-
Sicherheitslücke?
Hallo,
ich mache Urlaubsvertretung für unseren AS/400 Administrator. Durch Zufall habe ich 3 mal das falsche Admin-Kennwort eingegeben und wurde gesperrt. Ich weiß, dass unser Admin den Befehl "actusr" installiert hat. Mit diesem Befehl kann man Benutzer wieder aktivieren. Warum wir das nicht mir wrkusrprf machen liegt auf der Hand, denn nur der Admin darf wrkusrprf, jedoch ist dieser manchmal nicht da und andere Mitarbeiter müssen Benutzer wieder aktivieren.
Jetzt habe ich natürlich versucht mit meinem Benutzerprofil das Admin-Profil wieder zu aktivieren. Zu meinem erstaunen funktionierte dies.
D. h. jeder User mit Command Line kann den QSYSOPR verwenden. ;-)
Gibt es eine Möglichkeit die Sicherheitslücke zu schließen, ohne actusr zu löschen?
Ist der Befehl actusr weit verbreitet, oder ist das nur eine Einzelprogrammierung von meinem Chef?
Ich bedanke mich bereits für Eure Hinweise.
Viele Grüße
Olli
-
Hallo Olli
Ich klaub es handelt sich dabei um ein eignen gestricktes Programm. Dieses Programm wurde warschenlich vom Secofr (oder jemanden mit diesen Rechten) mit der Programmberechtigung *OWNER um gewandelt. Damit kann man die Berechtigungen unterlaufen, da ja das Programm die Berechtigung des Erstellers hat.
Gruß Klaus
Programmierung
-
Ah... das kann gut möglich sein.
Heißt das, wenn ich das ACTUSR Tool mit einem Standart-Benutzer umwandle, dann kann ich nur noch alle hirarchisch darunter liegenden Benutzer freischallten?
Schon mal vielen Dank.
Grüße
Olli
-
Hallo,
wenn man mit übernommenen Berechtigungen arbeitet, muß das Programm die "rechtmäßige" Nutzung gewährleisten.
Daß heißt, wenn jeder es aufrufen darf, darf es nur für einfache Benutzerprofile arbeiten. In das Programm gehört ein Filter, für welche Profile es Änderungen vornimmt. Ausgemommen werden müssen natürlich alle Q???????-Profile.
Grüße
Dietmar Vill
-
Das Programm 'actusr' muß mit *OWNER unter einem Profil laufen, dass *SECADM-Rechte besitzt, da sonst generell kein CHGUSRPRF (ausser dem eigenen) möglich ist.
Man sollte das Programm jedoch mittels EDTOBJAUT nur speziellen Usern zugänglich machen (*PUBLIC *EXCLUDE, USER1 *USE, ...).
Similar Threads
-
By Fuerchau in forum IBM i Hauptforum
Antworten: 8
Letzter Beitrag: 07-04-03, 14:05
Berechtigungen
- Neue Themen erstellen: Nein
- Themen beantworten: Nein
- You may not post attachments
- You may not edit your posts
-
Foren-Regeln
|
Erweiterte Foren Suche
Google Foren Suche
Forum & Artikel Update eMail
AS/400 / IBM i
Server Expert Gruppen
Unternehmens IT
|
Kategorien online Artikel
- Big Data, Analytics, BI, MIS
- Cloud, Social Media, Devices
- DMS, Archivierung, Druck
- ERP + Add-ons, Business Software
- Hochverfügbarkeit
- Human Resources, Personal
- IBM Announcements
- IT-Karikaturen
- Leitartikel
- Load`n`go
- Messen, Veranstaltungen
- NEWSolutions Dossiers
- Programmierung
- Security
- Software Development + Change Mgmt.
- Solutions & Provider
- Speicher – Storage
- Strategische Berichte
- Systemmanagement
- Tools, Hot-Tips
Auf dem Laufenden bleiben
|
Bookmarks