AS400 Berechtigungsproblem

[stiffler]

Schönen guten Abend,
da ich Neuling auf dem Gebiet der AS400 bin habe ich mich entschlossen etwas fortzubilden. Während meiner Fortbildung bin ich auf eine Frage gestoßen auf die ich noch keine Antwort finden konnte. Ich hoffe, dass ihr mir weiterhelfen könnt.

Man betreibt auf einer AS400 eine Buchhaltungssoftware. Auf der AS400 hat man nun sämtliche Benutzer angelegt, die diese Software bedienen wollen. Diesen Benutzern ist ein (selbst erstelltes) Gruppenprofil zugeordnet, welches den Benutzern sämtliche Sonderberechtigungen (ALLOBJ ect.) einräumt. Lässt sich in dem Gruppenprofil irgendwie verhindern, dass diese von diesen Berechtigungen Gebrauch machen? Beispielsweise indem sie keine Befehle in die Befehlszeile eingeben können sondern nur die ihn sichtbaren Menüpunkte(im Rahmen der Buchhaltung) bearbeiten können?

Vielen Dank schon mal!

[Robi]

Hi,

das liest sich wie "Ich habe meinen Kinder sprechen beigebracht, wie kann ich verhindern, das sie es tun?"

Sorry, aber die AS400 hat hervorragendes Berechtigungs und Schutz Mechanismen. Wenn du deine Anwendern allobj gibst, dürfen sie alles.
Die Komandozeile bekommst du mit lmtcmd *yes (im Userprf) weg. Aber nur, wenn es 'echte' AS400 Menüs sind.

Anwender brauchen NIE allobj, wenn das der SW Hersteller verlangt, wechsele den Hersteller.

Robi

[stiffler]

Vielen Dank für die schnelle Antwort. Ok, man kann die Befehlszeile also ausschalten. Angenommen die Befehlszeile wäre noch verfügbar und man würde versuchen einen Befehl, wie z.B. wrksplf, auszuführen und das System würde "F0001 Die ausgewählte Position ist ungültig" zurückgeben. Welchen Grund könnte das haben? Kann ich die "Macht des ALLOBJ" in diesem Falle nicht nutzen?

Danke

[andreaspr@aon.at]

Da ist die Frage ob die "Befehlszeile" auch eine Befehlszeile vom System ist, oder einfach nur ein Eingabefehld von einem Programm (Menü)?!
Nach der Fehlermeldung zu urteilen würde ich eher auf zweiteres tippen.

Wenn Benutzer für bestimmte Objekte Berechtigungen benötigen, können diese sehr gut über ein Gruppenprofil gesteuert werden.
Man muss dann einfach nur dem Gruppenprofil die gewollten Berechtigungen für die Programme, Tabellen etc. erteilen.
Ganz sauber ist es, wenn z.B. Zugriffe auf Tabellen NUR über entsprechende Programme erlaubt sind.

lg Andreas

P.S.: Wenn ALLOBJ nicht die einzige Sonderberechtigung ist, könnten die Benutzer sogar das System herunterfahren!!

[stiffler]

Angenommen es ist die Eingabemaske der Applikation und ALLOBJ ist nicht die einzige Sonderberechtigung, sondern der Benutzer hat alle Sonderberechtigungen. Kann er, trotz der Einschränkung durch die Software, einen Schaden mit diesen Sonderberechtigungen anrichten? Wie könnte er das machen, wenn er nach der Anmeldung nur die Eingabezeile der Applikation zur Verfügung hat?

Keine Sorge, ich möchte kein System runterfahren. Ich betrachte das nur aus dieser Perspektive um zu wissen, was "böse" Benutzer machen können um der Gefahr vorzubeugen

[andreaspr@aon.at]

Das kann schon möglich sein.
Wenn man sich z.B. via ODBC auf das System verbinden kann, kann man mit der SQL Prozedur QCMDEXC Systembefehle absetzen.

Oder wenn irgendwo aus der Anwendung ein WRKSPLF ausgeführt wird damit der User sich seine Spoolfiles anschauen kann, hätte der User auch die Möglichkeit Befehle abzusetzen.

Oder beim Anmeldeschirm im Parameter Programm sich mit *NONE und/oder im Parameter Menü mit MAIN anmeldet.
Dann würde das normale AS/400 Menü aufgerufen werden, statt der hinterlegten Buchhaltung.

Ich hoffe mal nicht dass der iSeries Navigator bei den Usern installiert ist

Das ist das was mir um die Uhrzeit auf die schnelle einfällt

Ein paar Sicherheitsprobleme kann man - wie Robi schon sagte - mit LMTCMD *YES lösen ... aber leider halt nicht alle.

lg Andreas

[stiffler]

Welche Auswirkungen hätte es, wenn der iSeries Navigator benutzt wird? =)

[andreaspr@aon.at]

Probier es doch einfach mal aus
Du kannst Verzeichnisse löschen, Jobs beenden, vollen Zugriff auf alle Tabellen usw. usw.
Was du jedoch nicht machen kannst, ist bei deinem Profil den Parameter LMTCPB auf *NO zu setzen.
Du kannst aber neue Profile erstellen (jedoch immer nur mit den Parameter LMTCPB (*YES)).
Allerdings glaube ich dass man auch das umgehen kann ... aber da will ich hier lieber nicht näher darauf eingehen.

Im grunde basiert solch eine Sicherheitspolitik darauf, dass ihr auf eure User vertraut.

lg Andreas

[holgerscherer]

Welche Auswirkungen hätte es, wenn der iSeries Navigator benutzt wird? =)

mannigfaltig - Datenmanipulation, Löschung, Konfigurationsspielereien. Ich glaube, Ihr braucht professionelle Hilfe vor Ort. Gerade bei der Buchhaltung sollte nicht jeder alles dürfen. Oder benutzt Ihr Euren Windows-Fileserver zum Surfen mit einem ungepatchten Internet Explorer? ;-)

-h

[BenderD]

... es gibt ein paar universelle Sicherheitsregeln, dazu gehört, dass man auf Windows Büchsen einen Administrator, auf Unix Büchsen root und auf AS/400 User mit *ALLOBJ nicht wirksam kontrollieren kann, genauso wie jemand mit einem Generalschlüssel überall Zugang hat (sonst ist das nämlich keiner). Solche Berechtigungen vergibt man an Personen, die auf Grund ihrer Aufgabe alles (in Worten alles) können dürfen und auch können.
Alle Versuche, die darauf basieren, dass der Inhaber des Generalschlüssels zu blöd ist die Tür aufzuschließen vergrößern die Gefahr eher, als sie Schaden verhindern können. Wer zu blöd ist eine Tür aufzuschließen, dem sollte man nicht einmal einen Schlüssel geben.

D*B

[Fuerchau]

Ohne den iSeries-Navigator mit Grundfunktionen ist ClientAccess auf Windows gar nicht verwendungsfähig.

Du musst die Kontrolle also auf der AS/400 durchführen.
Dafür gibts mehrere Exit-Points um externe Zugriffe zu prüfen und zu überwachen.
Wenn man selber nicht mehrere Jahre Entwicklungsaufwand reinstecken will, funktioniert PCSACC/400 hier ganz gut.

Über die Standardberechtigungen der AS/400 lässt sich (außer eben für *ALLOBJ-User) der Zugriff schon ziemlich dicht machen.