AS400 Berechtigungsproblem

[stiffler]

Welche Auswirkungen hätte es, wenn der iSeries Navigator benutzt wird? =)

[andreaspr@aon.at]

Probier es doch einfach mal aus
Du kannst Verzeichnisse löschen, Jobs beenden, vollen Zugriff auf alle Tabellen usw. usw.
Was du jedoch nicht machen kannst, ist bei deinem Profil den Parameter LMTCPB auf *NO zu setzen.
Du kannst aber neue Profile erstellen (jedoch immer nur mit den Parameter LMTCPB (*YES)).
Allerdings glaube ich dass man auch das umgehen kann ... aber da will ich hier lieber nicht näher darauf eingehen.

Im grunde basiert solch eine Sicherheitspolitik darauf, dass ihr auf eure User vertraut.

lg Andreas

[holgerscherer]

Welche Auswirkungen hätte es, wenn der iSeries Navigator benutzt wird? =)

mannigfaltig - Datenmanipulation, Löschung, Konfigurationsspielereien. Ich glaube, Ihr braucht professionelle Hilfe vor Ort. Gerade bei der Buchhaltung sollte nicht jeder alles dürfen. Oder benutzt Ihr Euren Windows-Fileserver zum Surfen mit einem ungepatchten Internet Explorer? ;-)

-h

[BenderD]

... es gibt ein paar universelle Sicherheitsregeln, dazu gehört, dass man auf Windows Büchsen einen Administrator, auf Unix Büchsen root und auf AS/400 User mit *ALLOBJ nicht wirksam kontrollieren kann, genauso wie jemand mit einem Generalschlüssel überall Zugang hat (sonst ist das nämlich keiner). Solche Berechtigungen vergibt man an Personen, die auf Grund ihrer Aufgabe alles (in Worten alles) können dürfen und auch können.
Alle Versuche, die darauf basieren, dass der Inhaber des Generalschlüssels zu blöd ist die Tür aufzuschließen vergrößern die Gefahr eher, als sie Schaden verhindern können. Wer zu blöd ist eine Tür aufzuschließen, dem sollte man nicht einmal einen Schlüssel geben.

D*B

[Fuerchau]

Ohne den iSeries-Navigator mit Grundfunktionen ist ClientAccess auf Windows gar nicht verwendungsfähig.

Du musst die Kontrolle also auf der AS/400 durchführen.
Dafür gibts mehrere Exit-Points um externe Zugriffe zu prüfen und zu überwachen.
Wenn man selber nicht mehrere Jahre Entwicklungsaufwand reinstecken will, funktioniert PCSACC/400 hier ganz gut.

Über die Standardberechtigungen der AS/400 lässt sich (außer eben für *ALLOBJ-User) der Zugriff schon ziemlich dicht machen.

[BenderD]

... das ist dann aber so, als ob man jedem einen Generalschlüssel (*ALLOBJ) für alle Tresortüren (AS/400 built in Security) gibt und dann hinter die Tresortüren eine Brettertür mit einem Vorhängeschloss (PCSACC und Co.) hinbaut, um zu verhindern, dass jemand durchkommt...

[stiffler]

Ah ok, vielen Dank. Das hat mir schon mal sehr geholfen.
Wenn man in den Systemeinstellungen das Passwortablaufdatum auf *NOMAX setzt, kann man das auf Ebene der Benutzer dann noch mal ändern auf zB "90"?

Ich möchte gerne Systemjobs auf NOMAX haben und die Dialognutzer auf 90 Tage. Lässt sich das implementieren oder lässt es sich nur global einstellen?

[TheDevil]

Hallo.

So wie ich das sehe wird bei Dir / Ihnen eine Frage nach der anderen kommen. Kann man dies , kann man das ... bitte nicht Missverstehen ich bin mir sicher das Sie / Du das beste willst und die Sicherheitsproblematik ist ja auch erkannt worden.

Ich würde aber vorschlagen das Ihr euch externe Unterstützung einholt und dies dann gleich als training on the job schulung nutzt. Klar das Kostet Geld, aber was wie hier schon andere geschrieben haben wird wohl die Geschäftsleitung sagen wenn auf einmal die DB abgezogen beim Mitbewerber landet oder ähmliches. Oder die Maschine fährt auf einmal runter weil ein "Kollege" bei jemanden mal PWRDWNSYS aufgeschnappt hat oder oder oder ...

Dies ist meines Erachtens nach der schnellste Weg eure Berechtigungs / Sicherheits Problematik zu lösen.

Gruß,
Ralf

[andreaspr@aon.at]

Dies ist meines Erachtens nach der schnellste Weg eure Berechtigungs / Sicherheits Problematik zu lösen.

Und meines Erachtens ist das auch der langfristig günstigere Weg.

[stiffler]

Vielen Dank für die Rückläufe und Ratschläge, welche ich gerne berücksichtige.
In der Tat ist die Frage noch dem Passwortablaufdatum meine letzte gewesen. Es würde mich freuen, wenn ihr mir hierzu noch eine Auskunft geben könntet.

Ich danke euch.

[KingofKning]

Wenn es wirklich die letzte Frage ist.

Stellt sich mir die Frage warum man nicht einfach mal im Benutzerprofil nachschaut was es für Möglichkeiten gibt.

Direkt auf der 2. Seite

Zusätzliche Parameter

Sonderberechtigung . . . . . . . SPCAUT *NONE
+ für weitere Werte
Sonderumgebung . . . . . . . . . SPCENV *SYSVAL
Anmeldeinformationen anzeigen . DSPSGNINF *SYSVAL
Zeitraum für Kennwortablauf . . PWDEXPITV *SYSVAL

GG

[andreaspr@aon.at]

... und der dazugehörige Befehl ist WRKUSRPRF, DSPUSRPRF oder CHGUSRPRF.