Zugriff auf eine Datei per ODBC

[mott]

Hallo!

Eine Windows-Software muss per ODBC auf genau eine Datei auf der AS400 zugreifen. Da der Windows-Server von externen Personen bedient wird, möchte ich das Ganze so konfigurieren, dass nur auf diese eine Datei zugegriffen werden kann.

Am Besten wäre es, wenn ich auf der AS400 einen Benutzer anlege, der nur auf diese eine Datei Zugriff hat. Kann mir jemand dazu Tipps geben?

Vielen Dank im Voraus für eure Antworten!
Michi

[cbe]

Hallo Michi,

eigentlich einfach, aber...

Grundsätzlich kann man für jedes Objekt in der AS400 den Zugriff fein regeln.
Da es vor langer Zeit keine Zugriffe von außen gab, wurden Anwendungen oft so entwickelt, dass Zugriff auf alle Daten technisch erlaubt war, aber der Anwender per Menüs + Programmsteuerung gegängelt wurde.
ODBC & Co eröffneten dann Scheunentore, da man plötzlich auf viele Objekte direkt zugreifen kann.

Mit Bordmitteln geht das im Prinzip. Sauber wäre z.B. eine Lösung, dass die Datenbibliothek *PUBLIC *EXCLUDE bekommt, und die Programme die Rechte eines Users adaptieren, der Leserechte hat.
Dies nachträglich einzubauen ist nicht ohne.

Praktikabler sind Programme, die per Exit-Programm die Berechtigungen für ODBC-Zugriffe einschränken können.
(Z.B. QPCS + NetworkSecurity, das sind 2 Produkte, die mir vor Jahren näher angeschaut hatte - ich weiß aber nicht, ob es sie noch gibt, oder ob es heute weitere gibt.)
Mit solchen Programmen kann man den Datenverkehr rein+raus aus der AS400 gut regeln und auch protokollieren. Ü
blicherweise ist man als Admin dann erstmal schockiert, wie viele Zugriffe dieser Art gemacht werden
:-)

Theoretisch kann man sowas auch selbst entwickeln, die Exits sind von IBM dokumentiert. Lohnt sich in meinen Augen aber weniger - ob man wirklich an alles denkt? Und mit jedem IBM-Update hängt man dann wieder dran.

Ich hoff, das hilft Dir weiter.
Gruß, Christian

[Fuerchau]

Solange irgendeine deiner Libs mit *PUBLIC *USE "geschützt" sind, hast du wirklich keine Chance das mit Bordmitteln zu beschränken.
Du benötigst ein Berechtigungskonzept um alle User für 5250 o.ä. auf die entsprechenden Lib's zuzulassen.
Berechtigungsliste, Application-User, Owner-Ausführung, *ALLOBJ-Berechtigung eliminieren.
Wenn ggf. noch andere "Schnittstellen" (FTP und andere ODBC/JDBC-Zugriffe) existieren so sind diese auch zu berücksichtigen.

Wenn man sich die wirklich heikle Exit-Programmierung sparen will, kann man (mit meiner persönlichen Meinung) wirklich nur PCSACC/400 empfehlen, da hier wirklich alles geprüft und explizit freigegeben werden kann.

[KingofKning]

Ich würde eine neue Lib machen, dort eine View auf die Original-Datei erstellen und gut is.

GG

[Fuerchau]

Nun leider ist das nicht so einfach.
Es gibt genügend Methoden (z.B. MS-Query) sich andere Libs und Dateien anzuzeigen und dann diese Daten abzugreifen.
Man kann zwar eine neue Lib und View anlegen, muss aber alle anderen Lib's für den einen User dann aber mittels "USER *EXCLUDE" berechtigen.

[KingofKning]

Naja, aber das ist in meinen Augen aber doch einfacher ne Lib für einen User zu sperren als mir Spezial Software zu holen die wohl auch viel Arbeit macht und auch noch Geld kostet.

Bei uns im Haus gibt es keinen der die ODBC Einstellungen ändern könnte.
Und wenn ich fremde Firmen auf meiner Kiste hätte würde ich eine Auditing einstellen und das auch kontrollieren.

GG

[Fuerchau]

Auditing zeichnet auf, wer eingebrochen ist.
Sicherheitssoftware verhindert den Einbruch, so das Auditing nichts merkt.
Klar ist es nett den Einbrecher kennen zu lernen, ich finde es aber besser, den direkt draußen zu lassen.

[angelone]

die idee, den odbc user explizit aus sämtlichen libs auszusperren und nur eine einzige lib mit speziellen odbc daten freizugeben ist nicht schlecht.

allerdings verhindert das nicht, dass die 2000 anderen user, die man so in der firma hat einfach excel aufmachen und in den normalen daten rumwuseln.

ich habe mir das thema auch mal angesehen und bin zu dem schluss gekommen, dass man um eine dazugekaufte odbc exitpoint sicherheitssoftware nicht drumrum kommt.
selbermachen macht an der stelle irgendwie wenig sinn, weil es unglaublich viele fälle gibt, die man bedenken müsste.

ich bin dann bei "powertech network security" gelandet.

[Fuerchau]

Empfehlenswert ist da PCSACC/400, die machen das schon lange.
Was die 2000 anderen User angeht, so wird immer wieder hier vom sog. APP-User geredet.
Für die Anwendung gibt es einen speziellen User und Eigner der Applikation.
Ausschließlich dieser hat Berechtigung an den Objekten, Public ist generell *Exclude.
Alle APP-Programme laufen mit *OWNER-Berechtigung.
Und schon hast du dein System (fast) dicht.

[BenderD]

Naja, aber das ist in meinen Augen aber doch einfacher ne Lib für einen User zu sperren als mir Spezial Software zu holen die wohl auch viel Arbeit macht und auch noch Geld kostet.
GG

... das ist doch der Dreh an der Sache, wenn sich da jemand durchhackert, dann sagt man einfach: "Ich hab' doch extra Geld dafür ausgegeben, was hätte ich denn sonst noch tun sollen." Mach ich das mit Object Security, dann ist das zwar sicherer, aber ich habe die Verantwortung selber ...

D*B

[Fuerchau]

Dieser Ansatz ist falsch da von falschen Voraussetzungen ausgegangen wird:

"Naja, aber das ist in meinen Augen aber doch einfacher ne Lib für einen User zu sperren"

Richtig sollte es lauten:
"Es ist einfacher, ein Objekt (kann auch Lib sein) explizit einem User erlauben".

Schließlich sind ja richtigerweise alle Objekte mit Public *EXCLUDE geschützt.

Nun, was die Sicherheitssoftware angeht so macht die schon noch ein paar Türen mehr zu als ich rein mit Objektberechtigungen hinbekomme.

Spruch eines älteren Kollegen:
"Wer zu allen Seiten offen ist kann nicht ganz dicht sein!"

[holgerscherer]

Mach ich das mit Object Security, dann ist das zwar sicherer, aber ich habe die Verantwortung selber ...

Richtig - vor allem kann man bei der Exit-Point-Programmierung sehr viel falsch machen, wenn man viel Zeit hat, aber wenig Tiefenkenntnisse. Da sind 5000EUR für eine gute und erprobte Lösung eher ein Schnäppchen, verglichen mit dem einen Tag, an dem doch jemand die Kundendatei bei eBay vertickert...

-h