FTP --> IFS Rechte

[Fuerchau]

Gibts ggf. in QSYSOPR des Zielsystems einen Hinweis ?
Versuche es mit GROSSBUCHSTABEN !

Ggf. ist ein Zugriffsschutz auf dem Zielsystem installiert ?

[Sven Schneider]

Zwei Möglichkeiten :

- mit WRRKREGINF nachschauen ob bei den FTP-Exitpoints Programme hinterlegt sind - dann Kunden nach dem Security-Produkt fragen, ggf. Benutzer dort berechtigen

oder

- Im OpsNav unter Anwendungsverwaltung nachschauen ob der Benutzer für ftp gesperrt ist.

[steven_r]

Hallo zusammen,

ich finde den Punkt Anwendungsverwaltung nicht normalerweise müste dieser wenn ich mit der rechten MT auf den Iseries Server klicke als dritter punkt unter öffnen sein, ich sehe diesen aber nicht, bin aber als SECOFR angemeldet.

Wie kann ich das einstellen das ich diesen punkt zu sehen bekomme?

Danke im voraus
steven_r

[steven_r]

habe den punkt gefunden berechtigung
es funktioniert auch mit dem zugriff nur wird aug QGPL zugegriffen und nicht aufs Home verzeichniss das ich eingetragen habe wie kann ich es machen das er per ftp nur aufs home kommt.

danke
steven_r

[Fuerchau]

CHGFTPA NAMEFMT(*PATH) CURDIR(*HOMEDIR)

Allerdings betrifft dies generell ALLE FTP-Zugänge.
Man kann dies nicht pro User einstellen.

[steven_r]

Danke hat geklappt.

schönes WE
lg
steven_r

[steven_r]

Hallo habe jetzt den Kunden die zugangsdaten gegeben.

Diser ist per VPN auf unserem System.
Wenn sich dieser nun per Explorer auf die As400 verbindet sieht dieser alle Verzeichnisse und kann auch darauf zugreifen.

Wie kann ich das abschalten?

Danke

steven_r

[Sven Schneider]

Wenn er Client Access V3RxMx installiert hat sieht er mit dem Client Access Network Redirector immer alle Verzeichnisse, das kann man nicht abschalten.

Alle Client Access Express Versionen ab V4RxMx haben diesen Client Access Network Redirector nicht mehr, sondern nutzen den Microsoft Network Client von Windows und verbinden sich mit dem i5 Netserver über das SMB/CIFS-Protokoll.
Hier sieht der Anwender keine Verzeichnisse mehr, sondern nur noch eingerichtete Freigaben, wie bei einem Windows-Fileserver.

Hat der Anwender den OpsNav mit der Installoption "Dateisystem" installiert sieht er hier auch alle Verzeichnisse bzw. Dateisysteme im /(Root).

Unabhängig ob der Anwender die Verzeichnisse sieht, kann er auf die darin enthaltenden Objekte nur zugreifen, wenn er die entsprechenden Rechte hierfür hat.

[steven_r]

er verbindet sich mit dem normalen Explorer von Windows und sieht alles,
und kann auch die Dateien aufmachen und bearbeiten.

bitte um Hilfe
Danke
lg
steven_r

[Sven Schneider]

er verbindet sich mit dem normalen Explorer von Windows und sieht alles,
und kann auch die Dateien aufmachen und bearbeiten.

bitte um Hilfe
Danke
lg
steven_r

Ich versteh dein Problem nicht.

Warum der Anwender alles sieht, habe ich dir bereits geschrieben. Also welche Client Access Version hat der Anwender im Einsatz - bitte überprüfe das?

Weiterhin hast du eine Freigabe auf das /(Root) Verzeichnis, dann entferne diese. Es sei denn es gibt andere Anwender/Apps, welche auf die /(Root) zugreifen - dann musst du diese zuerst umstellen.

Und wenn du eine oder mehrere offene Türen hast und nicht möchtest das jemand den Raum betritt, dann solltest du abschliessen.
Es sei denn du weisst nicht wie und womit du im IFS Berechtigungen vergeben sollst. Dann frag noch mal nach oder lass dich schulen.

[Fuerchau]

@Sven
Der Zugriff über den Explorer hat den ClientAccess überhaupt nicht nötig, daher ist die Version vollkommen egal.

@Steven
Das ist der Fluch des offenen Systems.
Du musst zuerst den FTP-User auf alle Verzeichnisse ausser "/" und das freigegebene Verzeichnis mit *EXCLUDE eintragen.
Dann kann er zwar die Liste sehen, aber nicht ins Detail gehen.

Ansonsten ist hier
a) Programmierung
oder
b) Geld
einzusetzen.

Zu a)
Mittels WRKREGINF kann man Exitprogramme einbinden, die z.B. das Browsen im IFS prüfen und einschränken können. Allerdings ist die API-Programmierung da sehr aufwändig.

zu b)
Mittels des Programmes PCSACC/400 PCSACC/400_BUSCH&PARTNER, SOFTWARE kannst du genau diese Zugriffe überwachen und beschränken.
Das kostet zugegegeben etwas, aber kann die Sicherheit drastisch erhöhen und genau solche Probleme lösen.

[Sven Schneider]

@Sven
Der Zugriff über den Explorer hat den ClientAccess überhaupt nicht nötig, daher ist die Version vollkommen egal.

Nein, das ist nicht egal, weil nur wenn der Zugriff über

- Microsoft Netzwerk Client -> i5 Netserver QZLSFILE-Jobs

erfolgt sieht er nur Freigaben. Hier wird CA, wie du schreibst, nicht benötigt.

Wenn der Zugriff allerdings über
- V3RxMx Client Access Netzwerk Redirektor -> QPWFSERV...-Filserver Jobs

erfolgt, sieht er alle Verzeichnisse, weil bei dieser Methode, analog dem OpsNav bzw. über QFileSrv.400, keine Freigaben benutzt werden. Auch wenn i5/OS > V3 ist. In diesem Fall (Einsatz von CA V3RxMx) sollte man auch den Netserver-Namen (NETBIOS-Namen) abweichend vom Systemnamen vergeben, damit es nicht zu Konflikten kommt.