IBM i: Zabezpe|Ecen|f8 Zabezpe|Ecen|f8 - referen|Ecn|f8 ... · Poznámka Předpoužitímtěchtoinformacíaproduktu,kekterémusevztahují,sipřečtěteinformaceuvedenévčásti DodatekI,“Poznámky”,na

IBM i

ZabezpečeníZabezpečení - referenční informace7.1

SC09-3697-11

��

PoznámkaPřed použitím těchto informací a produktu, ke kterému se vztahují, si přečtěte informace uvedené v částiDodatek I, “Poznámky”, na stránce 725.

Toto vydání se týká verze IBM i 7.1 (číslo produktu 5770-SS1) a všech následujících vydání a modifikací, dokud nebude v novýchvydáních uvedeno jinak. Tato verze nemůže být provozována na žádném počítači RISC (reduced instruction set computer) ani namodelech CISC.

Toto vydání nahrazuje publikaci SC09-3697-09.

© Copyright IBM Corporation 1996, 2010.

iv IBM i: Zabezpečení Zabezpečení - referenční informace

Obsah

iii

Novinky v operačním systému IBM i 7.1 xiii

Kapitola 1. Úvod do zabezpečenísystému System i . . . . . . . . . . 1Fyzické zabezpečení . . . . . . . . . . . . 2Zabezpečení blokovacím zámkem . . . . . . . . 2Úroveň zabezpečení . . . . . . . . . . . . 2Systémové hodnoty . . . . . . . . . . . . . 3Podepisování. . . . . . . . . . . . . . . 3Povolení prostředí s jedním přihlášením. . . . . . . 3Profily uživatele . . . . . . . . . . . . . . 4Skupinové profily . . . . . . . . . . . . . 4Zabezpečení prostředků . . . . . . . . . . . 5Žurnál monitorování zabezpečení . . . . . . . . 6Zabezpečení Common Criteria . . . . . . . . . 6Nezávislá disková oblast . . . . . . . . . . . 6

Kapitola 2. Použití systémové hodnotyQSecurity (Úroveň zabezpečení) . . . . 9Úroveň zabezpečení 10 . . . . . . . . . . . 12Úroveň zabezpečení 20 . . . . . . . . . . . 12

Změna z úrovně 10 na úroveň 20 . . . . . . . 12Změna na úroveň 20 z vyšší úrovně . . . . . . 13

Úroveň zabezpečení 30 . . . . . . . . . . . 13Změna na úroveň 30 z nižší úrovně . . . . . . . 13

Úroveň zabezpečení 40 . . . . . . . . . . . 14Zabránění použití nepodporovaných rozhraní . . . . 15Ochrana popisů úloh . . . . . . . . . . . 16Přihlášení bez ID uživatele a hesla . . . . . . . 16Rozšířená hardwarová ochrana paměti . . . . . . 17Ochrana prostoru přiřazeného programu . . . . . 17Ochrana adresového prostoru úlohy . . . . . . 17Ověření parametrů. . . . . . . . . . . . 17Ověření platnosti obnovovaných programů . . . . 17Změna na úroveň zabezpečení 40 . . . . . . . 18Deaktivace úrovně zabezpečení 40 . . . . . . . 19

Úroveň zabezpečení 50 . . . . . . . . . . . 19Omezení objektů uživatelské domény . . . . . . 19Omezení zpracování zpráv . . . . . . . . . 20Zabránění provádění změn vnitřních řídicích bloků . . 20Změna na úroveň zabezpečení 50 . . . . . . . 20Deaktivace úrovně zabezpečení 50 . . . . . . . 21

Kapitola 3. Systémové hodnotyzabezpečení . . . . . . . . . . . . 23Obecné systémové hodnoty zabezpečení . . . . . . 24

QALWUSRDMN (Povolení objektů uživatelskédomény). . . . . . . . . . . . . . . 25QCRTAUT (Oprávnění pro nové objekty). . . . . 26QDSPSGNINF (Zobrazení informací o přihlášení) . . 26QINACTITV (Prodleva neaktivní úlohy) . . . . . 27QINACTMSGQ (Fronta zpráv neaktivní úlohy) . . . 28

QLMTDEVSSN (Omezení relací zařízení) . . . . 29QLMTSECOFR (Omezení přístupu správce systému) 29QMAXSIGN (Maximální počet pokusů o přihlášení) 29QMAXSGNACN (Akce po dosažení maximálníhopočtu pokusů o přihlášení) . . . . . . . . . 30QRETSVRSEC (Uchovávat data zabezpečení serveru) 31QRMTIPL (Vzdálené zapnutí a znovuspuštění) . . . 31QRMTSIGN (Řízení vzdáleného přihlášení) . . . . 32QSCANFS (Skenování systémů souborů) . . . . . 32QSCANFSCTL (Řízení skenování systémů souborů) 33QSHRMEMCTL (Řízení sdílené paměti) . . . . . 34QUSEADPAUT (Použití adoptovaného oprávnění) . . 35

Systémové hodnoty související se zabezpečením . . . . 36QAUTOCFG (Automatická konfigurace zařízení) . . 37QAUTOVRT (Automatická konfigurace virtuálníchzařízení). . . . . . . . . . . . . . . 37QDEVRCYACN (Akce obnovy zařízení) . . . . . 38QDSCJOBITV (Prodleva odpojené úlohy) . . . . 38QRMTSRVATR (Atribut vzdálených služeb) . . . . 39QSSLCSL (Seznam specifikací šifer SSL) . . . . 39QSSLCSLCTL (Řízení šifer SSL) . . . . . . . 40QSSLPCL (Protokoly SSL) . . . . . . . . . 40

Systémové hodnoty obnovy související se zabezpečením 40QVFYOBJRST (Ověřování objektů při obnově) . . . 41QFRCCVNRST (Vynucení konverze při obnově) . . 43QALWOBJRST (Povolení obnovy objektůovlivňujících zabezpečení) . . . . . . . . . 44

Systémové hodnoty týkající se hesel . . . . . . . 45QPWDCHGBLK (Blokování změny hesla) . . . . 47QPWDEXPITV (Interval ukončení platnosti hesla) . . 47QPWDEXPWRN (Varování ukončení platnosti hesla) 48Úroveň hesla (QPWDLVL) . . . . . . . . . 48QPWDMINLEN (Minimální délka hesla) . . . . . 50QPWDMAXLEN (Maximální délka hesla) . . . . 50QPWDRQDDIF (Požadován rozdíl mezi hesly) . . . 50QPWDLMTCHR (Nepřípustné znaky v heslech). . . 51QPWDLMTAJC (Omezení následných číslic v heslech) 52QPWDLMTREP (Omezení opakování znaků v heslech) 52QPWDPOSDIF (Rozdíl v pozici znaků v heslech) . . 53QPWDRQDDGT (Vyžadování číselného znaku vheslech) . . . . . . . . . . . . . . . 53QPWDRULES (Pravidla pro hesla). . . . . . . 54QPWDVLDPGM (Program pro schvalování hesel) . . 59

Použití programu pro schvalování hesel . . . . 60Systémové hodnoty, které řídí monitorování . . . . . 64

QAUDCTL (Řízení monitorování) . . . . . . . 65QAUDENDACN (Akce po skončení monitorování) . . 65QAUDFRCLVL (Úroveň vynucení monitorování) . . 66QAUDLVL (Úroveň monitorování) . . . . . . 67QAUDLVL2 (Rozšíření úrovně monitorování) . . . 68QCRTOBJAUD (Monitorování nových objektů) . . . 70

Kapitola 4. Profily uživatele . . . . . . 73Role profilu uživatele . . . . . . . . . . . . 73Skupinové profily . . . . . . . . . . . . . 74

© Copyright IBM Corp. 1996, 2010 v

Pole parametrů profilu uživatele. . . . . . . . . 74Jméno profilu uživatele . . . . . . . . . . 75Heslo . . . . . . . . . . . . . . . 76Nastavení hesla na ukončenou platnost. . . . . . 77Stav . . . . . . . . . . . . . . . . 78Třída uživatele . . . . . . . . . . . . . 79Úroveň pomoci. . . . . . . . . . . . . 79Aktuální knihovna . . . . . . . . . . . . 80Počáteční program. . . . . . . . . . . . 81Počáteční menu . . . . . . . . . . . . 82Omezení možností. . . . . . . . . . . . 82Text . . . . . . . . . . . . . . . . 83Speciální oprávnění . . . . . . . . . . . 84

Speciální oprávnění *ALLOBJ . . . . . . . 84Speciální oprávnění*SECADM . . . . . . . 85Speciální oprávnění *JOBCTL . . . . . . . 85Speciální oprávnění *SPLCTL . . . . . . . 86Speciální oprávnění *SAVSYS . . . . . . . 86Speciální oprávnění *SERVICE. . . . . . . 86

Udělení přístupu k trasování . . . . . . . 87Speciální oprávnění *AUDIT . . . . . . . 87Speciální oprávnění *IOSYSCFG . . . . . . 88

Speciální prostředí. . . . . . . . . . . . 88Zobrazení informací o přihlášení . . . . . . . 89Interval ukončení platnosti hesla . . . . . . . 90Blokování změny hesla . . . . . . . . . . 91Lokální správa hesla . . . . . . . . . . . 91Omezení relací zařízení . . . . . . . . . . 92Ukládání funkcí kláves do vyrovnávací paměti . . . 92Maximální pamě� . . . . . . . . . . . . 93Limit priority . . . . . . . . . . . . . 94Popis úlohy . . . . . . . . . . . . . . 94Skupinový profil . . . . . . . . . . . . 95Vlastník . . . . . . . . . . . . . . . 96Skupinové oprávnění . . . . . . . . . . . 96Typ skupinového oprávnění . . . . . . . . . 97Doplňkové skupiny . . . . . . . . . . . 97Účtovací kód . . . . . . . . . . . . . 98Heslo dokumentu . . . . . . . . . . . . 99Fronta zpráv . . . . . . . . . . . . . 99Doručení . . . . . . . . . . . . . . 100Závažnost . . . . . . . . . . . . . . 100Tiskové zařízení . . . . . . . . . . . . 101Výstupní fronta . . . . . . . . . . . . 101Program pro zpracování klávesy Attention . . . . 102Třídicí posloupnost . . . . . . . . . . . 103Identifikátor jazyka . . . . . . . . . . . 103Identifikátor země nebo regionu . . . . . . . 103Identifikátor kódové sady znaků . . . . . . . 104Řízení identifikátoru znaků . . . . . . . . . 104Atributy úlohy . . . . . . . . . . . . 105Lokalita . . . . . . . . . . . . . . 105Uživatelské volby . . . . . . . . . . . 106Identifikační číslo uživatele . . . . . . . . 106Identifikační číslo skupiny . . . . . . . . . 107Domovský adresář . . . . . . . . . . . 107Přidružení EIM . . . . . . . . . . . . 108Datum ukončení platnosti uživatele . . . . . . 109Interval ukončení platnosti uživatele . . . . . . 109Oprávnění . . . . . . . . . . . . . . 110

Monitorování objektů . . . . . . . . . . . 110

Monitorování akcí . . . . . . . . . . . . 111Další informace přidružené k profilu uživatele . . . . 113

Soukromá oprávnění. . . . . . . . . . . 113Oprávnění primární skupiny . . . . . . . . 114Informace o vlastněných objektech . . . . . . 114

Ověřování digitálních ID . . . . . . . . . . 114Práce s profily uživatele. . . . . . . . . . . 114

Vytváření profilů uživatele . . . . . . . . . 115Použití příkazu Práce s profily uživatele . . . . 115Použití příkazu Vytvoření profilu uživatele . . . 116Použití volby Práce se zápisem uživatele . . . . 116

Kopírování profilů uživatele . . . . . . . . 117Kopírování pomocí obrazovky Práce s profilyuživatele . . . . . . . . . . . . . 117Kopírování pomocí obrazovky Práce se zápisemuživatele . . . . . . . . . . . . . 118Kopírování soukromých oprávnění . . . . . 119

Změny profilů uživatele. . . . . . . . . . 120Mazání profilů uživatele . . . . . . . . . 120

Použití příkazu Výmaz profilu uživatele . . . . 120Použití volby Odstranění uživatele . . . . . 121

Práce s objekty dle soukromých oprávnění . . . . 122Práce s objekty dle primární skupiny . . . . . . 122Aktivace profilu uživatele . . . . . . . . . 123Výpis seznamu profilů uživatele . . . . . . . 123

Zobrazení jednotlivého profilu uživatele . . . . 123Výpis seznamu všech profilů . . . . . . . 123Typy zobrazení profilů uživatele . . . . . . 124Typy sestav o profilech uživatele . . . . . . 124

Přejmenování profilu uživatele. . . . . . . . 124Práce s monitorováním uživatele . . . . . . . 125Práce s profily v programech v jazyce CL . . . . 126Body předání řízení uživatelskému programu profiluuživatele . . . . . . . . . . . . . . 126Profily uživatele dodané IBM . . . . . . . . 126

Změny hesel u profilů uživatele dodaných IBM 127Práce s uživatelskými ID servisních nástrojů . . 127Systémové heslo . . . . . . . . . . . 128

Kapitola 5. Zabezpečení prostředků 129Určení uživatelů, kteří budou mít přístup k informacím 129Definování možností přístupu k informacím . . . . . 130

Běžně používaná oprávnění . . . . . . . . 131Určení informací, ke kterým je možné přistupovat . . . 133

Zabezpečení knihoven . . . . . . . . . . 133Zabezpečení knihoven a seznamy knihoven . . . 133

Oprávnění k polím . . . . . . . . . . . 134Zabezpečení a prostředí System/38 . . . . . . 135

Doporučení pro prostředí System/38 . . . . . 136Zabezpečení adresáře . . . . . . . . . . 136Zabezpečení seznamem oprávnění . . . . . . 136

Správa seznamů oprávnění . . . . . . . . 137Použití seznamů oprávnění k zabezpečení objektůdodaných IBM . . . . . . . . . . . 137

Oprávnění pro nové objekty v knihovně . . . . . . 137Rizika parametru CRTAUT (Vytvoření oprávnění) 138

Oprávnění pro nové objekty v adresáři . . . . . . 138Vlastnictví objektů . . . . . . . . . . . . 140

Skupinové vlastnictví objektů . . . . . . . . 141Primární skupina objektu . . . . . . . . . 142Profil uživatele QDFTOWN (Default Owner) . . . 143

vi IBM i: Zabezpečení Zabezpečení - referenční informace

||||

Přiřazování oprávnění a vlastnictví novým objektům 143Objekty, které adoptují oprávnění vlastníka . . . . . 147

Rizika a doporučení týkající se adoptovanéhooprávnění . . . . . . . . . . . . . . 150

Programy, které ignorují adoptované oprávnění . . . . 150Držitelé oprávnění . . . . . . . . . . . . 151

Držitelé oprávnění a migrace systému System/36 . . 152Rizika spojená s držiteli oprávnění . . . . . . 152

Práce s oprávněním . . . . . . . . . . . . 152Obrazovky zobrazující oprávnění . . . . . . . 152Sestavy oprávnění . . . . . . . . . . . 155Práce s knihovnami . . . . . . . . . . . 155Vytváření objektů . . . . . . . . . . . 156Práce s oprávněním k jednotlivým objektům. . . . 157

Zadávání oprávnění definovaných uživateli . . . 158Udělení oprávnění novým uživatelům . . . . 158Odstranění oprávnění uživatele . . . . . . 159

Práce s oprávněním k více objektům . . . . . . 160Práce s vlastnictvím objektů . . . . . . . . 161Práce s oprávněním primární skupiny. . . . . . 162Použití odkazovaného objektu . . . . . . . . 163Kopírování oprávnění od uživatele . . . . . . 163Práce se seznamy oprávnění . . . . . . . . 163

Výhody použití seznamu oprávnění . . . . . 164Vytvoření seznamu oprávnění . . . . . . . 164Udělení uživatelům oprávnění k seznamuoprávnění . . . . . . . . . . . . . 164Zabezpečení objektů prostřednictvím seznamuoprávnění . . . . . . . . . . . . . 165Nastavení seznamu oprávnění . . . . . . . 166Vymazání seznamu oprávnění . . . . . . . 167

Jak systém kontroluje oprávnění . . . . . . . . 167Vývojové diagramy kontroly oprávnění . . . . . 167

Diagram 1: Hlavní proces kontroly oprávnění . . 168Diagram 2: Rychlá cesta pro kontrolu oprávnění kobjektu. . . . . . . . . . . . . . 170Diagram 3: Způsob kontroly oprávnění uživatele kobjektu. . . . . . . . . . . . . . 172Diagram 4: Způsob kontroly oprávnění vlastníka kobjektu. . . . . . . . . . . . . . 173Diagram 5: Rychlá cesta pro kontrolu oprávněníuživatele . . . . . . . . . . . . . 174Diagram 6: Způsob kontroly skupinovéhooprávnění . . . . . . . . . . . . . 177Diagram 7: Způsob kontroly veřejného oprávnění 179Diagram 8: Způsob kontroly adoptovanéhooprávnění . . . . . . . . . . . . . 180

Příklady kontroly oprávnění . . . . . . . . 184Případ 1: Použití soukromého skupinovéhooprávnění . . . . . . . . . . . . . 184Případ 2: Použití oprávnění primární skupiny . . 185Případ 3: Použití veřejného oprávnění . . . . 187Případ 4: Použití veřejného oprávnění bezvyhledávání soukromého oprávnění . . . . . 187Případ 5: Použití adoptovaného oprávnění . . . 188Případ 6: Oprávnění uživatele a skupiny . . . . 189Případ 7: Veřejné oprávnění bez soukroméhooprávnění . . . . . . . . . . . . . 189Případ 8: Adoptované oprávnění bez soukroméhooprávnění . . . . . . . . . . . . . 190Případ 9: Použití seznamu oprávnění . . . . . 191

Případ 10: Použití více skupin . . . . . . . 192Případ 11: Kombinované metody oprávnění . . . 193

Mezipamě� oprávnění . . . . . . . . . . . 195

Kapitola 6. Zabezpečení správyčinnosti systému . . . . . . . . . . 197Spuštění úlohy . . . . . . . . . . . . . 197

Spuštění interaktivní úlohy . . . . . . . . . 197Spuštění dávkové úlohy . . . . . . . . . . 198Adoptované oprávnění a dávkové úlohy . . . . . 198

Pracovní stanice . . . . . . . . . . . . . 198Vlastnictví popisů zařízení . . . . . . . . . 200

Soubor zobrazení přihlašovací obrazovky . . . . . 201Změna zobrazení přihlašovací obrazovky . . . . 201

Zobrazení zdrojového souboru přihlašovacíobrazovky . . . . . . . . . . . . . 201Změny souboru přihlašovací obrazovky . . . . 201

Popisy subsystémů . . . . . . . . . . . . 202Řízení způsobu, kterým úlohy vstupují do systému 202

Popisy úloh . . . . . . . . . . . . . . 203Fronta zpráv systémového operátora . . . . . . . 204Seznamy knihoven . . . . . . . . . . . . 204

Bezpečnostní rizika seznamů knihoven . . . . . 205Změna funkce. . . . . . . . . . . . 205Neautorizovaný přístup k informacím. . . . . 206

Doporučení k systémové části seznamu knihoven . . 206Doporučení ke knihovně produktů. . . . . . . 206Doporučení k aktuální knihovně . . . . . . . 207Doporučení k uživatelské části seznamu knihoven 207

Tisk . . . . . . . . . . . . . . . . 208Zabezpečení souborů pro souběžný tisk . . . . . 208

Parametr DSPDTA (Zobrazení dat) výstupní fronty 208Parametr AUTCHK (Oprávnění ke kontrole)výstupní fronty . . . . . . . . . . . 209Parametr OPRCTL (Řízení operátorem) výstupnífronty . . . . . . . . . . . . . . 209

Oprávnění a parametry výstupních front požadovanépro tisk. . . . . . . . . . . . . . . 209Příklady: Výstupní fronta . . . . . . . . . 210

Atributy sítě . . . . . . . . . . . . . . 211Atribut sítě JOBACN (Akce úlohy) . . . . . . 211Atribut sítě PCSACC (Přístup k požadavkům klienta) 212

Rizika a doporučení . . . . . . . . . . 212Atribut sítě DDMACC (Přístup k DDM) . . . . . 213

Operace uložení a obnovy . . . . . . . . . . 213Omezení operací uložení a obnovy . . . . . . 213Příklad: Omezení příkazů pro uložení a obnovu. . . 214

Ladění výkonu . . . . . . . . . . . . . 214Omezení úloh na dávkové zpracování . . . . . 215

Kapitola 7. Navrhování zabezpečení 217Obecná doporučení k návrhu zabezpečení . . . . . 218Plánování změn úrovně hesla . . . . . . . . . 218

Pokyny pro změnu systémové hodnoty QPWDLVL zhodnoty 0 na hodnotu 1 . . . . . . . . . . 219Pokyny pro změnu systémové hodnoty QPWDLVL zhodnoty 0 nebo 1 na hodnotu 2 . . . . . . . 219Pokyny pro změnu systémové hodnoty QPWDLVL zhodnoty 2 na hodnotu 3 . . . . . . . . . . 220Změna hodnoty QPWDLVL na nižší úroveň hesla 221

Obsah vii

Plánování knihoven . . . . . . . . . . . . 222Plánování aplikací - zabránění vzniku velkých profilů 223Seznamy knihoven . . . . . . . . . . . 223

Řízení seznamu uživatelských knihoven . . . . 224Změny seznamu knihoven systému . . . . . 224

Popis zabezpečení knihovny . . . . . . . . 225Plánování menu . . . . . . . . . . . . . 225

Popis zabezpečení menu . . . . . . . . . 226Použití adoptovaného oprávnění v návrhu menu . . 227

Ignorování adoptovaného oprávnění . . . . . 230Menu Systémové požadavky . . . . . . . . 231

Plánování zabezpečení příkazů. . . . . . . . . 232Plánování zabezpečení souborů . . . . . . . . 233

Zabezpečení logických souborů . . . . . . . 233Potlačení souborů . . . . . . . . . . . 236Zabezpečení souborů a SQL . . . . . . . . 236

Plánování skupinových profilů. . . . . . . . . 236Aspekty použití primárních skupin objektů . . . . 237Aspekty použití více skupinových profilů . . . . 237

Akumulování speciálních oprávnění členůskupinového profilu . . . . . . . . . . 237

Použití individuálního profilu jako skupinovéhoprofilu . . . . . . . . . . . . . . . 238

Porovnání skupinových profilů a seznamů oprávnění . . 238Plánování zabezpečení pro programátory. . . . . . 239

Správa zdrojových souborů. . . . . . . . . 239Ochrana souborů třídy Java a souborů typu jar vintegrovaném systému souborů . . . . . . . 240Plánování zabezpečení pro systémové programátory asprávce. . . . . . . . . . . . . . . 240

Použití ověřovacích seznamů . . . . . . . . . 240Funkce omezení přístupu k programu. . . . . . . 241

Kapitola 8. Zálohování a obnovainformací zabezpečení . . . . . . . 243Jak jsou uloženy informace o zabezpečení . . . . . 244Ukládání informací o zabezpečení. . . . . . . . 245Obnovení informací o zabezpečení . . . . . . . 246

Obnovení profilů uživatele . . . . . . . . . 246Obnova objektů . . . . . . . . . . . . 247Obnovení oprávnění . . . . . . . . . . . 249Obnovení programů . . . . . . . . . . . 250Obnovení licencovaných programů . . . . . . 251Obnovení seznamů oprávnění . . . . . . . . 251

Obnovení seznamu oprávnění . . . . . . . 252Obnovení přidružení objektů k seznamu oprávnění 252

Obnovení operačního systému . . . . . . . . 253Speciální oprávnění *SAVSYS . . . . . . . . 253Monitorování operací uložení a obnovy . . . . . . 253

Kapitola 9. Monitorování zabezpečenív systému System i . . . . . . . . . 255Kontrolní seznam pro správce systému a auditory . . . 255

Fyzické zabezpečení . . . . . . . . . . . 256Systémové hodnoty . . . . . . . . . . . 256Profily uživatele dodané IBM . . . . . . . . 256Řízení hesel . . . . . . . . . . . . . 257Uživatelské a skupinové profily . . . . . . . 258Řízení oprávnění . . . . . . . . . . . . 259Neautorizovaný přístup . . . . . . . . . . 260

Neautorizované programy . . . . . . . . . 260Komunikace . . . . . . . . . . . . . 260

Použití žurnálu monitorování zabezpečení . . . . . 260Plánování monitorování zabezpečení . . . . . . 261

Plánování monitorování akcí . . . . . . . 261Hodnoty monitorování akcí. . . . . . . 262Záznamy žurnálu pro monitorování zabezpečení 267

Plánování monitorování přístupu k objektům . . 284Zobrazení úrovně monitorování objektů . . . 286Nastavení předvoleného monitorování objektů 286

Zabránění ztráty informací o monitorování . . . 286Rozhodnutí nemonitorovat objekty QTEMP. . . 287

Použití příkazu CHGSECAUD k nastavenímonitorování zabezpečení . . . . . . . . . 288Nastavení zabezpečení systému . . . . . . . 288Správa žurnálu monitorování a žurnálových zásobníků 290

Ukládání a mazání žurnálových zásobníkůmonitorování . . . . . . . . . . . . 291

Žurnálové zásobníky spravované systémem 291Žurnálové zásobníky spravované uživatelem 292

Zastavení funkce monitorování . . . . . . . 292Analýza záznamů žurnálu monitorování . . . . . 292

Zobrazení záznamů žurnálu monitorování . . . 293Analýza záznamů žurnálu monitorováníprostřednictvím dotazu nebo programu . . . . 294

Vztah pole Datum/čas změny a záznamů monitorování 296Další techniky monitorování zabezpečení . . . . . 297

Monitorování zpráv o zabezpečení . . . . . . 297Použití protokolu historie . . . . . . . . . 297Použití žurnálu k monitorování aktivity objektu. . . 297Analýza profilů uživatele . . . . . . . . . 299

Tisk vybraných profilů uživatele . . . . . . 299Přezkoumání velkých profilů uživatele . . . . 300

Analýza oprávnění k objektům a knihovnám . . . 300Analýza programů, které adoptují oprávnění. . . . 301Kontrola objektů, které byly pozměněny . . . . . 301Kontrola operačního systému . . . . . . . . 302Monitorování akcí správce systému . . . . . . 302

Dodatek A. Příkazy pro zabezpečení 305Příkazy pro práci s držiteli oprávnění . . . . . . . 305Příkazy pro práci se seznamy oprávnění . . . . . . 305Příkazy pro práci s oprávněním k objektům amonitorování objektů . . . . . . . . . . . 306Příkazy pro práci s hesly . . . . . . . . . . 307Příkazy pro práci s profily uživatele . . . . . . . 307Související příkazy pro práci s profily uživatele . . . . 308Příkazy pro monitorování . . . . . . . . . . 308Příkazy pro práci s objekty knihovny dokumentů . . . 309Příkazy pro autentizační záznamy serveru . . . . . 309Příkazy pro práci se systémovým distribučním adresářem 310Příkazy pro ověřovací seznamy . . . . . . . . 310Příkazy pro informace o použití funkce . . . . . . 310Monitorovací příkazy nástrojů zabezpečení . . . . . 311Příkazy nástrojů zabezpečení pro oprávnění . . . . . 311Příkazy nástrojů zabezpečení systému . . . . . . 312

Dodatek B. Profily uživatele dodanéIBM. . . . . . . . . . . . . . . . 313Předvolené hodnoty profilů uživatele . . . . . . . 313

viii IBM i: Zabezpečení Zabezpečení - referenční informace

Profily uživatele dodané IBM . . . . . . . . . 315

Dodatek C. Příkazy dodávané sveřejným oprávněním *EXCLUDE . . . 321

Dodatek D. Oprávnění požadované proobjekty používané příkazy . . . . . . 333Předpoklady použití příkazů . . . . . . . . . 335Obecná pravidla pro oprávnění k objektům v příkazech 335Obecné příkazy pro většinu objektů . . . . . . . 337Příkazy pro obnovu přístupových cest . . . . . . 344Příkazy AFP (Advanced Function Presentation) . . . 345Příkazy pro sokety AF_INET přes SNA . . . . . . 346Příkazy pro alarmy . . . . . . . . . . . . 346Příkazy pro vývoj aplikací . . . . . . . . . . 346Příkazy pro práci s držiteli oprávnění . . . . . . . 348Příkazy pro práci se seznamy oprávnění . . . . . . 348Příkazy pro vázané adresáře . . . . . . . . . 349Příkazy pro popis požadavku na změnu . . . . . . 349Příkazy pro diagramy . . . . . . . . . . . 350Příkazy pro třídy . . . . . . . . . . . . . 350Příkazy pro popis provozních tříd . . . . . . . . 350Příkazy pro klastry . . . . . . . . . . . . 351Příkazy pro operace s příkazy (*CMD) . . . . . . 355Příkazy pro vázané zpracování . . . . . . . . . 356Příkazy pro informace o připojení komunikací . . . . 356Příkazy pro konfiguraci . . . . . . . . . . . 357Příkazy pro konfigurační seznamy. . . . . . . . 358Příkazy pro práci se seznamy připojení . . . . . . 358Příkazy pro popis řadiče. . . . . . . . . . . 358Příkazy pro šifrování . . . . . . . . . . . 360Příkazy pro datové oblasti . . . . . . . . . . 361Příkazy pro datové fronty . . . . . . . . . . 361Příkazy pro popis zařízení . . . . . . . . . . 362Příkazy pro emulaci zařízení . . . . . . . . . 364Příkazy pro adresáře a stínování adresářů . . . . . 365Příkazy pro adresářový server . . . . . . . . . 365Příkazy pro práci s disky . . . . . . . . . . 366Příkazy pro přímý průchod na obrazovkovou stanici . . 366Příkazy pro distribuci . . . . . . . . . . . 367Příkazy pro práci s rozdělovníky . . . . . . . . 368Příkazy pro objekty knihovny dokumentů . . . . . 368Příkazy DNS (Domain Name System) . . . . . . 372Příkazy pro dvoubajtovou znakovou sadu . . . . . 373Příkazy pro editovací popis . . . . . . . . . . 374Příkazy pro proměnné prostředí . . . . . . . . 374Příkazy pro rozšířenou konfiguraci bezdrátové sítě LAN 374Příkazy pro soubory . . . . . . . . . . . . 374Příkazy pro filtry . . . . . . . . . . . . . 382Příkazy pro finance . . . . . . . . . . . . 382Příkazy pro grafické operace systému i5/OS . . . . . 383Příkazy pro sady grafických symbolů . . . . . . . 383Příkazy pro hostitelský server . . . . . . . . . 383Příkazy pro katalog obrazů . . . . . . . . . . 384Příkazy pro integrovaný systém souborů . . . . . . 385Příkazy pro interaktivní definici dat . . . . . . . 404Příkazy pro výměnu paketů propojené sítě (IPX) . . . 404Příkazy pro vyhledávací indexy informací . . . . . 405Příkazy pro atributy IPL. . . . . . . . . . . 405Příkazy pro Java . . . . . . . . . . . . . 405

Příkazy pro práci s úlohami. . . . . . . . . . 406Příkazy pro popisy úloh . . . . . . . . . . . 409Příkazy pro fronty úloh . . . . . . . . . . . 410Příkazy pro plán úlohy . . . . . . . . . . . 411Příkazy pro žurnály . . . . . . . . . . . . 411Příkazy pro žurnálový zásobník . . . . . . . . 415Příkazy pro systém Kerberos . . . . . . . . . 416Příkazy pro práci s jazyky . . . . . . . . . . 418Příkazy pro práci s knihovnami . . . . . . . . 424Příkazy pro práci s licenčními klíči . . . . . . . 428Příkazy pro práci s licencovanými programy . . . . 429Příkazy pro popisy linek . . . . . . . . . . 429Příkazy pro LAN . . . . . . . . . . . . . 431Příkazy pro práci s informacemi o lokalitě . . . . . 431Příkazy pro Mail Server Framework . . . . . . . 431Příkazy pro práci s médii . . . . . . . . . . 432Příkazy pro práci s menu a skupinami panelů . . . . 433Příkazy pro práci se zprávami . . . . . . . . . 434Příkazy pro popisy zpráv . . . . . . . . . . 434Příkazy pro soubory zpráv . . . . . . . . . . 435Příkazy pro fronty zpráv . . . . . . . . . . 435Příkazy pro migraci . . . . . . . . . . . . 435Příkazy pro popisy režimů . . . . . . . . . . 436Příkazy pro práci s moduly . . . . . . . . . . 437Příkazy pro popisy NetBIOS . . . . . . . . . 437Příkazy pro práci se sítí . . . . . . . . . . . 438Příkazy pro systém NFS. . . . . . . . . . . 439Příkazy pro popisy sí�ových rozhraní . . . . . . . 440Příkazy pro sí�ový server . . . . . . . . . . 440Příkazy pro konfiguraci sí�ového serveru . . . . . 442Příkazy pro popisy sí�ových serverů . . . . . . . 442Příkazy pro práci se seznamy uzlů. . . . . . . . 442Příkazy pro kancelářské služby . . . . . . . . 443Příkazy pro online výuku . . . . . . . . . . 443Příkazy pro Provozního asistenta . . . . . . . . 443Příkazy pro práci s optikou . . . . . . . . . . 444Příkazy pro výstupní fronty. . . . . . . . . . 448Příkazy pro práci se sadami programů . . . . . . 449Příkazy pro výkonnost . . . . . . . . . . . 449Příkazy pro skupiny deskriptorů tisku. . . . . . . 455Příkazy pro konfiguraci komponenty PSF (Print ServicesFacility) . . . . . . . . . . . . . . . 455Příkazy pro práci s problémy . . . . . . . . . 456Příkazy pro práci s programy . . . . . . . . . 456Příkazy pro interpretační program QSH Shell . . . . 460Příkazy pro práci s dotazy . . . . . . . . . . 460Příkazy pro práci s otázkami a odpově�mi . . . . . 461Příkazy pro práci se čtecími programy . . . . . . 462Příkazy pro službu registrace . . . . . . . . . 462Příkazy pro relační databázi . . . . . . . . . 463Příkazy pro práci s prostředky . . . . . . . . . 463Příkazy pro RJE (Remote Job Entry) . . . . . . . 464Příkazy pro práci s atributy zabezpečení . . . . . . 468Příkazy pro autentizační záznamy serveru . . . . . 468Příkazy pro služby . . . . . . . . . . . . 468Příkazy pro slovník pravopisu . . . . . . . . . 473Příkazy pro sféru řízení . . . . . . . . . . . 473Příkazy pro práci se soubory pro souběžný tisk . . . . 473Příkazy pro popisy subsystémů . . . . . . . . 475Příkazy pro práci se systémem . . . . . . . . . 477Příkazy pro seznam systémových odpovědí . . . . . 478

Obsah ix

Příkazy pro systémové hodnoty . . . . . . . . 478Příkazy pro prostředí System/36 . . . . . . . . 478Příkazy pro práci s tabulkami . . . . . . . . . 481Příkazy TCP/IP . . . . . . . . . . . . . 481Příkazy pro popis časového pásma . . . . . . . 483Příkazy pro uživatelské indexy, uživatelské fronty auživatelské prostory . . . . . . . . . . . . 484Příkazy pro uživatelsky definovaný systém souborů . . 484Příkazy pro profily uživatele . . . . . . . . . 485Příkazy pro ověřovací seznamy . . . . . . . . 488Příkazy pro přizpůsobení pracovní stanice . . . . . 488Příkazy pro zapisovací program . . . . . . . . 489

Dodatek E. Operace s objekty amonitorování objektů . . . . . . . . 491Operace společné pro všechny typy objektů . . . . . 491Operace pro doby obnovy přístupových cest. . . . . 494Operace pro tabulku alarmů (*ALRTBL) . . . . . 495Operace pro seznam oprávnění (*AUTL) . . . . . 495Operace pro držitele oprávnění (*AUTHLR) . . . . 496Operace pro vázaný adresář (*BNDDIR). . . . . . 496Operace pro konfigurační seznam (*CFGL) . . . . . 497Operace pro speciální soubory (*CHRSF) . . . . . 497Operace pro formát diagramu (*CHTFMT) . . . . . 497Operace pro popis lokality C (*CLD) . . . . . . . 498Operace pro popis požadavku na změnu (*CRQD) . . . 498Operace pro třídu (*CLS) . . . . . . . . . . 499Operace pro příkaz (*CMD) . . . . . . . . . 499Operace pro seznam spojení (*CNNL) . . . . . . 500Operace pro popis provozní třídy (*COSD) . . . . . 501Operace pro informace o připojení komunikací (*CSI) 501Operace pro mezisystémovou mapu produktů(*CSPMAP) . . . . . . . . . . . . . . 501Operace pro mezisystémovou tabulku produktů(*CSPTBL) . . . . . . . . . . . . . . 502Operace pro popis řadiče (*CTLD) . . . . . . . 502Operace pro popis zařízení (*DEVD) . . . . . . . 503Operace pro adresář (*DIR) . . . . . . . . . 504Operace pro adresářový server . . . . . . . . . 506Operace pro objekt knihovny dokumentů (*DOC nebo*FLR) . . . . . . . . . . . . . . . . 508Operace pro datovou oblast (*DTAARA) . . . . . 511Operace pro obslužný program pro interaktivní definicidat (*DTADCT) . . . . . . . . . . . . . 512Operace pro datovou frontu (*DTAQ) . . . . . . 512Operace pro editovací popis (*EDTD) . . . . . . 513Operace pro registraci ukončení (*EXITRG) . . . . 513Operace pro řídicí tabulku formulářů (*FCT) . . . . 514Operace pro soubor (*FILE) . . . . . . . . . 514Operace pro soubory První dovnitř - první ven (*FIFO) 517Operace pro složku (*FLR). . . . . . . . . . 518Operace pro zdroj fontu (*FNTRSC) . . . . . . . 518Operace pro definici formuláře (*FORMDF) . . . . 518Operace pro objekt filtru (*FTR) . . . . . . . . 518Operace pro sadu grafických symbolů (*GSS) . . . . 519Operace pro slovník dvoubajtové znakové sady(*IGCDCT) . . . . . . . . . . . . . . 519Operace pro třídění dvoubajtové znakové sady(*IGCSRT) . . . . . . . . . . . . . . 520Operace pro tabulku dvoubajtové znakové sady(*IGCTBL) . . . . . . . . . . . . . . 520

Operace pro popis úlohy (*JOBD) . . . . . . . 521Operace pro frontu úloh (*JOBQ) . . . . . . . . 521Operace pro objekt plánovače úloh (*JOBSCD) . . . 522Operace pro žurnál (*JRN) . . . . . . . . . . 522Operace pro žurnálový zásobník (*JRNRCV) . . . . 524Operace pro knihovnu (*LIB) . . . . . . . . . 524Operace pro popis linky (*LIND) . . . . . . . . 525Operace pro poštovní služby . . . . . . . . . 526Operace pro menu (*MENU) . . . . . . . . . 527Operace pro popis režimu (*MODD) . . . . . . . 527Operace pro objekt modul (*MODULE) . . . . . . 528Operace pro soubor zpráv (*MSGF) . . . . . . . 528Operace pro frontu zpráv (*MSGQ) . . . . . . . 529Operace pro skupinu uzlů (*NODGRP) . . . . . . 530Operace pro seznam uzlů (*NODL) . . . . . . . 530Operace pro popis NetBIOS (*NTBD) . . . . . . 531Operace pro sí�ové rozhraní (*NWID) . . . . . . 531Operace pro popis sí�ového serveru (*NWSD) . . . . 532Operace pro výstupní frontu (*OUTQ) . . . . . . 532Operace pro překryv (*OVL) . . . . . . . . . 533Operace pro definici stránky (*PAGDFN) . . . . . 534Operace pro segment stránky (*PAGSEG) . . . . . 534Operace pro skupinu deskriptorů tisku (*PDG) . . . . 534Operace pro program (*PGM) . . . . . . . . . 535Operace pro skupinu panelů (*PNLGRP) . . . . . 536Operace pro dostupnost produktu (*PRDAVL) . . . . 537Operace pro definici produktu (*PRDDFN) . . . . . 537Operace pro zaveditelný modul produktu - load(*PRDLOD) . . . . . . . . . . . . . . 537Operace pro formulář správce dotazů (*QMFORM) . . 537Operace pro dotaz správce dotazů (*QMQRY) . . . . 538Operace pro definici dotazu (*QRYDFN) . . . . . 539Operace pro překladovou tabulku referenčních kódů(*RCT) . . . . . . . . . . . . . . . 540Operace pro seznam odpovědí . . . . . . . . . 540Operace pro popis subsystému (*SBSD) . . . . . . 540Operace pro index vyhledávání informací (*SCHIDX) 542Operace pro lokální soket (*SOCKET) . . . . . . 542Operace pro pravopisný slovník (*SPADCT) . . . . 544Operace pro soubory pro souběžný tisk . . . . . . 545Operace pro programový balík SQL (*SQLPKG) . . . 546Operace pro servisní program (*SRVPGM) . . . . . 546Operace pro popis relace (*SSND) . . . . . . . 547Operace pro úložiště serveru (*SVRSTG) . . . . . 547Operace pro proudový soubor (*STMF) . . . . . . 548Operace pro symbolické propojení (*SYMLNK) . . . 550Operace pro popis počítače S/36 (*S36) . . . . . . 551Operace pro tabulku (*TBL) . . . . . . . . . 552Operace pro uživatelský index (*USRIDX) . . . . . 552Operace pro profil uživatele (*USRPRF). . . . . . 552Operace pro uživatelskou frontu (*USRQ) . . . . . 554Operace pro uživatelský prostor (*USRSPC) . . . . 554Operace pro ověřovací seznam (*VLDL) . . . . . 554Operace pro objekt pro přizpůsobení pracovní stanice(*WSCST) . . . . . . . . . . . . . . 554

Dodatek F. Rozvržení záznamů žurnálumonitorování . . . . . . . . . . . 557Standardní pole záhlaví pro záznamy žurnálumonitorování s formátem záznamu QJORDJE5(*TYPE5) . . . . . . . . . . . . . . . 558

x IBM i: Zabezpečení Zabezpečení - referenční informace

Standardní pole záhlaví pro záznamy žurnálumonitorování s formátem záznamu QJORDJE4(*TYPE4) . . . . . . . . . . . . . . . 560Standardní pole záhlaví pro záznamy žurnálumonitorování s formátem záznamu QJORDJE2(*TYPE2) . . . . . . . . . . . . . . . 561Typy záznamů žurnálu monitorování (QAUDJRN). . . 562Záznamy žurnálu typu AD (Změna monitorování) . . . 564Záznamy žurnálu typu AF (Selhání oprávnění) . . . . 568Záznamy žurnálu typu AP (Adoptované oprávnění) . . 574Záznamy žurnálu typu AU (Změny atributů) . . . . 574Záznamy žurnálu typu CA (Změny oprávnění) . . . . 575Záznamy žurnálu typu CD (Příkazový řetězec) . . . . 578Záznamy žurnálu typu CO (Vytvoření objektu) . . . . 579Záznamy žurnálu typu CP (Změny profilů uživatele) . . 581Záznamy žurnálu typu CQ (Změny *CRQD) . . . . 585Záznamy žurnálu typu CU (Operace s klastry) . . . . 585Záznamy žurnálu typu CV (Ověření spojení) . . . . 587Záznamy žurnálu typu CY (Konfigurace šifrování). . . 589Záznamy žurnálu typu DI (Adresářový server) . . . . 592Záznamy žurnálu typu DO (Operace vymazání). . . . 597Záznamy žurnálu typu DS (Resetování ID uživateleservisních nástrojů dodaného IBM) . . . . . . . 599Záznamy žurnálu typu EV (Proměnná prostředí) . . . 600Záznamy žurnálu typu GR (Generický záznam). . . . 601Záznamy žurnálu typu GS (Poskytnutí deskriptoru) . . 605Záznamy žurnálu typu IM (Monitor narušení) . . . . 605Záznamy žurnálu typu IP (Komunikace mezi procesy) 608Záznamy žurnálu typu IR (Akce pravidel IP) . . . . 609Záznamy žurnálu typu IS (Správa zabezpečení Internetu) 611Záznamy žurnálu typu JD (Změna popisu úlohy) . . . 613Záznamy žurnálu typu JS (Změna úlohy). . . . . . 614Záznamy žurnálu typu KF (Soubor klíčového řetězce) 619Záznamy žurnálu typu LD (Propojení, odstraněnípropojení a prohledání adresáře) . . . . . . . . 622Záznamy žurnálu typu ML (Poštovní akce) . . . . . 624Záznamy žurnálu typu NA (Změna atributu). . . . . 625Záznam žurnálu typu ND (Filtr prohledávání adresářeAPPN) . . . . . . . . . . . . . . . . 625Záznamy žurnálu typu NE (Filtr koncových bodů APPN) 626Záznamy žurnálu typu OM (Změna správy objektu) . . 627Záznamy žurnálu typu OR (Obnova objektu) . . . . 631Záznamy žurnálu typu OW (Změna vlastnictví). . . . 635Záznamy žurnálu typu O1 (Přístup k optickému zařízení) 637Záznamy žurnálu typu O2 (Přístup k optickému zařízení) 638Záznamy žurnálu typu O3 (Přístup k optickému zařízení) 639Záznamy žurnálu typu PA (Adopce u programu) . . . 640Záznamy žurnálu typu PG (Změna primární skupiny) . . 643Záznamy žurnálu typu PO (Tiskový výstup) . . . . . 646Záznamy žurnálu typu PS (Výměna profilu) . . . . . 648Záznamy žurnálu typu PW (Heslo) . . . . . . . 649Záznamy žurnálu typu RA (Změna oprávnění uobnoveného objektu) . . . . . . . . . . . 650Záznamy žurnálu typu RJ (Obnovení popisu úlohy) . . 652Záznamy žurnálu typu RO (Změna vlastnictví uobnoveného objektu) . . . . . . . . . . . 653Záznamy žurnálu typu RP (Obnovení programů, kteréadoptují oprávnění) . . . . . . . . . . . . 655Záznamy žurnálu typu RQ (Obnovení objektu deskriptorupožadavku na změnu) . . . . . . . . . . . 657

Záznamy žurnálu typu RU (Obnova oprávnění pro profiluživatele) . . . . . . . . . . . . . . . 658Záznamy žurnálu typu RZ (Změna primární skupiny proobnovený objekt). . . . . . . . . . . . . 658Záznamy žurnálu typu SD (Změna systémovéhodistribučního adresáře) . . . . . . . . . . . 660Záznamy žurnálu typu SE (Změna záznamu směrovánísubsystému) . . . . . . . . . . . . . . 662Záznamy žurnálu typu SF (Akce se souborem prosouběžný tisk) . . . . . . . . . . . . . 663Záznamy žurnálu typu SG (Asynchronní signály) . . . 668Záznamy žurnálu typu SK (Zabezpečená připojenípomocí soketů) . . . . . . . . . . . . . 669Záznamy žurnálu typu SM (Změna správy systému) . . 670Záznamy žurnálu typu SO (Akce s uživatelskýmiinformacemi zabezpečení serveru) . . . . . . . 672Záznamy žurnálu typu ST (Akce servisních nástrojů) . . 673Záznamy žurnálu typu SV (Akce se systémovouhodnotou) . . . . . . . . . . . . . . . 678Záznamy žurnálu typu VA (Změna přístupovéhoseznamu) . . . . . . . . . . . . . . . 679Záznamy žurnálu typu VC (Začátek a konec připojení) 679Záznamy žurnálu typu VF (Zavření souborů na serveru) 680Záznamy žurnálu typu VL (Překročení limitu účtu) . . 681Záznamy žurnálu typu VN (Přihlášení k síti a odhlášeníze sítě) . . . . . . . . . . . . . . . . 682Záznamy žurnálu typu VO (Ověřovací seznam). . . . 683Záznamy žurnálu typu VP (Chyba sí�ového hesla) . . . 685Záznamy žurnálu typu VR (Přístup k sí�ovémuprostředku) . . . . . . . . . . . . . . 685Záznamy žurnálu typu VS (Relace serveru) . . . . . 686Záznamy žurnálu typu VU (Změna sí�ového profilu) . . 687Záznamy žurnálu typu VV (Změna stavu služby) . . . 688Záznamy žurnálu typu X0 (Sí�ová autentizace) . . . . 689Záznamy žurnálu typu X1 (Token identity) . . . . . 693Záznamy žurnálu typu XD (Rozšíření adresářovéhoserveru) . . . . . . . . . . . . . . . 695Záznamy žurnálu typu YC (Změna objektu DLO) . . . 696Záznamy žurnálu typu YR (Čtení objektu DLO) . . . 697Záznamy žurnálu typu ZC (Změna objektu) . . . . . 698Záznamy žurnálu typu ZR (Čtení objektu) . . . . . 701Číselné kódy typů přístupu . . . . . . . . . . 704

Dodatek G. Příkazy a menu pro příkazyzabezpečení . . . . . . . . . . . . 707Volby v menu Nástroje zabezpečení . . . . . . . 707Použití menu Security Batch . . . . . . . . . 709

Volby v menu Security Batch . . . . . . . . 711Příkazy pro přizpůsobení zabezpečení . . . . . . 715Hodnoty nastavované příkazem pro konfiguracizabezpečení systému. . . . . . . . . . . . 715

Změny programu. . . . . . . . . . . . 717Co dělá příkaz Odvolání veřejného oprávnění . . . . 718

Změny programu. . . . . . . . . . . . 718

Dodatek H. Související informace kreferenčním informacím o zabezpečeníoperačního systému i5/OS . . . . . . 721

Dodatek I. Poznámky . . . . . . . . 725

Obsah xi

Informace o programovacím rozhraní. . . . . . . 727Ochranné známky . . . . . . . . . . . . 727Ustanovení a podmínky . . . . . . . . . . . 727

Rejstřík . . . . . . . . . . . . . . 729

xii IBM i: Zabezpečení Zabezpečení - referenční informace

Novinky v operačním systému IBM i 7.1

Zde se dozvíte o nových a značně změněných informacích v kolekci témat Zabezpečení - referenční informace.

Parametr Datum ukončení platnosti profilu uživatele

Do pole Datum ukončení platnosti uživatele může administrátor zabezpečení zadat konkrétní datum, ke kterému skončíplatnost daného profilu uživatele. V případě použití pole Interval ukončení platnosti uživatele vypočte toto datumsystém.

Informace o změnách a novinkách

Technické změny jsou v aplikaci Informační centrum označeny takto:v Symbol označuje začátek nových nebo změněných informací.v Symbol označuje konec nových nebo změněných informací.

V souborech ve formátu PDF se u nových nebo změněných informací můžete setkat na levém okraji s reviznímiznačkami (| nebo *).

© Copyright IBM Corp. 1996, 2010 xiii

xiv IBM i: Zabezpečení Zabezpečení - referenční informace

Kapitola 1. Úvod do zabezpečení systému System i

Produktová řada IBM Systems pokrývá široký okruh uživatelů. Zabezpečení na platformě System i je natolik flexibilní,že vyhovuje požadavkům tohoto širokého okruhu uživatelů a situací.

Malý systém má 3 až 5 uživatelů, zatímco velký systém má až několik tisíc uživatelů. U některých instalací jsoupracovní stanice v jedné, relativně bezpečné oblasti. U jiných je rozmístění uživatelů značně roztříštěné a zahrnuje iuživatele, kteří se připojují pomocí vytáčeného připojení, a nepřímé uživatele, kteří se připojují prostřednictvímosobního počítače nebo systémové sítě. Chcete-li dostupné funkce a volby přizpůsobit vlastním požadavkům, musítetěmto funkcím a volbám rozumět.

Zabezpečení systému má tři důležité cíle:

Důvěrnost:v Ochrana informací proti předání neoprávněným osobám.v Omezení přístupu k důvěrným informacím.v Ochrana proti zvědavým uživatelům systému a cizím uživatelům.

Integrita:v Ochrana proti neoprávněným změnám dat.v Omezení manipulace s daty pouze na programy s oprávněním.v Poskytnutí záruky důvěryhodnosti dat.

Dostupnost:v Zabránění neúmyslným změnám nebo neúmyslnému zničení dat.v Obrana před pokusy o zneužití nebo zničení systémových prostředků cizími uživateli.

Zabezpečení systému je obvykle spojeno s vnějšími hrozbami, jako jsou například hackeři či konkurenční firmy.Největším přínosem dobře navrženého zabezpečení systému je však často ochrana proti nehodám způsobeným vsystému oprávněnými uživateli. Stisknutí nesprávného tlačítka v systému bez dobrých zabezpečovacích funkcí, můževést ke ztrátě důležitých dat. Těmto nehodám může zabránit zabezpečení systému.

I nejlepší funkce zabezpečení systému nemusí přinášet dobré výsledky, jsou-li použity bez náležitého plánování.Zabezpečení nastavované po malých částech bez plánování je často zmatečné. Jeho údržba a monitorování jsou složité.Plánování ovšem neznamená vytvořit dopředu zabezpečení pro každý soubor, program a zařízení. Představuje zavedenícelkového přístupu k zabezpečení systému a informování vývojářů aplikací, programátorů a uživatelů systému o tomtopřístupu.

Při plánování zabezpečení systému a při rozhodování o požadovaném rozsahu tohoto zabezpečení je třeba si položitnásledující otázky:v Jsou ve firmě nějaké zásady nebo standardy vyžadující určitou úroveň zabezpečení?v Požadují na firmě určitou úroveň zabezpečení její auditoři?v Jak důležitý je systém a jak důležitá jsou data v něm pro provoz firmy?v Jak důležitá je ochrana proti nechtěným chybám, kterou poskytují funkce zabezpečení?v Jaké jsou požadavky firmy na budoucí zabezpečení?

Z důvodu zjednodušení instalace mnoho funkcí zabezpečení není při dodání v systému aktivováno. V této kolekcitémat naleznete doporučení, jak v systému dosáhnout přiměřené úrovně zabezpečení. Při zvažování doporučení se ři�tevlastními požadavky na zabezpečení systému.

© Copyright IBM Corp. 1996, 2010 1

Fyzické zabezpečeníFyzické zabezpečení zahrnuje ochranu systémové jednotky, systémových zařízení a zálohovacích médií předneúmyslným i úmyslným poškozením. Většina opatření, která k zajištění fyzického zabezpečení systému podniknete,jsou vůči systému externí. Systém je však vybaven blokovacím zámkem, který zabraňuje použití funkcí systémovéjednotky neoprávněnými osobami.

Poznámka: U některých modelů je třeba zámek zvláš� objednat.Související informacePlánování fyzického zabezpečení

Zabezpečení blokovacím zámkemMůžete načíst a změnit pozici klíče zámku pomocí rozhraní API QWCRIPLA (Načtení atributů IPL) nebo pomocípříkazu CHGIPLA (Změna atributů IPL).

Blokovací zámek na ovládacím panelu systému 940x řídí přístup k různým systémovým funkcím panelu.

Funkce blokovacího zámku umožní vzdálenému uživateli přístup k dalším funkcím na ovládacím panelu. Napříkladřídí, odkud se do počítače zavádí inicializační program a do jakého prostředí se zavádí - bu� systém i5/OS, nebo DST(Dedicated Service Tools).

Systémová hodnota QRMTSRVATR operačního systému i5/OS řídí vzdálený přístup. V dodávaném systému jepředvolená na vypnuto, což neumožňuje potlačení blokovacího zámku. Tuto systémovou hodnotu lze změnit tak, abypovolovala vzdálený přístup, vyžadujete to však speciální oprávnění *SECADM a *ALLOBJ.Související odkazy“QRMTSRVATR (Atribut vzdálených služeb)” na stránce 39Systémová hodnota QRMTSRVATR (Atribut vzdálených služeb) řídí možnost analýzy problémů služeb vzdálenéhosystému. Umožňuje, aby byl systém analyzován vzdáleně.

Úroveň zabezpečeníPlatforma System i nabízí pět úrovní zabezpečení. Požadovanou úroveň zabezpečení systému můžete zvolit nastavenímsystémové hodnoty QSECURITY (Úroveň zabezpečení).

Úroveň 10:Úroveň 10 již není podporována.

Úroveň 20:Systém vyžaduje k přihlášení uživatele ID uživatele a heslo. Všichni uživatelé mají přístup ke všem objektům.

Úroveň 30:Systém vyžaduje k přihlášení uživatele ID uživatele a heslo. Je uplatňováno zabezpečení prostředků.

Úroveň 40:Systém vyžaduje k přihlášení uživatele ID uživatele a heslo. Je uplatňováno zabezpečení prostředků. Jsou takéuplatňovány další funkce ochrany integrity.

Úroveň 50:Systém vyžaduje k přihlášení uživatele ID uživatele a heslo. Je uplatňováno zabezpečení prostředků. Jeuplatňována ochrana integrity na úrovni 40 a další rozšířená ochrana integrity. Úroveň zabezpečení 50 jeurčena pro platformy System i s vysokými požadavky na zabezpečení a je navržena tak, aby vyhovovalapožadavkům na zabezpečení CC (Common Criteria).

2 IBM i: Zabezpečení Zabezpečení - referenční informace

Související odkazyKapitola 2, “Použití systémové hodnoty QSecurity (Úroveň zabezpečení)”, na stránce 9Požadovaný rozsah zabezpečení systému můžete zajistit nastavením systémového hodnoty QSECURITY (Úroveňzabezpečení).

Systémové hodnotySystémové hodnoty umožňují upravit mnoho charakteristik platformy System i. Pomocí systémových hodnot můžetedefinovat celosystémová nastavení zabezpečení.

Můžete například zadat následující nastavení:v Počet povolených pokusů o přihlášení k zařízení.v Zda systém automaticky odhlásí neaktivní pracovní stanici.v Jak často je třeba měnit hesla.v Délka a složení hesel.Související pojmyKapitola 3, “Systémové hodnoty zabezpečení”, na stránce 23Systémové hodnoty umožňují přizpůsobit mnoho charakteristik systému. K celosystémovému nastavení zabezpečenílze použít skupinu systémových hodnot.

PodepisováníMůžete posílit integritu podepisováním používaných softwarových objektů.

Klíčovou součástí zabezpečení je integrita, tj. možnost důvěřovat tomu, že s objekty v systému nebylo nedovoleněmanipulováno nebo že nebyly nedovoleně měněny. Software operačního systému System i je chráněn digitálnímipodpisy.

Podepsání softwarového objektu je zvláště důležité, pokud byl objekt přenášen prostřednictvím Internetu nebo byluložen na médiu, u kterého máte pocit, že mohlo být změněno. Digitální podpis slouží ke zjištění, zda byl objektzměněn.

Digitální podpisy a jejich použití pro ověřování integrity softwaru můžete v souladu se svou strategií zabezpečeníspravovat pomocí systémové hodnoty QVFYOBJRST (Ověření obnovení objektu), příkazu CHKOBJITG (Kontrolaintegrity objektu) a produktu DCM (Digital Certificate Manager). Veškeré licencované programy dodávané sesystémem jsou podepsané a kromě toho můžete podepisovat vlastní programy.

Můžete omezit přidávání digitálních podpisů do paměti digitálních certifikátů pomocí rozhraní Add Verifier API a dálemůžete omezit resetování hesel v paměti digitálních certifikátů. Nástroje SST (System Service Tools) poskytují v menunovou volbu nazvanou Práce se zabezpečením systému, pomocí níž můžete omezit přidávání digitálních certifikátů.Související informaceOchrana integrity softwaru pomocí digitálních podpisůDCM (Digital Certificate Manager)

Povolení prostředí s jedním přihlášenímV prostředí s jedním přihlášením může uživatel přistupovat k více než jednomu systému zadáním jednoho ID uživatelea hesla. V současných heterogenních sítích se systémy rozdělenými na oddíly a s více platformami se musíadministrátoři vypořádat se složitou správou identifikace a autentizace uživatelů sítě.

Pro aktivaci prostředí s jedním přihlášením poskytuje IBM® dvě společně fungující technologie, které uživatelůmumožňují přihlásit se pomocí uživatelského jména a hesla pro systém Windows® a autentizovat se do platforem Systemi v síti. Jedná se o technologie Sí�ová autentizační služba (NAS) a produkt EIM (Enterprise Identity Mapping). Chce-li

Kapitola 1. Úvod do zabezpečení systému System i 3

administrátor povolit prostředí s jedním přihlášením, musí nakonfigurovat obě tyto služby. Operační systémy Windows2000, Windows XP, AIX a z/OS používají k autentizaci uživatelů do sítě protokol Kerberos. Řídící služby (uživateleprotokolu Kerberos) autentizuje do sítě zabezpečený centralizovaný systém označovaný jako centrum distribuce klíčůKDC (Key Distribution Center).

Zatímco sí�ová autentizační služba (NAS) umožňuje platformě System i pracovat ve sféře protokolu Kerberos, produktEIM poskytuje mechanismus, který každé řídící službě protokolu Kerberos přiřazuje jeden identifikátor produktu EIM,který pak reprezentuje daného uživatele v celém podniku. Identifikátoru produktu EIM lze také přiřadit další identityuživatele, jako je například jméno uživatele pro systém i5/OS. Chce-li se uživatel po přihlášení do sítě přihlásit doplatformy System i, není vyzván, aby zadal ID uživatele a heslo. Je-li autentizace pomocí protokolu Kerberos úspěšná,mohou aplikace vyhledat přiřazení k identifikátoru produktu EIM a najít jméno uživatele pro systém i5/OS. Uživatel jižnepotřebuje heslo pro přihlášení k platformě System i, protože je již autentizován prostřednictvím protokolu Kerberos.Administrátoři mohou identity uživatele spravovat centrálně pomocí produktu EIM a uživatelé sítě potřebují jen jednoheslo. Prostředí s jedním přihlášením v systému povolíte nakonfigurováním sí�ové autentizační služby (NAS) aproduktu EIM.Související informaceScénář: Vytvoření testovacího prostředí s jedním přihlášením

Profily uživateleV operačním systému i5/OS má každý uživatel svůj profil uživatele.

Při úrovni zabezpečení 10 systém automaticky vytvoří profil uživatele při prvním přihlášení uživatele. Při vyšší úrovnizabezpečení musíte profil uživatele vytvořit ještě před přihlášením uživatele.

Profil uživatele je účinný a flexibilní nástroj. Řídí, co může uživatel dělat, a upravuje chování systému vůči uživateli. Vnásledujícím seznamu jsou popsány některé důležité bezpečnostní funkce profilu uživatele:

Speciální oprávněníSpeciální oprávnění určují, zda je uživatel oprávněn provádět systémové funkce, jako je například vytvářeníprofilů uživatele a změna úloh jiných uživatelů.

Počáteční menu a programTato funkce určuje, co uživatel vidí po přihlášení do systému. Omezením počátečního menu můžete omezitčinnost uživatele na určitou skupinu úloh.

Pole Omezení možnostíPole Omezení možností obsažené v profilu uživatele určuje, zda uživatel může při přihlášení zadávat příkazynebo měnit počáteční menu či program.

Související pojmyKapitola 4, “Profily uživatele”, na stránce 73Profily uživatele jsou výkonný a flexibilní nástroj. Pokud je dobře navrhnete, pomohou vám při ochraně systému a připřizpůsobování systému uživatelům.

Skupinové profilySkupinový profil je speciálnítyp profilu uživatele. Místo abyste udělovali oprávnění každému uživateli jednotlivě,můžete pomocí skupinového profilu definovat oprávnění pro skupinu uživatelů.

Skupinový profil může v systému vlastnit objekty. Skupinový profil lze pomocí funkce kopírování profilů využít jakovzor k vytváření profilů individuálních uživatelů.


Související pojmy“Plánování skupinových profilů” na stránce 236Skupinový profil je užitečným nástrojem, pokud existuje několik uživatelů se stejnými požadavky na zabezpečení.Můžete vytvořit přímo skupinové profily nebo můžete změnit existující profil na skupinový. Pomocí skupinovýchprofilů můžete efektivněji spravovat oprávnění a snížit počet jednotlivých soukromých oprávnění k objektům.“Skupinové vlastnictví objektů” na stránce 141Toto téma poskytuje podrobné informace o skupinovém vlastnictví objektů.“Primární skupina objektu” na stránce 142Pro určitý objekt můžete zadat primární skupinu.“Kopírování profilů uživatele” na stránce 117Profil uživatele můžete vytvořit tak, že zkopírujete jiný profil uživatele nebo skupinový profil.

Zabezpečení prostředkůSchopnost přístupu k objektu se nazývá oprávnění. Zabezpečení prostředků v operačním systému i5/OS umožňuje říditoprávnění k objektům tak, že definujete, kdo může používat které objekty a jak mohou být tyto objekty použity.

Oprávnění můžete určit podrobně, například můžete určit oprávnění přidávat a měnit záznamy. Nebo můžete použítsystémem definované podmnožiny oprávnění: *ALL, *CHANGE, *USE a *EXCLUDE.

Nejběžnějšími objekty, které vyžadují ochranu, jsou soubory, programy a knihovny, oprávnění však můžete určit projakýkoli objekt v systému. V následujícím seznamu jsou popsány funkce zabezpečení prostředků:

Skupinové profilySkupina podobných uživatelů může sdílet stejná oprávnění pro použití objektů.

Seznamy oprávněníObjekty s podobnými požadavky na zabezpečení lze seskupit do jednoho seznamu,. Oprávnění pakneudělujete jednotlivým objektům, ale seznamu.

Vlastnictví objektůKaždý objekt v systému má svého vlastníka. Objekty mohou být vlastněny jedním profilem uživatele neboskupinovým profilem. Správné přiřazení vlastnictví objektů vám pomůže spravovat aplikace a delegovatodpovědnost za zabezpečení informací.

Primární skupinaPro objekt můžete určit primární skupinu. Oprávnění primární skupiny je uloženo s objektem. Použitímprimárních skupin zjednodušíte správu oprávnění a zlepšíte výkonnost kontroly oprávnění.

Oprávnění ke knihovněSoubory a programy, které mají stejné požadavky na ochranu, můžete zahrnout do knihovny a pak omezitpřístup k této knihovně. Je to často jednodušší než omezit přístup ke každému jednotlivému objektu.

Oprávnění k adresářiOprávnění k adresáři se používá stejným způsobem jako oprávnění ke knihovně. Objekty lze seskupit doadresáře a pak místo jednotlivých objektů zabezpečit celý adresář.

Oprávnění k objektuV případech, kdy nejsou práva omezující přístup ke knihovně dostatečně přesná, můžete omezit oprávnění kjednotlivým objektům.

Veřejné oprávněníU každého objektu lze definovat, jaký druh přístupu bude k dispozici jakémukoliv uživateli systému, kterýnemá k objektu žádné jiné oprávnění. Veřejné oprávnění představuje účinný a efektivní prostředekzabezpečení informací.


Adoptované oprávněníAdoptované oprávnění přidává oprávnění vlastníka programu k oprávnění uživatele, který program spustil.Adoptované oprávnění je užitečné v případech, kdy v závislosti na situaci potřebuje uživatel pro určitý objektjiné oprávnění.

Držitel oprávněníDržitel oprávnění uchovává informace o oprávnění pro databázový soubor popsaný programem. Informace ooprávnění zůstávají uchovány, dokonce i když došlo k vymazání souboru. Držitelé oprávnění se běžněpoužívají při konverzi ze systému System/36, aplikace systému System/36 totiž často vymazávají soubory apak je opět vytvářejí.

Oprávnění na úrovni políOprávnění na úrovni polí se udělují jednotlivým polím v souboru databáze. Ke správě tohoto oprávněnímůžete použít příkazy SQL.

Související pojmyKapitola 5, “Zabezpečení prostředků”, na stránce 129Tento oddíl popisuje všechny součásti zabezpečení prostředků a jejich spolupráci při ochraně informací v systému.Dále vysvětluje, jak používat příkazy jazyka CL a obrazovky k nastavení zabezpečení prostředků v systému.

Žurnál monitorování zabezpečeníŽurnály monitorování zabezpečení umožňují monitorovat efektivnost zabezpečení systému.

Operační systém i5/OS umožňuje protokolovat vybrané události související se zabezpečením do žurnálu monitorovánízabezpečení. To, co je do protokolu zahrnuto, řídí několik systémových hodnot, několik hodnot profilů uživatele aněkolik hodnot objektů.Související pojmyKapitola 9, “Monitorování zabezpečení v systému System i”, na stránce 255Tento oddíl popisuje techniky monitorování efektivnosti zabezpečení v systému.

Zabezpečení Common CriteriaCommon Criteria je systém pro nezávislé hodnocení, analýzu a testování produktů podle množiny bezpečnostníchpožadavků.

10. srpna 2005 obdržela IBM certifikaci Common Criteria produktu i5/OS V5R3M0 na úrovni EAL (EvaluatedAssurance Level) zvýšené o ALC_FLR.2 profilu CAPP (Controlled Access Protection Profile), verze 1.d, 8. října 1999.K objednávce vyhodnocovacího systému si objednejte Common Criteria FC 1930 pod číslem 5722-SS1.

Pouze zákazníci, kteří provozují konfiguraci Common Criteria, by si měli objednat toto číslo funkce.

Produkt je zapsán na stránce "Validated Products List" na webových stránkách Common Criteria Evaluation andValidation Scheme (http://www.niap-ccevs.org/cc-scheme/).

Nezávislá disková oblastNezávislé diskové oblasti umožňují seskupit pamě� a nezávisle na systémových datech nebo jiných nesouvisejícíchdatech ji přepínat do stavu online nebo offline. Termíny nezávislá oblast ASP (iASP) a nezávislá disková oblast jsousynonyma.

Nezávislou diskovou oblast lze přepínat mezi více systémy v prostředí s klastry nebo ji lze připojit k jednomu systému.Od verze V5R2 mají funkční změny nezávislých diskových oblastí důsledky na zabezpečení systému. Například přivytváření profilu uživatele (CRTUSRPRF) nemůžete v nezávislé diskové oblasti vytvořit profil uživatele (*USRPRF).Pokud má však uživatel soukromá oprávnění k objektu v nezávislé oblasti ASP nebo je vlastníkem objektu v nezávisléoblasti ASP nebo je primární skupinou objektu v nezávislé oblasti ASP, jméno profilu je uloženo v nezávislé oblastiASP. Při přemístění nezávislé diskové oblasti do jiného systému budou záznamy o soukromých oprávněních,


http://www.niap-ccevs.org/cc-scheme/http://www.niap-ccevs.org/cc-scheme/

vlastnictví objektů a primární skupině připojeny v cílovém systému k profilu stejného jména. Pokud tento profil vcílovém systému neexistuje, bude vytvořen. Uživatel nebude mít žádná speciální oprávnění a heslo bude nastaveno na*NONE.

Nezávislé diskové oblasti podporují mnoho objektů založených na knihovnách a uživatelsky definovaných systémůsouborů. Některé objekty však nejsou v nezávislých diskových oblastech povoleny. V operačním systému IBM i verzeV5R1 je možné používat nezávislé diskové oblasti pouze s uživatelsky definovanými systémy souborů.Související informacePodporované a nepodporované typy objektů


Kapitola 2. Použití systémové hodnoty QSecurity (Úroveňzabezpečení)

Požadovaný rozsah zabezpečení systému můžete zajistit nastavením systémového hodnoty QSECURITY (Úroveňzabezpečení).

PřehledÚčel: Určení úrovně zabezpečení uplatňované v systému.

Použijte příkazy:Příkaz WRKSYSVAL *SEC (Práce se systémovými hodnotami) nebo Menu SETUP, volba 1 (Změnasystémových voleb).

Oprávnění:*ALLOBJ a *SECADM

Záznam žurnálu:SV

Poznámka:Před změnou v provozním systému si přečtěte příslušnou část o migraci z jedné úrovně do druhé.

Úrovně zabezpečení

Systém nabízí pět úrovní zabezpečení:

10 V systému není uplatňováno žádné zabezpečení.

Poznámka: Systémovou hodnotu QSECURITY nelze nastavit na úroveň 10.

20 Zabezpečení na úrovni přihlášení.

30 Zabezpečení na úrovni přihlášení a prostředků.

40 Zabezpečení na úrovni přihlášení a prostředků a ochrana integrity.

50 Zabezpečení na úrovni přihlášení a prostředků a rozšířená ochrana integrity.

Úroveň zabezpečení v dodávaném systému je nastavena na hodnotu 40, což poskytuje zabezpečení na úrovni přihlášenía prostředků a ochranu integrity. Další informace najdete v tématu “Úroveň zabezpečení 40” na stránce 14.

Chcete-li změnit úroveň zabezpečení, použijte příkaz WRKSYSVAL (Práce se systémovými hodnotami). Minimálníúroveň, kterou byste měli použít, je 30. Doporučená úroveň je však 40 a vyšší. Změna se projeví při dalším IPL.Tabulka 1 porovnává úrovně zabezpečení v systému:

Tabulka 1. Úrovně zabezpečení: porovnání funkcí

Funkce Úroveň 20 Úroveň 30 Úroveň 40 Úroveň 50

Při přihlášení vyžadováno jméno uživatele. Ano Ano Ano Ano

Při přihlášení vyžadováno heslo. Ano Ano Ano Ano

Zabezpečení heslem aktivní. Ano Ano Ano Ano

Zabezpečení menu a úvodního programu aktivní. Ano1 Ano1 Ano1 Ano1

Podpora omezených možností aktivní. Ano Ano Ano Ano

Zabezpečení prostředků aktivní. Ne Ano Ano Ano

Přístup ke všem objektům. Ano Ne Ne Ne

© Copyright IBM Corp. 1996, 2010 9

Tabulka 1. Úrovně zabezpečení: porovnání funkcí (pokračování)

Funkce Úroveň 20 Úroveň 30 Úroveň 40 Úroveň 50

Profil uživatele se vytváří automaticky. Ne Ne Ne Ne

Schopnosti monitorování zabezpečení dostupné. Ano Ano Ano Ano

Programy obsahující vyhrazené instrukce nelze vytvořit nebo znovukompilovat.

Ano Ano Ano Ano

Programy používající nepodporovaná rozhraní během prováděníselžou.

Ne Ne Ano Ano

Pro veškerou pamě� je vynucena rozšířená hardwarová ochranapaměti.

Ne Ne Ano Ano

Knihovna QTEMP je dočasný objekt. Ne Ne Ne Ne

Objekty *USRSPC, *USRIDX a *USRQ lze vytvořit pouze vknihovnách určených v systémové hodnotě QALWUSRDMN.

Ano Ano Ano Ano

Platnost ukazatelů použitých v parametrech je potvrzena proprogramy uživatelské domény spuštěné v systémovém stavu.

Ne Ne Ano Ano

Mezi programy v systémovém a uživatelském stavu jsou uplatňovánapravidla zpracování zpráv.

Ne Ne Ne Ano

Prostor přidružený k programu nelze přímo modifikovat. Ne Ne Ano Ano

Vnitřní řídící bloky jsou chráněné. Ne Ne Ano Ano2

1 Je-li v profilu uživatele zadán parametr LMTCPB(*YES).2 Na úrovni 50 je uplatňována větší ochrana vnitřních řídicích bloků než na úrovni 40. Viz “Zabránění provádění změn

vnitřních řídicích bloků” na stránce 20.

Předvolená speciální oprávnění

Úroveň zabezpečení systému určuje, jaká jsou pro každou třídu uživatele předvolena speciální oprávnění. Při vytvářeníprofilu uživatele můžete zvolit speciální oprávnění založená na uživatelské třídě. Speciální oprávnění jsou uživatelitaké přidávána a odebírána při změně úrovně zabezpečení.

Pro uživatele lze zadat následující speciální oprávnění:

*ALLOBJSpeciální oprávnění pro všechny objekty povoluje uživateli provádět na objektech všechny operace.

*AUDITSpeciální oprávnění k monitorování povoluje uživateli definovat monitorovací charakteristiky systému,objektů a systémových uživatelů.

*IOSYSCFGSpeciální oprávnění k systémové konfiguraci uživateli povoluje konfigurovat vstupní a výstupní zařízení vsystému.

*JOBCTLSpeciální oprávnění pro řízení úloh uživateli povoluje řídit dávkové úlohy a tisk v systému.

*SAVSYSSpeciální oprávnění k uložení systému uživateli povoluje ukládat a obnovovat objekty.

*SECADMSpeciální oprávnění administrátora systému uživateli povoluje pracovat s profily uživatele v systému.

*SERVICESpeciální oprávnění k službám uživateli povoluje provádět funkce softwarových služeb v systému.


*SPLCTLSpeciální oprávnění k řízení souběžného tisku uživateli povoluje neomezené řízení dávkových úloh avýstupních front v systému.

Můžete také omezit uživatele s oprávněními *SECADM a *ALLOBJ tak, aby nemohli měnit tuto systémovou hodnotusouvisející se zabezpečením pomocí příkazu CHGSYSVAL. Toto omezení můžete zadat v nástrojích SST (SystemService Tools) pomocí volby Práce se zabezpečením systému.

Poznámka: Zmíněné omezení se vztahuje na několik dalších systémových hodnot.Další podrobné informace o tom, jak omezit změnu systémových hodnot zabezpečení, a kompletní seznam ovlivněnýchsystémových hodnot naleznete v tématu Systémové hodnoty zabezpečení.

Tabulka 2 obsahuje předvolená speciální oprávnění pro každou třídu uživatele. Záznamy označují případy, kdy jeoprávnění uděleno pouze v úrovních zabezpečení 10 a 20, ve všech úrovních a ne ve všech úrovních.

Tabulka 2. Předvolená speciální oprávnění pro třídy uživatelů podle úrovně zabezpečení

Speciál. oprávnění

Třídy uživatelů

*SECOFR *SECADM *PGMR *SYSOPR *USER

*ALLOBJ Všechny 10 či 20 10 či 20 10 či 20 10 či 20

*AUDIT Všechny

*IOSYSCFG Všechny

*JOBCTL Všechny 10 či 20 10 či 20 Všechny

*SAVSYS Všechny 10 či 20 10 či 20 Všechny 10 či 20

*SECADM Všechny Všechny

*SERVICE Všechny

*SPLCTL Všechny

Poznámka: Témata “Třída uživatele” na stránce 79 a “Speciální oprávnění” na stránce 84 obsahují další informace otřídách uživatelů a speciálních oprávněních.

Aspekty použití

Doporučujeme úroveň zabezpečení 30 nebo vyšší. V této úrovni systém uživatelům automaticky nedává přístup kevšem prostředkům. V nižších úrovních zabezpečení uživatelé mají speciální oprávnění *ALLOBJ.

Při úrovni zabezpečení 30 a nižší mohou uživatelé volat systémová rozhraní, která mění profil uživatele na profilQSECOFR nebo která uživatelům dovolí přístup k prostředkům, ke kterým by za normálních okolností neměli mítpřístup. Při úrovni zabezpečení 40 není uživatelům dovoleno tato rozhraní přímo volat. Důrazně proto doporučujemepoužívat úroveň zabezpečení 40 nebo vyšší.

Úroveň zabezpečení 40 poskytuje dodatečnou ochranu integrity, a to bez ovlivnění výkonu systému. Aplikace, kterénelze spustit v úrovni zabezpečení 40, mají při úrovni zabezpečení 30 negativní vliv na výkon systému. Způsobují, žesystém odpovídá na narušení domény.

Úroveň zabezpečení 50 je určena pro systémy s vysokými požadavky na zabezpečení. Provozujete-li systém při úrovnizabezpečení 50, zaznamenáte možná určitý vliv na výkon v důsledku dodatečné kontroly, kterou systém provádí.

I v případě, kdy chcete všem uživatelům povolit přístup ke všem informací, zvažte provozování systému při úrovnizabezpečení 30. Pro povolení přístupu uživatelů k informacím můžete použít veřejné oprávnění. Použijete-li úroveňzabezpečení 30 od samého počátku, můžete v případě potřeby flexibilně zabezpečit několik životně důležitýchprostředků, aniž byste znovu museli testovat všechny aplikace.

Kapitola 2. Použití systémové hodnoty QSecurity (Úroveň zabezpečení) 11

Související pojmy“Úroveň zabezpečení” na stránce 2Platforma System i nabízí pět úrovní zabezpečení. Požadovanou úroveň zabezpečení systému můžete zvolit nastavenímsystémové hodnoty QSECURITY (Úroveň zabezpečení).Související úlohy“Deaktivace úrovně zabezpečení 50” na stránce 21Po přechodu na úroveň zabezpečení 50 můžete zjistit, že se potřebujete dočasně vrátit zpět na úroveň 30 nebo 40.Můžete například potřebovat otestovat, zda nové aplikace nezpůsobují chyby integrity, nebo můžete objevit problémy sintegritou, které se na nižších úrovních zabezpečení nevyskytovaly.

Úroveň zabezpečení 10Při úrovni zabezpečení 10 neexistuje žádná ochrana. Úroveň zabezpečení 10 se proto nedoporučuje.

Od verze 4, vydání 3 nelze úroveň zabezpečení nastavit na hodnotu 10. Má-li váš systém v současné době úroveňzabezpečení 10, zůstane na této úrovni i po instalaci verze 4, vydání 3. Změníte-li však úroveň zabezpečení systému najinou hodnotu, nelze ji pak změnit zpět na hodnotu 10.

Přihlásí-li se do systému nový uživatel, systém vytvoří nový profil uživatele se stejným jménem, jako je ID uživatele,který uživatel zadal na přihlašovací obrazovce. Přihlásí-li se později stejný uživatel pomocí jiného ID, systém vytvořínový profil. Část Dodatek B, “Profily uživatele dodané IBM”, na stránce 313 obsahuje předvolené hodnoty, kterésystém použije při automatickém vytvoření profilu uživatele.

Systém provádí kontrolu oprávnění na všech úrovních zabezpečení. Všechny profily uživatele vytvořené při úrovnizabezpečení 10 získají speciální oprávnění *ALLOBJ, a proto úspěšně vyhoví téměř každé kontrole oprávnění a majípřístup ke všem prostředkům. Chcete-li otestovat dopad přechodu na vyšší úroveň zabezpečení, odstraňte z profilůuživatele speciální oprávnění *ALLOBJ a udělte jim oprávnění k použití konkrétních prostředků. Tento postup všaknevytváří jakoukoliv ochranu zabezpečení. Kdokoliv se vždy může přihlásit pomocí nového ID, čímž dojde k vytvořenínového profilu se speciálním oprávněním *ALLOBJ. Na úrovni zabezpečení 10 nelze takovému postupu zabránit.

Úroveň zabezpečení 20Úroveň zabezpečení 20 poskytuje více funkcí zabezpečení než úroveň 10. Při úrovni zabezpečení 20 jsou všechnyprofily standardně vytvořeny se speciálním oprávněním *ALLOBJ, proto se tato úroveň zabezpečení takénedoporučuje.

Úroveň zabezpečení 20 poskytuje následující funkce zabezpečení:v Pro přihlášení je nutné jak ID uživatele, tak heslo.v Pouze správce systému nebo uživatel se speciálním oprávněním *SECADM může vytvářet profily uživatele.v Je uplatňována hodnota omezení možností zadaná v profilu uživatele.

Změna z úrovně 10 na úroveň 20Při změně z úrovně 10 na úroveň 20 zůstanou zachovány veškeré profily uživatele automaticky vytvořené na úrovni 10.Heslo pro každý profil uživatele vytvořený při úrovni 10 je stejné jako jméno profilu uživatele. Speciální oprávněníprofilů se nemění.

Pokud je systém v provozním stavu a chcete přejít z úrovně 10 na úroveň 20, zvažte provedení následujícího seznamudoporučených činností:v Pomocí příkazu DSPAUTUSR (Zobrazení oprávněných uživatelů) zobrazte seznam všech profilů uživatele.v Bu� vytvořte nové profily uživatele se standardizovanými jmény, nebo zkopírujte stávající profily a přejmenujte je

na nová, standardizovaná jména.v Ukončete platnost hesel pro každý stávající profil, čímž přimějete každého uživatele, aby si vytvořil nové heslo.v Nastavte systémové hodnoty pro složení hesla, abyste uživatelům zabránili v používání jednoduchých hesel.


v Prohlédněte si předdefinované hodnoty, které uvádí “Předvolené hodnoty profilů uživatele” na stránce 313 v částiDodatek B, “Profily uživatele dodané IBM”, na stránce 313, a případně prove�te změny profilů automatickyvytvořených při úrovni zabezpečení 10.

Změna na úroveň 20 z vyšší úrovněPři změně z vyšší úrovně na úroveň 20 jsou do profilů uživatele přidána speciální oprávnění. Tím se docílí toho, žeuživatel má alespoň výchozí speciální oprávnění pro danou třídu uživatele.

Při změně úrovně zabezpečení z vyšší úrovně na úroveň 20 přidá systém každému profilu uživatele speciální oprávnění*ALLOBJ. To uživatelům umožní prohlížet, měnit nebo mazat libovolné objekty v systému.

Tabulka 2 na stránce 11 ukazuje, jak se speciální oprávnění liší mezi úrovní 20 a vyššími úrovněmi zabezpečení.

Úroveň zabezpečení 30Úroveň zabezpečení 30 poskytuje více funkcí zabezpečení než úroveň 20.

Kromě funkcí zabezpečení, které poskytuje úroveň 20, poskytuje úroveň 30 navíc následující funkce:v Uživatelům musí být konkrétně přiděleno oprávnění pro použití prostředků v systému.v Pouze profilům uživatele vytvořeným s třídou zabezpečení *SECOFR je automaticky přiděleno speciální oprávnění

*ALLOBJ.

Změna na úroveň 30 z nižší úrovněZměníte-li úroveň zabezpečení z nižší hodnoty na úroveň 30, změní systém všechny profily uživatele tak, aby se připříštím zavedení inicializačního programu (IPL) aktualizovala speciální oprávnění.

Speciální oprávnění, která byla uživatelům udělena na úrovních 10 a 20 a na která nemají na úrovni 30 nebo vyššínárok, jsou odstraněna. Speciální oprávnění, která byla uživateli udělena a která nejsou přiřazena jejich uživatelskétřídě, se nemění. Například speciální oprávnění *ALLOBJ je odstraněno ze všech profilů uživatele kromě těch, kterémají uživatelskou třídu *SECOFR. Tabulka 2 na stránce 11 uvádí seznam předdefinovaných speciálních oprávnění arozdíly mezi úrovněmi 10 a 20 na jedné straně a vyššími úrovněmi na straně druhé.

Pokud systém spouštěl při nižší úrovni zabezpečení aplikace, měli byste nastavit a otestovat zabezpečení prostředkůještě před změnou úrovně zabezpečení na úroveň 30. Prove�te následující doporučené činnosti:v U každé aplikace nastavte příslušná oprávnění pro objekty aplikace.v Každou aplikaci otestujte pomocí skutečných profilů uživatele nebo speciálních testovacích profilů uživatele.

– Z profilů uživatele použitých při testování odeberte speciálníoprávnění *ALLOBJ.– Profilům uživatele udělte příslušná oprávnění k aplikacím.– Spus�te aplikaci pomocí daných profilů uživatele.– Zkontrolujte, zda došlo k selhání oprávnění, bu� prostřednictvím chybových zpráv, nebo pomocí žurnálu

monitorování.v Pokud všechny aplikace úspěšně běží s testovacími profily, udělte příslušná oprávnění k objektům aplikací všem

provozním profilům uživatele, které mají mít přístup k aplikaci.v Pokud je systémová hodnota QLMTSECOFR (omezení přístupu správce systému) nastavena na hodnotu 1 (Ano),

musí být při úrovni zabezpečení 30 nebo vyšší uživatelé se speciálním oprávněním *ALLOBJ či *SERVICEkonkrétně oprávněni k použití zařízení. Můžete těmto uživatelům udělit oprávnění *CHANGE k vybranýmzařízením nebo jim udělit oprávnění QSECOFR *CHANGE k zařízením nebo změnit systémovou hodnotuQLMTSECOFR na 0.

v Změňte úroveň zabezpečení systému a prove�te IPL.

Kapitola 2. Použití systémové hodnoty QSecurity (Úroveň zabezpečení) 13

Chcete-li změnit úroveň zabezpečení na 30, aniž byste museli definovat oprávnění pro jednotlivé objekty, vytvořteveřejné oprávnění pro objekty aplikací natolik široké, aby bylo možné pomocí něho spouštět aplikace. Otestujtespouštění aplikací a ujistěte se, že nedochází k žádným selháním oprávnění.Související odkazy“Definování možností přístupu k informacím” na stránce 130Můžete definovat, jaké operace lze provádět s objekty, daty a poli.

Úroveň zabezpečení 40Úroveň zabezpečení 40 zabraňuje potenciálnímu vzniku rizika narušení integrity nebo zabezpečení, které vespeciálních případech mohou vyvolat programy se schopností obejít zabezpečení. Úroveň zabezpečení 50 poskytujeinstalacím s přísnými požadavky na zabezpečení rozšířenou ochranu integrity.

Tabulka 3 porovnává podporu funkcí zabezpečení v úrovních 30, 40 a 50.

Tabulka 3. Porovnání úrovní zabezpečení 30, 40 a 50

Popis scénáře Úroveň 30 Úroveň 40 Úroveň 50

Určitý program se pokouší získat přístup kobjektům pomocí nepodporovaných rozhraní.

Záznam žurnálu AF.1 Záznam žurnálu AF1;operace selže.

Záznam žurnálu AF1;operace selže.

Určitý program se pokouší používat vyhrazenouinstrukci.




Uživatel, který spouští úlohu, nemá oprávnění*USE k profilu uživatele zadanému v popisuúlohy.

Záznam žurnálu AF.1 Záznam žurnálu AF1;úloha se nespustí.

Záznam žurnálu AF1;úloha se nespustí.

Určitý uživatel se pokouší o předvolené přihlášeníbez ID uživatele a hesla.

Záznam žurnálu AF.1 Záznam žurnálu AF 1;přihlášení je neúspěšné.

Záznam žurnálu AF 1;přihlášení je neúspěšné.

Program ve stavu *USER se pokouší zapisovat dosystémové oblasti disku definovaného jako pouzepro čtení nebo bez přístupu.

Pokus může být úspěšný. Záznam žurnálu AF; 1

operace selže.Záznam žurnálu AF; 1

operace selže.

Dojde k pokusu o obnovení programu, který nemáhodnotu ověření platnosti. 2

Neprovede se žádnéověření platnosti.Program musí být předpoužitím konvertován.



Dojde k pokusu o obnovení programu, který máhodnotu ověření platnosti.

Provede se ověřeníplatnosti programu.



Dojde k pokusu o změnu prostoru přiřazenéhourčitému programu.

Pokus je úspěšný. Záznam žurnálu AF; 1


operace selže.

Dojde k pokusu o změnu prostoru adrespřiřazeného určité úloze.



operace selže.

Program v uživatelském stavu se pokouší volatprogram systémové domény nebo se mu pokoušípředat řízení.



operace selže.

Dojde k pokusu o vytvoření objektu uživatelskédomény typu *USRSPC, *USRIDX či *USRQ vknihovně nezahrnuté do systémové hodnotyQALWUSRDMN.

Operace selže. Operace selže. Operace selže.

Program v uživatelském stavu odesílá zprávu ovýjimce programu v systémovém stavu, který se vzásobníku volání nenachází přímo nad ním.

Pokus je úspěšný. Pokus je úspěšný. Operace selže.

Programu uživatelské domény spuštěnému vsystémovém stavu je předán určitý parametr.

Pokus je úspěšný. Provede se ověřeníplatnosti parametru.

Provede se ověřeníplatnosti parametru.


Tabulka 3. Porovnání úrovní zabezpečení 30, 40 a 50 (pokračování)

Popis scénáře Úroveň 30 Úroveň 40 Úroveň 50

Určitý příkaz dodaný IBM je pomocí příkazuCHGCMD změněn tak, aby spustil jiný program.Příkaz je znovu změněn tak, aby spustil původníprogram dodaný IBM, který představuje programsystémové domény. Uživatel se pokouší danýpříkaz spustit.

Pokus je úspěšný. Záznam žurnálu AF; 1, 3

operace selže.3Záznam žurnálu AF;1, 3

operace selže. 3

1 Je-li funkce monitorování aktivní, zapíše se záznam typu AF (selhání oprávnění) do žurnálu monitorování QAUDJRN.Další informace o funkci monitorování najdete v části Kapitola 9, “Monitorování zabezpečení v systému System i”,na stránce 255.

2 Programy vytvořené před verzí 1, vydáním 3 nemají hodnotu ověření platnosti.3 Změníte-li příkaz dodaný IBM, nadále již tento příkaz nemůže volat žádný program systémové domény.

Používáte-li funkci monitorování při nižších úrovních zabezpečení, systém protokoluje záznamy žurnálu pro většinučinností, které uvádí Tabulka 3 na stránce 14, avšak kromě činností detekovaných funkcí rozšířené hardwarovéochrany. U potenciálních narušení integrity se vytvoří varování ve formě položek žurnálu. Při úrovni 40 a vyššínarušení integrity způsobí, že systém vyvolá selhání pokusu o operaci.

Zabránění použití nepodporovaných rozhraníPři úrovni zabezpečení 40 nebo vyšší brání systém pokusům o

Documents

IBM i: Zabezpe|Ecen|f8 Zabezpe|Ecen|f8 - referen|Ecn|f8 ... · Poznámka Předpoužitímtěchtoinformacíaproduktu,kekterémusevztahují,sipřečtěteinformaceuvedenévčásti DodatekI,“Poznámky”,na