Das Subsystem Administrator Services bietet Funktionen, die sich auf Natural Security als Ganzes und auf alle Sicherheitsprofile beziehen.

In diesem Kapitel werden die folgenden Themen behandelt:

• Zugriff auf das Subsystem Administrator Services

• Administrator Services aufrufen

• Allgemeine Optionen (Administrator Services)

• Authentifizierungsoptionen - Authentication Options (LDAP)

• PF-Tasten

• Anmelde-/Gegenzeichnungsfehler - Logon/Countersign Errors

• Anmeldesätze - Logon Records

• Protokollsätze verwalten - Maintenance Log Records

• SAF Online Services

• Benutzer-Standardprofile - User Default Profiles

• Standardprofile für Bibliotheken - Library Default Profiles

• Voreingestellte Benutzersicherheitsprofilwerte - User Preset Values

• Voreingestellte Werte für Bibliotheken - Library Preset Values

• Systembibliotheken definieren - Definition of System Libraries

• Nicht definierte Bibliotheken definieren - Definition of Undefined Libraries

Zugriff auf das Subsystem Administrator Services

Der Zugriff auf das Subsystem Administrator Services wird a) durch die Eigentümerangaben im Sicherheitsprofil der Natural Security-Bibliothek SYSSEC und b) durch den Kommandoprozessor NSCCMD01 gesteuert:

• Wenn im Sicherheitsprofil von SYSSEC keine Eigentümer angegeben sind, darf jeder Benutzer vom Typ Administrator auf das Subsystem Administrator Services zugreifen.

• Wenn im Sicherheitsprofil von SYSSEC Eigentümer angegeben sind, bestimmt das Feld Functional Security Defined für den Kommandoprozessor NSCCMD01 in SYSSEC, wer auf das Subsystem Administrator Services zugreifen darf:

  • Wenn dieses Feld auf Yes gesetzt ist (dies ist die Standardeinstellung), dürfen nur die Eigentümer von SYSSEC auf die Administrator Services zugreifen.

  • Wenn dieses Feld auf All gesetzt ist, kann jeder Benutzer vom Typ Administrator auf die Administrator Services zugreifen.

  In beiden Fällen bestimmen die Funktionssicherheitsvorgaben im Bibliothekssicherheitsprofil von SYSSEC und in den Benutzersicherheitsprofilen der Administratoren, welche Funktionen der Administrator Services genutzt werden dürfen.

Informationen zu Eigentümern in Bibliothekssicherheitsprofilen finden Sie in den Kapiteln Bibliotheken verwalten und Gegenzeichnungen.

Informationen über den Kommandoprozessor NSCCMD01 finden Sie im Kapitel Funktionssicherheit für Bibliothek SYSSEC.

Administrator Services aufrufen

Um die Administrator Services aufzurufen:

1. Wählen Sie im Hauptmenü (Main Menu) den Menüpunkt Administrator Services.

   Wenn Sie berechtigt sind, auf die Administrator Services zuzugreifen, wird das Menü Administrator Services angezeigt.

2. Das Menü Administrator Services umfasst zwei Bildschirme. Mit PF7 und PF8 können Sie zwischen den beiden Bildschirmen umschalten.

   Folgende Funktionen stehen zur Verfügung:

Sie sollten die oben mit (*) gekennzeichneten Funktionen genau lesen, bevor Sie mit der Definition von Objekten in Natural Security beginnen. Die anderen Funktionen der Administrator Services stehen nicht in direktem Zusammenhang mit der Definition von Objekten in Natural Security.

Allgemeine Optionen (Administrator Services)

Bevor Sie mit der Definition von Objekten in Natural Security beginnen, sollten Sie bestimmte Optionen festlegen, die für das gesamte Natural Security-System gelten.

Um die General Options der Administrator Services aufzurufen:

1. Wählen Sie im Hauptmenü (Main Menu) den Menüeintrag Administrator Services.

   Wenn Sie berechtigt sind, auf die Administrator Services zuzugreifen, wird das Menü Administrator Services Menu 1 angezeigt.

2. Wählen Sie den Menüeintrag General Options.

   Der Bildschirm Set General Options (Allgemeine Optionen einstellen) wird angezeigt.

3. Die Einstellungsmöglichkeiten der Set General Options sind auf zwei Bildschirme verteilt. Mit PF7 und PF8 können Sie zwischen den beiden Bildschirmen umschalten. Sie bieten die folgenden Optionen:

Die oben aufgelisteten Optionen werden im Folgenden beschrieben.

Übergangszeitraum für Anmeldung - Transition Period Logon

Die Option Transition Period Logon ermöglicht einen reibungslosen Übergang von einer ungeschützten Natural-Umgebung zu einer durch Natural Security geschützten Umgebung.

Mögliche Angaben:

Die Auswirkungen der Einstellungen für die Übergangszeit bei der Anmeldung sind im Folgenden dargestellt.

Wenn Sie eine nicht geschützte Natural-Installation hatten und nun zum ersten Mal Natural Security installieren, ist es ratsam, die Transition Period Logon auf Y zu setzen, um sicherzustellen, dass die Arbeit mit Natural fortgesetzt werden kann, während Benutzer und Bibliotheken in Natural Security definiert werden. Sobald alle Objekte und Links definiert sind, sollte die Option Transition Period Logon auf N gesetzt werden.

Nutzungsbedingungen bei Transition Period Logon = Y:

Nutzungsbedingungen bei Transition Period Logon = N:

Security für Development Server-Datei aktivieren - Activate Security for Development Server File

Die Option Activate Security for Development Server File wird nur angezeigt, wenn der Natural Development Server (Produktcode NDV) installiert ist und die aktuelle Natural-Sitzung eine Development Server-Datei verwendet. Sie ist nur relevant, wenn Sie den Zugriff auf Basis- und Verbundanwendungen (Base und Compound Applications) in der Development Server-Datei steuern möchten. Einzelheiten hierzu finden Sie im Kapitel Natural Development Server-Umgebung und -Anwendungen schützen.

Maximale Anzahl von Anmeldeversuchen - Maximum Number of Logon Attempts

Anzeige von Logon-Meldungen unterdrücken - Suppress Display of Logon Messages

Mit der Option Suppress Display of Logon Messages kann die Anzeige der Meldungen NAT0853 und NAT0854 unterdrückt werden. Die Meldungen zeigen an, dass eine Anmeldung bei einer Bibliothek erfolgreich war. Standardmäßig wird eine dieser Meldungen nach jeder erfolgreichen Anmeldung bei einer Bibliothek angezeigt.

Benutzer sperren - Lock User Option

Die Option Lock User kann verwendet werden, um zu verhindern, dass Benutzer versuchen, die Benutzerkennungen und Passwörter anderer Benutzer zu missbrauchen. Sie gilt für das Vorgehensweise bei der Anmeldung und für die Gegenzeichnungsfunktion.

Natural RPC Service Calls

Bei Anmeldeversuchen bei Bibliotheken über Natural RPC Service Calls (RPC-Dienstaufrufe) wird diese Option nur wirksam, wenn die Option Lock user in den Library Preset Values auf * gesetzt ist. Für Natural RPC Service Calls gilt Folgendes:

• Die Einstellungen Y und F haben die gleiche Wirkung wie O.

• Wenn die Sperren eintritt, enthalten die gesperrten Client-Benutzerkennungen nicht die Kennung, die in der Systemvariablen *INIT-USER enthalten ist.

Benutzerpasswort-Historie - User Password History

Diese Option entspricht der Option User password history, die in den User Preset Values (siehe Voreingestellte Benutzersicherheitsprofilwerte) gesetzt wird.

Freier Zugriff auf Funktionen über APIs - Free Access to Functions via APIs

Mit der Option Free Access to Functions via APIs können festlegen, wer von außerhalb von Natural Security über die bereitgestellten Anwendungsprogrammierschnittstellen (APIs) auf die Verwaltungs- und Abfragefunktionen (Maintenance und Retrieval) von Natural Security zugreifen darf. Einzelheiten zu diesen APIs finden Sie im Kapitel Anwendungsprogrammierschnittstellen.

Verwaltungsfunktionen sind alle Funktionen der Subprogramme NSCFI, NSCLI, NSCOB und NSCUS - mit Ausnahme ihrer Anzeigefunktionen (Display).

Retrieval-Funktionen sind:

• alle Funktionen der Subprogramme NSCCHCK, NSCDEF, NSCDU und NSCXR und der Subprogramme, deren Namen mit NSCDA beginnen,

• die Anzeigefunktionen (Display) der Subprogramme NSCFI, NSCLI, NSCOB und NSCUS.

Mindestanzahl an Miteigentümern - Minimum Number of Co-Owners

Eine Erläuterung zu den Miteigentümern finden Sie im Kapitel Gegenzeichnungen. Lassen Sie den Wert auf 0 stehen, bis Sie dieses Kapitel gelesen haben.

Löschung von nicht leeren Bibliotheken erlaubt - Deletion of Non-Empty Libraries Allowed

Die Option Deletion of Non-Entry Libraries Allowed legt fest, ob das Sicherheitsprofil einer Bibliothek gelöscht werden kann, wenn die Bibliothek Quellcode- oder Objektmodule enthält.

Überschreiben von Standardwerten möglich - Overwriting of Defaults Possible

Die Option Overwriting of Defaults Possible legt fest, ob die auf den Bildschirmen Preset User Values und Preset Library Values eingestellten Werte in den einzelnen Sicherheitsprofilen überschrieben werden dürfen.

Die voreingestellten Werte sind unter User Preset Values bzw. Library Preset Values beschrieben.

DBID/FNR von FSEC anzeigen - Display DBID/FNR of FSEC

Die Option Display DBID/FNR of FSEC legt fest, ob die Datenbankkennung (DBID) und die Dateinummer (FNR) der aktuellen Natural Security-Systemdatei (FSEC) auf den Menü- und Auswahlbildschirmen innerhalb der Bibliothek SYSSEC angezeigt werden sollen.

Beenden von Funktionen mit Bestätigung - Exit Functions with Confirmation

Die Option Exit Function with Confirmation legt fest, wie sich Natural Security verhält, wenn Sie eine Funktion durch Drücken von PF2, PF3, PF12 oder PF15 verlassen.

Einzelheiten zu den Funktionen, mit denen diese Tasten belegt sind, finden Sie im Abschnitt PF-Tasten.

Protokollieren von Verwaltungsfunktionen - Logging of Maintenance Functions

Mit der Option Logging of Maintenance Functions können Sie feststellen, wer welche Sicherheitsprofile und Administrator Services-Einstellungen geändert hat.

"Ändern" bezieht sich in diesem Zusammenhang auf alle Verwaltungsfunktionen, die auf ein Sicherheitsprofil angewendet werden (einschließlich Anlegen, Kopieren, Löschen, Verlinken usw.). Es umfasst auch das Übertragen eines Sicherheitsprofils mit den Programmen SECULD2 und SECLOAD.

Wenn Sie diese Option auf Y setzen, wird ein Fenster angezeigt, in dem Sie Folgendes angeben können:

//CMSYNIN DD *
R,A
old-DBID,old-FNR,new-DBID,new-FNR

Um, nachdem Sie das Schreiben von Protokollsätzen aktiviert haben, die obigen Angaben zu ändern, müssen Sie auf dem Bildschirm Set General Options PF4 drücken.

Um die Protokollsätze einzusehen, können Sie die Funktion Maintenance Log Records (siehe unten) verwenden.

Anmelde- und Fehlerdaten in separaten Systemdateien speichern - Store Logon and Error Data on Separate System Files

Die Option Store Logon and Error Data on Separate System Files kann verwendet werden, um bestimmte Natural Security-Daten in separaten Systemdateien zu speichern.

Konkurrierende Änderungen ohne Benachrichtigung - Concurrent Modifications Without Notification

Die Option Concurrent Modifications Without Notification legt fest, wie Natural Security in einer Situation reagiert, in der zwei Administratoren gleichzeitig dasselbe Sicherheitsprofil ändern. Eine solche Situation würde wie folgt ablaufen:

1. Administrator 1 ruft ein Sicherheitsprofil zur Änderung auf.

2. Administrator 2 ruft das gleiche Sicherheitsprofil zur Änderung auf.

3. Administrator 1 verlässt die Funktion, nachdem er seine Änderungen vorgenommen hat - die Änderungen werden auf das Sicherheitsprofil angewendet. Dies bedeutet, dass Administrator 2 zu diesem Zeitpunkt mit Daten arbeitet, die "veraltet" sind, sich dessen aber nicht bewusst ist.

4. Administrator 2 verlässt die Funktion, nachdem er seine Änderungen vorgenommen hat. Nun gibt es zwei mögliche Reaktionen von Natural Security:

   • Die von Administrator 2 vorgenommenen Änderungen werden übernommen - und überschreiben damit unwissentlich die von Administrator 1 vorgenommenen Änderungen.

   • Administrator 2 wird per Fenster darüber informiert, dass das betreffende Sicherheitsprofil in der Zwischenzeit von einem anderen Administrator geändert wurde. Er kann sich daraufhin mit dem anderen Administrator in Verbindung setzen, um die vorgenommenen Änderungen zu besprechen, und kann dann entscheiden, ob er seine eigenen Änderungen rückgängig machen oder sie übernehmen und damit die von Administrator 1 vorgenommenen Änderungen überschreiben möchte.

Die Option Concurrent Modifications Without Notification legt fest, welche der beiden Reaktionen erfolgen soll, d.h:

Diese Option gilt nur für konkurrierende Änderungen, die an Sicherheitsprofilen von Benutzern, Bibliotheken, Special-Links und Postfächern vorgenommen werden.

Private Bibliotheken im öffentlichen Modus - Private Libraries in Public Mode

Die Option Private Libraries in Public Mode legt fest, ob private Bibliotheken im Private Mode oder im Public Mode verfügbar sein sollen.

Weitere Informationen finden Sie unter Private Bibliothek im Kapitel Benutzer verwalten. Sie sollten dieses Kapitel lesen, bevor Sie diese Option einstellen.

Mailboxen im Batch-Modus unterdrücken - Suppress Mailboxes in Batch Mode

Die Option Suppress Mailboxes in Batch Mode legt fest, ob Mailboxen im Batch-Modus ausgegeben werden oder nicht.

Informationen zu Mailboxen finden Sie im Kapitel Mailboxen.

Umgebungsschutz - Environment Protection

Die Option Environment Protection legt fest, ob Natural-Umgebungen - d. h. Systemdatei-Kombinationen - geschützt sind.

Wenn Sie die Einstellung dieser Option ändern, müssen Sie Ihre Natural-Sitzung neu starten, damit die Änderung wirksam wird.

Einzelheiten zum Umgebungsschutz finden Sie im Kapitel Umgebungen schützen.

Zugriff auf aktuelle FSEC - Access To Current FSEC

Das Feld Access To Current FSEC legt fest, ob auf die in dieser FSEC-Systemdatei gespeicherten Natural Security-Daten von einer Natural Security-Sitzung aus zugegriffen werden kann, die mit einer anderen FSEC-Systemdatei läuft.

Impersonation für Natural Development Server erzwingen - Force Impersonation for Natural Development Server

Die Option Force Impersonation for Natural Development Server ist nur für den Natural Development Server (NDV) relevant. Sie steuert, wie der Zugriff auf einen NDV-Server gehandhabt wird.

Es wird davon ausgegangen, dass der Zugriff auf das Betriebssystem, auf dem ein NDV-Server läuft, durch ein SAF-kompatibles externes Sicherheitssystem gesteuert wird. Die Benutzerauthentifizierung (Überprüfung von Benutzerkennung und Passwort) wird von diesem externen Sicherheitssystem durchgeführt. Nach erfolgreicher Authentifizierung erzeugt es ein Accessor Environment Element (ACEE) für den Benutzer, das für nachfolgende Autorisierungen zur Verfügung steht.

Erstanmeldung jedes Benutzers täglich aufzeichnen - Record Each User's Initial Logon Daily

Die Option Record Each User's Initial Logon Daily kann verwendet werden, um unbenutzte Benutzerkennungen zu erkennen, d. h. Benutzersicherheitsprofile, die über einen längeren Zeitraum nicht verwendet wurden. Dies kann hilfreich sein, wenn Sie beschließen, nicht mehr verwendete Benutzersicherheitsprofile zu löschen.

Wenn diese Option auf Y gesetzt ist, können Sie die Anwendungsprogrammierschnittstelle NSCXRUSE verwenden, um eine Liste der Benutzer zu erhalten, die sich seit einem bestimmten Datum nicht mehr angemeldet haben.

Fehlertransaktion vor NAT1700/1701-Abmeldung aktivieren - Enable Error Transaction Before NAT1700/1701 Logoff

Die Option Enable Error Transaction Before NAT1700/1701 Logoff legt fest, ob bei den Natural-Fehlern NAT1700 (Zeitfenster überschritten) und NAT1701 (Zeitlimit für Nichtaktivität überschritten) das entsprechende ON ERROR-Statement und/oder die Fehlertransaktion der aktuellen Natural-Anwendung verarbeitet wird oder nicht.

Die Fehlertransaktion wird durch den Wert der Natural-Systemvariablen *ERROR-TA bestimmt.

Diese Option ist nur auf Großrechnern wirksam. Auf Nicht-Großrechnerplattformen reagiert Natural Security immer so, als ob sie auf G gesetzt wäre (unabhängig von der tatsächlichen Einstellung).

Abmelden im Fehlerfall, wenn *STARTUP aktiv - Logoff in Error Case if *STARTUP is Active

Die Option Logoff in Error Case if *STARTUP is Active legt fest, wie im Falle eines Natural-Laufzeitfehlers innerhalb der ON ERROR-Bedingung einer Startup-Transaktion (*STARTUP) verfahren werden soll.

Wenn ein Laufzeitfehler innerhalb der ON ERROR-Bedingung einer Startup-Transaktion auftritt, kann die Fehlerverarbeitung von Natural dazu führen, dass die Startup-Transaktion erneut ausgeführt wird. Dies würde zu einer Fehlerschleife führen. Um eine solche Schleife zu verhindern, können Sie diese Option setzen.

Wenn keine Startup-Transaktion definiert ist, hat diese Option keine Auswirkung.

*APPLIC-NAME immer auf Bibliotheksname setzen - Set *APPLIC-NAME Always to Library Name

Die Option Set *APPLIC-NAME Always to Library bestimmt den Wert der Natural-Systemvariablen *APPLIC-NAME.

Löschen von Benutzern, die Eigentümer/DDM-Änderer sind, zulassen - Allow Deletion of Users Who Are Owners/DDM Modifiers

Die Option Allow Deletion of Users Who Are Owners/DDM Modifiers legt fest, ob ein Benutzersicherheitsprofil gelöscht werden kann, wenn der Benutzer noch entweder als Eigentümer in einem Sicherheitsprofil oder als DDM-Änderer in einem DDM-/Datei-Sicherheitsprofil angegeben ist.

Diese Option kann nur gesetzt werden, wenn der Natural Security-Bibliothek SYSSEC Eigentümer zugewiesen sind.

Wenn diese Option auf O oder A gesetzt ist und das Sicherheitsprofil eines Benutzers gelöscht wird, wird seine Kennung automatisch aus allen Sicherheitsprofilen entfernt, in denen er als Eigentümer oder DDM-Änderer angegeben ist. Dennoch kann es ratsam sein, vor der Löschung die Funktion Cross-Reference User zu benutzen, um festzustellen, welche Profile/DDMs betroffen sind, und nach der Löschung sicherzustellen, dass die geänderten Konfigurationen von Eigentümer/Miteigentümer und DDM-Änderer/Mit-Änderer noch Ihren Anforderungen entsprechen.

Authentifizierungsoptionen - Authentication Options (LDAP)

In diesem Abschnitt werden die Optionen beschrieben, die für die Authentifizierungsart LDAP (Light Directory Authentication Protocol) zur Verfügung stehen. Bevor Sie diese Optionen verwenden, sollten Sie mit den entsprechenden Informationen in der Dokumentation der Software AG Security Infrastructure vertraut sein.

Ein LDAP-Server ist ein Server, der das Light Directory Authentication Protocol verwendet. Wenn die Benutzerauthentifizierung über einen LDAP-Server erfolgen soll, müssen die SSX-Sicherheitsbibliotheken im Rahmen der Natural Security-Installation installiert worden sein.

Die Benutzerauthentifizierung über einen LDAP-Server ist für Online- und Batch-Sitzungen unter Linux und Windows (einschließlich Natural Development Server) möglich. Sie wird aktiviert, indem das Feld Protection Level im LDAP-Master Security Profile auf 1 gesetzt wird (siehe unten).

Wenn ein LDAP-Server verwendet werden soll, muss er in Natural Security definiert werden, indem ein Sicherheitsprofil für ihn erstellt wird.

• LDAP-Sicherheitsprofiltypen

• LDAP-Sicherheitsprofilverwaltung aufrufen

• LDAP-Sicherheitsprofile anlegen und verwalten

• Archiviertes Sicherheitsprofil zurückholen

• Bestandteile eines LDAP-Sicherheitsprofils

LDAP-Sicherheitsprofiltypen

Sie können die folgenden Typen von LDAP-Sicherheitsprofilen definieren:

• ein Masterprofil,

• ein alternatives Profil,

• mehrere archivierte Profile.

Standardmäßig kann nur ein LDAP-Sicherheitsprofil - das Masterprofil - definiert werden. Das Masterprofil ist das Profil für den LDAP-Server, der tatsächlich für die Authentifizierung verwendet wird.

Zusätzlich zum Masterprofil können Sie ein alternatives Profil für einen anderen LDAP-Server definieren. Dieser alternative Server wird in den folgenden Situationen für die Authentifizierung verwendet:

• der im Masterprofil definierte Server ist zum Zeitpunkt der Authentifizierung nicht verfügbar, oder

• die vom Master Server durchgeführte Authentifizierung ist fehlgeschlagen.

Bevor Sie ein alternatives Profil definieren können, müssen Sie im Masterprofil das Feld Allow alternative profile auf Y setzen.

Sowohl das Masterprofil als auch das alternative Profil sind nach ihrer Definition entweder aktiv oder nicht aktiv. Um sie zu aktivieren, müssen Sie das Feld Protection Level (Schutzstufe) im LDAP-Master-Sicherheitsprofil auf 1 setzen; um sie zu deaktivieren, müssen Sie es auf 0 setzen (siehe unten).

Zusätzlich zu dem Masterprofil und dem Alternativprofil können Sie archivierte Profile definieren, d.h. weitere LDAP-Sicherheitsprofile, die archiviert werden und inaktiv sind. Auf diese Weise können Sie zusätzliche LDAP-Server für künftige Verwendung oder zu Testzwecken definieren.

LDAP-Sicherheitsprofilverwaltung aufrufen

Um die LDAP- Sicherheitsprofilverwaltung aufzurufen:

1. Wählen Sie im Hauptmenü (Main Menu) den Menüeintrag Administrator Services.

   Wenn Sie berechtigt sind, auf die Administrator Services zuzugreifen, wird das Menü Administrator Services Menu 1 angezeigt.

2. Wählen Sie in diesem Menü die Authentication Options.

   Es wird die Auswahlliste Authentication Types angezeigt, in der alle vorhandenen LDAP-Sicherheitsprofile aufgeführt sind.

   Die Spalte Pr Ty zeigt den Profiltyp und den Aktivierungsstatus an:

   • M1 = Masterprofil - aktiv.

   • M3 = Masterprofil - aktiv - NSC Authentifizierung, wenn LDAP fehlschlägt.

   • A1 = alternatives Profil - aktiv.

   • M0 = Masterprofil - nicht aktiv.

   • A0 = alternatives Profil - nicht aktiv.

   • A3 = alternatives Profil - aktiv - NSC Authentifizierung, wenn LDAP fehlschlägt.

   • Ar = archiviertes Profil.

3. Von dieser Auswahlliste aus können Sie, wie nachfolgend beschrieben, alle Funktionen zum Anlegen und Verwalten von LDAP-Sicherheitsprofilen aufrufen.

LDAP-Sicherheitsprofile anlegen und verwalten

Um ein neues LDAP-Sicherheitsprofil anzulegen:

1. Drücken Sie in der Auswahlliste Authentication Types die Taste PF4 oder geben Sie das Direktkommando ADD ein.

2. Es wird ein Fenster angezeigt, in dem Sie folgende Angaben machen können:

   • Profile type - Wenn Sie Ihr erstes LDAP-Profil anlegen, können Sie angeben, ob es das Masterprofil sein oder archiviert werden soll.

     Wenn bereits ein Masterprofil existiert, können Sie angeben, ob das neue Profil das alternative Profil sein oder archiviert werden soll.

   • Profile ID - Für ein alternatives oder archiviertes Profil müssen Sie eine Kennung angeben (für das Masterprofil ist die Kennung immer * LDAP *).

   • Copy from * LDAP * - Für ein alternatives oder archiviertes Profil können Sie wählen, ob Sie die Bestandteile aus dem Masterprofil übernehmen wollen.

   Es wird der erste Bildschirm des LDAP-Sicherheitsprofils angezeigt.

   Die Bestandteile, die Sie darin definieren können, werden im Folgenden unter Bestandteile eines LDAP-Sicherheitsprofils beschrieben.

Um ein bestehendes LDAP-Sicherheitsprofil zu verwalten:

• In der Auswahlliste Authentication Types (Authentifizierungstypen) können Sie eine der folgenden Funktionen aufrufen, indem Sie ein Profil mit einem der folgenden Funktionscodes (mögliche Codeabkürzungen sind unterstrichen) in der Spalte Co markieren:

  Code	Funktion
  MO	Modify security profile.	Sicherheitsprofil ändern.
  DE	Delete security profile.	Sicherheitsprofil löschen.
  DI	Display security profile.	Sicherheitsprofil anzeigen.
  AR	Archive security profile.	Sicherheitsprofil archivieren.
  RV	Revive security profile.	Archiviertes Sicherheitsprofil zurückholen

Archiviertes Sicherheitsprofil zurückholen

Sie können ein archiviertes Profil entweder als Masterprofil oder als alternatives Profil zurückholen.

Um ein archiviertes LDAP-Sicherheitsprofil zurückzuholen:

1. Markieren Sie in der Auswahlliste Authentication Types das betreffende Profil mit dem Funktionscode RV.

2. Der Bildschirm Revive Profile Profilkennung wird angezeigt. Wählen Sie eine der folgenden Optionen:

   • Revive as master profile
     Als Masterprofil zurückholen. Das aktuelle Masterprofil wird archiviert, und das zurückgeholte Profil wird zum neuen Masterprofil.

     Die Kennung des zurückgeholten Profils wird * LDAP *. Wenn Sie diese Option wählen, werden Sie aufgefordert, die Kennung anzugeben, unter der das alte Masterprofil archiviert werden soll.

   • Revive as alternative profile
     Als alternatives Profil zurückholen. Das aktuelle alternative Profil wird archiviert, und das zurückgeholte Profil wird zum neuen alternativen Profil.

     Wenn Sie diese Option wählen, werden Sie aufgefordert, die Kennung anzugeben, unter der das zurückgeholte Profil das neue alternative Profil sein soll, sowie die Kennung, unter der das alte alternative Profil archiviert werden soll. Die neuen Kennungen sind optional, Sie können auch die bestehenden Kennungen beibehalten.

   • Revive as master profile with exchange
     Wiederherstellen als Masterprofil mit Austausch. Das aktuelle alternative Profil wird archiviert, das aktuelle Masterprofil wird zum neuen alternativen Profil, und das zurückgeholte Profil wird zum neuen Masterprofil.

     Die Kennung des zurückgeholten Profils wird zu * LDAP *. Wenn Sie diese Option wählen, werden Sie aufgefordert, neue Kennungen für die beiden anderen ausgetauschten Profile anzugeben. Für das alte Masterprofil müssen Sie eine neue Kennung angeben. Für das alte alternative Profil ist dies optional, Sie können auch die bestehende Kennung beibehalten.

Bestandteile eines LDAP-Sicherheitsprofils

Die Bildschirme, die sich auf das Masterprofil beziehen, tragen den Titel General LDAP Options. Die Bildschirme, die sich auf ein alternatives oder archiviertes Profil beziehen, tragen den Titel Profile Profilkennung Options.

Die Bestandteile, die Sie als Teil eines LDAP-Sicherheitsprofils definieren können, werden im Folgenden beschrieben. Einige Bestandteile können nur im Masterprofil definiert werden; sie gelten für alle Profile und werden gegebenenfalls in alternativen/archivierten Profilen angezeigt, ihre Einstellungen können jedoch nur im Masterprofil geändert werden.

Feld	Erläuterung
LDAP Options 1
Profile ID	Die Natural Security-Kennung des LDAP-Sicherheitsprofils. Die Kennung des Masterprofils kann nicht geändert werden, sie lautet immer * LDAP *. Die Kennungen von alternativen und archivierten Profilen sind frei wählbar und können bis zu 8 Zeichen lang sein. Sie können die Kennungen ändern, wenn Sie LDAP-Sicherheitsprofile archivieren und zurückholen.
Profile name	Sie können einen Namen für das Profil angeben, der bis zu 32 Zeichen lang sein kann.
Authentication type	LDAP (kann nicht geändert werden).
Protection level	Schutzstufe. Mögliche Werte: 0 = Die Benutzerauthentifizierung wird von Natural Security durchgeführt. 1 = Die Benutzerauthentifizierung erfolgt über einen LDAP-Server. Dies gilt für Natural Online- und Batch-Sitzungen unter Linux und Windows. Nach erfolgreicher Benutzerauthentifizierung gelten alle Natural Security-Einstellungen für definierte Benutzer (für nicht definierte Benutzer siehe NSC user ID (Natural Security-Benutzerkennung) unten). Zu beachten ist, dass bei LDAP die Groß- und Kleinschreibung bei der Angabe des Passworts berücksichtigt wird und eine Änderung des Passworts nicht möglich ist. 3 = Wie Schutzstufe 1, außer dass der Benutzer, wenn die LDAP-Authentifizierung fehlschlägt, weiter mit Natural Security authentifiziert wird. Warnung: Wenn Sie sich bei SYSSEC als Benutzer "DBA" anmelden, wird die Benutzerauthentifizierung für diesen Benutzer immer von Natural Security durchgeführt, auch wenn die Schutzstufe auf 1 eingestellt ist.
Allow alternative profile	Alternatives Profil zulassen. Dieses Feld ist nur im Masterprofil verfügbar. Wenn Sie zusätzlich zum Masterprofil ein alternatives Profil verwenden möchten, müssen Sie dieses Feld auf Y setzen.
Error record if alternative used	Fehlersatz bei Verwendung eines alternativen Profils. Dieses Feld ist nur verfügbar, wenn Allow alternative profile (siehe oben) auf Y gesetzt ist. Wenn Sie möchten, dass jedes Mal ein Anmeldefehlersatz geschrieben wird, wenn der mit dem alternativen Profil definierte LDAP-Server anstelle des im Masterprofil definierten für die Authentifizierung verwendet wird, müssen Sie dieses Feld auf Y setzen. Anhand dieser Anmeldefehlersätze können Sie überprüfen, welcher LDAP-Server - Master oder alternativ - tatsächlich für die Authentifizierung verwendet wurde. Einzelheiten zu den Anmeldefehlersätzen finden Sie unter Anmelde-/Gegenzeichnungsfehler.
Alternative profile / Archived profile	Alternatives Profil / Archiviertes Profil. Diese Felder zeigen an, ob es sich um ein alternatives oder archiviertes Profil handelt. Sie werden nur angezeigt, wenn sie zutreffen.
Natural Security system	FSEC (kann nicht geändert werden).
Support user names as IDs	Benutzernamen als Kennungen unterstützen. Diese Option ermöglicht die Anmeldung mit dem Benutzernamen (wie im Sicherheitsprofil des Benutzers angegeben) als Benutzerkennung. Für diese Option sind drei Voraussetzungen zu erfüllen. Wenn sie aktiviert ist (indem Sie dieses Feld mit Y markieren), wird ein zusätzlicher Bildschirm angezeigt, auf dem Sie die folgenden Prüfungen durchführen müssen, um sicherzustellen, dass diese Voraussetzungen erfüllt sind: Adabas FDT FSEC-Systemdatei: In der FDT der FSEC-Systemdatei muss das Feld mit dem Adabas-Kurznamen LI als Deskriptor definiert sein. Mit dieser Prüfung wird festgestellt, ob dies der Fall ist. Sollte dies nicht der Fall sein, wenden Sie sich an Ihren Adabas-Administrator. FSEC mittels Scan auf Eindeutigkeit der Namen prüfen: X Alle Benutzersicherheitsprofile werden auf doppelte oder leere Benutzernamenseinträge geprüft. D Das Ergebnis der Prüfung wird angezeigt: Eine Liste aller Profile, in denen der Eintrag für den Benutzernamen entweder leer oder nicht eindeutig ist. W Die Ergebnisliste wird in die Arbeitsdatei 1 geschrieben. (Dies setzt voraus, dass die Arbeitsdatei zu Beginn der Natural Security-Sitzung gesetzt worden ist.) B Das Ergebnis der Prüfung wird sowohl angezeigt als auch in die Arbeitsdatei 1 geschrieben. Logon Exit LOGONSX1 in SYSLIB: Der User Exit LOGONSX1 muss in der Bibliothek SYSLIB enthalten sein. Diese Prüfung verifiziert, ob dies der Fall ist. Wenn diese Option verwendet wird, enthält die Natural-Systemvariable *USER-NAME den Benutzernamen, der als Kennung für die Anmeldung verwendet wird, und die Systemvariable *USER die entsprechende Benutzerkennung, wie sie im Sicherheitsprofil des Benutzers definiert ist.
NSC user ID	NSC- Benutzerkennung. Diese Option steuert den Zugriff von Benutzern, die nicht in Natural Security definiert sind. N Die allgemeine Transition Period Logon (Übergangszeit für die Anmeldung) bestimmt, bei welchen Bibliotheken sich ein nicht definierter Benutzer anmelden darf. E Ein nicht definierter Benutzer kann sich nur bei ungeschützten Bibliotheken anmelden (nicht aber bei nicht definierten Bibliotheken), unabhängig von der Einstellung der Übergangszeit bei Transition Period Logon. Y Ein nicht definierter Benutzer kann sich bei keiner Bibliothek anmelden, unabhängig von der Einstellung der Übergangszeit bei Transition Period Logon. P Für alle nicht definierten Benutzer wird der Zugang zu Bibliotheken durch ein Benutzersicherheitsprofil mit der Kennung * LDAP * und dem Benutzertyp E bestimmt. Der Zugriff auf eine (geschützte oder nicht geschützte) Bibliothek ist nur möglich, wenn diese Kennung zu einer Gruppe hinzugefügt wird, die mit der Bibliothek verlinkt ist. Die Kennung selbst kann nicht explizit in der Anmeldeprozedur angegeben werden. Siehe auch Externer Benutzer. Wenn Sie dieses Feld auf P setzen, wird dieses Benutzersicherheitsprofil automatisch hinzugefügt. Das Benutzersicherheitsprofil wird gelöscht, wenn Sie den Wert dieses Feldes von P auf einen anderen Wert ändern. Die Änderung dieses Benutzersicherheitsprofils wird in der Benutzerpflege durchgeführt. Der volle Funktionsumfang der Benutzerverwaltung ist für dieses Benutzersicherheitsprofil jedoch nicht verfügbar.
Log file path	Pfad zur Protokolldatei. Der vollständige Pfad zu der Datei, in die die Protokolldaten geschrieben werden, wenn die Protokollierung der LDAP-Server-Kommunikation aktiv ist. Enthält der angegebene Pfad die Zeichenkette *USER, so wird diese durch den aktuellen Wert der Natural-Systemvariable *USER ersetzt.
Log level	Protokollierungsstufe. Mit diesem Feld wird die Protokollierung der LDAP-Server-Kommunikation aktiviert. Mögliche Werte: 0 Die Protokollierung ist nicht aktiv. 1 und 2 Die Protokollierung ist bei Fehlern aktiv. 3 and 4 Die Protokollierung ist zur Information aktiv. 5 and 6 Die Protokollierung ist zur Information beim Debugging aktiv. Weitere Informationen finden Sie in der Software AG Security Infrastructure-Dokumentation.
LDAP Options 2
LDAP host	LDAP-Host. Die IP-Adresse oder der Domänenname des LDAP-Servers.
LDAP port	LDAP-Anschluss. Die Portnummer des LDAP-Servers. Die Standardeinstellung ist 389.
LDAP server type	Der Typ des LDAP-Servers. Mögliche Typen sind: OpenLDAP ActiveDirectory SunOneDirectory
SSL connection	SSL-Verbindung. Markieren Sie dieses Feld mit O, wenn die LDAP-Verbindung über einen SSL-gesicherten Port hergestellt wird (standardmäßig ist dies Port 636). Sie können entweder dieses Feld oder das darunter befindliche Feld markieren, aber nicht beide.
Start TLS connection	TLS-Verbindung starten. Markieren Sie dieses Feld mit O, um zu versuchen, eine verschlüsselte Kommunikation über den normalen LDAP-Port aufzubauen, wenn der LDAP-Server dies unterstützt. Sie können entweder dieses Feld oder das obige Feld markieren, aber nicht beide.
Technical user support	Technische Benutzerunterstützung. Auf LDAP-Servern, die keine anonymen Anfragen unterstützen, können Sie die technischen Benutzeranmeldedateien verwenden, um LDAP-Benutzer auf sichere Weise zu suchen und zu finden. Informationen zur technischen Benutzerunterstützung finden Sie in der Software AG Security eXtensions (SSX)-Dokumentation unter Creating Technical User Credential Files. Die in dieser Dokumentation beschriebene Funktion createTechUserCreds wird verwendet, um die Eigenschafts- und Schlüsselwertdateien eines technischen Benutzers zu erstellen. Die Pfade zu diesen Dateien müssen in den folgenden Feldern angegeben werden: Path to output file Pfad zur Ausgabedatei: Geben Sie den vollständigen Pfad zu der Datei an, die die Benutzerkennung und das verschlüsselte Passwort des "technischen Benutzers" enthält. Path to key file Pfad zur Schlüsseldatei: Geben Sie den vollständigen Pfad zu der Datei an, die den Schlüsselwert enthält, der zur Entschlüsselung des Passworts des "technischen Benutzers" verwendet wird. Support AUTO=ON AUTO=ON unterstützen. Markieren Sie dieses Feld mit O, wenn Sie möchten, dass Benutzerkennungen für Natural-Sitzungen, die mit dem Profilparameter AUTO=ON gestartet wurden, per LDAP überprüft werden. Diese Option setzt voraus, dass der "technischen Benutzer" definiert wurde.
LDAP Options 3
Default domain	Der Name der Standarddomäne.
LDAP person DN	Der Personal Bind Distinguished Name des Knotens, in dem sich die Benutzereinträge befinden. Beispiel: ou=user,ou=germany,dc=sag wobei ou für die Organisationseinheit und dc für die Domänenkomponente steht.
Attribute name user ID	Der Attributname, der die Benutzerkennung enthält.
Object class person	Die Objektklasse, die einen Benutzer bezeichnet.

PF-Tasten

Um die Funktion PF-Keys aufzurufen:

1. Wählen Sie im Hauptmenü (Main Menu) den Menüeintrag Administrator Services.

   Wenn Sie berechtigt sind, auf die Administrator Services zuzugreifen, wird das Menü Administrator Services Menu 1 angezeigt.

2. Wählen Sie in diesem Menü den Eintrag PF-keys.

   Der Bildschirm Set PF-Keys (PF-Tastenbelegung einstellen) wird angezeigt.

3. Auf diesem Bildschirm können Sie den Tasten Funktionen und Namen zuweisen, wie unten beschrieben.

Funktionen können nur bestimmten Tasten zugewiesen werden. Namen können allen Tasten zugewiesen werden.

PF-Tasten-Funktionen

Die den folgenden PF-Tasten zugewiesenen Funktionen können nicht geändert werden:

PF09, PF10, PF11, PA1, PA2

Sie können jeder dieser Tasten selber eine Funktion zuweisen. Die zugewiesene Funktion kann dann innerhalb von Natural Security durch Drücken der entsprechenden PF-Taste (oder PA-Taste) aufgerufen werden.

Einer PF-Taste (oder PA-Taste) kann eine der folgenden Funktionen zugewiesen werden:

• ein Natural-Systemkommando,

• ein Natural-Terminalkommando,

• ein Natural-Programm.

Um einer Taste eine Funktion zuzuweisen, geben Sie in der Spalte Function des Bildschirms Set PF-Keys (PF-Tasten belegen) neben einer Tastennummer ein Kommando oder einen Programmnamen ein.

PF-Tastennamen

Sie können allen PF-Tasten einen Namen zuordnen, auch denjenigen, deren Funktionsbelegung Sie nicht ändern können. Die Namen dürfen bis zu 5 Zeichen lang sein und können in der Spalte Name des Bildschirms Set PF-Keys eingegeben werden.

Die zugewiesenen Namen erscheinen in den PF-Tasten-Zeilen, die am unteren Rand eines jeden Natural Security-Bildschirms angezeigt werden:

Enter-PF1---PF2---PF3---PF4---PF5---PF6---PF7---PF8---PF9---PF10--PF11--PF12---
      Help  PrevM Exit  AddOp       Flip  -     +                       Canc

Wenn bei einer PF-Taste kein Name angezeigt wird, bedeutet dies, dass die Funktion, die dieser Taste zugewiesen ist, bei dem angezeigten Bildschirm nicht anwendbar ist.

Die Zeilen zeigen entweder die Tasten PF1 bis PF12 oder die Tasten PF13 bis PF24. Durch Drücken von PF6 können Sie zwischen den beiden Anzeigen umschalten.

Anmelde-/Gegenzeichnungsfehler - Logon/Countersign Errors

Die Funktionen Logon/Countersign Errors (Anmelde-/Gegenzeichnungsfehler) dienen zwei Zwecken:

• Sie können damit Anmeldefehler (Logon Errors) anzeigen, d. h. erfolglose Versuche, sich bei Natural anzumelden.

• Sie können damit gesperrte Benutzer (Locked Users) anzeigen und entsperren, d. h. Benutzer, deren Benutzerkennungen aufgrund von Anmelde- oder Gegenzeichnungsfehlern ungültig geworden sind (wenn die Lock User Option aktiviert ist).

Anmeldefehler - Logon Errors

Unter General Options können Sie im Feld Maximum number of logon attempts die maximale Anzahl der Anmeldeversuche festlegen, indem Sie eine Zahl n im Bereich von 1 bis 9 eingeben (die Standardeinstellung ist 5). Jedes Mal, wenn ein Benutzer n aufeinanderfolgende erfolglose Anmeldeversuche unternimmt, wird der Benutzer "rausgeworfen" und Natural Security schreibt einen Datensatz, der in dieser Dokumentation als Anmeldefehlersatz bezeichnet wird.

Ein Anmeldefehlersatz enthält detaillierte Informationen zu jedem der n Anmeldeversuche, die zum Schreiben des Datensatzes geführt haben (z. B. welche Benutzer- und Bibliothekskennungen vom Benutzer eingegeben wurden). Sie können diese Datensätze mit den Funktionen zur Bearbeitung von Anmeldefehlern (Logon Error Processing) anzeigen. Dies dient den folgenden Zwecken:

• Sie können sehen, ob Unbefugte versucht haben, sich Zugang zu Natural zu verschaffen.

• Sie können sehen, was Benutzer falsch machen, wenn sie versuchen, sich anzumelden. Die Benutzer können dann darüber informiert werden, wie sie sich korrekt anmelden können.

• Sie können sehen, ob die Benutzer die richtigen Zugriffsrechte erhalten haben. Zum Beispiel kann ein Benutzer versuchen, sich bei einer Bibliothek anzumelden, für die er nicht berechtigt ist, die er aber benutzen können sollte. Sie können dann die erforderlichen Anpassungen an den betreffenden Sicherheitsprofilen und Links vornehmen.

Die Aufzeichnung von Anmeldefehlern durch Natural Security kann nicht abgeschaltet werden.

Fehler beim Zugriff auf Dienstprogramme (Utilities)

Auch fehlgeschlagene Versuche, auf ein Natural-Dienstprogramm zuzugreifen, werden von Natural Security aufgezeichnet. Diese Utility-Zugriffsfehlerprotokolle können auch mit den Logon/Countersign Errors-Funktionen eingesehen werden.

Locked Users

Wenn die Option Lock User Option (Benutzer sperren, siehe Allgemeine Optionen - General Options) aktiviert ist, können Benutzer aufgrund von Anmelde- oder Gegenzeichnungsfehlern "gesperrt" werden:

• Anmeldefehler:
  Wenn ein Benutzer die maximale Anzahl von Anmeldeversuchen erreicht hat, ohne dabei das richtige Passwort einzugeben, wird dieser Benutzer gesperrt.

• Gegenzeichnungsfehler:
  Nach Eingabe von zu vielen ungültigen Passwörtern auf einem Countersignature-Bildschirm wird der Benutzer, der die Funktion, für die die Gegenzeichnung erforderlich ist, aufgerufen hat, gesperrt (Informationen zu Countersignatures finden Sie im Kapitel Gegenzeichunngen).

Mit der Funktion List/Unlock Locked Users (Gesperrte Benutzer auflisten/entsperren) können Sie sehen, welche Benutzer aufgrund von Anmelde- oder Gegenzeichnungsfehlern gesperrt wurden. Sie können sie auch wieder entsperren.

Gegenzeichnungsfehler werden nur erfasst, wenn die Lock User Option aktiv ist, während Anmeldefehler immer erfasst werden (unabhängig von der Lock User Option).

Menü Logon/Countersign Errors aufrufen

Um das Menü Logon/Countersign Errors aufzurufen:

1. Wählen Sie im Hauptmenü (Main Menu) den Menüeintrag Administrator Services.

   Wenn Sie berechtigt sind, auf die Administrator Services zuzugreifen, wird das Menü Administrator Services Menu 1 angezeigt.

2. Wählen Sie in diesem Menü die Option Logon/countersign errors.

   Das zugehörige Menü wird angezeigt. Es bietet die folgenden Funktionen:

   Funktion	Beschreibung siehe:
   List error records	Fehlersätze auflisten
   Delete error records	Fehlersätze löschen
   Display individual error records	Einzelne Fehlersätze anzeigen
   List/unlock locked users	Gesperrte Benutzer auflisten/entsperren

   Die einzelnen Funktionen werden im Folgenden beschrieben.

Optionen im Menü Logon/Countersign Rrrors

Wenn Sie eine dieser Funktionen auswählen, können Sie die folgenden Optionen festlegen:

Fehlersätze auflisten - List Error Records

Die Funktion List Error Records zeigt eine Liste der Anmeldefehler an.

In der Liste kann geblättert werden, siehe Kapitel Grundlagen der Benutzung.

Sie können den Bereich der aufgelisteten Fehlersätze ändern, indem Sie Auswahlkriterien in die Eingabefelder oberhalb der Liste eingeben. Mögliche Optionen können Sie durch Eingabe eines Fragezeichens (?) in das betreffende Feld ermitteln.

Zusätzlich sind die folgenden speziellen PF-Tasten verfügbar:

Um detaillierte Informationen zu einem Fehlersatz anzuzeigen, müssen Sie ihn mit dem Code DI markieren. Es wird die Fehlerhistorie des markierten Fehlers aufgerufen (wie bei der Funktion Display Individual Error Records; siehe unten).

Fehlersätze löschen - Delete Error Records

Die Funktion Delete Error Records zeigt eine Liste der Anmeldefehlersätze an, so wie die oben beschriebene Funktion List Error Records (Fehlersätze auflisten). Die Optionen zum Bearbeiten der Liste sind dieselben wie bei der Funktion List Error Records. Darüber hinaus können Sie Anmeldefehlersätze löschen.

Es wird empfohlen, Anmeldefehlersätze periodisch zu löschen, um Platz in der FSEC-Systemdatei zu sparen.

• Um einzelne Fehlersätze zu löschen, können Sie diese mit dem Code DE markieren.

• Um alle auf der aktuellen Seite angezeigten Fehlersätze zu löschen, müssen Sie PF4 drücken.

• Um alle vorhandenen Fehlersätze zu löschen, können Sie das Direktkommando ERRDEL verwenden (siehe unten).

• Um selektiv eine größere Anzahl von Fehlersätzen zu löschen, können Sie die Anwendungsprogrammierschnittstelle NSCADM verwenden.

Wenn ein Fehlersatz gelöscht wurde, wird dies durch ## in der ersten Spalte der Liste angezeigt.

Direktkommando ERRDEL

Um alle Anmelde-/Gegenzeichnungsfehlersätze auf einmal zu löschen, können Sie das Direktkommando ERRDEL in der Kommandozeile eingeben.

Einzelne Fehlersätze anzeigen - Display Individual Error Records

Die Funktion Display Individual Error Records zeigt die Fehlerhistorie (Error History) der Anmeldefehlersätze nacheinander an.

Um einen Fehlersatz zu löschen, müssen Sie im Error History-Bildschirm des Fehlersatzes PF4 drücken.

Gesperrte Benutzer auflisten/entsperren - List/Unlock Locked Users

Die Funktion List/Unlock Locked Users ist nur anwendbar, wenn die Option Lock User Option (siehe Allgemeine Optionen) aktiv ist. Sie zeigt eine Liste der Benutzer an, deren Sicherheitsprofile aufgrund von Anmelde- oder Gegenzeichnungsfehlern "gesperrt" wurden. Die Liste ist in alphabetischer Reihenfolge der Benutzerkennungen geordnet. In der Liste können Sie dann einzelne Benutzer entsperren.

Wenn Sie die Funktion List/Unlock Locked Users aufrufen, wird der Bildschirm List Locked Users (Gesperrte Benutzer auflisten) angezeigt.

In der Liste kann geblättert werden, siehe Kapitel Grundlagen der Benutzung.

Sie können den Bereich der aufgelisteten Benutzer ändern, indem Sie Auswahlkriterien in die Eingabefelder oberhalb der Liste eingeben. Mögliche Optionen können Sie durch Eingabe eines Fragezeichens (?) in das oder die betreffenden Felder ermitteln.

Die Spalte Lock im Bildschirm List Locked Users zeigt den Typ des Fehlers an, der zur Sperrung des Benutzers geführt hat:

Informationen zur automatischen Entsperrung finden Sie unter der Option Automatically unlock users after (Benutzer automatisch entsperren nach) in User Preset Values.

Die folgenden Funktionen sind verfügbar, wenn Sie einen Eintrag auf dem Bildschirm List Locked Users mit einem der folgenden Funktionscodes markieren:

Anmeldesätze - Logon Records

Anhand der Anmeldesätze können Sie sehen, welche Benutzer welche Bibliotheken benutzt haben.

Sie können die Option Logon recorded im Sicherheitsprofil jeder Bibliothek und jedes Benutzers angeben (siehe Kapitel Bibliotheken verwalten bzw. Benutzer verwalten).

Natural Security schreibt einen Anmeldesatz:

• jedes Mal, wenn sich ein Benutzer bei einer Bibliothek anmeldet, in deren Sicherheitsprofil die Option Logon recorded auf Y gesetzt ist;

• jedes Mal, wenn sich ein Benutzer, in dessen Sicherheitsprofil die Option Logon recorded auf Y gesetzt ist, bei einer beliebigen Bibliothek anmeldet.

Wenn die allgemeine Option Transition Period Logon auf Y gesetzt ist, wird auch bei jeder Anmeldung eines nicht definierten Benutzers (unabhängig von der Einstellung der Option Logon recorded) und bei jeder Anmeldung eines Benutzers bei einer nicht definierten Bibliothek ein Anmeldesatz geschrieben.

Wenn der Benutzersicherheitsprofileintrag ETID in den User Preset Values auf S gesetzt ist, wird auch bei jeder Anmeldung eines Benutzers bei Natural ein Anmeldesatz - mit zeitstempelbezogener ETID - geschrieben (dies ist nur möglich, wenn die FSEC-Systemdatei nicht schreibgeschützt ist). In diesem Fall gibt der Anmeldesatz nur Auskunft darüber, welche ETID von welcher Benutzerkennung verwendet wurde, er enthält jedoch keine Bibliotheksinformationen.

In ähnlicher Weise wird von Natural Security jedes Mal ein Zugriffssatz geschrieben, wenn ein Benutzer ein Dienstprogramm (Utility) aufruft, in dessen Standardsicherheitsprofil die Option Access recorded auf Y gesetzt ist.

Sie können diese Anmelde-/Zugriffssätze mit den Funktionen Logon records einsehen.

Anmeldesätze aufrufen

Um Anmeldesätze aufzurufen:

1. Wählen Sie im Hauptmenü Main Menu() den Menüeintrag Administrator Services.

   Wenn Sie berechtigt sind, auf die Administrator Services zuzugreifen, wird das Menü Administrator Services Menu 1 angezeigt.

2. Wählen Sie in dem Menü die Option Logon Records.

   Das Logon Records Menu wird angezeigt. Es bietet die folgenden Funktionen:

   Funktion	Beschreibung
   List logon records	Anmeldesätze auflisten
   Delete logon records	Anmeldesätze löschen
   Delete logon records but last	Anmeldesätze löschen, außer dem letzten

   Die einzelnen Funktionen werden im Folgenden beschrieben.

Optionen im Menü Logon Records

Wenn Sie eine dieser Funktionen auswählen, können Sie die folgenden Auswahloptionen festlegen:

Anmeldesätze auflisten - List Logon Records

Die Funktion List Logon Records zeigt eine Liste der Anmeldesätze an.

In der Liste kann geblättert werden, siehe Kapitel Grundlagen der Benutzung.

Sie können den Bereich der aufgelisteten Anmeldesätze ändern, indem Sie Auswahlkriterien in die Eingabefelder oberhalb der Liste eingeben. Für mögliche Optionen können Sie ein Fragezeichen (?) in das/die jeweilige(n) Eingabefeld(er) eingeben.

Darüber hinaus stehen Ihnen die folgenden speziellen PF-Tastenfunktionen zur Verfügung:

Anmeldesätze löschen - Delete Logon Records

Die Funktion Delete Logon Records zeigt eine Liste von Anmeldesätzen an, so wie die oben beschriebene Funktion List Logon Records. Die Optionen zum Bearbeiten der Liste sind dieselben wie bei der genannten Funktion. Darüber hinaus können Sie Anmeldesätze löschen.

Es wird empfohlen, die Anmeldesätze regelmäßig zu löschen, um Platz in der FSEC-Systemdatei zu sparen.

• Um einzelne Anmeldesätze zu löschen, müssen Sie diese mit dem Code DE markieren.

• Um alle auf der aktuellen Seite angezeigten Anmeldesätze zu löschen, müssen Sie PF4 drücken.

  Wenn Sie im Menü Logon Records die Funktion Delete Logon Records durch Drücken von PF4 (Del+) anstelle von ENTER aufgerufen haben, wird durch Drücken von PF4 in der Liste sofort nach dem Löschen automatisch zur nächsten Seite geblättert, ohne dass Sie PF8 drücken müssen.

• Um alle vorhandenen Anmeldesätze zu löschen, können Sie das Direktkommando LOGDEL verwenden (siehe unten).

• Um selektiv eine größere Anzahl von Anmeldesätzen zu löschen, können Sie die Anwendungsprogrammierschnittstelle NSCADM verwenden.

Wurde ein Anmeldesatz gelöscht, so wird dies durch ## in der ersten Spalte der Liste angezeigt (außer bei PF4 (Del+)).

Direktkommando LOGDEL

Um alle Anmeldesätze auf einmal zu löschen, können Sie das Direktkommando LOGDEL in der Kommandozeile eingeben.

Anmeldesätze löschen, außer dem letzten

Die Funktion Delete Logon Records But Last entspricht der oben beschriebenen Funktion Delete Logon Records. Die einzige Löschmöglichkeit besteht jedoch darin, PF4 zu drücken. In diesem Fall werden alle auf der aktuellen Seite angezeigten Anmeldesätze gelöscht - mit Ausnahme des letzten Eintrags für jede Benutzerkennung auf der aktuellen Seite.

Protokollsätze verwalten - Maintenance Log Records

Die Funktionen unter Maintenance Log Records können nur verwendet werden, wenn die allgemeine Option Logging of Maintenance Functions aktiviert wurde. Wenn diese Option aktiviert ist, werden Protokollsätze geschrieben, wenn Sicherheitsprofile und Administrator Services-Einstellungen geändert werden. Durch das Schreiben von Protokollsätzen können Sie feststellen, wer welche Sicherheitsprofile und Administrator Services-Einstellungen geändert hat. "Ändern" umfasst in diesem Zusammenhang alle Verwaltungsfunktionen, die auf ein Sicherheitsprofil angewandt werden (einschließlich Anlegen, Kopieren, Löschen, Verlinken usw.). Dazu gehört auch die Übertragung eines Sicherheitsprofils mit den Programmen SECULD2 und SECLOAD.

Um die Protokollsätze einzusehen, können Sie die Funktionen unter Maintenance Log Records verwenden.

Um diese Funktionen aufzurufen:

1. Wählen Sie im Hauptmenü (Main Menu) den Eintrag Administrator Services.

   Wenn Sie berechtigt sind, auf die Administrator Services zuzugreifen, wird das Menü Administrator Services Menu 1 angezeigt.

2. Wählen Sie in diesem Menü die Option Maintenance Log Records.

   Es wird ein Menü angezeigt, in dem Sie die in den folgenden Abschnitten beschriebenen Funktionen auswählen können:

• Status der Protokollierungsfunktion anzeigen - Display Status of Logging Function

• Verwaltungsprotokolle der Administrator Services auflisten - List Administrator Services Maintenance Logs

• Sicherheitsprofil-Verwaltungsprotokolle auflisten - List Security Profile Maintenance Logs

• Protokolldateien verwalten - Log File Maintenance

• Letzte Anmeldesätze auflisten - List Last Logon Records

Status der Protokollierungsfunktion anzeigen - Display Status of Logging Function

Die Funktion Display Status of Logging Function zeigt die folgenden Informationen an:

• für welche Objekttypen Protokollsätze geschrieben werden,

• die Anzahl der Protokollsätze, die zu jedem Objekttyp geschrieben wurden,

• ob die Option Logging even if no actual modification (Protokollierung auch ohne tatsächliche Änderung)" gesetzt ist oder nicht.

Verwaltungsprotokolle der Administrator Services auflisten - List Administrator Services Maintenance Logs

Die Funktion List Administrator Services Maintenance Logs zeigt eine Liste der Protokollsätze an, die bei Änderungen an den Einstellungen der Administrator Services geschrieben wurden.

In der angezeigten Liste werden zu jedem Protokolleintrag folgende Informationen angezeigt: die ausgeführte Administrator Services-Funktion, die Kennung des Benutzers, der die Änderung vorgenommen hat, sowie das Datum und die Uhrzeit der Änderung.

In der Liste können Sie einen Protokollsatz mit einem beliebigen Zeichen markieren: Der Bildschirm, auf dem die Änderung vorgenommen wurde, wird dann angezeigt; auf diesem Bildschirm werden die Felder, deren Werte geändert wurden, hervorgehoben dargestellt. Auf dem Bildschirm werden auch die Natural Security-Version und die FSEC-Systemdatei angezeigt, mit/in der die Änderung vorgenommen wurde.

Sicherheitsprofil-Verwaltungsprotokolle auflisten - List Security Profile Maintenance Logs

Die Funktion List Security Profile Maintenance Logs zeigt die Protokollsätze an, die bei Änderungen an Sicherheitsprofilen geschrieben wurden.

In der angezeigten Liste werden zu jedem Protokollsatz folgende Informationen angezeigt: die Funktion, die an dem Sicherheitsprofil ausgeführt wurde, die Kennung des Sicherheitsprofils, die Kennung des Benutzers, der die Änderung vorgenommen hat, sowie das Datum und die Uhrzeit der Änderung.

In der Liste können Sie einen Protokolleintrag mit einem beliebigen Zeichen markieren: Das Sicherheitsprofil, in dem die Änderung vorgenommen wurde, wird dann angezeigt. Wenn Sie auf dem Bild des Sicherheitsprofils PF2 drücken, werden die Felder, deren Werte geändert wurden, hervorgehoben angezeigt (und ggf. wird in einer Meldung angegeben, ob tatsächlich eine Änderung vorgenommen wurde oder nicht). Auf dem Bildschirm werden auch die Natural Security-Version und die FSEC-Systemdatei angezeigt, mit/in der die Änderung vorgenommen wurde.

Protokolldateien verwalten - Log File Maintenance

Auf Großrechnern kann diese Funktion nur im Batch-Modus verwendet werden.

Mit der Funktion Log File Maintenance können Sie den Inhalt der Protokolldatei in eine Arbeitsdatei (Work File) schreiben bzw. aus dieser lesen.

Protokollsätze müssen in eine Arbeitsdatei geschrieben werden, wenn die Protokolldatei voll ist. Die Arbeitsdatei dient also als "Archiv" für die Protokollsätze.

Die zu verwendenden Arbeitsdateien sind Work File 1 und Work File 5. Unter Linux und Windows muss die Arbeitsdatei 5 eine Datei mit der Erweiterung .sag sein.

Die Ausgabereports werden in die Druckdateien CMPRT01 und CMPRT02 geschrieben.

Wenn Sie diese Funktion aufrufen, werden Sie aufgefordert, die Datenbankkennung und die Dateinummer der Protokolldatei anzugeben. Wenn Sie später eine andere Protokolldatei angeben möchten, können Sie PF5 im Menü Log File Maintenance drücken.

Wenn Sie diese Funktion aufrufen, wird das Menü Logfile Maintenance angezeigt, in dem Sie die folgenden Funktionen auswählen können:

Die Funktion Log File Maintenance kann auch mit dem Direktkommando LOGFILE aufgerufen werden.

Mögliche Objekttypen, die im Menü Log File Maintenance eingegeben werden können:

Objekttypcodes für externe Objekte finden Sie unter Externe Objekttypen - Types of External Objects.

Weitere Parameter, die im Menü Log File Maintenance angegeben werden können:

Beispiel:

Um Protokollsätze aus der Protokolldatei in die Arbeitsdatei 5 zu schreiben, würde die Batch-Eingabedatei CMSYNIN die folgenden Kommandos enthalten:

LOGFILE
FIN

Batch-Eingabedatei CMSYNIN könnte die folgenden Angaben enthalten:

SYSSEC,DBA,PASSWORD
22,241
WR,US,,2002-07-01,2002-07-25

Die erste Zeile muss die Bibliothekskennung SYSSEC sowie die Benutzerkennung und das Passwort des jeweiligen Natural Security-Administrators enthalten.

Die zweite Zeile muss die Datenbankkennung (DBID) und die Dateinummer (FNR) der Protokolldatei enthalten, aus der die Datensätze gelesen werden.

Die dritte Zeile muss den Funktionscode und den Objekttyp enthalten (mögliche Werte sind die gleichen wie im Menü Logfile Maintenance) - optional gefolgt von verschiedenen Parametern (deren Reihenfolge und mögliche Werte denen der entsprechenden Felder im Menü Logfile Maintenance entsprechen).

Wenn Sie die Arbeitsdatei scannen oder lesen, müssen Sie den folgenden Parameter in der JCL angeben:

WORK=((5),OPEN=ACC)

Beispiel Batch Job 1 für Großrechner - Protokollsätze in die Arbeitsdatei schreiben:

//DBA       JOB DBA,CLASS=K,MSGCLASS=X                        
//**
//** WRITE LOGGING OF MAINTENANCE DATA TO WORK FILE 5
//** DELETE RECORDS FROM LOG FILE
//**

//NSCnnBAT EXEC PGM=NATBATnn,REGION=2400K,
// PARM=('IM=D,FNAT=(22,210),INTENS=1,FSEC=(22,240),',
//       'MT=0,MAXCL=0,MADIO=0,AUTO=OFF,WORK=((5),OPEN=ACC)')
//STEPLIB DD   DSN=PRODNAT.LOAD,DISP=SHR
//DDCARD   DD  DISP=SHR,DSN=PRD.NATnn.JOBS(ADADB22)
//CMPRINT  DD  SYSOUT=X
//CMWKF05   DD DSN=NSC.LOG.WKF05,
//    DISP=(NEW,CATLG),DCB=(RECFM=VB,LRECL=4624,BLKSIZE=4628), 
//    SPACE=(TRK,(5,2))
//CMSYNIN   DD *
SYSSEC,DBA,password
LOGFILE
22,241
WD,US,,2002-07-01,2002-07-25
.
FIN
/*
//*

Im obigen Beispiel werden die Protokollsätze aller Benutzersicherheitsprofile, die zwischen dem 1. und 25. Juli 2002 geändert wurden, in die Arbeitsdatei 5 geschrieben und dann aus der Protokolldatei gelöscht.

Beispiel Batch Job 2 für Großrechner - Protokollsatz-Reports auf Drucker schreiben:

//DBA       JOB DBA,CLASS=K,MSGCLASS=X                        
//**
//** LIST LOG RECORDS-WRITE REPORTS OF MAINTENANCE DATA TO PRINTER 
//**
//NSCnnBAT EXEC PGM=NATBATnn,REGION=2400K,
// PARM=('IM=D,FNAT=(22,210),INTENS=1,FSEC=(22,240),',
//       'MT=0,MAXCL=0,MADIO=0,AUTO=OFF')
//STEPLIB  DD  DSN=PRODNAT.LOAD,DISP=SHR
//DDCARD   DD  DISP=SHR,DSN=PRD.NATnn.JOBS(ADADB22)
//** CMWKF01   DD DISP=SHR,DSN=NSC.LOG.WKF01
//** CMWKF05   DD DISP=SHR,DSN=NSC.LOG.WKF05
//CMPRINT  DD SYSOUT=X                                
//CMPRT01  DD SYSOUT=X                                
//CMPRT02  DD SYSOUT=X                               
//CMSYNIN  DD *                                       
LOGFILE                                               
FIN                                                   
/*                                                    
//CMOBJIN  DD *                                       
SYSSEC,DBA,password 
22,241                                                
LI,AD,,2002-06-06,2002-06-06                          
LI,US,MILL*,2002-05-01,2002-05-31                     
.                                                     
/*                                                    
//*

Im obigen Beispiel werden die Protokollsätze aller am 6. Juni 2002 geänderten Administrator Services-Einstellungen und aller im Mai 2002 geänderten Benutzersicherheitsprofile in die Druckdateien CMPRT01 (Liste der Protokollsätze) und CMPRT02 (ausführliche Protokollsatzinformationen) geschrieben.

Beispiel Batch Job 3 für Großrechner - Protokollsätze aus der Arbeitsdatei lesen:

//DBA       JOB DBA,CLASS=K,MSGCLASS=X                        
//**
//** READ LOGGING OF MAINTENANCE DATA FROM WORK FILE 5 
//** INTO LOG FILE
//**   
//NSCnnBAT EXEC PGM=NATBATnn,REGION=2400K,
// PARM=('IM=D,FNAT=(22,210),INTENS=1,FSEC=(22,240),',
//       'MT=0,MAXCL=0,MADIO=0,AUTO=OFF,WORK=((5),OPEN=ACC)')
//STEPLIB DD   DSN=PRODNAT.LOAD,DISP=SHR
//DDCARD   DD  DISP=SHR,DSN=PRD.NATnn.JOBS(ADADB22)
//CMPRINT  DD  SYSOUT=X
//CMWKF05  DD  DSN=NSC.LOG.WKF05,DISP=(SHR)   
//CMSYNIN   DD *
SYSSEC,DBA,password
LOGFILE
22,241
RA,US,,2002-07-01,2002-07-25
.
FIN
/*
//*                                  

Im obigen Beispiel werden die Protokollsätze aller Benutzersicherheitsprofile, die zwischen dem 1. und 25. Juli 2002 geändert wurden, aus der Arbeitsdatei 5 gelesen und somit in der Protokolldatei wiederhergestellt.

Siehe auch Kapitel Natural Security im Batch-Modus.

Letzte Anmeldesätze auflisten - List Last Logon Records

Die Funktion List Last Logon Records wertet die von Natural Security geschriebenen Anmeldesätze aus (siehe Anmeldesätze - Logon Records). Damit können Sie feststellen:

• wann sich die einzelnen Benutzer zuletzt angemeldet haben,

• welche Benutzer sich in den letzten n Tagen nicht angemeldet haben.

Wenn Sie die Funktion aufrufen, wird ein Fenster angezeigt, in dem Sie eine Anzahl von Tagen eingeben können:

• Wenn Sie eine 0 eingeben, erhalten Sie eine Liste der Anmeldesätze, die den letzten zu jedem Benutzer geschriebenen Anmeldesatz enthält.

• Wenn Sie einen anderen Wert als n eingeben, erhalten Sie eine Liste der Anmeldesätze derjenigen Benutzer, die sich in den letzten n Tagen nicht angemeldet haben, wobei zu jedem dieser Benutzer der letzte vor dem angegebenen Zeitintervall geschriebene Anmeldesatz angezeigt wird.

Die Anmeldesätze werden in chronologischer Reihenfolge aufgelistet.

SAF Online Services

Die SAF Online Services bieten verschiedene Funktionen zur Überwachung des SAF-Servers.

Die SAF Online Services sind nur auf Großrechnern verfügbar, und zwar wenn Natural SAF Security (oder ein anderes SAF-bezogenes Software AG-Produkt) installiert ist.

Bevor Sie die SAF Online Services nutzen können, müssen Sie ein Dienstprogramm-(Utility-)Sicherheitsprofil für das Dienstprogramm SYSSAFOS (das die SAF Online Services enthält) definieren.

Um die SAF Online Services aufzurufen:

1. Wählen Sie im Hauptmenü (Main Menu) den Eintrag Administrator Services.

   Wenn Sie berechtigt sind, auf die Administrator Services zuzugreifen, wird das Menü Administrator Services Menu 1 angezeigt.

2. Wählen Sie in diesem Menü den Eintrag SAF Online Services.

   Es wird das Menü Online Services angezeigt, das folgende Funktionen bietet:

• Systemparameter - System Parameters

• System-Statistikinformationen - System Statistics

• Benutzer-Statistikinformationen - User Statistics

• Zap-Verwaltung - Zap Maintenance

• Speicheranzeige - Storage Display

• System Tracing

• Server neu starten - Refresh Server

Systemparameter - System Parameters

Die Funktion System Parameters zeigt die im Systemparametermodul definierten Parametereinstellungen an. Die folgenden Informationen werden angezeigt:

System-Statistikinformationen - System Statistics

Diese Funktion System Statistics zeigt Statistikinformationen über den SAF-Server an. Die folgenden Informationen werden angezeigt:

Benutzer-Statistikinformationen - User Statistics

Die Funktion User Statistics liefert statistische Informationen über die derzeit aktiven Benutzer. Die Funktion zeigt eine Liste der Benutzer an. Wenn Sie einen Benutzer aus der Liste auswählen, werden die statistischen Informationen zu diesem Benutzer angezeigt. Die einzelnen Punkte entsprechen den gleichnamigen Punkten, die oben bei der Funktion System Statistics beschrieben wurden.

Zap-Verwaltung - Zap Maintenance

Die Funktion Zap Maintenance zeigt eine Liste der beim SAF-Server angewendeten ZAPs an.

Speicheranzeige - Storage Display

Die Funktion Storage Display zeigt den Adressraum des SAF-Servers an.

System Tracing

Diese Funktion zeigt eine Liste der 256 letzten Trace-Ereignisse an.

Server neu starten - Refresh Server

Die Funktion Refresh Server dient dem Neustart des SAF-Servers. Sie sorgt dafür, dass alle Daten im SAF-Server-eigenen Puffer geleert werden, einschließlich der Einstellungen der NSF-Optionen, der System Statistics, zwischengespeicherter Sicherheitsprüfungen und Benutzerinformationen. Außerdem werden alle Daten, die vom Sicherheitssystem selbst im Adressraum des SAF-Servers gehalten werden, bei der Ausführung dieser Funktion geleert.

Benutzer-Standardprofile - User Default Profiles

Bevor Sie Standardprofile verwenden, sollten Sie mit der normalen Art der Benutzerdefinition vertraut sein, die im Kapitel Benutzer verwalten erläutert wird.

Wenn Sie neue Benutzer hinzufügen, können Sie entweder jedes Element jedes Benutzersicherheitsprofils von Hand eintippen, oder Sie können ein vordefiniertes Benutzer-Standardprofil als Vorlage für die Erstellung eines Benutzersicherheitsprofils verwenden. Wenn Sie zahlreiche Benutzer definieren müssen, deren Sicherheitsprofile einander sehr ähnlich sein sollen, können Sie in einem Standardprofil die Elemente definieren, die für viele Benutzer gleich sein sollen, und dieses Standardprofil dann als Grundlage für die einzelnen Sicherheitsprofile verwenden. Durch die Verwendung von Standardprofilen können Sie so den Arbeitsaufwand für die Definition von Benutzern in Natural Security reduzieren.

Sie können ein Standardprofil wie unten beschrieben anlegen und können es dann als Vorlage für ein Benutzersicherheitsprofil verwenden, siehe Benutzer verwalten.

Benutzer-Standardprofil anlegen

Um ein Benutzer-Standardprofil anzulegen:

1. Wählen Sie im Hauptmenü (Main Menu) die Option Administrator Services.

   Wenn Sie berechtigt sind, auf die Administrator Services zuzugreifen, wird das Menü Administrator Services Menu 1 angezeigt.

2. Drücken Sie PF8.

3. Wählen Sie im Administrator Services Menu 2 die Option User Default Profiles.

   Die Auswahlliste Default User Profiles wird angezeigt.

4. Geben Sie in der Kommandozeile dieses Bildschirms das Kommando ADD ein.

   Das Fenster Add User Default Profile wird angezeigt.

5. Geben Sie in diesem Fenster die Benutzerkennung und den Benutzertyp des Standardprofils ein.

   Informationen zu Benutzerkennungen und Benutzertypen finden Sie im Kapitel Benutzer verwalten.

   Der Bildschirm Add User Default Profile (Standardprofil anlegen) wird eingeblendet.

6. In diesem Bildschirm können Sie ein Benutzer-Standardprofil für einen Benutzer definieren.

   Der Bildschirm Add User Default Profile entspricht in etwa dem Bildschirm Add User für denselben Benutzertyp. Die einzelnen Bestandteile, die Sie als Teil eines Benutzersicherheitsprofils definieren können, sind unter Bestandteile eines Benutzersicherheitsprofils beschrieben. Beachten Sie jedoch, dass Sie einige Bestandteile nur in einem individuellen Sicherheitsprofil, nicht aber in einem Standardprofil definieren können.

Standardprofile werden wie individuelle Benutzersicherheitsprofile gepflegt (wie im Kapitel Benutzer verwalten beschrieben).

Benutzer-Standardprofil verwenden

Wenn Sie einen neuen Benutzer anlegen, können Sie die Kennung eines Standardprofils angeben, das als Vorlage für das von Ihnen erstellte Benutzersicherheitsprofil verwendet werden soll.

Der Benutzertyp des Standardprofils muss derselbe sein wie der des Sicherheitsprofils, für das Sie es verwenden.

Wenn Sie ein Standardprofil zum Anlegen eines neuen Benutzers verwenden, werden die Bestandteile aus dem Standardprofil in das Benutzersicherheitsprofil kopiert - mit Ausnahme der Benutzerkennung, des Benutzernamens und der Eigentümer.

Im Benutzersicherheitsprofil können Sie die aus dem Standardprofil kopierten Bestandteile überschreiben und weitere Bestandteile angeben.

Standardprofile für Bibliotheken - Library Default Profiles

Bevor Sie Standard-Bibliothekssicherheitsprofile verwenden, sollten Sie mit der "normalen" Art der Definition von Bibliotheken vertraut sein, wie sie im Kapitel Bibliotheken verwalten erklärt wird

Wenn Sie neue Bibliotheken hinzufügen, können Sie entweder jedes Bestandteil jedes Bibliothekssicherheitsprofils von Hand eingeben, oder Sie können ein vordefiniertes Standard-Bibliothekssicherheitsprofil als Vorlage für die Erstellung eines Bibliothekssicherheitsprofils verwenden. Wenn Sie zahlreiche Bibliotheken definieren müssen, deren Sicherheitsprofile einander sehr ähnlich sein sollen, können Sie in einem Standardprofil die Bestandteile definieren, die für viele Bibliotheken gleich sein sollen, und dieses Standardprofil dann als Grundlage für die einzelnen Sicherheitsprofile verwenden. Durch die Verwendung von Standardprofilen für Bibliotheken können Sie so den Arbeitsaufwand für die Definition von Bibliotheken für Natural Security reduzieren.

Erstellen Sie ein Standardprofil wie unten beschrieben, und verwenden Sie es dann als Vorlage für ein Bibliothekssicherheitsprofil, wie im Kapitel Bibliotheken verwalten beschrieben.

Standard-Bibliothekssicherheitsprofil anlegen

Um ein Standard-Bibliothekssicherheitsprofil anzulegen:

1. Wählen Sie im Hauptmenü (Main Menu) die Option Administrator Services.

   Wenn Sie berechtigt sind, auf die Administrator Services zuzugreifen, wird das Menü Administrator Services Menu 1 angezeigt.

2. Drücken Sie PF8.

3. Wählen Sie im Administrator Services Menu 2 die Option Library Default Profiles.

   Die Auswahlliste Default Library Profiles wird angezeigt.

4. Geben Sie in der Kommandozeile dieses Bildschirms das Kommando ADD ein.

   Das Fenster Add Default Library Profile wird angezeigt.

5. Geben Sie in diesem Fenster die Bibliothekskennung des Standardprofils ein (Informationen zu Bibliothekskennungen finden Sie im Kapitel Bibliotheken verwalten).

   Der Bildschirm Add Default Library Profile wird angezeigt.

6. Auf diesem Bildschirm können Sie ein Standardprofil für eine Bibliothek definieren.

   Der Bildschirm Add Default Library Profile entspricht in etwa dem Bildschirm Add Library. Die einzelnen Bestandteile, die Sie als Teil eines Bibliothekssicherheitsprofils definieren können, sind unter Bestandteile eines Bibliothekssicherheitsprofils beschrieben. Beachten Sie jedoch, dass Sie einige Bestandteile nur in einem individuellen Sicherheitsprofil, nicht aber in einem Standardprofil definieren können.

Standardprofile werden wie individuelle Bibliothekssicherheitsprofile verwaltet (wie im Kapitel Bibliotheken verwalten beschrieben).

Standard-Bibliothekssicherheitsprofil verwenden

Wenn Sie eine neue Bibliothek anlegen, können Sie die Kennung eines Standardprofils angeben, das als Vorlage für das von Ihnen erstellte Bibliothekssicherheitsprofil verwendet werden soll.

Wenn Sie ein Standardprofil zum Anlegen einer neuen Bibliothek verwenden, werden die Bestandteile aus dem Standardprofil in das Bibliothekssicherheitsprofil kopiert - mit Ausnahme der Bibliothekskennung, des Bibliotheksnamens und der Eigentümer.

Im Bibliothekssicherheitsprofil können Sie die aus dem Standardprofil kopierten Bestandteile überschreiben und weitere Bestandteile angeben.

Voreingestellte Benutzersicherheitsprofilwerte - User Preset Values

Bevor Sie mit der Definition von Benutzern in Natural Security beginnen, können Sie mit dieser Funktion die Werte mehrerer Bestandteile, die Teil eines Benutzersicherheitsprofils sind, vordefinieren. Wenn Sie dann ein Benutzersicherheitsprofil erstellen, sind die Bestandteile in dem Profil, das Sie anlegen, bereits mit diesen Werten vorbelegt.

Um die Funktion User Preset Values aufzurufen:

1. Wählen Sie im Hauptmenü (Main Menu) die Option Administrator Services.

   Wenn Sie berechtigt sind, auf die Administrator Services zuzugreifen, wird das Menü Administrator Services Menu 1 angezeigt.

2. Drücken Sie PF8.

3. Wählen Sie im Administrator Services Menu 2 die Option User Preset Values.

   Der erste Bildschirm User Preset Values wird angezeigt.

Die Funktion Preset User Values umfasst drei Bildschirme:

• Allgemeine Benutzersicherheitsprofiloptionen - General User Profile Options

• Optionen für Passwörter - Password Options

• Optionen für Passphrasen - Password Phrase Options

Um zwischen ihnen zu navigieren, können Sie PF7 (Allgemeine Optionen - General options), PF8 (Passwortoptionen - Password options) und PF9 (Passwortphrasenoptionen - Password Phrase options) drücken.

Alle Optionen werden im Folgenden erklärt.

Einige der Optionen erscheinen auch im Sicherheitsprofil jedes Benutzers, wo deren Werte auf die Werte voreingestellt werden, die Sie auf dem Bildschirm Preset User Values angeben. Wenn die allgemeine Option Overwriting of defaults possible (Überschreiben von Standardwerten möglich) auf Y gesetzt ist, können Sie diese Werte in individuellen Benutzersicherheitsprofilen überschreiben. Andere Optionen beziehen sich nicht direkt auf Benutzersicherheitsprofilfelder, sondern gelten für Benutzersicherheitsprofile im Allgemeinen.

Allgemeine Benutzersicherheitsprofiloptionen - General User Profile Options

Optionen für Passwörter - Password Options

Diese Optionen gelten für normale Passwörter mit bis zu 8 Zeichen. Für Passwörter, die länger als 8 Zeichen sind, siehe Password Phrase Options unten.

Optionen für Passphrasen - Password Phrase Options

Diese Optionen sind nur verfügbar, wenn die allgemeine Benutzersicherheitsprofiloption Password phrases active (siehe oben) auf Y oder A gesetzt ist. Sie gelten für Passphrasen, d.h. für Passwörter, die länger als 8 Zeichen sind.

Voreingestellte Werte für Bibliotheken - Library Preset Values

Bevor Sie mit der Definition von Bibliotheken in Natural Security beginnen, können Sie mit dieser Funktion die Werte mehrerer Elemente, die Teil eines Bibliothekssicherheitsprofils sind, vordefinieren. Wenn Sie dann ein Bibliothekssicherheitsprofil erstellen, sind die Elemente in dem Profil, das Sie erstellen, bereits auf diese Werte voreingestellt.

Um die Funktion Library Preset Values aufzurufen:

1. Wählen Sie im Hauptmenü (Main Menu) die Option Administrator Services.

   Wenn Sie berechtigt sind, auf die Administrator Services zuzugreifen, wird das Menü Administrator Services Menu 1 angezeigt.

2. Drücken Sie PF8.

3. Wählen Sie im Administrator Services Menu 2 die Option Library Preset Values.

   Es wird der Bildschirm Preset Library Values (Voreingestellte Werte für Bibliotheken) angezeigt, der die Bestandteile des Bibliothekssicherheitsprofils enthält.

   Mit PF5 können Sie einen weiteren Bildschirm mit weiteren Bibliotheksoptionen aufrufen.

   Diese Optionen werden im Folgenden beschrieben.

Bibliothekssicherheitsprofilbestandteile - Library Profile Items

Einige dieser Profilbestandteile erscheinen auch im Sicherheitsprofil jeder Bibliothek, wo ihre Werte auf die Werte voreingestellt werden, die Sie auf dem Bildschirm Preset Library Values angeben. Wenn die allgemeine Option Overwriting of defaults possible auf Y gesetzt ist, können Sie diese Werte in den einzelnen Bibliothekssicherheitsprofilen überschreiben. Andere Einträge entsprechen nicht direkt den Feldern von Bibliothekssicherheitsprofilen, sondern sind Optionen, die für Bibliothekssicherheitsprofile im Allgemeinen gelten.

Weitere Bibliotheksoptionen

Mit PF5 auf dem Bildschirm für die Bibliothekssicherheitsprofilbestandteile können Sie einen weiteren Bildschirm mit zusätzlichen Bibliotheksoptionen aufrufen:

• Modulschutz-Modus - Module Protection Mode
• Umbenennen und Löschen von Bibliotheksknoten deaktivieren - Disable Rename and Delete of Library Node
• NDV Startup Inactive
• Entwicklungsmodus - Development Mode
• Natural Client-Zugang - Natural Client Access
• Bibliotheks-FDIC-Zuweisung aktiviert - Library FDIC Assignment Enabled
• Natural-Benutzerkennung (*USER) an Adabas übergeben - Pass Natural User ID (*USER) to Adabas
• INIT-LIB für nicht definierte Benutzerkennung(en) - INIT-LIB for undefined user ID(s)

Modulschutz-Modus - Module Protection Mode

Die Option Module Protection Mode gilt für alle Bibliotheken. Sie wirkt sich auf die Art und Weise aus, in der die Einstellungen Disallow/Allow Modules in den Sicherheitsprofilen der Bibliotheken ausgewertet werden. Mögliche Werte:

Umbenennen und Löschen von Bibliotheksknoten deaktivieren - Disable Rename and Delete of Library Node

Mit der Option Disable Rename and Delete of Library Node können Sie das versehentliche Löschen/Umbenennen einer Bibliothek in der gemappten Umgebung des Natural Development Server verhindern. Sie gilt für die Aktionen Umbenennen und Löschen im Kontextmenü des Bibliotheksknotens in der gemappten Umgebung. Siehe Baumansicht-Aktionen - Tree-View Actions im Kapitel Natural Development Server-Umgebung und -Anwendungen schützen.

NDV Startup Inactive

Mit der Option NDV Startup Inactive können Sie die Ausführung von Startup-Transaktionen bei Anmeldungen bei Bibliotheken in einer gemappten Umgebung auf einem Natural Development Server-Client unterdrücken (siehe auch Map-Umgebung und Bibliotheksauswahl - Map Environment und Bibliotheksauswahl im Kapitel Natural Development Server-Umgebung und -Anwendungen schützen.

Diese Option ist nur in gemappten Umgebungen bei Natural Development Server Clients wirksam.

Entwicklungsmodus - Development Mode

NaturalONE unterstützt zwei Entwicklungsmodi für Natural-Projekte: Shared Mode und Private Mode. Die Option Development Mode legt fest, wie Natural Security die Natural-Server-Aktionen steuert, die durch die von den Natural-Projekten verwendeten Eclipse-Navigator-Ansicht-Aktionen ausgelöst werden.

Natural Client-Zugang - Natural Client Access

Die Option Natural Client Access legt fest, welche Client-Typen eine Verbindung zum Natural Development Server herstellen dürfen:

Siehe auch Starting the Natural Development Server in den umgebungsspezifischen Kapiteln der Natural Development Server-Dokumentation.

Bibliotheks-FDIC-Zuweisung aktiviert - Library FDIC Assignment Enabled

Diese Option bestimmt, ob die FDIC-Systemdatei in Bibliothekssicherheitsprofilen und Special-Link-Profilen gesetzt werden kann. Sie besitimmt außerdem, ob die FUSER-Systemdatei und die Cross-reference-Option in Special-Link-Profilen gesetzt werden kann.

Die Anzeige der entsprechenden Felder in Bibliothekssicherheitsprofilen und Special-Link-Profilen hängt davon ab, wie diese Option eingestellt ist.

Wenn Sie diese Option auf Y gesetzt haben, können Sie sie nur dann auf N zurücksetzen, wenn keine FDIC-Spezifikation in einer Bibliothek oder einem Special-Link-Profil und keine FUSER-Spezifikation in einem Special-Link-Profil vorhanden ist.

Einzelheiten zum Einstellen der FUSER- und FDIC-Dateien sowie der Cross-reference-Option finden Sie unter Bibliotheksdatei - Library File und Allgemeine Optionen unter Bestandteile eines Bibliothekssicherheitsprofils.

Natural-Benutzerkennung (*USER) an Adabas übergeben - Pass Natural User ID (*USER) to Adabas

Die Option Pass Natural User ID (*USER) to Adabas legt fest, welche Benutzerkennung an Adabas übergeben wird, um zur Anmeldung bei Adabas verwendet zu werden.

Diese Option ist nur in Nicht-Großrechnerumgebungen wirksam. In Großrechnerumgebungen wird immer der *USER-Wert zur Anmeldung bei Adabas verwendet.

INIT-LIB für nicht definierte Benutzerkennung(en) - INIT-LIB for undefined user ID(s)

Mit der Option INIT-LIB for undefined user ID(s) wird die NSC-Bibliothekskennung als Standard-Bibliothekskennung für eine nicht definierte Benutzerkennung zugewiesen, die nicht mit der Namenskonvention für Natural-Bibliothekskennungen übereinstimmt. Ein NSC-Bibliothekssicherheitsprofil, das als öffentliche Bibliothek definiert ist, und eine auf Y gesetzte Übergangszeitanmeldeoption sind erforderlich, bevor Sie diese Option setzen.

Value = library ID (A8)

Systembibliotheken definieren - Definition of System Libraries

Die Funktion Definition of System Libraries wird im Rahmen der Erstinstallation von Natural Security verwendet. Mit ihr können Sie automatisch Bibliothekssicherheitsprofile für Systembibliotheken (d.h. Bibliotheken, deren Namen mit SYS beginnen) von Natural und seinen Subprodukten erstellen.

Wenn Sie diese Funktion verwenden, müssen Sie den Natural-Profilparameter MADIO auf einen Wert von mindestens 2000 setzen.

Sie sollten diese Funktion nicht bei SYS-Bibliotheken anwenden, die Natural-Dienstprogramme (Utilities) enthalten, da empfohlen wird, Dienstprogramme zu schützen. Siehe Dienstprogramme (Utilities) schützen.

Um Systembibliotheken zu definieren:

1. Wählen Sie im Hauptmenü (Main Menu) die Option Administrator Services.

   Wenn Sie berechtigt sind, auf die Administrator Services zuzugreifen, wird das Menü Administrator Services Menu 1 angezeigt.

2. Drücken Sie PF8.

3. Wählen Sie im Administrator Services Menu 2 die Option Definition of System Libraries.

   Es wird eine Liste der Systembibliotheken von Natural und allen Natural-Subprodukten angezeigt, die an Ihrem Standort installiert sind. Für jede Systembibliothek wird ein bibliotheksspezifisches Sicherheitsprofil bereitgestellt, in dem alle erforderlichen Bestandteile bereits entsprechend definiert sind.

4. In der Liste können Sie entweder einzelne Bibliotheken mit AD markieren, auf die die vordefinierten Profile nacheinander angewendet werden sollen, oder Sie können die vordefinierten Profile auf alle Produkt-Systembibliotheken gleichzeitig anwenden, indem Sie das entsprechende Produkt mit AD markieren.

Weitere Informationen zur Installation von Natural Security finden Sie in der Natural-Installation-Dokumentation.

Nicht definierte Bibliotheken definieren - Definition of Undefined Libraries

Mit der Funktion Definition of Undefined Libraries können Sie Bibliothekssicherheitsprofile für nicht definierte Bibliotheken erstellen, d.h. für Bibliotheken, die in der aktuellen FUSER-Systemdatei vorhanden sind, für die aber noch keine Bibliothekssicherheitsprofile erstellt wurden.

Diese Funktion entspricht derjenigen des SHOW-Kommandos, die unter Nicht definierte Bibliotheken auflisten - Listing Undefined Libraries im Kapitel Bibliotheken verwalten beschrieben ist.

Um nicht definierte Bibliotheken zu definieren:

1. Wählen Sie im Hauptmenü (Main Menu) die Option Administrator Services.

   Wenn Sie berechtigt sind, auf die Administrator Services zuzugreifen, wird das Menü Administrator Services Menu 1 angezeigt.

2. Drücken Sie PF8.

3. Wählen Sie im Administrator Services Menu 2 die Option Definition of Undefined Libraries.

   Es wird eine Liste aller nicht definierten Bibliotheken angezeigt. Sie entspricht der Liste, die Sie erhalten, wenn Sie in der Library Maintenance-Auswahlliste das Kommando SHOW UNDF eingeben.

4. Gehen Sie vor wie unter Nicht definierte Bibliotheken auflisten - Listing Undefined Libraries im Kapitel Bibliotheken verwalten beschrieben.