startprogramm / ddmf durchgriff

[Pikachu]

Wenn jemand auf eine Datei per DDM zugreift, dann läuft das auf dem Zielsystem meines Wissen nach unter dem Benuter QUSER. Das Zielsystem weiß somit also nicht, von welchem Benutzer des Quellsystems die Anfrage kommt.

[Fuerchau]

Das ist nicht korrekt. Der Serverjob startet zwar unter QUSER, der zugreifende User wird jedoch am Zielsystem angemeldet und der Serverjob auf den User umgemeldet, der Jobname bleibt natürlich 123456/QUSER/XXXX.

Mit IASP ist das halt immer so eine Sache.

[Pikachu]

Und was ist, wenn es den Benutzer des Quellsystems auf dem Zielsystem nicht gibt?

[Fuerchau]

Dann hast du wohl ein Problem.
Da DDM keinen USER-Parameter kennt, wird immer der aktuelle Job-User verwendet und eine Anmeldung versucht.
Ist diese nicht möglich, gibts keinen DDM-Zugriff.

Mit SQL und RDB (WRKRDBDIRE) ist das deswegen einfacher, da du eine Anmeldung per CONNECT durchführen kannst.

[Pikachu]

Bei DDM-Dateien mit IP-Durchgriff ist das anscheinend so, aber bei DDM-Datei mit SNA-Durchgriff (und SNA-über-IP) muß der Benutzer nicht auf dem Zielsystem angelegt sein.

[woodstock99]

das hört sich aber nicht gut an was ihr da schreibt.


das problem habe ich nämlich noch .

der user der durchgreift muß auch auf der zeilmaschine angelegt sein. sonst kommt fehlermeldung

Nachricht . . . : Berechtigungsfehler beim Versuch, eine DDM
TCP/IP-Verbindung herzustellen.
Ursache . . . . : Der Versuch, eine Verbindung herzustellen, schlug mit
Ursachencode 6 fehl. Ursachencodes und ihre Bedeutung:
0 -- Ursache unbekannt.
1 -- Kennwort abgelaufen.
2 -- Kennwort ungültig.
3 -- Kennwort fehlt.
4 -- Protokollverletzung.
5 -- Benutzer-ID nicht gefunden.
6 -- Benutzer-ID ungültig. Bei einem iSeries-Server könnte dies bedeuten,
dass ein Benutzerprofil beschädigt ist oder die Angabe PASSWORD(*NONE)


kann man das irgendwie umgehen?
sprich kann kann alle user die nicht auf der zielmaschine angelegt sind einem user xy zuordnen das dieser automatisch genommen wird wenn der user nicht vorhanden ist. ich weiß das dies wahrscheinlich zu 99,99 % nicht gehen wird oder

wenn ja welche systemwerte müssen verändert werden.

hab mal auf der zielmaschine
mit dem befehl CHGDDMTCPA
kennwort erforderlich auf *no gesetzt.
bringt aber nix

hab jetzt grad mal was von CHGDEVAPPC
parameter SECURELOC
gelesen. bringt das was??

ziel soll sein das sich ein user der nicht auf der zielmaschine angelegt ist per ddmf auf die andere partition zugreifen und die datei verarbeiten kann.

[woodstock99]

könnte man es evtl so gestalten das man per cl den user ändert? sprich ich rufe das cl als user a auf ( eingeschränkte rechte) . im cl werde ich zu user b mit mehr rechten. dann melde ich mich als user b auf dem zielsystem an und wenn das programm beendet ist werde ich wieder zu user a.
geht das???
dann müsste man nur einen user auf dem zielsystem pflegen.

normalerweise kann es nicht gehen weil dann könnte man ja sich alle recht zusammenkopieren die man braucht.

aber in der verzweiflung kommt man halt auch solche gedanken ((

[Fuerchau]

Dafür kann man ggf. die API's QSYSGETPH und QSYSETPH verwenden.
Hier kann man sich temporär ummelden.

Der beste Weg ist jedoch hier immer noch SQL, da man beim Connect eben einen User benennen kann, mit dem gearbeitet wird.

Übrigens:
Mit meinem Tool SQLCPY lassen sich gerade solche Probleme lösen, da ja doch meist nur kopiert werden soll .

[woodstock99]

danke für den tipp. das tool muß ich leider ausschlagen bzw mein chef würde es nicht wollen .

ja aber das verstößt ja gegen jede sicherheitsrichtlinie oder??
heisst dass ich mich in jeden user ummelden kann. sprich user1 hans wird zu user 2 sepp und dieser greift dann auf die ddmfile zu ????
das wär ja super

[Fuerchau]

Genau dafür ist das API gedacht. Allerdings benötigst du dafür ja auch das Kennwort.
Vom Design her kann das durchaus sinnvoll sein.
Stichwort Aplication-User, der grundsätzlich nicht anmeldefähig ist, dem alles gehört und der Laufzeiteigner der Programme ist (*OWNER-Ausführung).

*OWNER reicht leider nicht bei DDM-Zugriffen oder SQL-Connect's.

[woodstock99]

HURRA es klappt.



/* APIs USED: QSYGETPH - Get Profile Handle */
/* QWTSETP - Set Profile */
/* QSYRLSPH - Release Profile Handle */
/* */
/************************************************** *****************/
/************************************************** *****************/
PGM (&USERID &PWD )
DCL VAR(&USERID) TYPE(*CHAR) LEN(10)
DCL VAR(&PWD) TYPE(*CHAR) LEN(50)
DCL VAR(&PWDLEN) TYPE(*CHAR) LEN(4) +
VALUE( X'00000010')
DCL VAR(&PWDCCSID) TYPE(*CHAR) LEN(4) +
VALUE( X'FFFFFFFF')
DCL VAR(&ERRCODE) TYPE(*CHAR) LEN(8) +
VALUE( X'0000000000000000')
DCL VAR(&CURPWD) TYPE(*CHAR) LEN(10) +
VALUE(' ')

DCL VAR(&PRFHNDL1) TYPE(*CHAR) LEN(12)

DCL VAR(&PRFHNDL2) TYPE(*CHAR) LEN(12)
CALL PGM(QSYGETPH) PARM('*CURRENT ' +
&CURPWD &PRFHNDL1)

CALL PGM(QSYGETPH) PARM(&USERID &PWD &PRFHNDL2 +
&ERRCODE &PWDLEN &PWDCCSID)
CALL PGM(QWTSETP) PARM(&PRFHNDL2)


/* Der User wurde verändert PROGRAMMAUFRUF kommt hier rein
*/



CALL PGM(QWTSETP) PARM(&PRFHNDL1)
CALL PGM(QSYRLSPH) PARM(&PRFHNDL1)
CALL PGM(QSYRLSPH) PARM(&PRFHNDL2)
ENDPGM
Also falls mal jemand das gleiche Problem hat. So funktioniert es.
Nachzulesen auch auf der IBM System i and i5/OS Information Center Seite.

Oder was sagen die Profis dazu ???? Passt das so ?? oder könnte man das noch verbessern ??

[Fuerchau]

Das hast du genau richtig gemacht.