FTP contra ODBC

[Fuerchau]

@Dieter
Die klassischen Anwendungen arbeiten mit dem normalen Objektschutz der AS/400 ganz gut. Da gibts auch kein *PUBLIC *ALL sondern meistens das Gruppenprofil.
Da aber die Anwendung selber die Objektberechtigung benötigt stehen die Dateien den meisten Usern eben auch per FTP/ODBC zur Verfügung.
Sicherlich kann ich Anwendungen mit dem OWNER-Trick schützen, aber wer macht das schon.

Und was die Client-Software angeht so gibt es da schon simple ODBC-Treiber und bei Java sogar kostenlose.

Und genau DAGEGEN kann ich mich etwas besser über REGINF-Klamotten schützen.

[Fuerchau]

Achja wie heists da nochmal ?

Wer nach allen Seiten offen ist, kann nicht ganz dicht sein !

[DVE]

Fuerchau ist wieder schneller. Die Produzenten der Software versprechen jeden neuen Exitpoint (REGINF) zu bedienen, damit sind sie auf jeden Fall schneller als der Heimprogrammierer.
Argumente gegen diesen Schutz sind "selbstbetrug", denn selbst mit *PUBLIC *EXCLUDE kommt man nicht mehr weiter. Das beste Beispiel liefern zur Zeit unsere Javaprogrammierer deren Javaprogramme gegen eine Wand laufen, weil die Javaprogramme mit der iSeries Berechtigung nicht klar kommen. Also wieder zurück auf los und die Berechtigung lockern ?? Aber dann kann jeder die Daten 'runterladen .. also zusätzlich zum iSeries Objektschutz die hier angesprochene Software zur Bedienung der REGINF.

Gruß
DVE

[Fuerchau]

Und zumindest zu PCSACC/400 kann ich sagen, dass gerade hier neue AccessPoints sofort bedient werden, da zwischen dem Hersteller und IBM PreReleases ausgeliefert und getestet werden.
Mit offizieller Einführung des V5R4 war PCSACC/400 für V5R4 bereits verfügbar.

[srcdbgr]

Und zumindest zu PCSACC/400 kann ich sagen, dass gerade hier neue AccessPoints sofort bedient werden, da zwischen dem Hersteller und IBM PreReleases ausgeliefert und getestet werden.
Mit offizieller Einführung des V5R4 war PCSACC/400 für V5R4 bereits verfügbar.

@fuerchau:
Ist ja auch kein Wunder ... Herr Busch hat exzellente Kontakte zur IBM. Soweit ich weiss, hat er PCSACC/400 begonnen, als er noch bei der IBM áls Programmierer beschäftigt war.

[BenderD]

Hallo,

hier wirds zwar ein wenig OT, aber...
Java sollte grundsätzlich mit einem Connection Pool arbeiten und dann sind wir bei einem Applikations User und Kontrolle in der Applikation angelangt.

zum Thema fällt mir nochwas ein: ODBC lässt sich über ein View Layer schützen, was bei FTP nicht geht, das ist a) ein Vorteil gegenüber FTP und dieser Weg macht auch b) in vielen Fällen die REGINF Work arounds überflüssig.

Dieter Bender,

der Placebos im Bereich der Medizin für gesünder als pharmakologische Alternativen hält, wenn diese auch dort manchmal nicht mehr als Security technische Pendants helfen.

Fuerchau ist wieder schneller. Die Produzenten der Software versprechen jeden neuen Exitpoint (REGINF) zu bedienen, damit sind sie auf jeden Fall schneller als der Heimprogrammierer.
Argumente gegen diesen Schutz sind "selbstbetrug", denn selbst mit *PUBLIC *EXCLUDE kommt man nicht mehr weiter. Das beste Beispiel liefern zur Zeit unsere Javaprogrammierer deren Javaprogramme gegen eine Wand laufen, weil die Javaprogramme mit der iSeries Berechtigung nicht klar kommen. Also wieder zurück auf los und die Berechtigung lockern ?? Aber dann kann jeder die Daten 'runterladen .. also zusätzlich zum iSeries Objektschutz die hier angesprochene Software zur Bedienung der REGINF.

Gruß
DVE

[DVE]

@ Dieter: Was meinst du mit OT ??
Gruß
DVE

Placebos helfen in der Regel nur wenn man nicht weiß, dass es Placebos sind.

[Fuerchau]

OffTopic !

Gerade das mit dem ApplikationsUser (feste Anmeldung mit einem internen Profil und Kennwort) gestaltet sich gerade bei Java-Anwendungen als schwierig, da viele Aktionen mit dem DB-Register "Current User" geregelt werden. Arbeiten nun alle unter dem selben User gibts schon Probleme (z.B. Applikations-Berechtigung auf User-Ebene), insbesonder bei einer späteren vom Betriebsrat ungern gesehenen Journal-Auswertung (naja, der Betriebsrat fände die Idee wieder Klasse) sowie dem User-gesteuerten Accounting (Account-Codes im User-Profil).

Solange ich reine 5250-Anwendungen habe kann ich mit dem AppUser (Owner-Trick) ganz gut arbeiten.
Bei ODBC funktioniert das leider nicht mehr oder ich machs auf die ganz harte Tour:

Zugriffe ausschließlich mittels SQL-Prozeduren, die wiederum unter Owner (AppUser) laufen.
Native DB-Zugriffe sind dann natürlich verboten.
Charmanter Vorteil: es gibt nur zugelassene und performante Zugriffe und keinen Wildwuchs

Aber ehrlich, wer designed so eine Anwendung ?

[Fuerchau]

@DVE

Du kannst hier ruhig Namen nennen. Welches Produkt hast du genommen, da es wohl nicht PCSACC/400 ist ?

[DVE]

Ich wollte keine Reklame machen, Mama sollte sich selbst ein Bild machen. Wir haben BSafe gekauft. PCSACC/400 habe ich vor ein paar Jahre bei einer Livepräsentation gesehen und es war "das Grauen". Ich hoffe, es ist heute besser handlebar.

In bezug auf Java stehen wir hier so ziemlich am Anfang und die bisherigen Vorschäge aus der Javafraktion sind "schrecklich". Benutzer-Id und Kennwort (ein Superuser für den "aktuellen Benutzer") in einer IFS-Datei hinterlegen oder gleich *ALL Berechtigung für alle Anwender.
Es bleibt auf jeden Fall spannend.

Gruß
DVE

[BenderD]

<KALAUER>
Papa auch!
</KALAUER>

Was da Java angeht, da gibt es bewährte Wege mit einem zentralen Connection Pool zur Datenbank, ob man dann einen Appserver dazwischen hat, oder einen Object Relational Mapper, das ist auch ein Stück Geschmacksache; aber mit jeder darf alles, das sieht doch sehr selbstgestrickt und nach RPG aus...

mfg

Dieter Bender

Ich wollte keine Reklame machen, Mama sollte sich selbst ein Bild machen. Wir haben BSafe gekauft. PCSACC/400 habe ich vor ein paar Jahre bei einer Livepräsentation gesehen und es war "das Grauen". Ich hoffe, es ist heute besser handlebar.

In bezug auf Java stehen wir hier so ziemlich am Anfang und die bisherigen Vorschäge aus der Javafraktion sind "schrecklich". Benutzer-Id und Kennwort (ein Superuser für den "aktuellen Benutzer") in einer IFS-Datei hinterlegen oder gleich *ALL Berechtigung für alle Anwender.
Es bleibt auf jeden Fall spannend.

Gruß
DVE

[DVE]

@ Dieter, jetzt wird es wirklich OT.
Ne kein RPG sondern <KALAUER> "naives" </KALAUER> Java .. Denn ich habe das Gefühl, dass unsese Javafraktion einen guten Teil ihrer Programme aus dem Internet heruntengeladen hat und froh ist, dass sie halbwegs vernünftig funktionieren.

Gruß
DVE

PS
wirklich Betriebsrat ??