FTP --> IFS Rechte

[steven_r]

Danke hat geklappt.

schönes WE
lg
steven_r

[steven_r]

Hallo habe jetzt den Kunden die zugangsdaten gegeben.

Diser ist per VPN auf unserem System.
Wenn sich dieser nun per Explorer auf die As400 verbindet sieht dieser alle Verzeichnisse und kann auch darauf zugreifen.

Wie kann ich das abschalten?

Danke

steven_r

[Sven Schneider]

Wenn er Client Access V3RxMx installiert hat sieht er mit dem Client Access Network Redirector immer alle Verzeichnisse, das kann man nicht abschalten.

Alle Client Access Express Versionen ab V4RxMx haben diesen Client Access Network Redirector nicht mehr, sondern nutzen den Microsoft Network Client von Windows und verbinden sich mit dem i5 Netserver über das SMB/CIFS-Protokoll.
Hier sieht der Anwender keine Verzeichnisse mehr, sondern nur noch eingerichtete Freigaben, wie bei einem Windows-Fileserver.

Hat der Anwender den OpsNav mit der Installoption "Dateisystem" installiert sieht er hier auch alle Verzeichnisse bzw. Dateisysteme im /(Root).

Unabhängig ob der Anwender die Verzeichnisse sieht, kann er auf die darin enthaltenden Objekte nur zugreifen, wenn er die entsprechenden Rechte hierfür hat.

[steven_r]

er verbindet sich mit dem normalen Explorer von Windows und sieht alles,
und kann auch die Dateien aufmachen und bearbeiten.

bitte um Hilfe
Danke
lg
steven_r

[Sven Schneider]

er verbindet sich mit dem normalen Explorer von Windows und sieht alles,
und kann auch die Dateien aufmachen und bearbeiten.

bitte um Hilfe
Danke
lg
steven_r

Ich versteh dein Problem nicht.

Warum der Anwender alles sieht, habe ich dir bereits geschrieben. Also welche Client Access Version hat der Anwender im Einsatz - bitte überprüfe das?

Weiterhin hast du eine Freigabe auf das /(Root) Verzeichnis, dann entferne diese. Es sei denn es gibt andere Anwender/Apps, welche auf die /(Root) zugreifen - dann musst du diese zuerst umstellen.

Und wenn du eine oder mehrere offene Türen hast und nicht möchtest das jemand den Raum betritt, dann solltest du abschliessen.
Es sei denn du weisst nicht wie und womit du im IFS Berechtigungen vergeben sollst. Dann frag noch mal nach oder lass dich schulen.

[Fuerchau]

@Sven
Der Zugriff über den Explorer hat den ClientAccess überhaupt nicht nötig, daher ist die Version vollkommen egal.

@Steven
Das ist der Fluch des offenen Systems.
Du musst zuerst den FTP-User auf alle Verzeichnisse ausser "/" und das freigegebene Verzeichnis mit *EXCLUDE eintragen.
Dann kann er zwar die Liste sehen, aber nicht ins Detail gehen.

Ansonsten ist hier
a) Programmierung
oder
b) Geld
einzusetzen.

Zu a)
Mittels WRKREGINF kann man Exitprogramme einbinden, die z.B. das Browsen im IFS prüfen und einschränken können. Allerdings ist die API-Programmierung da sehr aufwändig.

zu b)
Mittels des Programmes PCSACC/400 PCSACC/400_BUSCH&PARTNER, SOFTWARE kannst du genau diese Zugriffe überwachen und beschränken.
Das kostet zugegegeben etwas, aber kann die Sicherheit drastisch erhöhen und genau solche Probleme lösen.

[Sven Schneider]

@Sven
Der Zugriff über den Explorer hat den ClientAccess überhaupt nicht nötig, daher ist die Version vollkommen egal.

Nein, das ist nicht egal, weil nur wenn der Zugriff über

- Microsoft Netzwerk Client -> i5 Netserver QZLSFILE-Jobs

erfolgt sieht er nur Freigaben. Hier wird CA, wie du schreibst, nicht benötigt.

Wenn der Zugriff allerdings über
- V3RxMx Client Access Netzwerk Redirektor -> QPWFSERV...-Filserver Jobs

erfolgt, sieht er alle Verzeichnisse, weil bei dieser Methode, analog dem OpsNav bzw. über QFileSrv.400, keine Freigaben benutzt werden. Auch wenn i5/OS > V3 ist. In diesem Fall (Einsatz von CA V3RxMx) sollte man auch den Netserver-Namen (NETBIOS-Namen) abweichend vom Systemnamen vergeben, damit es nicht zu Konflikten kommt.

[Fuerchau]

Siehe oben:
Verwendet wird der Windows-Explorer und der benötigt ClientAccess nicht !

Über den Opsnav können die Berechtigungen der Freigaben übrigens genauso gepflegt werden.
Dies hat die selben Auswirkungen wie CHGAUT auf Kommandoebene.

Sperre den FTP-User mit *EXCLUDE einfach aus.

PS:
V3-Clients laufen doch auf XP/2000 und höher gar nicht mehr.
Gibts denn noch NT/98-Anwender ?