Ganz einfach scheint die Angelegenheit wohl nicht zu lösen zu sein. Aufgrund der obigen Antworten hat der Mitarbeiter des Kunden Stellung bezogen. Dieser Mitarbeiter ist kein AS/400-Spezi, kennt sich aber ganz gut aus mit Netzwerken, Windows + PC. Vielleicht könnte jemand zur Lösung zu diesem Thema noch was beitragen ?

mfg. Ludger


Zitat Zitat von K.
Hallo,

Einstellen in Client Access, dass die Netzwerkanmeldung direkt für die AS/400 übernommen wird und keine gesonderte AS/400-Anmeldung erforderlich ist
Stimmt so nicht, mit der Windows-Netzwerk-Anmeldung meldet man sich erstmal nur am Windows-Netzwerk an, sonst nichts (d.h. man authentifiziert gegenüber dem eigenen PC bzw. NT-DomainControllern). AS400, was zufälligerweise auch im Netzwerk steht, bekommt davon gar nichts mit. Mit dieser Anmeldung kann man dann auf die Windows-Netzwerk-Dienste zugegriffen werden, z.B. freigegebene Verzeichnisse, Drucker usw., viel mehr erstmal nicht.
Nicht zu den Windows-Netzwerk-Diensten gehören allgemeine Netzwerk-Dienste wie Mail (pop3/smtp), FTP, SSH, Telnet usw., hier muss man sich für jede Sitzung separat am Mail/FTP/SSH/Telnet-Server anmelden. Es ist z.B. klar, daß man beim Abholen der Mail vom Provider auch ein Kennwort im Mail-Client eingeben muss, obwohl die Anmeldung am Windows-Netzwerk durchgeführt wurde. Das gleiche gilt auch für FTP, SSH usw. und eben eben auch für Telnet-Sitzungen, die die Basis von ClientAccess-AS400-Sitzungen sind.

Nun könnte man sicher Programme basteln (die gibt's wohl auch), mit denen bei der Anmeldung am Windows-Netzwerk auch gleich eine Telnet-Sitzung (oder Mail/FTP...) zu einem beliebigen weitern Server hergestellt wird, die dann unsichtbar im Hintergrund "schlummert". Bei einer folgenden AS400-Sitzung verbindet man sich dann statt mit AS400 mit dieser "schlummernden" Sitzung und es wäre keine erneute Anmeldung erforderlich. Leider hat die Sache zwei Nachteile:

- auf AS400 läuft nach wie vor der gleiche Telnet-Server, der Name und Kennwort unverschlüsselt erwartet.
- da man Name/Kennwort immer noch mitlesen kann, hat man auch gleich das Windows-Kennwort geknackt :-((
und/oder

Client Access ist auf SSL-Verbindung umzustellen.
Ist für ClientAccess V3R2Mx wohl nicht möglich, ich hab's jedenfalls nicht gefunden. Anscheinend geht das erst ab CA400 in Version "Express"? Weiß ich nicht genau... Aber das wird bei unserer Firma wohl auch damit nicht funktionieren, denn

- auch der Telnet-Server auf AS400 muss die SSL-Verschlüsselung akzeptieren.

Soweit ich gelesen&verstanden habe, machen das erst aktuelle OS400-Versionen. Bei uns ist V5R1 installiert)
<...>
Über PC-Verbindung
Stimmt nicht (nur, damit nicht in der falschen Richtung nach Lösungen gesucht wird)! Auch wenn die Sitzung von einer anderen AS400 gestartet würde (z.B. telnet 100.1.1.1), wäre das Name/Kennwort-Paar im Klartext auf dem Netzwerk. Problem ist der Telnet-Server auf AS400, der Name/Kennwort unverschlüsselt erwartet.

Noch ein Problem ist daher sicherlich auch die IBM-Software CA400, die Name und Kennwort schön mit Markierungen versieht und in EINEM Datenpaket über's Netzwerk schickt. Auch bei normalem FTP u. Telnet wird das Kennwort (m.W.) unverschlüsselt übertragen, aber eben weder mit Markierungen versehen und auch nicht in einem Datenpaket. Um zum Beispiel FTP oder "normales" Telnet zu knacken, braucht man schon mindestens ein Programm, das mehrere Datenpakete zusammensetzt um dann das Kennwort Buchstabe für Buchstabe zusammen zu suchen, bei CA400 reicht es, wenn nur das erste Datenpaket untersucht wird - hier sind alle interessanten Daten enthalten.

M.a.W.: IBM macht's sowohl auf Server-Seite wie auch auf der Client-Seite besonders einfach.

Im Detail (so habe ich das jedenfalls herausgefunden und kann damit die Kennwörter ausfiltern):
-
über IBM-ClientAccess wird AS400 im Prinzip über eine modifizierte Telnet-Sitzung bedient
-
im Gegensatz zu der Annahme, daß der Datenstrom auf dem Netzwerk verschlüsselt ist, werden Daten zwischen Client <-> AS400 offensichtlich unverschlüsselt übertragen (lediglich EBCDIC-ASCII-Umsetzung erforderlich)
-
der Datenstrom zwischen ClientAccess <-> AS400 enthält u.a. die Hex-Sequenzen [11h, 06h, 35h] und [11h, 07h, 35h].
-
im ersten Datenpaket, daß zwischen ClientAccess <-> AS400 ausgetauscht wird (Anmeldung), haben die Sequenzen folgende Bedeutung:
- auf [11h, 06h, 35h] folgt der Anmeldename
- auf [11h, 07h, 35h] folgt das Kennwort
bei falsch eingegebenen Kennwort wird im zweiten Paket
- auf [11h, 07h, 35h] nur nochmal das neu eingegebene Kennwort übertragen
bei falsch eingegebenem Anmeldenamen zurück zum ersten Paket.

..eintragen in CA: im Sitzungsprofil "Anmeldung umgehen" ein, dann wird die CA-Anmeldung für die Sitzung verwendet.
Habe ich ausprobiert (CA V3R2M0): da ändert sich gar nichts. Es kommt nach wie vor der kleine graue Bildschirm mit Name/Kennwort-Abfrage, dann der grüne Bildschirm mit Name/Kennwort-Abfrage und Name/Kennwort gehen wie immer im Klartext über das Netz. Welche Anmeldung wurde umgangen???
Ansonsten:

Stelle CA auf SSL-Verbindung um, und schon wird der gesamte CA-Verkehr verschlüsselt (nicht nur der 5250-Strom sondern auch ODBC/OLEDB).
Wie gesagt: wohl kaum mit CA-V3R2M0 und auch nicht mit dem z.Zt. vorhandenen Server-OS400.

Schönen Abend noch!
I. K.