CA Security Modul Version 3.5. Benutzerhandbuch

Transkript

1 CA Security Modul Version 3.5 Benutzerhandbuch

2 Projekt CA Security Modul Version Nummer Datum Autor Seite und Art der Änderung Andreas Steiner Andreas Woodtli Florian Lüscher Anpassung KCS 2/58

3 Inhaltsverzeichnis 1 CA Security Modul Client Access/400 und Security Hauptmerkmale Funktionen Menü CA Security Modul Produktesprache setzten Exitpunkte WRKREGINF Setup CA Security Modul Das Setup-Programm Optionen ändern Spezielles bei Exitpunkt QIBM_QZDA_SQL Exitprogramme in Exitpunkten hinzufügen oder entfernen Verwaltungsprogramme Log-Datei Log-Datei anzeigen Inhalt der LOG-Datei löschen (älter als) Mit Log-Dateien arbeiten (inkl. Drucken) Menu Systemadministration Mit relationalen Datenbanken arbeiten Berechtigungscode setzen (XSRLSET) Alle Ausgangspunkte deaktivieren Zurückweisungsmeldung ändern PTF-Stand anzeigen Verwaltungsprogramm SQL, ODBC, FTP, Transfer SQL-, ODBC- und Datentransfer-Zugriffe SQL-, ODBC- und Datentransfer-Zugriffe (grösser als 512 Byte) Programmvarianten beim Exitpunkt QIBM_QZDA_SQL FTP-Zugriffe FTP Befehl QUOTE FTP-Zugriff auf das Integrierte Dateisystem (IFS) ODBC Unqualifizierte SQL-String Verwaltungsprogramm für Remote-Command Verwaltungsprogramm für Remote Execution (REXEC) Verwaltungsprogramm Integrated File System Verwaltungsprogramm für FTP-Server-Anmeldung Anonymous FTP Verwaltungsprogramm für Telnet-Initialisierung Verwaltungsprogramm für DDM Verwaltungsprogramm für TCP-Anmelde-Server Definitionen /58

4 11 Verwaltungsprogramm für Zeitrahmen Standardbenutzer *PUBLIC/QDFTUSR Query-Liste EXQ Gruppenverwaltung Mit Gruppenbenutzern arbeiten Kunden API Exit Fehlermeldungen Technische Übersicht Globaler Ablauf Prüfreihenfolge Integration Einschränkungen Relationaler Datenbankname Operations Navigator IFS / Servicepac für Client Access oder NT IPCS NetServer Schutz für CA Security Modul PTF s /58

5 1 CA Security Modul 1.1 Client Access/400 und Security Mit dem Einsatz von Client Access erhalten die Benutzer Zugriffsmöglichkeiten auf die Datenbank des AS/400. Wird kein spezieller Schutz vorgesehen, können unerwünschterweise Daten auf den PC transferiert werden. Oder in umgekehrter Richtung können Daten auf dem AS/400 überschrieben werden. Mit CA Security Modul kann nun dieses Problem auf einfache Art und Weise kontrolliert und verwaltet werden. 1.2 Hauptmerkmale Schutz auf Datentransfer DOS, Rumba, PC5250, Windows 95. Schutz auf Datenzugriff ODBC und SQL (z.b. Excel und Access). Schutz vor FTP -Zugriff (File Transfer Protocol) Schutz vor Remote Command-Zugriff Schutz vor IFS-Zugriffen Schutz vor Telnet-Zugriffen (Telnet Initialisierung) Schutz vor Remote Execution (REXEC)-Zugriffen Schutz vor Distributed Data Management (DDM) Requests Schutz vor TCP-Anmelde-Server-Zugriff Einfaches Menü für die Verwaltung der Benutzerberechtigungen. Mit der Gruppenverwaltung besteht die Möglichkeit, mehrere Systembenutzer, welche die gleichen Berechtigungen erhalten sollen, in eine Gruppe zusammenzufassen. Jeder Datentransfer, FTP- und SQL/ODBC -Zugriff wird ausführlich protokolliert. 5/58

6 2 Funktionen 2.1 Menü CA Security Modul Das CA Security Modul Menu wird mit dem Befehl CASEC aufgerufen. CASEC CA Security Modul :35:29 Auswahlmöglichkeiten: 1. Produktsprache setzen 2. Setup CA Security Modul 3. Exitprogramme in Exitpunkten hinzufügen oder entfernen 4. Verwaltungsprogramme 10. Log-Dateien anzeigen 20. Systemadministration Auswahl oder Befehl ===> F3=Verl. F4=Bed.frg. F9=Auffinden F12=Abbrechen F13=Unterstützende Informationen F16=AS/400-Hauptmenü 2.2 Produktesprache setzten Die Verwaltung des CA Security Modul kann in mehreren Sprachen erfolgen. Mit dem Menüpunkt 1 (Produktesprache setzen) oder mit dem Befehl CASECL + F4 wird die Produktesprache gesetzt. CA Security Set Language (CASECL) Auswahl eingeben und Eingabetaste drücken. Language LNG D F3=Verlassen F4=Bedienerf. F5=Aktualisieren F12=Abbrechen F13=Verwendung der Anzeige F24=Weitere Tasten 6/58

7 2.3 Exitpunkte WRKREGINF CA Security Modul arbeitet ausschliesslich mit den folgenden Exitpunkten: QIBM_QTF_TRANSFER Datenübertragung QIBM_QZDA_SQL1 ODBC- und SQL-Zugriff QIBM_QZDA_SQL2 ODBC- und SQL-Zugriff (grösser als 512 Byte) QIBM_QTMF_SERVER_REQ FTP Server QIBM_QPWFS_FILE_SERV File-Server; IFS Integrated File System QIBM_QZRC_RMT Remote-Command QIBM_QTMX_SERVER_REQ Remote Execution (REXEC) QIBM_QTMF_SVR_LOGON LOGON (FTP-Server-Anmeldung) QIBM_QTG_DEVINIT Telnet-Initialisierung CHGNETA DDMACC Distributed Data Management (DDM) QIBM_QZSO_SIGNONSRV TCP-Anmelde-Server 7/58

8 2.4 Setup CA Security Modul Bei dieser Auswahl wird ein Setup-Programm gestartet, welches Ihnen erlaubt die Installationsbibliothek zu ändern, sowie Anpassungen zu den einzelnen Exitpunkten vorzunehmen. Zum Beispiel kann für jeden Exitpunkt einzeln angegeben werden, ob nur die zurückgewiesenen Anforderungen protokolliert werden sollen. Das Setup-Programm muss vor dem ersten Arbeiten mit dem CA Security Modul aufgerufen werden Das Setup-Programm CA Security Module STA QPADEV0026 Setup EXITBA35 EXB008 Produktebibliothek... : EXITBA35 Auswahl eingeben und die Eingabetaste drücken 2=Ändern S Ausgangspunkt Beschreibung QIBM_QTF_TRANSFER Ursprüngliche Dateiübertragung QIBM_QZDA_SQL1 ODBC- und SQL-Zugriff; Dateiübertragung Win95/NT QIBM_QZDA_SQL2 ODBC- und SQL; Dateiübertragung Win95/NT (> 512 Byte) QIBM_QTMF_SERVER_REQ FTP-Zugriff QIBM_QTMF_SVR_LOGON FTP-Server-Anmeldung QIBM_QPWFS_FILE_SERV Datei-Server, Integriertes Dateisystem (IFS) QIBM_QZRC_RMT Remote Command, Remote Programm Call QIBM_QTNX_SERVER_REQ Remote Execution (REXEC) QIBM_QTG_DEVINIT CHGNETA DDMACC QIBM_QZSO_SIGNONSRV APOS_TIME_SECURITY Initialisieren der Telnet-Einheiten DDM-Anforderungszugriffe TCP-Anmelde-Server Zeitrahmen in allen Exitpunkten F3=Verlassen F12=Abbrechen Optionen ändern Wird im Hauptmenu des Setup-Programmes eine Auswahl 2 (Ändern) für einen der fünf Exitpunkte gewählt, erscheint folgender Bildschirm: 8/58

9 CA Security Modul STA QPADEV0026 EXITBA35 EXB008 Setup Exitpunkt : QIBM_QTF_TRANSFER Ursprüngliche Dateiübertragung Status : A A=Aktiv I=Inaktiv Anforderung in LOG schreiben : J J=Ja N=Nur zurückgewiesene F3=Verlassen F12=Abbrechen Status Der Status legt fest, ob das Exitprogramm aktiviert ist oder nicht. Wird der Status auf inaktiv gesetzt, werden Anforderungen nicht mehr überprüft und werden somit immer durchgelassen. Der Status erlaubt ein sofortiges Aktivieren oder Deaktivieren des jeweiligen Exitprogrammes, ohne das ein Neustart des Subsystems QSERVER notwendig ist. Anforderung in LOG Schreiben Die folgenden zwei Eingabe-Werte sind gültig: J N Alle Anforderungen werden in die LOG-Datei geschrieben Nur die zurückgewiesenen Anforderungen werden in die LOG-Datei geschrieben Spezielles bei Exitpunkt QIBM_QZDA_SQL2 Bei den Optionen für den Ausgangspunkt QIBM_QZDA_SQL2 (ODBC- und SQL; Dateiübertragung Win95/NT >512Byte) erscheint ein zusätzlicher Parameter bei dem die Programmvariante 1 oder 2 ausgewählt werden kann. Die Variante 1 ist für alle Versionen lauffähig, die Variante 2 jedoch nur für die Version 2.5 und höher. Wird mit der Variante 2 gearbeitet, so zeigt das LOG nicht die effektiv selektierte Datei und Bibliohtek an sondern die Berechtigungsdefinition welche für den Zugriff massgebend war. 9/58

10 2.5 Exitprogramme in Exitpunkten hinzufügen oder entfernen Mit dieser Auswahl können Sie die Exitprogramme pro Exitpunkt wahlweise hinzufügen (1= Hinzufügen) oder entfernen (2=Entfernen). Diese Funktion muss ebenfalls direkt nach der Installation ausgeführt werden. Diese Funktion aktiviert das CA Security Modul. Hinzufuegen/Entfernen von Exitprogrammen - Setup STA Auswahl eingeben und Eingabetaste druecken 1=Hinzufuegen 2=Entfernen 1 QIBM_QTF_TRANSFER Exitpunkt für den urspruenglichen Datentransfer 1 QIBM_QZDA_SQL1 Exitpunkt für DTA-Transfer, ODBC, usw. 1 QIBM_QZDA_SQL2 Exitpunkt für DTA-Transfer, ODBC, usw. >512Byte 1 QIBM_QTMF_SERVER_REQ Exitpunkt für FTP-Anforderungen 1 QIBM_QPWFS_FILE_SERV Exitpunkt für Integrierte Filesystem-Zugriffe 1 QIBM_QZRC_RMT Exitpunkt für Remote Commands 1 QIBM_QTMX_SERVER_REQ Exitpunkt fuer Remote Execution (REXEC) 1 QIBM_QTMF_SVR_LOGON Exitpunkt für FTP-Logon 1 QIBM_QTG_DEVINIT Exitpunkt für Telnet-Session-Initialisierung 1 CHGNETA DDMACC Exitprogramm fuer DDM-Zugriffe 1 QIBM_QZSO_SIGNONSRV Exitpunkt fuer TCP-Anmelde-Server F3=Verlassen F12=Abbrechen Um ein reibungsloses Funktionieren des CA Security Moduls zu gewährleisten, muss das Subsystem QSERVER, sowie der FTP-Server beendet und wieder neu gestartet werden. Achtung: Das Beenden des Subsystems QSERVER sowie das Beenden des FTP-Servers sollte an einer Randstunde erfolgen, da die Benutzer unter Umständen die File-Server- Funktion nicht mehr benutzen können. 10/58

11 2.6 Verwaltungsprogramme Für die Administration der Benutzerberechtigungen bestehen folgende Verwaltungs-programme: 1. Verwaltungsprogramm für SQL-, ODBC-, FTP, Integrated File System- und Datentransfer-Zugriffe 2. Verwaltungsprogramm für Remote-Command Zugriffe 3. Verwaltungsprogramm für das Integrierte Filesystem (IFS) 4. Verwaltungsprogramm für FTP-Server Anmeldung 5. Verwaltungsprogramm für Telnet-Initialisierung 6. Verwaltungsprogramm für Distributed Data Management (DDM) 7. Verwaltungsprogramm für TCP-Anmelde-Server 8. Verwaltungsprogramm für Zeitrahmen Die einzelnen Funktionen der Verwaltungsprogramme werden unter den Punkten 3 bis 10 (Verwaltungsprogramme) beschrieben. 2.7 Log-Datei Jeder Zugriff wird protokolliert. Daten wie Benutzer, Tag, Zeit, Datei, Bibliothek, SQL-String und Rückkehrcode werden in eine Datei geschrieben. Mit der Auswahl 10 des Menus wird ein weiteres Menu angezeigt CASEC1 CA Security Modul Log-Datei 15:48:42 Auswahlmöglichkeiten: 1. Log-Datei anzeigen (RUNQRY) 2. Inhalt der Log-Datei löschen (CLRPFM) 5. Mit Log-Datei arbeiten (inkl. Drucken) Auswahl oder Befehl ===> F3=Verl. F4=Bed.frg. F9=Auffinden F12=Abbrechen F13=Unterstützende Informationen F16=AS/400-Hauptmenü 11/58

12 2.7.1 Log-Datei anzeigen Bericht anzeigen Abfrage.. : EXITBA35/EXQ002 Breite des Berichts. : 90 Anfang auf Zeile CASE Anfang in Spalte.... Zeile Benutzer Bibliothek Objekt Server Request Datum Zeit Operation-ID IP-Adresse Anz. Stellen Returncode String 1 String STH LIBAZ STTRAP *SQLSRV ZDAQ SELECT * FROM LIBAZ.STTRAP WHERE LIBAZ.STTRAP.SRFICO BETWEEN 208 AND 208 AND lib STH LIBAZ STTRAP *SQLSRV ZDAQ SELECT * FROM LIBAZ.STTRAP WHERE LIBAZ.STTRAP.SRFICO BETWEEN 194 AND STH LIBAZ STTRAP *SQLSRV ZDAQ SELECT * FROM LIBAZ.STTRAP WHERE LIBAZ.STTRAP.SRFICO BETWEEN 498 AND 498 AND Libaz Weitere... F3=Verlassen F12=Abbrechen F19=Links F20=Rechts F21=Teilen F22=Breite 80 Kann die Bibliothek und die Datei nicht ermittelt werden, so wird *ERROR in der Log-Datei angezeigt (dies gilt nur, wenn die Anforderung nicht zugelassen ist) Inhalt der LOG-Datei löschen (älter als) Da jeder Zugriff auf AS/400 Dateien durch das CA Security Modul protokolliert wird, sollte von Zeit zur Zeit die Log-Datei geleert werden. Dies erfolgt über die Auswahl 2. Es erscheint folgende Anzeige: Delete LOG-Entries (DLTLOGE) Auswahl eingeben und Eingabetaste drücken. Delete Log-Entries older than. DAYS 30_ F3=Verlassen F4=Bedienerf. F5=Aktualisieren F12=Abbrechen F13=Verwendung der Anzeige F24=Weitere Tasten Ende 12/58

13 2.7.3 Mit Log-Dateien arbeiten (inkl. Drucken) Um das Analysieren der Log-Datei zu vereinfachen besteht folgendes Verwaltungs-Programm (Auswahl 5 Mit Log-Datei arbeiten): Mit Log-Dateien arbeiten STA QPADEV0005 EXITBA35 EXB007 Auswahl eingeben und Eingabetaste drücken 5=Anzeigen 9=Berechtigung generieren S Benutzer Datum Zeit Server Bibliothek Objekt Rückkehrcode WOO *TFRFCL QIWS QCUSTCDT Accept WOO *TFRFCL QIWS QCUSTCDT Accept WOO *TFRFCL QIWS QCUSTCDT Accept STH *SQLSRV LIBAZ STTRAP Accept FIS *FILESRV *FILESRV *ALL Reject SUP *FILESRV *FILESRV *ALL Accept STH *FILESRV *FILESRV *ALL Reject STH *SQLSRV LIBAZ STTRAP Accept ALL *FILESRV *FILESRV *ALL Accept PET *FILESRV *FILESRV *ALL Accept STH *FILESRV *FILESRV *ALL Reject Weitere... F3=Verlassen F12=Abbrechen F17=Selektion F21=Drucken 13/58

14 Funktionstasten F3 Verlassen Verlassen des Log-Verwaltungsprogramm. F12 Abbrechen Abbrechen des Log-Verwaltungsprogramm F17 Selektion Es kann folgendermassen selektiert werden: Benutzer ab Datum (TTMMJJJJ) ab Zeit (HHMM) Art der Anforderung (*SQLSRV/*FILESRV/*TFRFCL/*FTPSRV/*FTPLGN *RMTCMD/*TELNET/*DDMSRV/*SIGNON) Returncode _ Leer=alle / 0=Reject / 1=Accept F12=Abbrechen Selektionskombination (F) = fakultativ Benutzer EQ Datum ab GE (aufsteigend) Zeit ab GE Art EQ X (F) X X (F) (F) X (F) (F) (F) F21 Liste Mit F21 werden die im Dialog selektierten Daten auf eine Liste ausgegeben. Dabei kann gewählt werden, ob nur die Hauptdaten oder auch die Details (inkl. String) ausgegeben werden. KCS.net AG West Datum : Security-Modul Log-Datei Liste User : WOO Liste-Nr. EXB Seite : Benutzer Datum Zeit Server-ID Bibliothek Objekt Operation Rückkehrcode Request STH *SQLSRV LIBAZ STTRAP Accept SELECT * FROM LIBAZ.STTRAP WHERE LIBAZ.STTRAP.SRFICO BETWEEN AND 204 AND libaz.sttrap. srjj = 1997 and libaz.sttrap.srmm between 01 and 06 SUT *SQLSRV SCHLIB DEBOP Accept SELECT "KDNRP1","WAECP1","AKBZP2","BBTLP3","BBTFP3" FROM "SCHLIB"."DEBOP" WHERE ((((( ((((((((((("VTRCP1" >=? ) AND ("VTRCP1" <=? ) ) AND ("SBECP1" >=? ) ) AND ("SBECP1" <=? ) ) AND ("PCABP3" >=? ) ) AND ("PCABP3" <=? ) ) AND ("AUFNP3" >= SUT *SQLSRV SCHLIB DEBOP Reject SELECT "KDNRP1","WAECP1","AKBZP2","BBTLP3","BBTFP3" FROM SCHLIB"."DEBOP" WHERE ((((( Anzahl verarbeitete Sätze: /58

15 Auswahlen Auswahl 5 (Anzeigen) Anzeigen der Details des entsprechenden Log-Eintrages. Mit Log-Dateien arbeiten STA QPADEV0023 EXITBA35 EXB007 ANZEIGEN Benutzer: STA Datum: Zeit: Server-ID: *SQLSRV Bibl.: EXITCD Objekt: EXIT Oper.: Request: SELECT * FROM EXITCD/EXIT FOR FETCH ONLY Rueckkehrcode: Accept F3=Verlassen F12=Abbrechen Wird eine LOG-Eintrag ausgewählt, der nicht anzeigbare Daten enthält, wird im Feld Request *OBSNAV angezeigt. Auswahl 9 (Berechtigung generieren) Mit der Auswahl 9 kann direkt aus der LOG-Verwaltung eine Berechtigung erstellt werden. Berechtigung generieren ODBC/SQL/Dateitransfer/FTP Benutzer..... : STA Bibliothek.... : QIWS Datei : QCUSTCDT Berechtigungscode : 0 (0=nur Select möglich) (1=keine Einschränkungen) Bemerkung.... : Mit der Eingabetaste bestätigen. F12=Verlassen 15/58

16 2.8 Menu Systemadministration Mit der Auswahl 20 vom CA Security Modul Hauptmenu wird das System-administrationsmenu angezeigt: CASEC3 CA Security Modul Systemadministration 14:46:13 Auswahlmoeglichkeiten: 1. Mit relationalen Datenbanken arbeiten (WRKRDBDIRE) 2. Erfassen relationale Datenbank fuer CA Security Modul 4. Berechtigungscode setzen (XSRLSET) 5. Alle Ausgangspunkte deaktivieren 6. Zurueckweisungsmeldung aendern 8. PTF-Datei anzeigen (RUNQRY) 9. PTF-Stand anzeigen (XPTF) Auswahl oder Befehl ===> F3=Verl. F4=Bed.frg. F9=Auffinden F12=Abbrechen F13=Unterstützende Informationen F16=AS/400-Hauptmenü Mit relationalen Datenbanken arbeiten Wird mit dem Microsoft Produkt MS Query gearbeitet muss beachtet werden, dass MS Query einen relationalen Datenbanknamen benötigt. Folgendes Erfassungsvorgehen muss eingehalten werden: Relationaler Datenbankname erfassen (Menü CA Security Modul; Auswahl 7 Mit relationalen Datenbanken arbeiten (WRKRDBDIRE). Die nächste Abbildung zeigt den Befehl WRKRDBDIRE. 16/58

17 Mit Einträgen im RDB-Verzeichnis arbeiten Listenanfang bei.... Auswahl eingeben und Eingabetaste drücken. 1=Hinzufügen 2=Ändern 4=Entfernen 5=Details anzeigen 6=Details drucken Aus- Relationale wahl Datenbank Ferner Standort Text IHRSYSTEM *LOCAL Firma XYZ F3=Verlassen F5=Aktualisieren F6=Liste drucken F12=Abbrechen Ende Erfassen des relationalen Datenbanknamens für das CA Security Modul (Menü CA Security Modul; Auswahl 21 Erfassen relationale Datenbank für CA Security Modul ; Auswahl 2 für das Aendern des Datenbereiches). Datenbereich ändern (CHGDTAARA) Auswahl eingeben und Eingabetaste drücken. Datenbereichsbestimmung: DTAARA Datenbereich > EXRDB Bibliothek > EXIT Unterzeichenfolgebestimmung: Unt.zeichenfolge Startposition *ALL Unterzeichenfolgenlänge... Neuer Wert VALUE IHRSYSTEM F3=Verlassen F4=Bedienerf. F5=Aktualisieren F12=Abbrechen F13=Verwendung der Anzeige F24=Weitere Tasten Der relationale Datenbankname ist beim Parameter VALUE anzugeben Berechtigungscode setzen (XSRLSET) Mit diesem Menupunkt wird die Berechtigungscode-Verwaltung aufgerufen Alle Ausgangspunkte deaktivieren Mit dieser Funktion werden automatisch alle Ausgangspunkte inaktiviert. Das CA Security Modul ist somit nicht aktiv Zurückweisungsmeldung ändern Mit dieser Funktion kann die Zurückweisungsmeldung für ODBC, SQL, usw. geändert werden (PWS9801). 17/58

18 2.8.5 PTF-Stand anzeigen In der Auswahl PTF-Stand anzeigen wird eine Liste mit den installierten PTF s angezeigt. Dies lässt bei einem Problem mit dem CA Security Modul ein schnelles und einfaches Auffinden des PTF-Standes zu. Query: Bericht anzeigen Breite des Berichts. : 846 Anfang auf Zeile Anfang in Spalte.... Zeile Release No..... PTF No PGMer Ausführung.. PGMer ,1 1 WOO WOO ,0 1 WOO WOO ,0 2 MOS MOS ,1 3 MOS MOS ****** ******** Ende des Berichts ******** Ende F3=Verlassen F12=Abbrechen F19=Links F20=Rechts F21=Teilen F22=Breite 80 Befehl XPTF (PTF-Stand anzeigen): PTF Stand anzeigen co WOO QPADEV0004 EXITBA35 XPTF01 Programmbibliothek EXIT Datenbank *LIBL Release No PTF No/Datum Modell Serienummer Betriebssystemrelease.... V4R5M0 Dezimalformat J (QMODEL) (QSRLNBR) (Q ) (QDECFMT) F3=Ende 18/58

19 3 Verwaltungsprogramm SQL, ODBC, FTP, Transfer 3.1 SQL-, ODBC- und Datentransfer-Zugriffe Mit dem Verwaltungsprogramm von CA Security Modul können jedem Benutzer die jeweiligen Berechtigungen bis auf Dateiebene vergeben werden. Mit OS/400 Server Security arbeiten STA QPADEV0003 EXITBA35 EXB003 Auswahl eingeben und Eingabetaste drücken 2=Ändern 3=Kopieren 4=Löschen S Benutzer Bibliothek Objekt St Bemerkungen ALL PRODUKTION STAT01 0 Text/Notes DAE *ALL *ALL 0 HAR *ALL *ALL 1 HER PRODUKTION STAT02 1 HER PRODUKTION UMSATZ01 0 KUR LIBAZ *ALL 0 KUR QGPL *ALL 0 F3=Verlassen F5=Aktualisieren F6=Erstellen F8=Gruppen-Verwaltung F12=Abbrechen F17=Selektion F21=Liste drucken More... Funktionstasten F3=Verlassen Verlässt das Verwaltungsprogramm. F5=Aktualisieren Aktualisiert die Daten auf dem Bildschirm. F6=Erstellen Erstellt eine neue Benutzerberechtigung. Hier können nun der Benutzer, die Bibliothek, die Datei und der Schreib-/Lese-Code erfasst werden. Der Benutzer bezieht sich auf ein Benutzerprofil oder eine Gruppendefinition, bei Bibliothek und Datei kann auch der Wert *ALL erfasst werden. 19/58

20 Mit OS/400 Server Security arbeiten QSECOFR QPADEV0003 EXITBA35 EXB004 Erstellen Benutzer Bibliothek Datei Status Bemerkung (F4) 0 (0=nur Select möglich) (1=keine Einschränkungen) F3=Verlassen F12=Abbrechen Beim Statuscode kann definiert werden, ob der Benutzer nur Leserechte besitzt, oder ob Daten auf das AS/400 zurückgeschrieben oder geändert werden können. Im Feld Bemerkung kann ein frei wählbarer Text eingeben werden. Es wird keine Prüfung auf Richtigkeit durchgeführt. Mit der Funktionstaste <F4> wird ein Zusatzfenster mit allen auf dem System vorhandenen Benutzerprofilen angezeigt. Auswahl eingeben und Eingabetaste drücken 1=hinzufügen ab Benutzer QDBSHR Internes Datenbankbenutzer _ QDBSHRDO Internes Datenbankbenutzer _ QDFTOWN Standardeigner der Systemo _ QDIRSRV Benutzerprofil f. OS/400 D _ QDLFM Von IBM geliefertes Benutz _ QDOC Internes Dokumentenbenutze _ QDSNX Von IBM geliefertes Benutz _ QEJB Von IBM geliefertes Benutz _ QFAXMSF _ QFNC Von IBM geliefertes Benutz _ QGATE Von IBM geliefertes Benutz _ QLPAUTO Von IBM geliefertes Benutz _ QLPINSTALL Von IBM geliefertes Benutz Weitere... F3=Verlassen F12=Abbrechen 20/58

21 F8=Gruppenverwaltung Ruft die Gruppenverwaltung auf. Die Funktionen der Gruppenverwaltung werden unter Punkt 13 detailliert beschrieben. F12=Abbrechen Abbrechen der Anwendung. F17=Selektion Mit der Funktionstaste F17 kann eine einzelne Benutzerdefinition selektiert werden (generisch nach Benutzer). F21=Liste drucken Druckt eine Liste aller Benutzereinträge (Query). Auswahlen Auswahl 2 (Ändern) Mit der Auswahl 2 kann jede Benutzerdefinition angepasst werden. Auswahl 3 (Kopieren) Mit der Auswahl 3 wird die ausgewählte Benutzerdefinition kopiert. Diese kann gleichzeitig auch noch angepasst werden. Mit OS/400 Server Security arbeiten QSECOFR QPADEV0003 EXITBA35 EXB004 Kopieren von Benutzer QSECOFR nach Benutzer QSECOFR Bibliothek *ALL Bibliothek *ALL Datei *ALL Datei *ALL Bemerkung Text/Notes Bemerkung Text/Notes F3=Verlassen F12=Abbrechen Auswahl 4 (Löschen) Mit der Auswahl 4 kann eine gewünschte Benutzerdefinition gelöscht werden. 21/58

22 3.2 SQL-, ODBC- und Datentransfer-Zugriffe (grösser als 512 Byte) Wie unter Punkt 2.4 (Setup CA Security Modul) ersichtlich, können zwei Exitpunkte für den SQL-, ODBC und Daten-Zugriff definiert werden. Der Exitpunkt QIBM_QZDA_SQL1 übernimmt alle Anforderungen, welche eine Länge von maximal 512 Bytes erreichen. Wird diese Grenze überschritten, so kann nur noch über den Exitpunkt QIBM_QZDA_SQL2 eine richtige Entschlüsselung der benötigten Anforderungsparameter erreicht werden. Der Exitpunkt QIBM_QZDA_SQL2 kann sowohl Anforderungen über 512 Byte, sowie auch unter 512 Byte bearbeiten. Daher empfehlen wir mit dem Exitpunkt QIBM_QZDA_SQL2 zu arbeiten. Dieser Exitpunkt ist ab OS/400 Version V3R7 verfügbar. Die Verwaltung erfolgt wie unter Punkt 3.1 (SQL-, ODBC und Datentransfer-Zugriffe) beschrieben, über das standardmässige Verwaltungsprogramm für SQL-, ODBC und Datentransfer-Anforderungen. Auch die Funktionsweise ist dieselbe. Hinweis: Wird mit dem Exitpunkt für Anforderungen über 512 Bytes (QIBM_QZDA_SQL2) gearbeitet, so wird das Exitprogramm für die Anforderungen bis zu 512 Bytes (QIBM_QZDA_SQL1) ignoriert. 3.3 Programmvarianten beim Exitpunkt QIBM_QZDA_SQL2 Wie unter Punkt beschrieben bestehen zwei verschiedene Programmvarianten für den Exitpunkt QIBM_QZDA_SQL2. Wird mit der Variante 2 gearbeitet ist zu beachten, dass die Bibliothek und das Objekt generisch vergeben werden kann, d.h. wenn z.b. eine Berechtigungsdefiniton für den Benutzer MEIER auf die Bibliothek FIBU mit *ALL für das Objekt besteht, so ist der Benutzer MEIER auch auf die Bibliothek FIBUDB01 berechtigt. 22/58

23 3.4 FTP-Zugriffe Die Definitionen wie vorher beschrieben gelten auch für FTP. Wir haben aber auch vorgesehen, dass für einen Benutzer eine FTP-Spezialberechtigung gemacht werden kann. Es kann ein Superuser erstellt werden, für den keine Einschränkungen bestehen. Folgende Definition des Superusers müssen eingehalten werden: Mit OS/400 Server Security arbeiten QSECOFR QPADEV0003 EXITBA35 EXB004 Erstellen Benutzer Bibliothek Datei Status Bemerkung F3=Verlassen MEIER (F4) *FTP *ALL 0 (0=nur Select möglich) (1=keine Einschränkungen) Text/Notes F12=Abbrechen Der Status ist beim Superuser nicht relevant. Wird eine normale Berechtigung erteilt ist folgendes zu beachten: Wird der Status 1 vergeben erhält der jeweilige Benutzer alle FTP-Rechte (Löschen, Umbenennen, Erstellen, usw. Wird der Status 0 vergeben erhält der Benutzer nur die Lese-Rechte, sowie das Recht in ein anderes Verzeichnis zu wechseln, sowie den Inhalt eines Verzeichnisses aufzulisten FTP Befehl QUOTE Mit dem FTP-Befehl QUOTE kann ein AS/400-Befehl (z.b. ADDLIBLE FIBUDB01) abgesetzt werden. Da diese Anforderungen wie ein Remote Command behandelt werden, können diese im Verwaltungsprogramm für den Remote Command erfasst und berechtigt werden FTP-Zugriff auf das Integrierte Dateisystem (IFS) Wird über FTP auf das Integrierte Dateisystem (IFS) zugegriffen, so behandelt das CA Security Modul dies als Anforderung für das Integrierte Dateisystems. Somit muss hier die Berechtigung im Verwaltungsprogramm für das Integrierte Dateisystem erfasst werden. 23/58

24 3.4.3 ODBC Unqualifizierte SQL-String Handelt es sich beim ODBC-SQL-Request um einen unqualifizierten SQL-String (z.b. select * from filea), d.h. die Bibliothek befindet sich nicht im SQL-String, so muss folgendes beachtet werden: Bei der Definition des ODBC-Treibers muss beim Feld Standardbibliothek die entsprechende Biblitohek, welche die Datenbankdateien beinhaltet, angegeben werden. Das Feld Bibliotheksliste wird für unqualifizierte SQL-Strings ignoriert. Weitere Informationen zu diesem Thema finden Sie in der IBM Software Knowledge Base ( 912.ibm.com/s_dir/slkbase.nsf/slkbase; KB Artikel Nummer ). 24/58

25 4 Verwaltungsprogramm für Remote-Command Mit dem Verwaltungsprogramm für Remote-Command-Zugriffe können jedem Benutzer die jeweiligen Berechtigungen bis auf Dateiebene vergeben werden. Mit OS/400 Server Security arbeiten QPADEV0005 EXITBA35 EXB302 Auswahl eingeben und Eingabetaste drücken 2=Ändern 3=Kopieren 4=Löschen Anzahl S Benutzer Befehl Stellen *PUBLIC *ALL Bemerkung: Alle Remote commands ABEISP1 CPYF FROMFILE(DATEN/KUNDEN) TOFILE(SAVDATEN/KUNDEN 87 ) MBROPT(*REPLACE) FMTOPT(*MAP *DROP) ABEISP5 CALL PGM(PRODUKT/STATISTIK) 4 ABEISP6 *OBSNAV Weitere... F3=Verlassen F5=Aktualisieren F6=Erstellen F8=Gruppen-Verwaltung F12=Abbrechen F17=Selektion F21=Liste drucken Funktionstasten F3=Verlassen Verlässt das Verwaltungsprogramm. F5=Aktualisieren Aktualisiert die Daten auf dem Bildschirm. F6=Erstellen Erstellt eine neue Benutzerberechtigung. Hier können nun der Benutzer, der Befehl und die Anzahl zu überprüfenden Stellen angegeben werden. F8=Gruppenverwaltung Ruft die Gruppenverwaltung auf. Die Funktionen der Gruppenverwaltung werden unter Punkt 13 detailliert beschrieben. 25/58

26 F12=Abbrechen Abbrechen der Anwendung. F17=Selektion Mit der Funktionstaste F17 kann eine einzelne Benutzerdefinition selektiert werden (generisch nach Benutzer). F21=Liste drucken Druckt eine Liste aller Benutzereinträge (Query). Auswahlen 2=Ändern Mit der Auswahl 2 (Ändern) kann eine vorhandene Definition geändert werden. 3=Kopieren Die Auswahl 3 (Kopieren) kopiert die ausgewählte Definition. Dabei können Benutzer, Befehl und die Anzahl Stellen angepasst werden. 4=Löschen Die Auswahl 4 (Löschen) löscht die ausgewählte Definition. Mit OS/400 Remote-Command Security arbeiten STA QPADEV0005 EXITBA35 EXB301 Ändern Benutzer (F4) Befehl Anz. Stellen (Anz. berücksichtigte Stellen) Bemerkung F3=Verlassen F12=Abbrechen Beim Befehl wird automatisch eine Prüfung auf die Richtigkeit vorgenommen. Ist der angegeben Befehl fehlerhaft, so wird automatisch die Bedienerführung angezeigt. 26/58

27 Wird mit dem Operations-Navigator gearbeitet (setzt Remote Commands ab), so muss für den jeweiligen Benutzer eine Berechtigung mit *OBSNAV als Befehl erstellt werden. Mit dem Feld Anzahl Stellen kann angegeben werden, wieviele Stellen des Befehls berücksichtigt werden, d.h wenn zum Beispiel eine Definition mit dem Befehl CRTLIB TOOLTEMP besteht und die Anzahl Stellen auf 6 gesetzt ist, so werden nur die ersten sechs Stellen überprüft. Der Benutzer kann somit in diesem Beispiel alle Befehle, welche mit CRTLIB (6 Stellen) beginnen ausführen. Im Feld Bemerkung kann ein frei wählbarer Text eingeben werden. Es wird keine Prüfung auf Richtigkeit durchgeführt. Auswahlen Auswahl 2 (Ändern) Mit der Auswahl 2 kann jede Benutzerdefinition angepasst werden. Auswahl 3 (Kopieren) Mit der Auswahl 3 wird die ausgewählte Benutzerdefinition kopiert. Diese kann gleichzeitig auch noch angepasst werden. Mit Remote Command Security arbeiten SCH QPADEV0005 EXITAPOS EXB301 Copy von Benutzer *PUBLIC Bemerkung Text/Notes > Befehl *ALL Stellen nach Benutzer *PUBLIC Bemerkung Text/Notes > Befehl *ALL Stellen F3=Verlassen F4=Bedienerfuehrung F12=Abbrechen Auswahl 4 (Löschen) Mit der Auswahl 4 kann eine gewünschte Benutzerdefinition gelöscht werden. Achtung: Um Zugriffe via Remote Execution (REXEC) abzufangen, kann ebenfalls das Verwaltungsprogramm für die Remote Command verwendet werden. 27/58

28 5 Verwaltungsprogramm für Remote Execution (REXEC) Ueber den Remote-Execution-Client ist ebenfalls ein Ausführen von AS/400 Befehlen vom PC aus möglich. Da diese Funktion dem Remote Command eins zu eins entspricht müssen die Berechtigungen im Verwaltungsprogramm für Remote Commands definiert werden. 28/58