Hallo *all,
meinem Chef ist heute aufgefallen das mit Exel und Co die Leute in der Lage sind alle Daten aus unserem ERP System auszulesen was im nicht gefällt, da ja nicht nur die Daten vom z.B. des Lagers auszulesen sind sondern auch evtl die Daten der Fibu.
Im ERP-System ist das dadurch geblockt das z.B. die Masken für den User kein Fibu anbieten und daher die Leute auch nicht darauf zugreifen können.
Auf ODBC Ebene kann ich die Sachen ja nicht blocken.
Was kann ich tun?
Z.B. für die einzelnen PF-Files exklusive Rechte setzen oder habe ich noch andere Möglichkeiten?
Es wurde ja schon mal gesagt das ich die ODBC-Job im eigenen Subsystem laufen lassen kann. Hätte ich darüber die Möglichkeit den Zugriff feiner zu steuern oder habe ich mit ODBC ein Scheunentor was ich nicht mehr zubekomme?
Muß mir leider was einfallen lassen den Leuten nur die benötigten Dateien zukommen zu lassen und nicht alle.
Wäre z.B. die Möglichkeit gegeben eine Bib mit LF-Files anzulegen wo die User mit ODBC zugreifen können und ie Hauptbib wo alle Daten liegen vor ODBC-Zugriff zu schützen?
Bin wie schon gesagt ganz am Anfang und muß meinen Chef am Montag Vorschläge machn.

Für Hinweise dankbar.

GG

Auf ODBC Ebene kann ich die Sachen ja nicht blocken.

Doch, mit der richtigen Sicherheits-Software geht das auch auf ODBC- resp. SQL-Ebene. Du kannst Dir das auch gern selbst via ExitPoints programmieren, aber das ist eine schei* Arbeit.

Anderenfalls müsstest Du über logische Files und einem ausgefeilten Berechtigungsmodell gehen.

-h

wenn du kein Berechtigungsmodell erstellen möchtest, müsstet ihr aber auch andere Kommunikationswege sperren (FTP)

Die aufwändigste Lösung ist ein Berechtigungskonzept.

Die Daten-Lib's werden für *PUBLIC *EXCLUDE gesperrt.
Es muss ein sog. Application-User erstellt werden (ohne Anmeldung), der die ausschließlichen Rechte erhält.

Alle Programme, die auf die Daten zugreifen müssen als Eigner den Application-User bekommen und zur Laufzeit diesen Eigner erben (CHGPGM).

Für explizite ODBC-Zugriffe können dann Lib's mit entsprechenden Views (nicht LF's!) eingerichtet werden.
Diese Views können dann die Daten z.B. auch vorselektieren.

Probleme wird es sicherlich geben, wenn User mit WRKQRY o.ä. umgehen.

Die etwas teurere Lösung ist tatsächlich der Einsatz einer Sicherheitssoftware wie z.B. PCSACC/400_BUSCH&PARTNER, SOFTWARE (http://www.pcsacc400.de/).

Hier kannst du auf vielen Ebenen die Kontrolle durchführen.

Schließlich sollen ja die 5250-Anwendungen weiterlaufen und hierzu benötigt jeder User nun mal die Datenrechte.

Hallo,
danke für die Hinweise.

GG

Hallo,
gibt es neben der Busch&Partner Software sonst noch empfehlenswerte Produkte?

GG

Ehrlich gesagt: Nein.

Es gibt zwar andere Produkte, die eingeschränkt bestimmte Zugriffe überwachen können, die sind aber alle nicht so weit wie PCSACC/400.
H.Busch steht im engsten Kontakt mit der IBM-Entwicklung. Testet sein Produkt bereits auf OS/400-Versionen, die noch gar nicht ausgliefert sind.

Beispiel SQL:
Ein SQL-Befehl kann bis zu 65Kb groß werden und eine Vielzahl von Tabellen enthalten.
Zusätzlich kann man aber SQL-Zugriffe per OVRDBF umlenken. Die Überwachung der Umlenkung kann eigentlich keiner, so dass hier aus nicht erlaubten Zugriffen erlaubte gemacht werden können.

Überwachungen:
Zugriffe auf IFS, per FTP usw.
Aufruf von Befehlen per CALL QCMDEXC.

Zugriffe per OPEN durch DRDA/CLI/Query/STRSQL, DDM, DTAQ, SBMRMTCMD, NETDATA, QM-Query, PHP.

Zugriff auf IFS /QSYS.LIB, Prüfen auf IFS-Verzeichnisauflistungen, Kontrolle von Eingangs-IP-Adressen.

Benutzer und Gruppen-Einstellungen.

Desweiteren gibt es einen Testmode in dem man die Aufzeichnung der Zugriffe betreibt und dann relativ schnell daruas die Zugriffsrechte erstellt.
Auch im Echtmode kann man aus abgewiesenen Zugriffen Berechtigungen erteilen.

Meine Erfahrungen diesbezüglich sind sehr gut und der Support ist hervorragend.