Anmelden

View Full Version : Benutzerberechtigung für IFS


Albundy
02-08-16, 13:03
Hallo,

welche Benutzerrechte benötigt ein iSeries Benutzer wenn er aus dem IFS Dateien mit ROBOCOPY in ein Windows-System übertragen möchte? Gibt es schon standardmäßig ein Systembenutzer den ich dafür nehmen könnte? Er sollte außer das Recht auf das IFS zugreifen zu dürfen möglichst wenige bis gar keine weiteren Rechte haben.
holgerscherer
02-08-16, 13:27
Hallo,

welche Benutzerrechte benötigt ein iSeries Benutzer wenn er aus dem IFS Dateien mit ROBOCOPY in ein Windows-System übertragen möchte?

Mhm... Lese-Berechtigung auf Verzeichnis (und evtl ein *X) und darin enthaltene Objekte wäre vermutlich ganz gut... ansonsten LMTCPB(*YES) und INLMNU(*SIGNOFF) - und was sonst noch so an Sicherheit von Vorteil wäre.

-h
Fuerchau
02-08-16, 13:46
Was ist bei euch ein iSeries-Nutzer?
Wenn er noch die AS/400-Anwendungen per 5250 benötigt muss er sich auch anmelden können.
Mit Anmeldung INLMNU(STARTPGM) macht LMTCPB(*YES) Sinn um eine Kommandozeile zu verhindern.
Per INLMNU(*SIGNOFF) ist LMTCPB egal, da man ja nicht auf eine Kommandozeile kommt.
Im IFS reicht die Leseberechtigung (R) für Dateien und Lese-/Ausführungsberechtigung (RX) für Verzeichnisse.
Um Zugriffe per FTP/ODBC zu sperren bedarf es schon etwas komplexerer Objektberechtigungen, am einfachsten wäre hier ein *PUBLIC *EXCLUDE für sämtliche Lib's.
Albundy
02-08-16, 13:56
Es wird keine AS/Anwendung mit 5250 benötigt. Es soll auf einem Windows-Server ein Script ausgeführt werde das im IFS eine Datei abholt und auf dem Windows-Server in ein bestimmtes Verzeichnis legt. Um auf das IFS zugreifen zu können wird eine Anmeldung benötigt. Auf der AS selbst gibt es nur die IBM Q* Benutzer und ein paar SAP Benutzer zur Installation/Wartung etc.. Es sollte also ein Benutzer für den Durchgriff auf das IFS und dort den Ordner TMP sein.
Fuerchau
02-08-16, 14:02
Hierfür ist ein User mit der Klasse *USER ausreichend mit INLMNU(*SIGNOFF). Dies verhindert erst mal eine 5250-Anmeldung.
Über den Netserver musst du dann nur noch eine Freigabe für das Ferzeichnis einrichten.
Wie gesagt, für FTP und ODBC sind weitere Berechtigungen an den einzelnen Lib's erforderlich um diese zu verhindern.
Im Netserver sind ggf. weitere Freigaben eingerichtet die (leider) per Default meist für *PUBLIC ebenso erlaubt sind.
Albundy
02-08-16, 14:15
Ok, werde es so versuchen.

Vielen Dank für die Unterstützung.