的用戶對(duì)諸如數(shù)據(jù)集等資源具有完全的訪問權(quán)限，也可設(shè)置GROUP OPERITION屬性(用CONNECT命令)。 DATA：有關(guān)用戶的注釋信息。 ADSP：指示用戶定義的所有永久數(shù)據(jù)集是否均要用分離的PROFILE保護(hù)。 GRPACC：指示

38、組內(nèi)其他成員是否可以訪問用戶用數(shù)據(jù)集PROFILE保護(hù)的組數(shù)據(jù)集。 MODEL：用戶創(chuàng)建數(shù)據(jù)集時(shí)使用的數(shù)據(jù)集模版PROFILE名 OIDCARD：用戶在登錄時(shí)必須提供一個(gè)操作員ID卡。現(xiàn)在已不再使用這個(gè)屬性。 SECLABEL：用戶默認(rèn)的安全標(biāo)記。有關(guān)SECLABEL的內(nèi)容，請(qǐng)讀者參見本章第四節(jié)通用資源引論的有關(guān)描述。 DFP段由以下FIELD組成： DATAAPPL：用戶DFP數(shù)據(jù)應(yīng)用標(biāo)識(shí)。 DATACLAS、MGMTCLAS、STORCLAS：用戶創(chuàng)建數(shù)據(jù)集時(shí)使用的默認(rèn)的CONSTRUCT。 TSO段由以下FIELD組成： ACCTNUM：用戶默認(rèn)的記賬賬號(hào)。 JOBCLASS：用戶JOB

39、 CLASS的默認(rèn)值。 MSGCLASS：用戶MESSAGE CLASS的默認(rèn)值。 HOLDCLASS：用戶HOLD CLASS的默認(rèn)值。 SYSOUTCLASS：用戶SYSOUT數(shù)據(jù)集的目標(biāo)ID。 PROC：用戶默認(rèn)的登錄過程。 MAXSIZE：用戶最大的REGION大小。 SIZE：用戶默認(rèn)的REGION大小。 SECLABEL：安全標(biāo)識(shí)。 UNIT：用戶分配數(shù)據(jù)集時(shí)使用的默認(rèn)的設(shè)備。 USERDATA：注釋。 一個(gè)用戶要想從TSO登錄，則必須要定義該用戶的TSO段。 OE段由以下FIELD組成： HOME：用戶登錄后的工作目錄。 PROGRAM：用戶登錄后的SHELL程序。 UID：用戶

40、的OE用戶標(biāo)識(shí)，是一個(gè)整數(shù)，如果是0，則是OE中的超級(jí)用戶。與組類似，盡管多個(gè)用戶的UID可以一樣，但不建議這樣，因?yàn)樵贠E中，UID一樣的用戶被認(rèn)為是同一用戶，這樣會(huì)引起安全問題。 每一個(gè)用戶都有一個(gè)PROFILE，并且每一個(gè)PROFILE均有一個(gè)用戶或組作為其擁有者。擁有著(或一個(gè)連接到其擁有組并具有GROUP SPECIAL，或系統(tǒng)SPECIAL屬性的用戶)，可以改變、列及刪除用戶，并可控制用戶的屬性。定義一個(gè)用戶的命令的格式如下：ADDUSER/AU (用戶ID) ADDCATEGORY() ADSP/NOADSP AUDIT/NOAUDIT AUTHRITY(授權(quán)) CLAUTH(類

41、名)/NOCLAUTH DATA(注釋) DFLTGRP(組名) DFP(DATAAPPL(應(yīng)用名) DATACLAS(DATACLASS名)MGMTCLAS(MANAGEMENT CLASS 名)STORCLAS(STORAGE CLASS名) GRPACC/NOGRPACC MODEL(數(shù)據(jù)集名) NAME(用戶名) OMVS(HOME(工作目錄名) PROGRAM(SHELL程序名) UID(用戶標(biāo)識(shí)) OPERATIONS/NOOPERATIONS OWNER(用戶或組名) PASSWORD(口令)/NOPASSWORD SECLABEL(安全標(biāo)識(shí)名) SECLEVEL(安全級(jí)別名)

42、SPECIAL/NOSPECIAL UACC(訪問權(quán)限) WHEN(DAYS(日期)TIME(時(shí)間) 定義一個(gè)用戶應(yīng)具備以下權(quán)限之一：具有SPECIAL屬性。如果你是所定義的用戶的默認(rèn)的組的擁有者，或者你具備所定義的用戶所在的默認(rèn)組的JOIN授權(quán)，或者所定義的用戶的組在你的GROUP SPECIAL屬性范圍之內(nèi)，并且你的CLAUTH必須是USER。 顯然，你不能定義一個(gè)權(quán)限比你高的或權(quán)限范圍超出你的范圍的用戶。如果你要給新用戶OPERATIONS、SPECIAL或AUDITOR屬性，或給用戶分配安全類別，則你必須具有SPECIAL屬性。如果你要同時(shí)定義除RACF段以外其他段的內(nèi)容，則你必須具有

43、SPECIAL屬性，或?qū)@些段具有至少UPDATE權(quán)限。 定義用戶的步驟： 步驟1：確定用戶ID、所在組、擁有者、口令、登錄的時(shí)間限制、屬性、安全標(biāo)識(shí)、及各個(gè)段的FIELD。 步驟2：創(chuàng)建用戶PROFILE。 例如：定義一個(gè)用戶STEVEH，它是DEPTA的成員，擁有者是DEPTA，用戶真正的名字是STEVE H.，指定初始登錄時(shí)的口令是R316VQX，當(dāng)然這個(gè)口令在用戶第一次登錄后RACF會(huì)強(qiáng)制用戶修改，使用TSO登錄時(shí)使用的賬號(hào)是123456，使用的登錄進(jìn)程是PROC01。 ADDUSER STEVEH DFLTGRP(DEPTA) OWNER(DEPTA) NAME(STEVE H.)

44、PASSWORD(R316VQX) TSO(ACCTNUM(123456) PROC(PROC01) 步驟3：創(chuàng)建用戶數(shù)據(jù)集的PROFILE。例如定義用戶的數(shù)據(jù)集PROFILE，其名字是STEVEH.*，也就是說凡HLQ是STEVEH的數(shù)據(jù)集均受該P(yáng)ROFILE的保護(hù)，其UACC是NONE。 ADDSD STEVEH.* UACC(NONE) 步驟4：如果用戶打算創(chuàng)建自己的通用資源PROFILE，授權(quán)適當(dāng)?shù)念惤oCLAUTH屬性。 步驟5：如果用戶要訪問RACF保護(hù)的資源，則可用以下兩種方式中的任一種： (1)把用戶連接到可以訪問這一資源的組中。例： CONNECT STEVEH GROUP(D

45、EPTA) OWNER(DEPTA) (2)指定用戶可以使用這一資源。例如，要給用戶STEVEH使用TSO登錄過程CUSTPROC的權(quán)限，可以發(fā)布以下命令：PERMIT CUSTPROC CLASS(TSOPROC) ID(STEVEH) ACCESS(READ)刪除一個(gè)用戶可用命令DELUSER，其格式為：DELUSER/DU (用戶ID)要?jiǎng)h除一個(gè)用戶，你必須具有以下權(quán)限之一：具有SPECIAL屬性如果你具有GROUP SPECIAL，則要?jiǎng)h除的用戶必須在你管轄范圍內(nèi)。你是用戶PROFILE的擁有者。 注意：要?jiǎng)h除一個(gè)用戶，在其默認(rèn)的組中具有JOIN權(quán)限的用戶其權(quán)限是不夠的。還需要具有US

46、ER類的授權(quán)。 可以用一條命令刪除多個(gè)用戶，只需把多個(gè)用戶的用戶ID用括號(hào)擴(kuò)起來即可。當(dāng)然，用戶必須首先存在，并且用戶不再擁有在RACF中的定義的數(shù)據(jù)集。 刪除一個(gè)用戶的步驟： 步驟1：掛起這個(gè)用戶。 ALTUSER 用戶ID REVOKE 步驟2：如果用戶已登錄在系統(tǒng)中，或有作業(yè)在運(yùn)行，請(qǐng)求系統(tǒng)操作員將其刪除。 步驟3：找出所有與該用戶有關(guān)的數(shù)據(jù)集，如果數(shù)據(jù)集是該用戶的，將其刪除或改變擁有者，當(dāng)然如果數(shù)據(jù)集的PROFILE是分離的，則應(yīng)當(dāng)將其PROFILE也一并刪除；如果用戶在數(shù)據(jù)集的訪問列表中，則將用戶ID從訪問列表中刪除。 步驟4：刪除這個(gè)用戶。DELUSER SIVLE改變用戶的屬性：

47、改變用戶的屬性可用ALTUSER/ALU命令，其語法格式與創(chuàng)建用戶一樣。當(dāng)改變一個(gè)用戶時(shí)，這個(gè)用戶正好在系統(tǒng)中，則其改變的屬性（除OWNER和AUTHORITY外），并不起作用，只有用戶LOGOFF后，再次登錄進(jìn)來，才會(huì)起作用，盡管你用LISTUSER命令顯示出的屬性已改變。改變一個(gè)用戶屬性所需的授權(quán)根據(jù)你要改變的屬性而定：如果具有SPECIAL屬性，你可以改變?nèi)魏螌傩?。如果用戶在你的GROUP SPECIAL管轄范圍內(nèi)，你可以改變除SPECIAL、AUDITOR及OPERATION之外的任何屬性。如果你是用戶的擁有者，你可以改變用戶的如下屬性：MODEL/NOMODEL、PASSWORD/N

48、OPASSWORD、DATA/NODATA、NAME、DFLGRP、GRPACC/NOGRPACC、OWNER、RESUME/REVOKE、WHEN。每個(gè)用戶都可改變他自己真正的名字、默認(rèn)的組及MODEL文件(NAME、DFLGRP、MODEL)。要分配或刪除一個(gè)用戶的安全類別，你必須具有SPECIAL屬性，或安全類別在你的PROFILE中。要分配或刪除一個(gè)用戶的安全級(jí)別，你必須具有SPECIAL屬性，或者你的安全級(jí)別比你要改變的用戶的安全級(jí)別高。改變用戶的安全標(biāo)識(shí)也是這樣。改變一個(gè)用戶的口令可用PASSWORD命令，其語法格式為：PASSWORD/PW INTERVAL(口令間隔時(shí)間)/NO

49、INTERVAL PASSWORD(當(dāng)前口令 新口令) USER(用戶ID)命令中口令間隔時(shí)間指用戶在多少天內(nèi)必須改變自己的口令。使用PASSWORD參數(shù)可以改變自己的口令，當(dāng)然你必須知道自己的舊口令。如果使用了PASSWORD參數(shù)，就不能使用USER參數(shù)。USER參數(shù)用于授權(quán)的用戶RESET其他用戶的口令。所謂RESET用戶的口令，指把一個(gè)用戶的口令改為默認(rèn)的口令。默認(rèn)的口令是用戶默認(rèn)的組的組名。如果同時(shí)指定了這兩個(gè)參數(shù)，PASSWORD參數(shù)會(huì)被忽略。如果你是一個(gè)普通用戶，你在第一次登錄或你的口令被RESET之后第一次登錄，或者你的口令間隔時(shí)間已到，你必須改變口令。所謂RESET口令值把口令

50、改為默認(rèn)的值(即用戶默認(rèn)組的組名)。用戶可以RESET自己的口令。如果要改變其他用戶的口令或口令間隔時(shí)間，則必須具有SPECIAL屬性，或GROUP SPECIAL屬性并且用戶在你的管轄范圍之內(nèi)，或者是用戶的擁有者。顯示用戶的信息可用LISTUSER命令。在RACF段中可顯示出用戶ID、PROFILE的擁有者、用戶被定義的時(shí)間、默認(rèn)的組、上次口令改變時(shí)間、口令的時(shí)間間隔、用戶的屬性、上次登錄的時(shí)間、授權(quán)定義PROFILE的類、注釋、默認(rèn)的數(shù)據(jù)集模版PROFILE名、REVOKE或RESUME的日期、安全標(biāo)識(shí)、安全級(jí)別及安全類別、連接到的組的組名、在所連接的組中的授權(quán)、誰把用戶連接到組中、連接的

51、日期、在所連接的組中登錄的次數(shù)、上次以該組身份登錄的日期、默認(rèn)的通用訪問權(quán)限、連接屬性等信息。如果指定其他段，還可顯示出其他段的詳細(xì)信息。LISTUSER命令的語法格式如下：LISTUSER/LU (用戶ID)/* CICS DCE DFP LANGUAGE NETVIEW NORACF OMVS OPERPARM OVM TSO WORKATTR其中的參數(shù)大多指定所要顯示的段。但NORACF表示不顯示RACF段的內(nèi)容。要使用該命令列出用戶PROFILE中的RACF段的內(nèi)容，你必須是該P(yáng)ROFILE的擁有者，或具備SPECIAL或AUDITOR權(quán)限，或具備GROUP SPECIAL或GROUP

52、 AUDITOR權(quán)限并且在你的權(quán)限范圍內(nèi)。如果你的系統(tǒng)中使用了安全類別，那么你的安全級(jí)別必須大于等于用戶的安全級(jí)別，并且你的安全類別必須包含了用戶的安全類別。以下是一個(gè)用LISTUSER命令列出系統(tǒng)中用戶WANGX的內(nèi)容：USER=WANGX NAME=WANG XIAOSHAN OWNER=SYS1 CREATED=98.077 DEFAULT-GROUP=SYS1 PASSDATE=99.349 PASS-INTERVAL= 30 ATTRIBUTES=SPECIAL OPERATIONS ATTRIBUTES=AUDITOR REVOKE DATE=NONE RESUME DATE=NO

53、NE LAST-ACCESS=99.358/16：35：30 CLASS AUTHORIZATIONS=NONE NO-INSTALLATION-DATA NO-MODEL-NAME LOGON ALLOWED (DAYS) (TIME) ANYDAY ANYTIME GROUP=SYS1 AUTH=USE CONNECT-OWNER=SYS1 CONNECT-DATE=98.077 CONNECTS= 2，994 UACC=NONE LAST-CONNECT=99.358/16：35：30 CONNECT ATTRIBUTES=NONE REVOKE DATE=NONE RESUME DAT

54、E=NONE GROUP=USER AUTH=USE CONNECT-OWNER=WANGX CONNECT-DATE=98.292 CONNECTS= 00 UACC=ALTER LAST-CONNECT=UNKNOWN CONNECT ATTRIBUTES=NONESECURITY-LEVEL=NONE SPECIFIEDCATEGORY-AUTHORIZATION NONE SPECIFIED SECURITY-LABEL=NONE SPECIFIEDTSO INFORMATION ACCTNUM= ACCT# PROC= IKJACCNT SIZE= 00004096 MAXSIZE=

55、 00000000 UNIT= SYSDA USERDATA= 0000 COMMAND= NO DFP INFORMATION NO CICS INFORMATION NO LANGUAGE INFORMATION NO OPERPARM INFORMATION OMVS INFORMATION UID= 0000000000HOME= /PROGRAM= /bin/sh從上述命令的輸出結(jié)果可以看出，用戶名為WANGX，真實(shí)姓名WANG XIAOSHANG，擁有者SYS1，默認(rèn)的組SYS1，口令每隔30天必須修改一次，屬性有SPECIAL、OPERATION和AUDITOR，連接到SYS1、

56、USER組中，可以在任何時(shí)間登錄，無安全標(biāo)識(shí)和安全級(jí)別，無DFD和CICS段。在OE的UID為0，工作目錄為/，SH為/bin/sh，這意味著該用戶在OE中是超級(jí)用戶。此外還記錄了用戶的創(chuàng)建時(shí)間、上次登錄時(shí)間和口令的修改時(shí)間。622連接一個(gè)用戶到一個(gè)組連接一個(gè)用戶到一個(gè)組就是把一個(gè)用戶以一定的權(quán)限加入到一個(gè)組中，可用命令： CONNECT/CO (用戶ID) GROUP(組名) OWNER(用戶ID或組名) AUTHORITY(USE，CREATE，CONNECT，JOIN) SPECIAL/NOSPECIAL OPERATION/NOOPERATIONS AUDITOR/NOAUDITOR

57、REVOKE(日期) UACC(訪問權(quán)限) 例如：把用戶TOM連接到DIVACUSR組中，使其成為DIVACUSR組中的一個(gè)成員，連接的屬性為USE。 CO TOM GROUP(DIVACUSR) 把一個(gè)用戶從某個(gè)組中去除可用命令： REMOVE/RE (用戶ID) GROUP(組名) OWNER(用戶ID或組名) 把一個(gè)用戶從一個(gè)組中去除并不意味著該用戶被徹底從系統(tǒng)中刪除，它僅僅使該用戶不是指定的組的成員。例如，將用戶TOM從DIVACUSR組中去除： RE TOM GROUP(DIVACUSR) 一個(gè)用戶不能從其默認(rèn)的組中去除。當(dāng)一個(gè)用戶被連接到一個(gè)組中時(shí)，正好這個(gè)用戶已登錄在系統(tǒng)中，則這

58、個(gè)用戶必須LOGOFF，然后再LOGON，他才能具有基于這個(gè)組的權(quán)限。同樣，如果一個(gè)用戶從一個(gè)組中被去除時(shí)，正好這個(gè)用戶已在系統(tǒng)中，則這個(gè)用戶必須LOGOFF，然后再LOGON，他才能喪失基于這個(gè)組的權(quán)限。623分散式的用戶及組管理集中式的用戶和組管理是指系統(tǒng)中所有用戶和組都由一個(gè)管理員管理，即這個(gè)管理員具有系統(tǒng)范圍的SPECIAL屬性。分散式的管理則允許系統(tǒng)安全管理員放權(quán)給其他用戶，讓他們負(fù)責(zé)一部分安全管理。一般來講，應(yīng)首先考慮使用集中式管理。如果一定要實(shí)行分散式管理，則可以在特定的范圍內(nèi)給某個(gè)用戶GROUP SPECIAL屬性，并改變用戶的CLAUTH屬性，使其具有定義某類PROFILE的

59、權(quán)限。當(dāng)然，這種放權(quán)一定要謹(jǐn)慎，具有GROUP SPECIAL的用戶一定要可靠。或者如果你只需要僅對(duì)一個(gè)組有特定的權(quán)限，你可給他JOIN授權(quán)并使其具有定義某類PROFILE的權(quán)限。GROUP SPECIAL和JOIN屬性在用戶連接到特定的組中時(shí)指定實(shí)現(xiàn)。而CLAUTH屬性則需要在定義用戶時(shí)指定。同樣，OPERATIONS和AUDITOR屬性也可以以類似的方式來放權(quán)。圖6.3 放權(quán)管理的一個(gè)示例圖6.3是一個(gè)放權(quán)管理的實(shí)例。在此例中，F(xiàn)RED以GROUP SPECIAL的屬性連接到DIVA組中， 則FRED 可以管理擁有者是DIVA或其子組的所有組和用戶。同樣，MARY也以GROUP SPECI

60、AL的屬性連接到DIVAUADM組中，F(xiàn)RED 可以管理擁有者是DIVAUADM或其子組的所有組和用戶。LEADSA是系統(tǒng)的安全管理員，他當(dāng)然仍然可以管理整個(gè)系統(tǒng)的所有用戶和組。但是如果我們把組DIVAUADM的擁有者改為L(zhǎng)EADSA，則FRED就不能管理DIVAUADM組了，盡管DIVAUADM是DIVA的一個(gè)子組。因?yàn)镈IVAUADM的擁有者不是DIVA或其子組了。 具有GROUP SPECIAL屬性的用戶如果同時(shí)具有CLAUTH（指定的類名），則他可以保護(hù)擁有者是其所連接的組或其子組的指定類的通用資源或數(shù)據(jù)集。在圖6.4中，ANN具有GROUP SPECIAL及CLAUTH（TCICST