Benutzerprofile übertragen

[KM]

Hallo,

wir haben 2 iSeries Maschinen im Einsatz (ein Produktionssystem und ein Test-System). Jetzt sollen nachts alle Benutzerprofile inkl. Kennwörter und Berechtigungen von dem einen System auf das andere übertragen werden. Wie stelle ich das am besten an ? Ich dachte ich könnte auf dem ersten System einen SAVSECDTA durchführen und in eine SAVF sichern. Diese SAVF dann übertragen und dann auf dem Zielsystem einen RSTUSRPRF *ALL und dann den RSTAUT *ALL durchführen. Soweit mir bekannt ist, gibt es dabei ein Problem mit den Kennwörtern. Wenn man beim RSTUSRPRF den Parameter SECDTA auf dem Defaultwert *USRPRF lässt, werden wohl die Kennwörter nicht mit übertragen. Und wenn man *PWDGRP eingibt, funktioniert das nicht mit USRPRF(*ALL). Wie habt Ihr dieses Problem gelöst ? Soll ich besser erst mit DSPUSRPRF eine Outfile erzeugen und dann alle Benutzer einzeln verarbeiten ?

Gruß,
KM

[Fuerchau]

Das Problem fängt schon mit den unterschiedlichen Systemnamen an !
Stell dir vor ich könnte beliebig ein Profil vom SystemA auf SystemB mit all seinen Berechtigungen kopieren, dies wird verhindert bzw. teilweise werden Berechtigungen entzogen (*ALLOBJ, *SECADM, *IOSYSCFG o.ä.)

Du kannst dies nur mit einer SingleSignon-Lösung realisieren.

Berechtigungen bleiben nur erhalten, wenn beim Restore das identische System wiederhergestellt wird.

[tfroehlich]

Hallo,

dieses Thema bekommt man auch mit einer teuren Hochverfügbarkeitslöung gelöst.

Diese Softwaren sind in der Lage dies mit zu übertragen.

Ich persönlich kenne folgende Produkte.

*Nomax, Mimix, etc...

Gruss Thomas

[KM]

@Fuerchau

Ich kann mir eigentlich nicht vorstellen, dass das nicht möglich sein soll. Über Management Central geht das doch auch. Nur leider sehr instabil und man kann keine Benutzer hinzufügen bzw. entfernen. Deshalb suche ich eine andere Lösung. Werde mal ein wenig ausprobieren.

@Thomas

Danke für den Hinweis. Aber eine kommerzielle Lösung kommt nicht in Frage. Es darf natürlich kein Geld kosten ;-)

Gruß,
KM

[holgerscherer]

Danke für den Hinweis. Aber eine kommerzielle Lösung kommt nicht in Frage. Es darf natürlich kein Geld kosten ;-)

Dann musst Du basteln ;-)

Die Denke über SAVSECDTA -> *SAVF, Transfer, RSTUSRPRF, RSTAUT müsste Dir schon ein wenig helfen.

Aber (!) hier sollte ein System definitiv führend sein, und auf dem anderen System musst Du spätestens beim RSTAUT darauf aufpassen, dass Berechtigungen auf evtl. nicht existente Objekte (oder umgekehrt) auf andere Objekte nicht gesetzt werden können. Eine gleichlautende Systemkonfiguration wäre von Vorteil.
In diesem Falle ists fast ein Kinderspiel.

-h

[holgerscherer]

(Quote ich mich mal eben selbst)
Nachtrag: Auf jeden Fall - wie Du oben geschrieben hast - erst mit DSPUSRPRF arbeiten und dann nur die relevanten Benutzerprofile zurückholen (vielleicht Q* ausklammern). Dann klappts auch mit der benachbarten 400.

-h

[KM]

Hallo zusammen,

also ich habe das jetzt folgendermaßen realisiert (falls es jemanden interessiert):

Quell-System:
1. Ich erstelle mit DSPUSRPRF eine OUTFILE und übertrage sie auf das Ziel-System.
2. Ich sichere die Sicherheitsdaten mit SAVSECDTA in eine SAVF und übertrage sie ebenfalls auf das Ziel-System.

Ziel-System:
3. Ich verarbeite die übertragene OUTFILE mit den Benutzerprofilen satzweise (somit kann ich die IBM-Profile ausklammern).
4. Für jedes Benutzerprofil führe ich den RSTUSRPRF mit den Optionen ALWOBJDIF(*ALL) und SECDTA(*PWDGRP) durch.
5. Schließlich führe ich noch den RSTAUT für jedes Benutzerprofil durch, um die privaten Berechtigungen, die im Benutzerprofil gespeichert sind, wiederherzustellen.

Ich muß die Benutzerprofile einzeln verarbeiten, da man bei RSTUSRPRF USRPRF(*ALL) nicht die Option SECDTA(*PWDGRP) angeben kann. Die ist jedoch nötig, um auch Kennwörter und diverse andere Berechtigungen mit zurückzuspeichern. Außerdem wäre ein eingeschränkter Modus nötig, was ich auch vermeiden wollte.

Die Systemkonfiguration ist bei beiden Maschinen fast gleich. Nur einige unwichtige Objekte fehlen auf der zweiten Maschine. Deshalb können diese Berechtigungen auch nicht wiederhergestellt werden. Aber das ist Kleinkram.

Gruß,
KM