Hallo Michi,

eigentlich einfach, aber...

Grundsätzlich kann man für jedes Objekt in der AS400 den Zugriff fein regeln.
Da es vor langer Zeit keine Zugriffe von außen gab, wurden Anwendungen oft so entwickelt, dass Zugriff auf alle Daten technisch erlaubt war, aber der Anwender per Menüs + Programmsteuerung gegängelt wurde.
ODBC & Co eröffneten dann Scheunentore, da man plötzlich auf viele Objekte direkt zugreifen kann.

Mit Bordmitteln geht das im Prinzip. Sauber wäre z.B. eine Lösung, dass die Datenbibliothek *PUBLIC *EXCLUDE bekommt, und die Programme die Rechte eines Users adaptieren, der Leserechte hat.
Dies nachträglich einzubauen ist nicht ohne.

Praktikabler sind Programme, die per Exit-Programm die Berechtigungen für ODBC-Zugriffe einschränken können.
(Z.B. QPCS + NetworkSecurity, das sind 2 Produkte, die mir vor Jahren näher angeschaut hatte - ich weiß aber nicht, ob es sie noch gibt, oder ob es heute weitere gibt.)
Mit solchen Programmen kann man den Datenverkehr rein+raus aus der AS400 gut regeln und auch protokollieren. Ü
blicherweise ist man als Admin dann erstmal schockiert, wie viele Zugriffe dieser Art gemacht werden
:-)

Theoretisch kann man sowas auch selbst entwickeln, die Exits sind von IBM dokumentiert. Lohnt sich in meinen Augen aber weniger - ob man wirklich an alles denkt? Und mit jedem IBM-Update hängt man dann wieder dran.

Ich hoff, das hilft Dir weiter.
Gruß, Christian