Поведение доступа к набору данных RACF

Question

Если для набора данных определен дискретный профиль, а также подпадает под общий профиль набора данных, какое правило доступа применяется?

Например, существует отдельный набор данных A.B.C с доступом ALTER, определенным для пользователя A. Существует также общий профиль набора данных A.B. ** с доступом READ, определенным для пользователя B.

Сможет ли пользователь B прочитать набор данных A.B.C?

Answer 1

Если набор данных защищен как общим профилем, так и дискретным профилем, дискретный профиль устанавливает уровень защиты для набора данных. Если набор данных защищен несколькими универсальными профилями, самый специфический общий профиль устанавливает уровень защиты для набора данных.

С Выбор между дискретным и общим профилями . Эта публикация предназначена для версии 2.1, но я думаю, что она будет распространяться и на версии 2.2 и 2.3.

Другими словами, вы можете использовать общий профиль для A.B. *, чтобы ограничить доступ для пользователя и в то же время создать отдельный профиль для предоставления доступа для A.B.C.

Answer 2

Поскольку для A.B.C определен отдельный профиль набора данных, этот профиль будет использоваться для проверки доступа. Если для B необходим доступ, то B также необходимо каким-то образом разрешить доступ к профилю дискретного набора данных. Это только из экспериментов, но документация IBM по марке RACHECK намекает на такое поведение при обсуждении параметра GENERIC.