AS400安全与权限管理

AS/400安全与权限管理 AS/400安全体系包括系统安全、用户控制和资源保护三个层次，融贯于整个计算机系统中。可以说从外部硬件到系统内部，从用户登录开始，到用户访问的每一界面（菜单、命令行等），访问的任何资源，安全检查一直处于活跃状态。能有效地对数据进行保护，免遭破坏和非法访问。 本单元介绍OS/400的包括用户描述、与安全相关的系统参数、权限表、组描述、安全工具及安全向导等安全概念。 安全包括系统内置的用来控制系统设备、数据、系统上安装程序使用的安全措施。安全阻止未授权的用户访问数据，从而保护数据的完整性。 菜单是用来控制用户访问权限的方法之一。用户描述扩展了此权限，可控制用户的登录。1 系统安全 1.1 Security Types Figure 7-1. Types of Security There are 3 types of security on the AS/400 system: Physical security 、 Sign-on security and Resource security Physical security Physical security provides protection of your AS/400 system, device, device output and media on which data is stored from accidental or deliberate loss or damage. Resource Security Resource security protects the data on the system by limiting access to files, programs, libraries, and other objects. Sign-on security Sign-on securitylimits who can sign on to an AS/400 system and what they can do when they sign on (for example, which menu options appear). 对于AS/400计算机系统来说，系统应该有三级安全保护机制。物理安全性(Physical Security)、登录安全性(Sign-on Security)和资源安全性(Resource Security)。物理安全性是指提供系统和相关设备及存贮数据介质的保护，以防意外或有意的数据丢失、破坏。登录安全性限制谁可以在系统上登录，以及登录后可以执行那些操作。资源安全性是在用户登录系统后，附加的用于保护对象和对象中数据安全性，避免非法访问。这里我们主要讨论后两种安全性管理。 1.2 Security Levels Figure 7-2. Security Levels The system offers 5 levels of security:10,20,30,40 and 50. 为了满足商务需求，AS/400的安全机制能够实现从没有安全性到C2级标准的安全性，这是依赖于系统值的调节功能。与安全有关的系统有很多，最重要的是QSECURITY。系统值SECURITY用于制定当前系统运行在什么样的安全级别，它有五个值：10、20、30、40、50，分别对应五个不同的安全级别。以V4R3M0开始的QSECURITY默认值为40，且不能将QSECURITY值置回为10。如果系统当前的安全级别为10，在安装了V4R3M0后仍为10，但如果将系统值改为高于10的值，就不能再改回为10级。 10级： 没有安全性。这是系统的最低安全级别，表示系统没有安全性。进入系统不需要口令，所有用户都有权访问系统中的全部资源，对系统对象的访问也没有限制。 20级： 20级的用户在登录前必须先注册，注册用户在登录时，要输入正确的口令才能进入系统。一旦用户成功进入系统，即可访问任何系统资源，这时和10级没有区别。但在20级的系统中，可以设定用户为受限制用户，只允许进行菜单选择，不允许使用命令行。 30级： 资源保护。30级具备20级的全部功能，所不同的是在30级的系统中，用户对系统资源的访问受到了限制。系统设置了用户对资源的访问权限，只有获得相应权限的用户才可以访问相应的系统资源。但在这一级别上，用户的对象和操作系统的对象不加区别，用户可以授权访问大多数MI下方的内部对象。 40级： 40级与30级相比又有很大程度的加强。在40级的系统中，不允许访问非标准界面，即用户不允许访问或调用全部的MI指令。用户程序只能使用IBM认可的由部分MI指令组成的标准指令集，包括数百个供独立软件提供商（ISV）使用的API。然而，在40级安全性下，禁止应用程序使用的那些MI指令对于OS/400来说还是有效的。为了区分OS/400程序和用户程序，在AS/400中定义了两个执行状态：系统态（System State）和用户态（User State）。AS/400中的每一个进程都运行于其中的某一个状态，只有在系统态下才能使用对应用程序禁止的MI指令。 50级： C2级保护。美国联邦政府定义的安全级别从高到低依次为A、B、C、D。B和C下又分了若干子级别。C2级是商务计算中的最高级别。50级安全性获得了联邦机构的认证，符合联邦政府C2级安全级别。如果系统运行在50等级下,系统性能会因其带来的附加检验而受影响。 常用的是30和40两个级别。有相关权限（*ALLOBJ或*SECADM）的用户可对QSECURITY系统值自由修改,但所改的系统值只在下一次IPL时生效.可用DSPSECA命令显示系统的安全级别。 1.3 Security Related System Values Figure 7-3. Security Related System Values 除了QSECURITY之外，还有一些系统值与安全密切相关，在不同的层次上实施安全控制。以下几个是安全管理员经常使用的。 QMAXSIGN 此系统值控制本地或远程用户的最多无效登录次数。当达到最大值时系统采用QMAXSGNACN系统值中的相应措施。 QMAXSGNACN 此系统值决定当用户无效登录次数达到最大值时，系统应采取的相应措施：逻辑断开设备 使用户描述无效 既逻辑断开设备又使用户描述无效。 QINACTITV 此系统值指定系统所允许的交互式作业处于非活动状态的分钟数。主要是预防没有Sign-Off而离开工作站，可将此值置为 *NONE (系统不检查非活动的交互式作业)或置为5-300 分钟.当规定的时间到时，系统采取QINACTMSGQ系统值规定的措施。建议值为30-60分钟。 QINACTMSGQ 此系统值指定当交互式作业处于非活动状态的时间间隔（即为QINACTITV所规定的）后，系统所应采取的相应措施。交互式作业可能被终止、断开连接，或者有消息会被送到指定消息队列。建议值为*DSCJOB QDSPSGNINF 显示最后一次Sign-On日期和时间，无效的Sign-On次数，以及再过几天需要更换口令。能有效地帮助用户发现是否有其他用户使用过或试图使用自己的帐号。 QLMTSECOFR 限制拥有特权（*ALLOBJ或*SERVICE)的用户只能在指定的终端上登录，防止权力扩散。 QPWDEXPITV 此系统值通过跟踪最进修改密码时间或用户描述的创建时间，来控制用户使用密码的天数。在密码将要失效的前七天，用户登录时（即使不显示登录信息）会有一警告，告诉用户更新密码，如果在规定时间内用户没更新密码，用户不能登录，直至更新密码为止。此参数值可置为*NOMAX (密码可长期使用) 或者一定天数(1-366) QLMTDEVSSN 限制用户同时能否在多台工作站上Sign-On。 注：可用WRKSYSVAL *SEC 命令查看修改所有安全相关系统值。 Figure 7-4. Work with System Values 1.4 User Profile Figure 7-5. User Profile What is User Profile What is User Profile The user profile is the starting point for security, since even for level 20,the user must use a password to sign on the system. The user profile contains general information about the user including security information, a list of objects the profile owns and a list of all objects the profile has been specifically authorized to use. DSPUSRPRF USRPRF(USER) TYPE(*OBJOWN,*OBJAUT) 用户描述既是一个OS/400对象又是一个MI系统对象，每个用户都有一个对应的用户描述，当然也允许多个用户共享一个用户描述。在用户描述中包含有和系统安全有关的信息，这些信息被用于OS/400安全功能部分和SLIC对象权限功能部分。 CRTUSRPRF命令或AS/400的操作浏览器允许安全员或安全管理员建立用户描述并指定用户安全操作的参数。 CRTUSRPRF命令的重要参数 DSPUSRPRF USRPRF( ) TYPE(*OBJOWN，*OBJAUT)命令显示用户拥有的对象或被授权的对象。此命令的TYPE参数是非常有用的参数，给不同的参数值可以查看指定用户的不同信息。 CRTUSRPRF命令的重要参数 Figure 7-6. Create User Profile 用户描述(User Profile)是系统中的一种对象，是系统安全性的起点。用户描述中定义了用户的通常信息，包括该用户描述拥有的对象、有权访问的对象等与安全性有关的信息。通过CRTUSRPRF命令可以定义一个用户描述，其中有以下主要参数： -User profile：定义了用户用来登录的名字，也是用户描述对象的名字。 -User password：登录时需要的口令。 -Set pasword to expire：可以将用户的口令设置为过期，当用户再登录时必须更改口令。 -Password expiration interval：设置用户口令使用的天数，当一个用户的口令使用天数超过这个值时，用户必须更改口令。 -Initial program to call or Initial menu：设置用户的初始化程序或初始化菜单。 -Special environment：由于AS/400的系统是从原有的System/36发展起来的，有的用户可能需要在旧的平台上工作，这里可以设置用户工作的环境。 -Limit capabilities：取值*YES可以限制用户只能够使用初始化程序或初始化菜单，不能够使用命令行 -Limit device sessions：用来限制同样的用户和口令是否允许在多个工作站上登录。 -Attention program：用来定义当用户按下ATTENTION键时那一个程序会被调用。 -User calss：可以定义用户的类别，根据用户的类别不同，用户可以在系统中完成的操作不同。系统共定义了5种用户类别：*SECOFR(Security officer)、*SECADM(Security administrator)、*PGMR(Programmer)、*SYSOPR(System operator)和*USER(User)。 -Special authorities：定义用户是否拥有特殊的权限。 -Group profile：定义用户是否属于某一个用户组。 -Owner：如果用户属于某一个用户组，该参数定义谁将拥有该用户所建立的对象，用户还是用户组。 -Group authority：定义对于新建的对象，用户组所拥有的权限。 -Supplemental groups：定义用户是否还属于其他用户组，这里最多可以输入15个用户组。1.5 System Authority Figure 7-7. System Authority There are two types of authority available with the AS/400 system: special authority and specific Authority Specifying Specific Authority for Objects in the Integrated File System Special Authority Figure 7-8. Special Authority Special Authority specifies the types of actions a user can perform on an system resources. The special authorities are: *ALLOBJ (All object) *SAVSYS (Save System) *JOBCTL (Job Control) *SERVICE (Service) *SECADM (Security Administrator) *SPLCTL (Spool Control) *AUDIT (Service) *IOSYSCFG (System Configuration) Specific Authority Figure 7-9. Specific AuthorityObject Authority Specific Authority specifies the operations a user can perform on an object There are 2 types of specific authority to objects: authority to the object itself, which is shown above, and authority to the data within the object which is shown on the next visual. Another specific authority is *EXCLUDE which denies access to an object. The object authorities are: *OBJOPR (Object Operational) *OBJMGT (Object Management) *OBJEXIST (Object Existence) *OBJALTER (Object Alteration) *OBJREF (Object Reference) *AUTLMGT (Authorization List Management) Valid only for authorization list objects Specifying Specific Authority for Objects in the Integrated File System *RWX *RX *RW *WX *R *W *X *EXCLUDE *AUTL *RWX The user are given *RWX authority to the objects. The user are given *RWX authority to perform all operations on the object except those limited to the owner or controlled by object existence, object management, object alter, and object reference authority. The user can change the object and perform basic functions on the object. *RWX authority provides object operational authority and all the data authorities. *RX The users are given*RX authority to perform basic operations on the object, such as running a program or displaying the contents of a file. The user is prevented from changing the object. *RX authority provides object operational authority and read and execute authorities. *RW The user are given*RW authority to view the contents of an object and change the contents of an object. *RW authority provides object operational authority and data read, add, update and delete authorities.*WX The user are given*WX authority to change the contents of an object and run a program or search a library or directory.*WX authority provides object operational authority and data add, update delete, and execute authorities. *R The user are given*R authority to view the contents of an object. *R authority provides object operational authority and data read authority. *W The user are given*W authority to change the contents of an object. *W authority provides object operational authority and data add, update, and delete authority. *X The users are given *X authority to run a program or search a library or directory. *X authority provides object operational authority and data execute authority. *EXCLUDE Exclude authority prevents the user from accessing the object. *AUTL The public authority of the authorization list specified in the AUTL parameter is used for the public authority for the object. Authorities can be displayed via Integrated File System Command. DSPAUT OBJ(/qsys.lib/qaanzlog.file) Figure 7-10. Display Authority-1 F11=Display detail data authorities Figure 7-11. Display Authority-2 在AS/400系统上,用户访问某一对象（Object）或完成某一任务的能力是受其操作系统OS/400控制的，OS/400控制是基于用户对对象或任务的权限（即访问对象或完成任务的能力）。系统权限组成见图7-7，它使用两类权限:特殊权限 （Special Authority ） 和特定权限（Specific Authority ），其中特殊权限与用户描述（User Profile ）相关，控制系统操作，拥有系统范围的作用域，完成一定任务不需要附加对象权限；特定权限与对象相关，控制用户如何访问对象（在用户特殊权限被允许完成任务的情况下）。 特殊权限： 特殊权限共有8种，其含义和功能描述见 图7-12。 Figure 7-12. Special Authority 特殊权限在用户描述中设定，由命令CRTUSRPRF或CHGUSRPRF中的参数SPCAUT指定，当SPCAUT设为 *usrcls，且系统的安全级别在30 级或以上，用户级别（User class）与特殊权限有 图7-13 描述的对应关系。当然对指定用户级别，你可以随意赋予其一种、多种特殊权限或不赋予任何特殊权限。查找用户特殊权限需使用 DSPUSRPRF命令。 Figure 7-13. User Class and Special Authority 特定权限： 特定定权限分为对象权限（Object Authority）和数据权限（Data Authority）见图7-7。对象权限定义对对象整体的操作权限；数据权限定义对对象内部数据的使用权限，10种指定权限的功能描述见 图7-14 。在授权时可以指定其中的一种、几种权限（称为User-defined），或使用系统定义的权限（称为 system-defined）*ALL、 *CHANGE、 *USE、 *EXCLUDE Figure 7-14. Specific Authority 可用GRTOBJAUT或RVKOBJAUT命令授权对象或取消对象权限，通常用WRKOBJ命令完成对对象的各种操作，包括对对象权限操作。要授予或取消一个对象的权限，用户描述必需满足下列条件或其中之一：（1）拥有此对象；（2）拥有特殊权限*ALLOBJ；（3）拥有对象*OBJMGT权限（仅有*OBJMGT权限不允许授予另外一个用户简要表*OBJMGT权限）。特定权限可以通过用户描述或对象查看，分别使用DSPUSRPRF或DSPOBJAUT命令。 1.6 Public Authority Public Authority at Object Creation Figure 7-15. Public Authority at Object Creation Where *PUBLIC Authority Comes from Figure 7-16. Where *PUBLIC Authority Comes from *PUBLIC Authority Figure 7-17. *PUBLIC Authority Public由有权限登录到系统上的任何人组成。Public对应的权限称为公共权限，可以是任何指定的权限，它控制用户对未授权对象的存取，通常在对象建立时生成（CRTxxx命令中的AUT参数的值为对象的公共权限），之后可根据需要修改（用GRTOBJAUT和RVKOBJAUT命令，参数USER设为*public，在参数AUT中设权限)。 公共权限是一种有效保护数据的方式并且能提供好的性能。保留字*ALL、*CHANGE、*USE和*EXCLUDE可被用来授予所创建对象的公共特定权限。*ALL 代表所有对象权限和数据权限；*CHANGE 代表*OBJOPR 和所有的数据权限；*USE代表*OBJOPR、*READ和*EXECUTE权限；*EXCLUDE表示拒绝访问对象及其数据。 当对象被创建时，公共权限由CRT命令的AUT参数所决定，默认值为*LIBCRTAUT。*LIBCRTAUT可向前参考CRTLIB命令的CRTAUT参数。CRTAUT参数指定了在库中创建的对象的默认公共权限。如果CRTAUT的参数值为*SYSVAL，则公共权限的值就是系统值QCRTAUT的值。 例如： CRTLIB LIB(WORK) AUT(*USE) CRTAUT(*CHANGE) CRTPF FILE(WORK/DAILY) AUT(*LIBCRTAUT) 结果文件DAILY的公共权限为*CHANGE。 CRTLIB LIB(APP1) AUT(*USE) CRTAUT(*EXCLUDE) CRTPF FILE(APP1/TRAN1) AUT(*LIBCRTAUT) 结果文件TRAN1的公共权限为*EXCLUDE。 QCRTAUT *CHANGE CRTLIB(CUST) AUT(*USE) CRTAUT(*SYSVAL) CRTPF FILE(CUST/CUST1) AUT(*LIBCRTAUT) 结果文件CUST1的公共权限为*CHANGE。 1.7 Group Profile What is a Group Profile Figure 7-18. What is a Group Profile What is a Group Profile Figure 7-20. Group Profiles A group profile is a special user profile that allows you to assign the same authority for an object to a group of users. Group Profile Example Figure 7-19. Group Profile Example 组描述允许多个用户共享一个公共的描述（Profile），此外，这些用户都有自己的用户描述。用户作为组的一个成员，可以共享公共对象。组中所有成员的权限取决于组描述。对组描述的访问是通过用户的用户描述进行的。如果一个用户的用户描述中已定义了有关权限，则忽略组描述中的权限。通过修改组成员的用户描述可以增加或减少该成员的权限。如图7-19所示，组DEPTA包括两个成员：MICHELLE和CHRIS。成员的权限部分是自身所有的，部分是从组GRPMGRS中得来的。 组的具体实现: 1.先建立组描述（用CRTUSRPRF命令，最好置参数PASSSWORD的值为*NONE）。 2.使用户描述成为组描述的成员，将CRTUSRPRF或CHGUSRPRF命令中的GRPPRF 或SUPGRPPRF参数设置为所建组描述的名称。 3.给组颁发权限，可以使其成员得到相同的权限，当然可以在用户描述中覆盖组 所具有的权限。 使用组描述应注意:组不能是另外一个组的成员；一个用户描述最多能成为16个组描述的成员，第一个必须在参数GRPPRF上指定，可在SUPGRPPRF参数指定另外15个组描述。当一个用户有很多组描述时，所有组中的权限加在一起以决定用户拥有的权限。1.8 Authorization List What is an Authority List Figure 7-21. What is an Authority List? An authorization list is an object (object type *AUTL) that can be used to secure other objects. Authority List Example Figure 7-22. Authority List Example 权限表是一种对象（对象类型是*AUTL），可以用来保护其他对象。对具有类似安全需求的一组对象进行保护，权限表包含用户列表及各用户对权限表保护的一组对象的权限，不同用户对该表保护的对象可有不同的权限。 实现方法： 先建立权限表（用CRTAUT命令）。 权限表与需管理的对象建立连接（用CRTXXX AUT(Auth-list-name)或GRTOBJAUT AUTL(Auth-list-name)命令）。 在权限表中添加用户并设置权限（用ADDAUTLE命令）。 使用权限表应注意以下几点： 权限表不能保护*USRPRF和*AUTL类型的对象，一个权限表可以保护无限量的对象，但一个对象仅能受一个权限表保护。 可以使用权限表定义公共权限。假如公共权限设为*AUTL，对象就从权限表上得到公共权限。 仅仅对象的拥有者或带有*ALLOBJ特殊权限或对对象有*ALL 权限的用户可以增加或从权限表上移去对象。 可以对权限表颁发操作特殊权限*AUTLMGT，带有*AUTLMGT的用户允许增加或移去表上的用户，且改变用户的权限。 仅可以给其它用户相同或比自已少的权限。 对权限表进行操作可用如下命令： CRTAUTL 创建权限表 ADDAUTLE 添加权限表条目 EDTAUTL 编辑权限表 WRKAUTL 处理权限表 图7-22所示例子中，权限表AUTL1的所有者为USER3。权限表保护四个对象：LIBA（*LIB）、LFILEB（*FILE）、PFILEC（*FILE）和PROGD（*PGM）.表中每个用户对四个对象可以有不同的权限，但同一用户对它们有相同的权限。USER5对于权限表AUTL1有管理权限，除此之外其他用户对这些对象没有任何操作权限。 以下是这个例子的实现方法之一： 1.用CRTUSRPRF命令创建用户描述(USER1，USER2，USER3和USER5)。 2.创建权限表，并增加用户及授权。 CRTAUTL AUTL(AUTL1) AUT (*EXCLUDE) ADDAUTLE AUTL(AUTL1) USER(USER1) AUT(*USE) ADDAUTLE AUTL(AUTL1) USER(USER2) AUT(*CHANGE) ADDAUTLE AUTL(AUTL1) USER(USER3) AUT(*ALL) ADDAUTLE AUTL(AUTL1) USER(USER5) AUT(*CHANGE*AUTLMGT) 3.创建对象。 CRTLIB LIB(LIBA) AUT(AUTL1) CRTLF FILE(LFILEB) AUT(AUTL1) CRTPF FILE(PFILEC) AUT(AUTL1) CRTPGM PGM(PROGD) AUT(AUTL1) 1.9 Authorization List versus Group Profile Figure 7-23. Authorization List versus Group Profile Group profile: Many users in the group,each with the same authority as the other,but which may differ object to object as the group profile is authorized. Authorization list: Many users,each of whose authority may be different from the other but it stays the same for every object which is secured by the authorization list. Spend some time on this comparixon between a group profile and authorization list. Example1: GRPPRFAPDEPTGRTOBJAUT OBJ(APFILE1)USER(APDETPT)AUT(*USE) USERS:AP1GRTOBJAUTOBJ(APFILE2) USER(APDEPT)AUT(*CHANGE) AP2 AP3 Resultingauthority:APFILE1APFILE2 AP1*USE*CHANGE AP2*USE*CHANGE AP3*USE*CHANGE Example2: AUTL:PAYLISTGRTOBJAUT OBJ(PAYFILE1)AUTL(PAYLIST) USERS:PAY1*ALL PAY2*CHANGE PAY3*USE Resultingauthority:PAYFILE1PAYFILE2 PAY1*ALL*ALL PAY2*CHANGE*CHANGE PAY3*USE*USE 1.10 Adopted Authority What is Adopted Authority Figure 7-24. What Is Adopted Authority? What is Adopted Authority Adopted authority is a way to give a user the authority to use all objects needed by a program but only while the user is running the program. When not running the program, the user has no specific authority to the objects. Adopted authority: Avoids grants and revokes of authority Temporarily lends a program owners authority to the program user Adopted Authority Example Figure 7-25. Adopted Authority Example 借用权限(Adopt Authority )：有时对一个对象或一个应用，根据具体情况在不同场合用户需要不同权限，需使用借用权限，借用权限给用户临时的使用程序中所需的对象，它是借用程序拥有者的权限给程序的使用者，包括特权和特定权限。能否使用借用权限是由程序决定的。假如在此程序创建时将命令CRTXXXPGM中的参数USRPRF的值设为*Owner或程序创建后用命令CHGPGM将参数USRPRF的值设为*Owner，那么凡是对程序有调用权限的用户，在程序运行期间都可借用程序拥有者的权限。在程序运行中当程序的调用者的权限不够时，系统会检查程序拥有者的权限。 如图7-25所示，虽然USER5无权访问文件FILEX 和 FILEY，当 USER5 运行程序 PROG1，USER5借用PROG1所有者SPVR1的权限，这样就有权访问文件 FILEX 和 FILEY。 使用借用权限应注意以下几点： (1)对象类型为*PGM，*SRVPGM和*SQLPKG的对象有借用权限功能。 (2)用户简要表中所有特殊权限(例如*ALLOBJ)和指定权限都可被借用，假如用户简要表是一个组的成员，则组的权限不能被借用。 (3)仅当用户拥有程序或有*ALLOBJ和*SECADM特殊权限时，才可以改变USRPRF参数的值。 (4)提交作业将不能使用借用权限。 (5)仅当用户、用户组或public对对象完成操作需要的权限不足够时，才查借用权限。 (6)借用权限为满足变化的权限需要提供了一个重要工具，但要小心使用，以防造成安全漏洞。1.11 Authority Checking Figure 7-26. Authority Checking 当一个用户企图对一个对象完成某一操作，系统要检查用户对此操作是否有足够的权限。系统首先检查对对象所在库的权限是否足够；若对库的权限足够，系统进一步检查对对象本身的权限。在权限检查的处理过程中，任何权限发现(即使对需要的操作不足够)，权限检查停止，并且访问被允许或否定。对这个原则，借用权限例外，它可以临时覆盖任何发现的指定权限。 系统检查用户对对象的权限是按照如下流程图进行的：检查用户是否有*ALLOBJ的特殊权限？用户对对象有无特定权限？用户是否在保护该对象的权限表上，表上能否找到相应权限？用户是否为某个组的成员，该组是否有*ALLOBJ特殊权限？组对对象有无特定权限？组是否在保护对象的权限表上？ Public对对象有无特定权限？ Public是否在保护该对象的权限表上？假如有借用权限，必要时系统检查程序拥有者的权限。 总上所述，系统确定用户能否对对象操作，先检查用户的用户描述；仅当用户描述中没有找到相应权限时，才搜索相关的组描述；仅当在用户描述和组户描述中均没有找到相应权限时，才搜索公共权限。 Sign-On过程的权限检查 Figure 7-27. Authority Checking at Sign On 1.12 Object Ownership Object Ownership Figure 7-28. Object Ownership QDFTOWN Figure 7-29. QDFTOWN QDFTOWN 每个对象在创建时就分配了所有者(Owner)。所有者通常是创建对象的用户描述。所有者自动拥有对象的所有权限（*ALL）。安全员(*SECOFR)可对系统上的对象执行和对象所有者相同的功能。 系统通过对象所有者的描述来跟踪谁对对象有权限。这是一个内部功能，并不直接影响用户描述。应该合理规划对象的所有权，使用户描述不致于太大。 保存对象时，对象所有者名称同时也被保存。恢复对象时，如果对象所有者在系统上，对象的所有权也被恢复；否则系统将对象的所有权转移给IBM提供的QDEFOWN (系统默认用户描述)用户描述。一旦所有者描述已经恢复或重建，就可用WRKOBJOWN命令再将所有权转移回来。 如果一个在系统上的对象其所有者和保存媒质的所有者不同，须将RST命令的ALWOBJDIF参数置为*ALL，否则该对象不能恢复。 当分配对象所有权时，请参考如下建议： 避免用IBM提供的诸如QSECOFR 或 QPGMR描述作为应用的所有者。这些描述拥有很多系统对象，并且已经很大。 不要使用组描述作为应用的所有者。 不要将应用的所有权分配给部门经理。 为每个应用创建特别所有者描述，将其密码置为*NONE。 AS/400 系统提供 QDFTOWN (默认所有者)用户描述，因为每个对象都应该有所有者。图7-29是将对象所有权分配给QDFTOWN 用户描述的情况及建议。1.13 Password Changing Password for Dedicated Service Tools (DST) Figure 7-30. Changing Password for Dedicated Service Tools (DST) Recovering Lost Passwords Figure 7-31. Recovering Lost Passwords Three profiles are provided for performing service using DST. They are shipped with standard passwords. CHANGING THESE PASSWORDS IS IMPORTANT FO