0.19 AMO AUTH: администрирование разрешений на исполнение

Функция AMO AUTH может использоваться для изменения, отображения и восстановления разрешений на исполнение, необходимых для выполнения действий AMO.

Действие AMO представляет собой сочетание имени AMO (существительное типа  AMO=APS, AUTH, SCSU, WABE) и глагола действия (типа ACTION=ADD, CHANGE, DEACTIVATE, DELETE, DISPLAY), т.е. DISPLAY-APS, CHANGE-AUTH, DELETE-SCSU, ADD-WABE¹ . Разрешение на исполнение само по себе представляет собой целое число (называемое классом) от 0 до 15² .

С одной стороны, каждое действие AMO соответствует стандартной величине разрешения на исполнение, которое доказало свою относительную адекватность в процессе развития системы Hicom. В целом, классы разрешения более низкого уровня задаются для простых и безобидных действий, а классы более высокого уровня - для более сложных действий. Для соответствия конкретным запросам клиентов эти разрешения теперь могут изменяться посредством новой функции AMO AUTH.

С другой стороны, каждый пользователь получает от системного администратора определенный набор классов разрешений. Тем самым пользователю предлагается вызывать любое действие AMO, класс разрешения для которого присутствует в предоставленном ему наборе.

Действие CHANGE-AUTH управляет одним действием AMO, тогда как действия DISPLAY-AUTH и REGENERATE-AUTH могут обеспечить информацию о более чем одном действии AMO в том случае, если имя AMO (AMO) и глагол действия (ACTION) не указаны в составе команды. Для случаев DISPLAY-AUTH и REGENERATE-AUTH можно также ограничить выходные данные теми действиями AMO, класс разрешения которых отличается от стандартных опций (TYPE=DELTA). Более того, вместо текущих опций можно разрешить использование стандартных опций для данного класса (TYPE=STD). Это должно упростить сброс обычных опций для данного класса.

Использованию AMO AUTH также способствует использование глаголов действия (ACTION), сокращенных до 2-4 первых букв при условии их однозначной идентификации в рамках всех возможных глаголов действий³ .

0.19.1 Ограничения

Данное описание действительно для версий системы начиная с SP300-E V3.0.

0.19.2 Взаимосвязи

(Данные отсутствуют)

0.19.3 Функции AMO

CHANGE-AUTH	:	Изменение разрешения на исполнение, заданное для действия AMO. Класс: 10
DISPLAY-AUTH	:	Отображение разрешения на исполнение в форме таблицы. Класс: 0
REGENERATE-AUTH	:	Воспроизведение разрешений на исполнение в форме команд CHANGE-AUTH. Класс: 2

0.19.3.1 CHANGE-AUTH

Действие CHANGE-AUTH может использоваться для изменения разрешений на исполнение действий AMO.

В принципе, класс, заданный для действия AMO, может находиться в пределах между 0 и 15⁴, но подобное изменение может быть осуществлено лишь в том случае, если пользователь, задающий данную команду, имеет отношение к соответствующему классу (кроме случая соответствия классу 10, который требуется хотя бы для вызова команды CHANGE-AUTH ).

Кстати, обычный (стандартный) класс может быть восстановлен с помощью команды CHANGE-AUTH после получения соответствующего значения с помощью команды DISPLAY-AUTH: <amo>,<aktion>, STD;.

Примечание: Разрешение на исполнение для действий CHANGE-AUTH, DISPLAY-AUTH, REGENERATE-AUTH данного AMO также может изменяться.

Краткое описание процедуры

CHANGE-AUTH

 AMO=<последовательность>,ACTION=<последовательность>,CLASS=<номер>;

Пример:

Задание разрешения на исполнение для действия CHANGE-USER на уровне класса 5:

CHANGE-AUTH:USER,CHANGE,5;   or simply    CH-AUTH:USER,CH,5;

0.19.3.2 DISPLAY-AUTH

Действие DISPLAY-AUTH может использоваться для отображения классов разрешений, заданных для различных действий AMO. Выходные данные при этом имеют вид таблицы со следующими тремя столбцами: Имя AMO, Глагол действия и Класс разрешения.

Для управления типом выходных данных имеется дополнительный параметр, называемый TYPE, значение которого по умолчанию обеспечивает вывод на экран текущего заданного класса (TYPE=ALL) без ограничений набора перечисленных действий AMO. Можно также задать отображение стандартных для данного класса назначений вместо текущих (TYPE=STD) без ограничения набора перечисленных действий AMO.

Более того, выходные данные могут быть ограничены теми действиями AMO, класс разрешения по которым отличается от стандартного значения (TYPE=DELTA). Не следует удивляться тому, если в данном случае никакие данные не появятся - это будет означать лишь то, что все действия AMO теперь соответствуют классу разрешения по умолчанию.

Параметры  AMO и ACTION также не являются обязательными. Если параметр AMO не указан, все AMO будут обработаны и перечислены вместе с соответствующими действиями. Если же не указан параметр ACTION , будут перечислены все действия соответствующих AMO. Если же родственные параметры заданы, выдается ровно одна строка⁵ с именем AMO, глаголом действия и соответствующим классом разрешения.

Внимание: Считывание данных с жесткого диска и их последующая обработка могут занять до двух минут.

Краткое описание процедуры

DISPLAY-AUTH

[AMO=<последовательность>],[ACTION=<последовательность>],[TYPE=<параметр>];

Примеры:

1. Отображение текущего класса разрешения для действия AMO ADD-USER:

Входные данные:

DISP-AUTH:USER,ADD;

or  DISP-AUTH:USER,ADD,ALL;

2. Отображение стандартного класса разрешения для действия AMO ADD-USER:

DISP-AUTH:USER,ADD,STD;

3. Отображение текущих классов разрешений для всех действий AMO USER:

DISP-AUTH:USER;⁶

4. Перечень действий AMO USER, текущий класс разрешения которых отличается от соответствующего стандартного класса разрешения:

DISP-AUTH:USER,,DELTA;

5. Отображение текущих классов разрешений для действий ADD всех AMO, для которых приемлемо такое действие:

DISP-AUTH:,ADD;⁷

6. Перечень тех действий ADD всех возможных AMO, текущий класс разрешения которых отличается от стандартного класса разрешения для этих действий:

DISP-AUTH:,ADD,DELTA;

7. Отображение стандартного класса разрешения для действий ADD всех возможных AMO, для которых возможно такое действие:

DISP-AUTH:,ADD,STD;

8. Отображение классов разрешений всех возможных действий AMO:

DISP-AUTH;⁸

9. Перечень тех действий всех возможных AMO, текущий класс разрешения которых отличается от стандартного класса разрешения для данного действия:

DISP-AUTH:,,DELTA;

10. Отображение всех стандартных классов разрешений:

DISP-AUTH:,,STD;

0.19.3.3 REGENERATE-AUTH

Действие REGENERATE-AUTH может использоваться для воспроизведения в повторяемой форме классов разрешений, задаваемых для различных действий AMO. Выходные данные включают команды CHANGE-AUTH для предпринятых действий AMO.

Для управления типом выходных данных, имеется дополнительный параметр, называемый TYPE, опция которого по умолчанию для действия REGENERATE-AUTH ограничивает выходные данные теми действиями AMO, класс разрешения которых отличается от его стандартного значения (TYPE=DELTA). В общем случае этого достаточно для восстановления предыдущего состояния после модернизации системы или использования программного обеспечения для восстановления только разрешений, которые были изменены по отношению к их стандартным величинам. Не следует удивляться тому, если в данном случае никакие данные не появятся - это будет означать лишь то, что все действия AMO теперь соответствуют классу разрешения по умолчанию.

Как и прежде, символы ALL и STD относятся к параметру TYPE: задание TYPE=ALL обеспечивает воспроизведение текущих назначений класса разрешения без ограничений, тогда как TYPE=STD обеспечивает воспроизведение стандартных опций класса разрешения без учета их текущего состояния.

Параметры AMO и ACTION также являются дополнительными. Если не задан параметр AMO, все AMO будут обработаны, а соответствующие действия воспроизведены. Если не указан параметр ACTION, будут воспроизведены все действия соответствующих AMO. Если заданы оба параметра, будет сгенерирована ровно одна ⁹ строка в виде команды CHANGE-AUTH, содержащей имя AMO, глагол действия, а также соответствующий класс разрешения.

Внимание: Считывание данных с жесткого диска и их последующая обработка могут занять до двух минут.

Краткое описание процедуры

REGENERATE-AUTH;

[AMO=<последовательность>],[ACTION=<последовательность>],[TYPE=<параметр>];

Примеры

Приведенные для DISPLAY-AUTH примеры можно с успехом повторить и здесь. Единственное отличие состоит в том, что для REGEN-AUTH задание по умолчанию будет TYPE=DELTA вместо TYPE=ALL.

1. Воспроизведение текущего класса разрешения для действия AMO ADD-USER:

REGEN-AUTH:USER,ADD,ALL;

2. Воспроизведение классов разрешения только для тех действий AMO USER, класс разрешения которых отличается от соответствующего стандартного класса разрешений:

REGEN-AUTH:USER;

3. Воспроизведение команд CHANGE-AUTH, необходимых для задания классов разрешения с их опциями по умолчанию для действий ADD всех AMO, включающих подобное действие:

REGEN-AUTH:,ADD,STD;

4. Воспроизведение всех заданий классов разрешений для всех действий AMO, для которых эти разрешения были изменены по отношению к их стандартным опциям:

REGEN-AUTH;

0.19.4 Описание параметров

0.19.5 Подсказки и сообщения об ошибках

0.19.5.1 Сообщения об ошибках

F01

AMO <существительное> НЕ СУЩЕСТВУЕТ.

F02

ДЕЙСТВИЕ <глагол> НЕ ЗАДАНО ДЛЯ AMO <существительное>.

F03

ВЫ НЕ МОЖЕТЕ ЗАДАТЬ КЛАСС =<val>. ВЫ УПОЛНОМОЧЕНЫ ПРИСВОИТЬ 

AMO ТОЛЬКО ТОТ КЛАСС, КОТОРЫМ РАСПОЛАГАЕТЕ (КАК ПОЛЬЗОВАТЕЛЬ).

F04

ИСПОЛНЕНИЕ НЕВОЗМОЖНО, В РАЗРЕШЕНИИ ОТКАЗАНО.

F05

ОШИБКА ДОСТУПА; КОД ОШИБКИ DMS: <val>

F06

ВЫПОЛНЕНИЕ НЕВОЗМОЖНО ИЗ-ЗА НЕДОСТАТОЧНОСТИ ПАМЯТИ.

0.19.5.2 Подсказки

H01:

КЛАСС АВТОРИЗАЦИИ ДЕЙСТВЯ <глагол>-<существительное>

ИЗМЕНЕН С <oclass> НА <nclass>.

H02

ИЗВЛЕЧЕНИЕ ДЕЙСТВИЙ AMO С ИЗМЕНЕННЫМ НАЗНАЧЕНИЕМ КЛАССА 
(TYPE=DELTA) МОЖЕТ ЗАНЯТЬ ДО ДВУХ МИНУТ. ПОЖАЛУЙСТА, ПОДОЖДИТЕ.

¹ Синтаксис вызова предполагает помещение глагола перед существительным с добавлением тире между ними

²Классы 11-15 зарезервированы

³Программа выбирает первый глагол в том случае, если сокращение слишком коротко для однозначной идентификации.

⁴ Как уже было упомянуто, классы 11-15 зарезервированы

⁵ При TYPE=DELTA, по меньшей мере один

⁶ или DISP-AUTH:USER,,ALL;

⁷ или DISP-AUTH:,ADD,ALL;

⁸ или DISP-AUTH:,,ALL;

⁹ При TYPE=DELTA, по меньшей мере один