AS400 Berechtigungsproblem

[stiffler]

Vielen Dank für die schnelle Antwort. Ok, man kann die Befehlszeile also ausschalten. Angenommen die Befehlszeile wäre noch verfügbar und man würde versuchen einen Befehl, wie z.B. wrksplf, auszuführen und das System würde "F0001 Die ausgewählte Position ist ungültig" zurückgeben. Welchen Grund könnte das haben? Kann ich die "Macht des ALLOBJ" in diesem Falle nicht nutzen?

Danke

[andreaspr@aon.at]

Da ist die Frage ob die "Befehlszeile" auch eine Befehlszeile vom System ist, oder einfach nur ein Eingabefehld von einem Programm (Menü)?!
Nach der Fehlermeldung zu urteilen würde ich eher auf zweiteres tippen.

Wenn Benutzer für bestimmte Objekte Berechtigungen benötigen, können diese sehr gut über ein Gruppenprofil gesteuert werden.
Man muss dann einfach nur dem Gruppenprofil die gewollten Berechtigungen für die Programme, Tabellen etc. erteilen.
Ganz sauber ist es, wenn z.B. Zugriffe auf Tabellen NUR über entsprechende Programme erlaubt sind.

lg Andreas

P.S.: Wenn ALLOBJ nicht die einzige Sonderberechtigung ist, könnten die Benutzer sogar das System herunterfahren!!

[stiffler]

Angenommen es ist die Eingabemaske der Applikation und ALLOBJ ist nicht die einzige Sonderberechtigung, sondern der Benutzer hat alle Sonderberechtigungen. Kann er, trotz der Einschränkung durch die Software, einen Schaden mit diesen Sonderberechtigungen anrichten? Wie könnte er das machen, wenn er nach der Anmeldung nur die Eingabezeile der Applikation zur Verfügung hat?

Keine Sorge, ich möchte kein System runterfahren. Ich betrachte das nur aus dieser Perspektive um zu wissen, was "böse" Benutzer machen können um der Gefahr vorzubeugen

[andreaspr@aon.at]

Das kann schon möglich sein.
Wenn man sich z.B. via ODBC auf das System verbinden kann, kann man mit der SQL Prozedur QCMDEXC Systembefehle absetzen.

Oder wenn irgendwo aus der Anwendung ein WRKSPLF ausgeführt wird damit der User sich seine Spoolfiles anschauen kann, hätte der User auch die Möglichkeit Befehle abzusetzen.

Oder beim Anmeldeschirm im Parameter Programm sich mit *NONE und/oder im Parameter Menü mit MAIN anmeldet.
Dann würde das normale AS/400 Menü aufgerufen werden, statt der hinterlegten Buchhaltung.

Ich hoffe mal nicht dass der iSeries Navigator bei den Usern installiert ist

Das ist das was mir um die Uhrzeit auf die schnelle einfällt

Ein paar Sicherheitsprobleme kann man - wie Robi schon sagte - mit LMTCMD *YES lösen ... aber leider halt nicht alle.

lg Andreas

[stiffler]

Welche Auswirkungen hätte es, wenn der iSeries Navigator benutzt wird? =)

[andreaspr@aon.at]

Probier es doch einfach mal aus
Du kannst Verzeichnisse löschen, Jobs beenden, vollen Zugriff auf alle Tabellen usw. usw.
Was du jedoch nicht machen kannst, ist bei deinem Profil den Parameter LMTCPB auf *NO zu setzen.
Du kannst aber neue Profile erstellen (jedoch immer nur mit den Parameter LMTCPB (*YES)).
Allerdings glaube ich dass man auch das umgehen kann ... aber da will ich hier lieber nicht näher darauf eingehen.

Im grunde basiert solch eine Sicherheitspolitik darauf, dass ihr auf eure User vertraut.

lg Andreas

[holgerscherer]

Welche Auswirkungen hätte es, wenn der iSeries Navigator benutzt wird? =)

mannigfaltig - Datenmanipulation, Löschung, Konfigurationsspielereien. Ich glaube, Ihr braucht professionelle Hilfe vor Ort. Gerade bei der Buchhaltung sollte nicht jeder alles dürfen. Oder benutzt Ihr Euren Windows-Fileserver zum Surfen mit einem ungepatchten Internet Explorer? ;-)

-h

[BenderD]

... es gibt ein paar universelle Sicherheitsregeln, dazu gehört, dass man auf Windows Büchsen einen Administrator, auf Unix Büchsen root und auf AS/400 User mit *ALLOBJ nicht wirksam kontrollieren kann, genauso wie jemand mit einem Generalschlüssel überall Zugang hat (sonst ist das nämlich keiner). Solche Berechtigungen vergibt man an Personen, die auf Grund ihrer Aufgabe alles (in Worten alles) können dürfen und auch können.
Alle Versuche, die darauf basieren, dass der Inhaber des Generalschlüssels zu blöd ist die Tür aufzuschließen vergrößern die Gefahr eher, als sie Schaden verhindern können. Wer zu blöd ist eine Tür aufzuschließen, dem sollte man nicht einmal einen Schlüssel geben.

D*B

[Fuerchau]

Ohne den iSeries-Navigator mit Grundfunktionen ist ClientAccess auf Windows gar nicht verwendungsfähig.

Du musst die Kontrolle also auf der AS/400 durchführen.
Dafür gibts mehrere Exit-Points um externe Zugriffe zu prüfen und zu überwachen.
Wenn man selber nicht mehrere Jahre Entwicklungsaufwand reinstecken will, funktioniert PCSACC/400 hier ganz gut.

Über die Standardberechtigungen der AS/400 lässt sich (außer eben für *ALLOBJ-User) der Zugriff schon ziemlich dicht machen.

[BenderD]

... das ist dann aber so, als ob man jedem einen Generalschlüssel (*ALLOBJ) für alle Tresortüren (AS/400 built in Security) gibt und dann hinter die Tresortüren eine Brettertür mit einem Vorhängeschloss (PCSACC und Co.) hinbaut, um zu verhindern, dass jemand durchkommt...

[stiffler]

Ah ok, vielen Dank. Das hat mir schon mal sehr geholfen.
Wenn man in den Systemeinstellungen das Passwortablaufdatum auf *NOMAX setzt, kann man das auf Ebene der Benutzer dann noch mal ändern auf zB "90"?

Ich möchte gerne Systemjobs auf NOMAX haben und die Dialognutzer auf 90 Tage. Lässt sich das implementieren oder lässt es sich nur global einstellen?

[TheDevil]

Hallo.

So wie ich das sehe wird bei Dir / Ihnen eine Frage nach der anderen kommen. Kann man dies , kann man das ... bitte nicht Missverstehen ich bin mir sicher das Sie / Du das beste willst und die Sicherheitsproblematik ist ja auch erkannt worden.

Ich würde aber vorschlagen das Ihr euch externe Unterstützung einholt und dies dann gleich als training on the job schulung nutzt. Klar das Kostet Geld, aber was wie hier schon andere geschrieben haben wird wohl die Geschäftsleitung sagen wenn auf einmal die DB abgezogen beim Mitbewerber landet oder ähmliches. Oder die Maschine fährt auf einmal runter weil ein "Kollege" bei jemanden mal PWRDWNSYS aufgeschnappt hat oder oder oder ...

Dies ist meines Erachtens nach der schnellste Weg eure Berechtigungs / Sicherheits Problematik zu lösen.

Gruß,
Ralf