In diesem Kapitel werden die folgenden Themen behandelt:
Die Verwendung von Eigentümern für Sicherheitsprofile hat den Vorteil, dass die Arbeit und die Verantwortung für die Verwaltung von Natural Security auf mehrere Administratoren verteilt werden kann, anstatt in den Händen einer einzigen Person zu liegen.
Diese Aufteilung kann nach den Kriterien der Bedeutung/Sensibilität von Objekten, nach regionalen, branchenspezifischen oder abteilungsspezifischen Aspekten oder nach anderen Kriterien erfolgen, die zu Ihrer spezifischen Natural-Umgebung passen.
Die Anzahl der Administratoren sollte geringgehalten werden, und das System, mit dem Sie die Eigentümer zuweisen, sollte klar strukturiert sein.
Es ist auch möglich, eine Gruppe (Group) als Eigentümer zu bestimmen. Alle in der Gruppe enthaltenen Administratoren sind dann berechtigt, das Sicherheitsprofil zu verwalten. (Da ohnehin nur Benutzer des Typs Administrator die Natural Security-Verwaltung durchführen dürfen, sind Benutzer anderer Benutzertypen, die in dieser Gruppe enthalten sind, davon nicht betroffen).
Es obliegt allein den Natural Security-Administratoren, die Zugriffsrechte auf Bibliotheken für alle Benutzer zu steuern. Die Kontrolle der Administratoren dagegen kann auf gegenseitiger Basis erfolgen, indem Gegenzeichnungen verwendet werden.
Ein Sicherheitsprofil kann bis zu 8 Eigentümer haben. Ohne Gegenzeichnung kann jeder dieser Eigentümer das Sicherheitsprofil ungehindert ändern, löschen, verlinken oder bearbeiten.
Wenn dies nicht erwünscht ist, kann die Countersignature-Funktion verwendet werden: Neben jedem Eigentümer eines Sicherheitsprofils kann eine Zahl (1, 2 oder 3) eingegeben werden. Ein Eigentümer muss dann diese Anzahl von Gegenzeichnungen von anderen Besitzern des Sicherheitsprofils erhalten, bevor er Zugriff auf das Sicherheitsprofil erhalten kann. Auf diese Weise kann ein Eigentümer keine Änderungen ohne das Wissen und die Zustimmung der anderen Eigentümer vornehmen.
Gegenzeichnungen werden geleistet, indem die Miteigentümer ihre Benutzerpasswörter auf dem Bildschirm Countersignatures eingeben. Dieser Bildschirm wird automatisch angezeigt, wenn eine Funktion aufgerufen wird, die Gegenzeichnungen von Miteigentümern des betreffenden Sicherheitsprofils erfordert.
Anmerkung
Wenn die Lock
User Option aktiv ist, kann die Eingabe eines falschen
Passworts auf dem Bildschirm Countersignatures dazu
führen, dass der Benutzer, der den Bildschirm aufgerufen hat, gesperrt
wird.
Im Sicherheitsprofil des Benutzers IW sind die folgenden Eigentümer angegeben:
+----------------------------OWNERS----------------------------+ ! User ID ........... IW ! ! ! ! AD ! ! HW + 1 ! ! JC + 2 ! ! ! ! ! ! ! ! ! ! ! ! ! !--------------------------------------------------------------+ |
Nur die drei angegebenen Administratoren dürfen das Sicherheitsprofil ändern.
Die Eigentümersituation ist die folgende:
Eigentümer AD darf das Sicherheitsprofil ungehindert ändern, d. h. ohne eine Gegenzeichnung von einem der anderen Eigentümer einholen zu müssen.
Eigentümer HW darf das Sicherheitsprofil nur mit Zustimmung eines der anderen Eigentümer ändern (dies muss nicht ein bestimmter Eigentümer sein, sondern kann ein beliebiger der anderen Eigentümer sein).
Eigentümer JC darf das Sicherheitsprofil nur mit der Zustimmung von zwei, d.h. von allen anderen Eigentümern des Sicherheitsprofils, ändern.
Alle anderen Administratoren können das Sicherheitsprofil nicht ändern, da sie nicht Eigentümer des Sicherheitsprofils sind.
Nehmen wir an, dass der Eigentümer HW das Sicherheitsprofil des
Benutzers IW ändern möchte. In der Auswahlliste der Benutzerverwaltung markiert
er den Benutzer IW mit dem Code MO. Der Bildschirm
Countersignatures wird angezeigt:
13:10:14 *** NATURAL SECURITY *** 2021-12-31
- Modify User -
User ID .. IW
Group ID User ID Password Added Modified
-------- -------- -------- ---------- ----------
1. AD______ ________ On: 1999-08-13 2021-01-18
2. JC______ ________ 13:08:15 13:09:10
3. ________ ________ By: AD AD
4. ________ ________
5. ________ ________
6. ________ ________
7. ________ ________
8. ________ ________
SYSSEC5588: 1 authorized owner must enter his/her password.
Enter-PF1---PF2---PF3---PF4---PF5---PF6---PF7---PF8---PF9---PF10--PF11--PF12---
Help Exit Canc
|
Alle anderen Eigentümer des Sicherheitsprofils werden auf dem Bildschirm aufgelistet. Einer von ihnen muss sein Passwort eingeben.
Wenn keiner der anderen Eigentümer persönlich anwesend ist, können sie miteinander kommunizieren (AD kann z. B. HW sein Passwort verraten, das HW dann auf dem Bildschirm Countersignatures eingeben kann. AD sollte dann unmittelbar danach sein Passwort ändern).
Sobald das richtige Passwort eines Miteigentümers (entweder AD oder JC) eingegeben wurde, wird der Bildschirm Modify User mit dem Sicherheitsprofil des Benutzers IW für Administrator HW aufgerufen, um die beabsichtigten Änderungen durchzuführen.
Wenn Gruppen als Eigentümer angegeben sind, können die folgenden Fälle auftreten:
Ein Administrator ist Eigentümer eines Sicherheitsprofils und gleichzeitig in einer Gruppe enthalten, die Eigentümer des Sicherheitsprofils ist. In diesem Fall gelten die für den Administrator selbst festgelegten Gegenzeichnungsanforderungen.
Ein Administrator ist nicht selbst Eigentümer eines Sicherheitsprofils, ist aber in zwei oder mehr Gruppen enthalten, die Eigentümer des Sicherheitsprofils sind. In diesem Fall gelten die für die Gruppe mit den wenigsten Gegenzeichnungen festgelegten Gegenzeichnungsanforderungen.
Haben zwei oder mehr Gruppen gleich wenige Gegenzeichnungen, so ist deren alphabetische Reihenfolge entscheidend.
Anmerkung
In den oben genannten Fällen kann ein Administrator mehr als
einmal Eigentümer sein. Dies bedeutet, dass er sich selbst mit einer oder
mehreren der erforderlichen Gegenzeichnungen ausstatten kann.
Wenn eine Gruppe auf dem Bildschirm Countersignatures als Miteigentümer erscheint, kann jeder der in der Gruppe enthaltenen Administratoren gegenzeichnen.
Um einen Administrator aus einer Gruppe auszuwählen, müssen Sie auf dem Bildschirm Countersignatures ein Fragezeichen (?) in das Feld User ID (Benutzerkennung) neben der Group ID (Gruppenkennung) eingeben. Es wird eine Liste aller in der Gruppe enthaltenen Administratoren angezeigt, aus der Sie denjenigen auswählen können, dessen Gegenzeichnung Sie erhalten möchten.
Beachten Sie, dass eine Gruppe als ein Miteigentümer zählt und ein Miteigentümer nicht mehr als eine Gegenzeichnung leisten kann. Wenn beispielsweise zwei Gegenzeichnungen erforderlich sind, können diese nicht beide von Mitgliedern derselben Gruppe geleistet werden.
Ein Administrator kann jedoch mehr als einmal gegenzeichnen, wenn er mehr als einmal als Miteigentümer auf dem Bildschirm Countersignatures erscheint, d.h. mit seiner eigenen Berechtigung und/oder als Mitglied einer oder mehrerer Gruppen.
Wenn ein Administrator neue Sicherheitsprofile anlegen will (d.h. eine Add-Funktion (Anlegen) oder Copy-Funktion (Kopieren) verwenden will), gilt die Besitzersituation seines eigenen Sicherheitsprofils:
Wenn dem Sicherheitsprofil des Administrators keine Eigentümer zugewiesen sind, kann er ungehindert neue Sicherheitsprofile anlegen.
Wenn dem Sicherheitsprofil des Administrators Eigentümer zugewiesen sind, zu denen der Administrator nicht gehört, muss er die Gegenzeichnung aller Eigentümer seines Sicherheitsprofils einholen, bevor er neue Sicherheitsprofile anlegen kann.
Wenn der Administrator einer der Eigentümer seines eigenen Sicherheitsprofils ist und eine Anzahl von Mitinhabern angegeben hat, muss der Administrator diese Anzahl von Gegenzeichnungen von anderen Eigentümern seines Sicherheitsprofils einholen, bevor er neue Sicherheitsprofile anlegen kann.
 |
Warnung: Die Zuweisung von Eigentümern und Gegenzeichnungen sollte mit äußerster Sorgfalt erfolgen, da es schwierig, wenn nicht gar unmöglich sein kann, eine unerwünschte Eigentümer/Miteigentümer-Konfiguration rückgängig zu machen. Das "Experimentieren" mit dieser Funktion kann außerdem dazu führen, dass Sie sich selbst vom Zugriff auf ein Sicherheitsprofil aussperren. |
Das Aufschieben der Gegenzeichnung ermöglicht es Ihnen, eine Verwaltungsfunktion auszuführen und die erforderliche Gegenzeichnung zu einem späteren Zeitpunkt einzuholen.
Diese Funktionalität wird auch als zeitunabhängige Gegenzeichnung (Time-independent Countersigning, TIC) bezeichnet.
Das Aufschieben einer Gegenzeichnung ist möglich:
wenn die Anzahl der Miteigentümer, deren Gegenzeichnung Sie benötigen, 1 beträgt,
für die folgenden Verwaltungsfunktionen: Add (Anlegen), Modify (Ändern), Rename (Umbenennen) und Delete (Löschen) bei Benutzersicherheitsprofilen und Bibliothekssicherheitsprofilen.
In der folgenden Erläuterung wird zur Vereinfachung des Lesens die Aktion Modify (Ändern) verwendet, die Erläuterung gilt jedoch auch für die anderen genannten Funktionen.
Anmerkung
In der aktuellen Version von Natural Security ist für die oben
genannten Funktionen eine verzögerte Gegenzeichnung möglich. Es ist geplant,
sie in späteren Versionen für weitere Funktionen verfügbar zu machen.
Wenn Sie versuchen, ein Sicherheitsprofil zu ändern und der Bildschirm Countersignatures aufgerufen wird, aber keiner der anderen Eigentümer des Sicherheitsprofils verfügbar ist, um sein Passwort anzugeben, können Sie die Gegenzeichnung aufschieben. Das bedeutet, dass Sie mit Ihrer beabsichtigten Änderung fortfahren und die Gegenzeichnung des anderen Eigentümers später einholen können.
Dazu müssen Sie auf dem Bildschirm Countersignatures PF5 (Zurückstellen) drücken.
Das zu ändernde Sicherheitsprofil wird aufgerufen, und Sie können die gewünschten Änderungen daran vornehmen.
Wenn Sie die Änderung des Sicherheitsprofils abgeschlossen haben, erscheint das Sicherheitsprofil in der Maintenance-Auswahlliste der Objektverwaltung mit dem Hinweis, dass für die Änderung noch eine Gegenzeichnung aussteht. Die Änderung wird erst dann aktiv, wenn die Gegenzeichnung erfolgt ist.
Bis der Miteigentümer seine Gegenzeichnung leistet oder verweigert, gibt es zwei Versionen des Sicherheitsprofils:
die aktive, nicht geänderte Version,
eine temporäre Version, die Ihre Änderungen enthält.
In der Maintenance-Auswahlliste können Sie die folgenden Funktionen für das Sicherheitsprofil ausführen:
| Code | Funktion |
|---|---|
DI |
Display: Anzeigen der aktiven Version des Sicherheitsprofils. |
DT
|
Display: Anzeigen der temporären Version des Sicherheitsprofils. Die Änderungen werden darin hervorgehoben. |
MT |
Modify: Ändern der vorläufigen Version des Sicherheitsprofils. |
RT |
Revoke: Rücknehmen der Gegenzeichnungsanforderung. |
Der Miteigentümer kann die folgenden Funktionen an dem Sicherheitsprofil ausführen:
| Code | Funktion |
|---|---|
DI |
Display: Anzeigen der aktiven Version des Sicherheitsprofils. |
DT
|
Display: Anzeigen der temporären Version des Sicherheitsprofils. Die Änderungen werden darin hervorgehoben. |
CT |
Aufrufen des Bildschirms Countersignatures zur Bestätigung der Änderungen. |
RT |
Revoke: Rücknehmen der Gegenzeichnungsanforderung. |
Solange die Gegenzeichnung nicht geleistet oder widerrufen wurde, können andere als die oben aufgeführten Verwaltungsfunktionen nicht auf das Sicherheitsprofil angewendet werden.
Wenn die Gegenzeichnung durch den Miteigentümer erfolgt, werden die Änderungen übernommen, d.h. die aktive Version des Sicherheitsprofils wird entfernt, und die temporäre Version wird zur aktiven Version.
Wird der Antrag auf Gegenzeichnung zurückgezogen - entweder von Ihnen selbst oder vom Miteigentümer - wird die vorläufige Version des Sicherheitsprofils entfernt, und nur die aktive Version bleibt bestehen. Alle Informationen über die Anforderung werden entfernt.
Anmerkung
Die Angaben zum Eigentümer/Miteigentümer in einem
Sicherheitsprofil können nicht mittels aufgeschobener Gegenzeichnung
geändert werden.
Um nur die Sicherheitsprofile eines bestimmten Objekttyps
aufzulisten, für die Gegenzeichnungen anstehen, können Sie in der Kommandozeile
der Maintenance-Auswahlliste das Kommando
SHOW TIC (TIC = Time-independent Countersigning)
eingeben.
Um zur normalen Auswahllistenanzeige zurückzukehren, müssen Sie das Kommando erneut eingeben.
Wenn Sie die Gegenzeichnung bei einer Umbenennung eines Sicherheitsprofils zurückstellen, erscheint das Profil in der Maintenance-Auswahlliste des Objekts sowohl unter der alten als auch unter der neuen Kennung (ID).
Wenn Sie die Gegenzeichnung für die Löschung eines Sicherheitsprofils aufschieben, verbleibt das Profil in der Maintenance-Auswahlliste des Objekts, bis die Gegenzeichnung nachgereicht wird.
Wenn auf ein Sicherheitsprofil nicht mehr zugegriffen werden kann,
d.h. wenn eine Eigentümer/Miteigentümer-Konfiguration eingerichtet wurde, die
keinem Administrator den Zugriff auf das Sicherheitsprofil erlaubt, kann als
letzter Ausweg das Natural-Systemkommando INPL
benutzt werden, um das Sicherheitsprofil wiederherzustellen.
Dazu:
Geben Sie das Kommando INPL ein.
Geben Sie dann im INPL-Menü den Code
R und die Ersetzungsoption O ein.
Geben Sie im nächsten Fenster den Objekttyp und die Kennung des Sicherheitsprofils ein, das wiederhergestellt werden soll.
Dadurch werden alle Eigentümereinträge aus dem Sicherheitsprofil gelöscht.
Wenn Sie die obige INPL-Option im Batch-Modus verwenden, muss die Arbeitsdatei 1 die Natural Security INPL-Datei sein.
//CMSYNIN DD * R,O U,AD .
