Anmeldung an TCP/IP-Schnittstelle beschränken

[Twinni]

Okay, vielen Dank erstmal für die Antworten.

VPN halte ich für ausreichend sicher. Aber wenn jemand den Anmeldeschirm sieht, dann könnte er es mal einem ihm bekannten Mitarbeiter des Haupthauses und dessen Vornamen als Passwort versuchen. So ist es ... leider.

Aber wenn ich einzelne Bildschirme beschränken kann, dann könnte das ein Ansatz sein. Ich muss dann nur irgendwie verhindern, dass in der Emulation eine andere oder keine Workstation-ID eingetragen wird. Vielleicht gibt es auch noch eine Möglichkeit, mit den IP-Host-Tabelleneinträgen zu arbeiten? Und das mit dem eigenen Subsystem schaue ich mir auch noch mal an.

@GeorgG: Das liegt nicht an der 400, sondern viel mehr an dem Admin, der hier bei der Passwortvergabe etwas "einfallslos" gehandelt hat.

Danke
Andreas

[Fuerchau]

Beschränken wird schon schwierig, aber per Programm schon möglich.
Im Systemwert QRMTSIGN (o.ä.) kannst du ein Programm hinterlegen, dass die Anmeldung gezielt prüfen kann, die Herkunft-IP o.ä. validiert, und dem Anmelder dann sogar den Devicenamen zuweist und zwar unabhängig vom gewünschten Namen.

Nun benötigst du am Device nur die Berechtigung:
*PUBLIC *EXCLUDE
Remote-User *USE

Und schon kann sich an diesem Device niemand anders mehr anmelden.

[Twinni]

Viiiiiiielen Dank. So machen wir das.

Gruß
Andreas

[KingofKning]

@GeorgG: Das liegt nicht an der 400, sondern viel mehr an dem Admin, der hier bei der Passwortvergabe etwas "einfallslos" gehandelt hat.

Danke
Andreas

Warum gehst Du nicht hin und zwingst die User per Einstellung alle 30 Tage ihr Passwort zu ändern?
In der Kombination mit 3x falsch angemeldt wir das User Profil disabled kommst Du schon weiter. Im Log steht auch wer sich von wo aus angemeldet hat.
Wenn sich der User am Bildschirm Schmandt mit dem Username Ritter anmeldet ist das schon ungewöhnlich. Führte dann bei uns dazu das es deutliche Worte gab!

Nicht umsonst lese ich mir jeden Morgen das Logfile durch um soetwas zu prüfen.

GG

[Twinni]

So einfach ist das leider nicht. Der Kunde will, dass sich SEINE Mitarbeiter weiterhin einfach und damit unsicher anmelden. Aber Externe, also Nicht-Mitarbeiter dürfen auf der AS400 nur eingeschränkt arbeiten können. Die kommen über VPNs aus der ganzen Welt auf die Maschine. Da kann man nicht mal eben ein Machtwort sprechen. Es könnte dann ja auch schon zu spät sein. Wer weiß, was da für Spezis am Hacken sind.

Andreas

[Fuerchau]

Das disablen des QSECOFR kannst du damit leider nicht verhindern.

[Twinni]

Das stimmt. Dann werde ich die Leute zwingen, wenigstens die Admins mit sicheren Kennworten zu versehen. Wenn die User meinen, dass das nicht so wichtig ist, dann müssen sie eben mit dem disablen leben. Das hat auch eine erzieherische Nebenwirkung.

Hauptsache die Externen toben nicht auf der Maschine rum. Danke noch mal für die hilfreichen Tipps.

Andreas

[KingofKning]

Das disablen des QSECOFR kannst du damit leider nicht verhindern.

Wie sieht es denn aus wenn Du die Terminals für den Qsecofr einschränkst, kann man ihn dann immer noch disablen wenn Du dich von einem nicht zugelassen Terminal anmelden willst?

GG

[Fuerchau]

Ich glaube ja, bleibt aber auszuprobieren.
Die Anmeldung erfolgt soweit ich weiß vor der Berechtigungsprüfung.

Außerdem erreiche ich das selbe ja auch per FTP oder ODBC oder iSeries Navigator oder was es sonst noch für anmeldefähige Dienste geben könnte.