AS400 初级培训

DominoForAS/4001AS/400初级培训AS/400系统管理课程大纲：第一章系统安全性第二章工作管理第三章假脱机管理第四章系统备份和恢复DominoForAS/400-2-DominoForAS/400-3-第一章系统安全性系统安全性是由操作系统提供的一系列保护措施。使系统管理员能够保护和控制系统设备、数据、程序等资源的使用，并且能够防止偶然事故或者蓄意破坏的发生。系统安全性的基本内容包括：物理安全性安全级别用户特征文件（UserProfile）用户级别联机安全（SignOn）资源安全1.1物理安全性物理安全性主要保护设备及介质不受损伤和破坏。采取的措施之一是，在系统控制板上，使用锁开关可以限制系统的使用。锁开关共有四个位置：手动（Manual）、常规（Normal）、自动（Auto）及安全（Secure）。DominoForAS/400-4-下表显示每个锁联位置可以做哪些操作。操作手动常规自动安全手动装入系统可否否否自动装入系统可可否否手动控制功能可否否否自动操作如运行IPL否可可否终端上用关闭系统命令(PWRDWNSYS)关闭系统可可可可用电源开关给系统下电可否否否用电源开关给系统上电可可否否系统初始程序装入可否否否选择装入不同的系统可否否否执行专用服务工具功能可否否否注意：仅在装入系统时，选择不同初始程序装入方式，或者使用专用工具时使用锁的手工位置。上述四个位置，钥匙可从锁孔中拿出来，并且保持锁的原位。选择你所要求的位置并且拿走钥匙。为防止用户手动给系统下电，建立将形状定在“常规”位。1.2安全级别新装OS/400是没有口令和资源安全的管理。这意味着任何用户可以使用任何资源。因此，用户应该首先通过命令CHGSYSVAL或WRKSYSVAL修改系统值QSECURITY，然后做一次系统初始程序装入（IPL）。DominoForAS/400-5-下表比较了系统的不同安全级别。功能级别10级别20级别30级别40进入系统需要用户名是是是是进入系统需要口令否是是是激活口令安全管理否是是是激活资源安全管理否否是是激活菜单及初始程序安全管理否是是是可存取任何目标是是否否用户特性文件自动生成是否否否在系统监测日志中记录那些使用不支持的界面来存取目标的所有程序是是是是在系统监测日志中记录那些被限制编译的程序指令是是是是使用未支持的界面来存取目标的程序在运行时失败否否否是1.3用户特征文件用户特征文件（*USRPRF）是安全管理的一个重要部分，它是用来验明用户是否能进入系统，以及进入系统后可以使用哪些系统资源。用户特征文件只能由用户级别为安全管理官员（*SECOFR）或安全管理员（*SECADM）的用户建立或修改，使用命令CRTUSRPRF或CHGUSRPRF。用户特征文件中包含了有关用户的所有操作信息，主要几项信息包括：USRPRF特征文件名即用户标识（USERID），长度为10个字符。PASSWORD口令，一般设置与*USRPRF一样，再由用户自行修改，长度为10字符。STATUS状态，只有在*ENABLED状态下，特征文件才生效。USRCLS用户级别，共5个级别，从低到高依次为:用户、系统操作员、程序员、安全管理员和DominoForAS/400-6-安全管理官员。CURLIB当前库，指定系统搜索目标的第一个库。INLPGM初始程序，当进入系统时，可以指定一个要调用的程序名。LMTCPB限定能力，*YES选择可以限制用户使用菜单和命令行的能力。MSGQ信息队列，缺省值*USRPRF，如果使用别的信息队列，则事先要建立。DLVRY信息传递方式，共有四种：当信息队列收到信息时，*NOTIFY作业被提示;*BREAK作业被中断;*HOLD信息被挂起;*DFT回答信息使用缺省值。OUTQ输出队列，最好每个用户指定一输出队列，需要事先建立。1.4用户级别用户级别决定用户能使用哪些控制功能和菜单选择。下表显示系统缺省特殊权限。SpecialAuthorityforLevel30oraboveUserClassALLOBJSECADMSAVSYSJOBCTLSERVICESPLCTLSECOFR******SECADM***PGMR**SYSOPR**USERNOspecialauthority其中：*ALLOBJ有权使用所有的系统目标。*SECADM有权使用安全管理功能，建立和修改用户特征文件。*SAVSYS有权使用备份和恢复功能。*JOBCTL有权使用作业控制功能，包括输出队列、打印和子系统。*SERVICE有权使用服务功能。*SPLCTL有权使用假脱机控制。DominoForAS/400-7-1.5联机安全用户登录系统，必须在联机（SignOn）画面上，输入正确的用户标识和口令。联机画面上还可以指定调用的程序名、菜单名和当前库名。修改口令使用命令CHGPWD。注册系统时，有关口令的限制，在系统中具有多项说明（全部具有SEC类型）：QLMTDEVSSN：决定用户是否可以在多个终端上登录。QMAXSIGN：决定用户无效登录的最大次数，最大为*NOMAX。QMAXSGNACN：当无效登录达到最大次数时，系统应采取的行动，使设备或用户特征文件或两者变为无效。QPWDEXPITV：决定口令有效的最大天数，最大为*NOMAX。QPWDMINLEN：决定口令中字符的最小个数。QPWDMAXLEN：决定口令中字符的最大个数。QPWDRQDDIF：决定新口令是否不同于前几个口令。1.6资源安全资源安全管理主要针对系统目标而言，保证只有授权用户才可以使用。如库、文件、程序、设备等。系统权限分为两个主要类型：特殊权限和指定权限。特殊权限是由用户特征文件来定义的；指定权限则允许用户对系统目标指定操作。指定权限使用命令：GRTOBJAUT来授权，使用RVKOBJAUT来收回权限，或者使用命令EDTOBJAUT编辑权限。DominoForAS/400-8-下图大致表示系统中权限的类型：SystemAuthoritySpecialPrivate*EXCLUDE*ALLOBJUser-DefinedSystem*SECADMDefined*SAVSYS*ALL*JOBCTLObjectDataAuthorityAuthority*CHANGE*SERVICE*USE*SPLCTL*OBJOPR*READ*OBJMGT*ADD*OBJEXIST*UPD*AUTLMGT*DLT用户定义的权限集包括：目标权限*OBJOPR操作权限，允许察看目标描述；*OBJMGT管理权限，允许定义目标安全权限，重命名目标，以及增加数据库文件成员；*OBJEXIST存在权限,允许控制目标存在,删除目标,释放空间,备份及恢复。*AUTLMGT权限表管理。允许在一个权限表上增加和删除用户及其权限。数据权限*READ读权限，允许显示目标内容或运行一个程序；*ADD增加权限，允许对目标增加项目;*UPD修改权限，允许修改目标中的项目；DominoForAS/400-9-*DLT删除权限，允许从目标中删除项目。系统定义的权限集包括：*ALL提供对目标的所有目标权限和数据权限；*CHANGE提供对目标的操作权限和所有数据权限；*USE提供对目标的操作权限和数据读权限；*EXCLUDE拒绝对目标的任何访问和操作。下表显示系统定义与用户定义之间的关系。System-DefinedAuthorityAuthorityObjectOPRMGTEXISTDataREADADDUPDDLT*ALL********Change******Use***ExcludeNoauthorityDominoForAS/400-10-第二章工作管理工作管理是控制系统完成所有的工作，它支持系统操作，控制应用程序资源，完成每日工作负荷。OS/400一安装，就包含了所有交互式和批处理的工作管理环境。同时，系统还允许用户对工作管理环境进行剪裁，或者创建自己的工作管理环境。本章从以下几个方面对工作管理作一个简介。工作管理结构子系统作业2.1工作管理结构简单地讲，工作管理的功能就是完成工作的处理，包括工作进入、工作处理和工作退出，从而确定工作从哪里进入，工作分配什么资源和在哪里处理，以及工作从哪里退出系统。下图显示工作管理所包含的目标及其关系。DominoForAS/400-11-OS/4001系统系统值与网络属性子系统2子系统描述作业3子系统属性路径选4择步骤工作作业项目描述路径选择类别项目程序11系统值和网络属性是影响系统如何操作的控制值。系统装运时，系统值被设定为默认值。日期、时间、控制子系统描述的名称与系统最大活动级即是系统值的例子。网络属性亦适用于本地系统，但决定系统如何在系统网络中工作。网络属性包含报警状态、系统名称和目标分配所使用的默认信息队列。这些值可由用户更改，以更改系统操作。2子系统是已预先定义的操作环境，通过子系统，系统协调工作流程与资源使用。系统可包含数个子系统，其所有的操作是相互独立的。而子系统则共享资源。子系统运行时间的特性是被定义于称为子系统描述的目标中。它定义在子系统中运行的作业以及是否是以成批或交互式运行。系统可依子系统描述名称辨识子系统。依用户处理情况之需求，可自行建立子系统描述或利用IBM所提供的子系统描述。DominoForAS/400-12-3在子系统中运行的每一件工作称为作业。每一个作业代表使用此系统的处理措施的标识序列。在子系统描述中，工作项目可识别出一作业在子系统内开始运行的地方。此地方即指作业的出处，例如，工作站或作业队列。子系统读取与每一作业有关的作业描述，以决定作业的属性。这包括库列表、信息记录层次、作业队列、路径选择数据、分配或默认的打印机、输出优先权与用户简要表。4作业是依照一个或多个连续不断的路径选择步骤在系统中获得处理，且由子系统描述中的路径选择项目来识别。2.2子系统子系统是完成工作管理所必需的环境。OS/400可以包含一系列的子系列，以及所有子系统的独立运行，并共享系统资源。每个子系统可以运行一种操作，或者设计成运行多种操作，系统允许由用户任意决定子系统数量，以及它们处理何种工作。系统自动启动的子系统可以包括：（使用命令WRKSBS看到）QCTL是控制子系统，它自动地启动QINTER、QBATCH、QCMN、QSPL等子系统；QINTER是交互式子系统，它支持所有交互式作业处理，如工作站管理；QBATCH是批处理子系统，它支持所有后台提交的批作业处理；QCMN是通信子系统，它支持所有通信协议的通信作业处理；QSPL是假脱机子系统，它支持阅读器及写出器（Writer）作业，用于假脱机作业。子系统的定义是由子系统描述完成的，子系统描述是系统的一种目标，它包括了所提供的环境信息，其信息类别如下：子系统属性，包括存储池定义、最大作业数、注册画面。工作入口，包括自启动作业入口、工作站入口，作业队列入口、通讯入口、预启动作业入口。DominoForAS/400-13-路由入口，提供了关于子系统中启动作业的信息，按照一个路径选择表决定调用的系统程序。2.3作业系统中的每一件工作称是为一个作业，每个作业都有唯一的作业名，作业可以从任何一个工作入口进入子系统，所有作业都必须在某个子系统中运行。作业具有两种基本类型：交互式作业和批处理作业。交互式作业发生在用户登录，或者输入命令、使用功能键、运行程序等与系统交互对话的情况。批处理作业则发生在用户向作业队列提交作业，或者从自启动、通讯和预启动入口进入子系统，或者编译提交的假脱机作业及系统启动作业。每个作业都有唯一的限定作业名，由三部分组成：作业名、用户号和作业号。对于交互式作业，作业名与登录的工作站名相同，用户名即是用户登录名；对于批处理作业，作业名使用缺省名或用户自定义，用户名使用登录名或用户自定义。作业号则是完全由系统分配给作业的唯一编号。每个作业都有一组属性，这些属性是由作业描述来定义的，多个作业可以指定一个作业描述，作业描述也是系统的一种目标。下