security level auf 40 setzen

[Fuerchau]

Auch das lässt sich mit 40 nicht verhindern.
Wenn man im Endeffekt durch Gruppenprofile oder den Rechten an anderen Profilen an ein *ALLOBJ-Profil kommt hilft Seclvl 40 nicht.
Das Problem hatte ich bei einem Kunden auch. Hier war der zuständige IT-Mensch nicht verfügbar, es musste aber dringend eine Aktivität mit SECOFR durchgeführt werden.
Also habe ich mir auf genau diesem Weg (PUBLIC *USE am *ALLOBJ-Profil) erst selber *ALLOBJ und dann *SECOFR-Rechte genommen.

Die 40 verhindert im Wesentlichen direkte MI-Zugriffe auf unzulässige Domains (hier ist nicht die IP-Domain gemeint), sondern System/User-Domain der Objekte.
Diese Zugriffe sind aber bei korrekter Verwendung von API's immer noch möglich.

[cbe]

Wenn man im Endeffekt durch Gruppenprofile oder den Rechten an anderen Profilen an ein *ALLOBJ-Profil kommt

... dann gehört der Systemadmin geschlagen :-)
Obwohl es für Dich in der beschriebenen Situation sicher praktisch war.

Wie auch immer, es ist mit SecLvl 30 erheblich einfacher, sich *ALLOBJ zu besorgen als mit SecLvl 40.
Komplett wasserdicht wird man die AS400 wahrsch. nie kriegen, aber die 40 hilft ein gutes Stück, mit rel. geringem Aufwand.

[holgerscherer]

Komplett wasserdicht wird man die AS400 wahrsch. nie kriegen, aber die 40 hilft ein gutes Stück, mit rel. geringem Aufwand.

Komplett wasserdicht? erinnert mich an das C2-Tool von Windows NT. "Erster Schritt, deaktivieren Sie alle Netzwerk-Interfaces". Dann noch in Blei eingiessen, und gut ist.

Aber auf IBM i ist es einfacher als anderswo. SecLvl 50 in Angriff nehmen, *ALLOBJ ist böse, *PUBLIC !=*EXCLUDE auch. Aber jedes Konzept steht und fällt mit dem Client.

Man findet ja gelegentlich CA-Sitzungen mit Anmelde-Makros auf ein *SECOFR-Profil. Bei Kunden, die eine 5tägige Sicherheitsschulung wollen...

-h