Abgehängte User Profile

[camouflage]

Möglicherweise wurde diese Frage schon mal beantwortet, hab die Antwort aber nicht gefunden.

Ich habe einen Fall, da wird ein bestimmtes Profil von Zeit zu Zeit abgehängt. Gibt es eine Möglichkeit herauszufinden, wer das produziert und wie und wenn ja, welche IP?


Danke.

[Fuerchau]

Ggf. hilft dieses hier:
https://www.ibm.com/docs/de/qsip/7.4...-login-history

Ggf. hat das auch mit dem NetServer zu tun, da hier die Anmeldung separat läuft und inaktive User innerhalb des NetServers verwaltet werden.
Eine korrekte Anmeldung direkt an der IBM i klappt dann jedoch trotzdem noch.

[camouflage]

Baldur,
Wer setzt QRADAR ein, wäre schon mal die Frage. Ich kannte das Produkt nicht mal (Schande). Der Netserver kann's nicht sein, da habe ich gekuckt. Ergo müsste jemand "probieren" ...
Trotzdem, der Disable müsste doch irgendwo vermerkt sein.

[Fuerchau]

Nur bei aktiviertem Auditjournal.

[camouflage]

Der verflixte Netserver. Ueber Windows habe ich Zugriff auf den IFS Share, kaum will ich mit einem STRPCCMD ein Dokument aufrufen, knallt er mir den User im Netserver auf disable. Ich habe die Lösung bis jetzt nicht gefunden. Etwas hilft, sich mit einem anderen Profil anzumelden, aber das kann's ja auch nicht sein. Hat da jemand Erfahrungen damit? Danke.

[RobertPic]

Unsere Probleme damit sind schon länger her, aber Grund war damals:

Wenn AS/400 und Windows-Benutzer gleich sind, versucht sich Windows mit diesem User anzumelden. Wenn AS/400 und Windows-Passwort nicht übereinstimmen, dauert es nicht lange, bis der Benutzer gesperrt ist.

Es gibt da ein Usertool von IBM, welches man startet und welcher die Benutzerprofile wieder anhängt.
Tool SMBWATCH

Bei Startup mit

Code:

STRWCH     SSNID(NETSERVER) WCHPGM(QGPL/SBMWATCH) +                     CALLWCHPGM(*ENDWCH) WCHMSG((CPIB682)) +       
             WCHMSGQ((QSYS/QSYSOPR))                       
MONMSG     MSGID(CPF39E3) /* Sitzungs-ID NETSERVER ist +   
             bereits vorhanden */                          
MONMSG     MSGID(CPF0000) EXEC(SNDMSG MSG('Fehler bei +    
             STRWCH für NetServer') TOMSGQ(ZENERRQ))

starten.

[camouflage]

Hi Robert
Versteh ich das richtig, hier geht es um das re-enable der gesperrten Benutzer? Nützt mir das was, wenn das System hingeht und beim nächsten Call des Users diesen gleich wieder sperrt? Mittlerweile hab ich mir das QUSRTOOL NETSRVCMD noch angeschnallt.

[Fuerchau]

Das Hauptproblem ist, dass IFS-Rechte nicht via adopted authority verwendet werden kann, wie man es von anderen Objekten kennt.
Wenn also ein Programmmit Option *owner läuft, kann auf das IFS trotzdem nur mit den Rechten des Users zugegriffen werden.
Startest du also ein STRPCCMD via 5250, muss der User auf dem PC sich am IFS mit demselben Usernamen für das IFS noch mal anmelden.
Im alten OpsNerv gabs die Einstellung "bei jeder Sitzung anmelden" oder "nur 1 x anmelden".
Wenn du also via STRPCCMD auf ein Netzwerkshare via UNC zugreifen willst, scheitert dies nun meist.
Besser ist es, ein Laufwerk bei der Anmeldung des Users am PC zu mappen.
Allerdings setzt Windows dies ja auch bei automatisch wieder verbinden auf "rot". Der User muss es bewusst mit einem Klick aktivieren. Das nervt halt ganz schön, da das per Programm nicht automatisierbar ist.
Für Automatisierung kann man via cmd-file ein "Net use" aufsetzen, was allerdings User/Kennwort im Klartext benötigt.
Per Powershell kann man mit New-PSDrive und einem Credentials-Objekt das ebenso automatisieren.
Hier kann man das Credentials-Objekt aber aus einer verschlüsselten Datei lesen, die man vorher erstellen kann.
Alles aufwändig.

Man kann per Windows-GPO aber auch angemeldete Netzlaufwerke verteilen.
Diese werden bei Anmeldung dann automatisch erstellt.
Durch die GPO kann man dann einen neutralen User mit "Nur-Lese-berechtigung" dann verbinden, so dass dein STRPCCMD dann Zugriff hat.

Such dir was aus;-).

[RobertPic]

Hi Robert
Versteh ich das richtig, hier geht es um das re-enable der gesperrten Benutzer?

Mehr hift dir das nicht...sonst steht der Benutzer noch am nächsten Tag auf der Matte und kommt nicht
in die AS/400.

Für das eigentlich Problem hilft dir das aber nichts. Da helfen - je nach Konstellation - gleiche Passworte oder Furchau's Trickkiste.

Wir haben das schon lange aufgegeben, was von oder aus dem IFS direkt zu starten oder holen. Bei uns gibt es eine interne Ticketnummer als Parameter beim STRPCMD. Das Empfänger-Programm bzw. bei uns meist die Webseite, muss mit dem Parameter/Ticket von der AS/400 seine Arbeit holen.