-
Die aufwändigste Lösung ist ein Berechtigungskonzept.
Die Daten-Lib's werden für *PUBLIC *EXCLUDE gesperrt.
Es muss ein sog. Application-User erstellt werden (ohne Anmeldung), der die ausschließlichen Rechte erhält.
Alle Programme, die auf die Daten zugreifen müssen als Eigner den Application-User bekommen und zur Laufzeit diesen Eigner erben (CHGPGM).
Für explizite ODBC-Zugriffe können dann Lib's mit entsprechenden Views (nicht LF's!) eingerichtet werden.
Diese Views können dann die Daten z.B. auch vorselektieren.
Probleme wird es sicherlich geben, wenn User mit WRKQRY o.ä. umgehen.
Die etwas teurere Lösung ist tatsächlich der Einsatz einer Sicherheitssoftware wie z.B. PCSACC/400_BUSCH&PARTNER, SOFTWARE.
Hier kannst du auf vielen Ebenen die Kontrolle durchführen.
Schließlich sollen ja die 5250-Anwendungen weiterlaufen und hierzu benötigt jeder User nun mal die Datenrechte.
-
Danke
Hallo,
danke für die Hinweise.
GG
-
Software
Hallo,
gibt es neben der Busch&Partner Software sonst noch empfehlenswerte Produkte?
GG
-
Ehrlich gesagt: Nein.
Es gibt zwar andere Produkte, die eingeschränkt bestimmte Zugriffe überwachen können, die sind aber alle nicht so weit wie PCSACC/400.
H.Busch steht im engsten Kontakt mit der IBM-Entwicklung. Testet sein Produkt bereits auf OS/400-Versionen, die noch gar nicht ausgliefert sind.
Beispiel SQL:
Ein SQL-Befehl kann bis zu 65Kb groß werden und eine Vielzahl von Tabellen enthalten.
Zusätzlich kann man aber SQL-Zugriffe per OVRDBF umlenken. Die Überwachung der Umlenkung kann eigentlich keiner, so dass hier aus nicht erlaubten Zugriffen erlaubte gemacht werden können.
Überwachungen:
Zugriffe auf IFS, per FTP usw.
Aufruf von Befehlen per CALL QCMDEXC.
Zugriffe per OPEN durch DRDA/CLI/Query/STRSQL, DDM, DTAQ, SBMRMTCMD, NETDATA, QM-Query, PHP.
Zugriff auf IFS /QSYS.LIB, Prüfen auf IFS-Verzeichnisauflistungen, Kontrolle von Eingangs-IP-Adressen.
Benutzer und Gruppen-Einstellungen.
Desweiteren gibt es einen Testmode in dem man die Aufzeichnung der Zugriffe betreibt und dann relativ schnell daruas die Zugriffsrechte erstellt.
Auch im Echtmode kann man aus abgewiesenen Zugriffen Berechtigungen erteilen.
Meine Erfahrungen diesbezüglich sind sehr gut und der Support ist hervorragend.
Similar Threads
-
By berndl in forum IBM i Hauptforum
Antworten: 6
Letzter Beitrag: 13-10-06, 10:28
-
By synus in forum IBM i Hauptforum
Antworten: 2
Letzter Beitrag: 06-10-06, 16:38
-
By Marsman in forum NEWSboard Programmierung
Antworten: 5
Letzter Beitrag: 11-07-06, 11:50
-
By jjagi in forum IBM i Hauptforum
Antworten: 6
Letzter Beitrag: 07-07-06, 09:29
-
By Hubert in forum IBM i Hauptforum
Antworten: 2
Letzter Beitrag: 12-05-06, 12:52
Berechtigungen
- Neue Themen erstellen: Nein
- Themen beantworten: Nein
- You may not post attachments
- You may not edit your posts
-
Foren-Regeln
|
Erweiterte Foren Suche
Google Foren Suche
Forum & Artikel
Update eMail
AS/400 / IBM i
Server Expert Gruppen
Unternehmens IT
|
Kategorien online Artikel
- Big Data, Analytics, BI, MIS
- Cloud, Social Media, Devices
- DMS, Archivierung, Druck
- ERP + Add-ons, Business Software
- Hochverfügbarkeit
- Human Resources, Personal
- IBM Announcements
- IT-Karikaturen
- Leitartikel
- Load`n`go
- Messen, Veranstaltungen
- NEWSolutions Dossiers
- Programmierung
- Security
- Software Development + Change Mgmt.
- Solutions & Provider
- Speicher – Storage
- Strategische Berichte
- Systemmanagement
- Tools, Hot-Tips
Auf dem Laufenden bleiben
|
![[NEWSboard IBMi Forum]](images/duke/nblogo.gif)
[Content_Admin]
Mit Zitat antworten
Bookmarks