PHP Login: Best Practice?

[andreaspr@aon.at]

... und es gibt auch die Möglichkeit einer Validation-List (CRTVLDL) die in der Apache Konfig für eine authentifizierung verwendet werden kann.
Da könnt ihr auch User (und Passwörter hinterlegen) ADDVLDLE.
Hängt natürlich von euren Security Richtlinien ab.

lg Andreas

[andwaw]

@ Anton Gombkötö
Ja die Benutzer haben für eine Bibliothek reine Leseberechtigung und für zwei Tabellen eine Schreibberechtigung.

@Fuerchau

Soweit eine sehr gute Idee, meine Frage ist hier jetzt allerdings. Wenn das Passwort abgelaufen ist, muss ich ja trotzdem ermitteln ob das Ursprungspasswort richtig ist. Mein Plan einen SBMJOB CHKPWD mit dem entsprechenden Benutzer funktioniert nicht, weil das PHP Toolkit irgendwie keinen Fehler ausgeben möchte(zur Erklärung: Wenn das Passwort stimmt passiert nichts und bei einem Fehler kommt eine Meldung ins Joblog). Fällt sonst jemandem was ein?

[Fuerchau]

Hierfür kannst du ggf. API's verwenden.
Wiederum ein kleines CLP, dass du intern über eine andere Anmeldung als *SECOFR laufen lassen kannst.
Dieses CLP verwendet die API's:
IBM i API example: Using profile handles

Damit kannst du die Gültigkeit des aktuellen Kennwortes prüfen.
Wenn du ein Handle erhältst stimmt das Kennwort.
Vergesse den QSYRLSPH aber nicht.

Hier gibts noch ein API (Change User Password (QSYCHGPW) API):
http://pic.dhe.ibm.com/infocenter/is...61%70%69%22%20

Vielleicht reicht das ja, da hier das alte kennwort mit übergeben werden muss.

[MR-BN]

Es ist doch bestimmt nicht im Sinne des Erfinders, wenn alle Benutzer des PHP-Progamms auch als USER auf der i5 hinterlegt werden.
wir sind da einen anderen Weg gegangen. Die Anmeldung wird über eine Tabelle überprüft und die Zugriff auf die i5 über einen im PHP-Programm hinterlegten Benutzer ausgeführt.

[Fuerchau]

Wenn es denn nun der Wunsch des Kunden ist .

[andwaw]

Nur zum Verständnis. Mit dem Programm arbeiten später etwa 5 Leute und das auch nur innerhalb eines Intranets und diese iSeries ist wirklich sehr stark reguliert. Ich als Entwickler muss mir alle paar Minuten irgendwelche Objekte oder IFS Ordner freigeben lassen, weil ich da nichts darf

[Fuerchau]

Nunja, dann schreibe das CLP mit den benötigten Funktionen, lass dir das dann abzeichnen und den Eigner des Programmes dann auf QSECOFR und die Laufzeit auf *OWNER setzen.

Testen kannst du das ja mit einem gültigen Profil.

Wenn es sich nur um die Kennwortänderung handelt, kannst du das ja auch mit deinem Programmierprofil bzw. internem App-Profil aufrufen.

Bei deaktiviertem Profil benötigst du ja das CHGUSRPRF und somit *SECADM.
Aber für solche Fälle gibts ja für den Endanwender auch Methoden für die Reaktivierung (Mail usw.).