-
Das hat damit nichts zu tun. In dieser Stufe wird die Objektsicherheit erhöht.
Am Berechtigungskonzept ins besonders von *ALLOBJ ändert das nichts.
Es sei denn, das weiß ich nicht, dass *ALLOBJ dann nicht mehr erlaubt wird.
Übrigens: Wer das Produkt Infor XPPS im Einsatz hat, sollte wissen dass ein
CALL XXUSER 'NAME'
ohne Kennwort einen Contextswitch erlaubt. QSECOFR ist da natürlich ebenso möglich.
Da bedarf es noch nicht mal eines SBMJOB's.
Bedient werden damit die API's QSYGETPH / QWTSETP.
https://www.ibm.com/docs/en/i/7.6.0?.../QSYGETPH.html
https://www.ibm.com/docs/en/i/7.6.0?...s/QWTSETP.html
Wenn man also neben der Kommandozeile also auch noch Programme schreiben kann, der kann sich damit durchaus als andere Person ausgeben.
Ich hatte mal einen Kunden, bei dem der Logistikleiter sein Kennwort vergessen hatte und sich selber disabled hatte. Der IT-Leiter befand sich allerdings in Urlaub und sonst war niemand mit Berechtigung vorhanden. Somit konnte keine Lieferung mehr erfolgen.
Der Notruf erreicht mich und ich kam remote mit einem anderen noch funktionierenden Profil auf die Maschine. Durch die normale Analyse, welches Profil nun da *ALLOBJ hatte und das ich auf grund der Berechtigung verwenden durfte, konnte ich mir SECADM geben und das Kennwort zurückstzen.
Ohne ein *ALLOBJ hätte man wohl den IT-Leiter schnellstens aus dem Urlaub holen müssen.
-
... in der SQL Denke, kommt die Berechtigung auf die Datenbank über den connect. Das hat man bei native AS/400 Anwendungen leider abgeklemmt, da wird automatisch unter dem aktuellen Profil connected. Zu dem Scheunentoren bei adopted Authority mag ich mich öffentlich nicht äußern - das ist so schon schlimm genug.
D*B
-
Man benötigt adopted Authority halt nicht, wenn man auf ein Profil mit *ALLOBJ Zugriff bekommt.
Da nun für fast jedes API auch eine SQL-View existiert, gibts wahrscheinlich auch eine View für USRPRF's, so dass es leicht ist herauszufinden, wer denn *ALLOBJ hat.
https://www.rpgpgm.com/2015/11/getti...-profiles.html
Aus SQL-Sicht gibts ja auch 3 Profil-Variablen:
https://www.ibm.com/support/pages/cu...considerations
Similar Threads
-
By jensen_hamburg in forum IBM i Hauptforum
Antworten: 5
Letzter Beitrag: 30-07-21, 10:42
-
By ILEMax in forum IBM i Hauptforum
Antworten: 5
Letzter Beitrag: 19-07-18, 08:45
-
By Robi in forum IBM i Hauptforum
Antworten: 4
Letzter Beitrag: 09-03-16, 10:32
-
By oulbrich in forum IBM i Hauptforum
Antworten: 7
Letzter Beitrag: 14-07-14, 15:06
-
By joergtho in forum IBM i Hauptforum
Antworten: 7
Letzter Beitrag: 25-01-08, 08:04
Tags for this Thread
Berechtigungen
- Neue Themen erstellen: Nein
- Themen beantworten: Nein
- You may not post attachments
- You may not edit your posts
-
Foren-Regeln
|
Erweiterte Foren Suche
Google Foren Suche
Forum & Artikel
Update eMail
AS/400 / IBM i
Server Expert Gruppen
Unternehmens IT
|
Kategorien online Artikel
- Big Data, Analytics, BI, MIS
- Cloud, Social Media, Devices
- DMS, Archivierung, Druck
- ERP + Add-ons, Business Software
- Hochverfügbarkeit
- Human Resources, Personal
- IBM Announcements
- IT-Karikaturen
- Leitartikel
- Load`n`go
- Messen, Veranstaltungen
- NEWSolutions Dossiers
- Programmierung
- Security
- Software Development + Change Mgmt.
- Solutions & Provider
- Speicher – Storage
- Strategische Berichte
- Systemmanagement
- Tools, Hot-Tips
Auf dem Laufenden bleiben
|
![[NEWSboard IBMi Forum]](images/duke/nblogo.gif)
[Content_Admin]
Mit Zitat antworten
Bookmarks