Lea en AS/400 System i . . .

Aprovechando las posibilidades del WRKACTJOB a través de sus parámetros

Obtenga una salida diferente de la habitual al ejecutar el comando WRKACTJOB, aprovechando lo ofrecido por algunos parámetros interesantes que posibilitan entre otras acciones la de renovar automáticamente la pantalla resultante.

FaceBookTwitterGoogle+

Gestión de acceso a aplicaciones con iseries Navigator - Parte I

Utilice "Administración de Aplicaciones" del System i Navigator

Parte I: Aprenda a controlar el acceso a sus funciones.

iSeries Navigator es una potente interfaz gráfica para los clientes Windows que permite gestionar y administrar uno o varios sistemas AS400 fácilmente.

Dentro de las distintas componentes del System i Navigator que se pueden instalar opcionalmente, una de las más útiles es la llamada Administración de Aplicaciones.

A través de esta componente, los administradores pueden controlar las tareas que otros usuarios de iSeries Navigator pueden ver y hacer tanto desde aplicaciones cliente como en aplicaciones del lado del servidor.

Esto requiere que el usuario que inicia la sesión al AS400 a través de iSeries Navigator posea privilegios de administrador de seguridad.

NOTA: Es importante recordar que en el proceso de instalación del iSeries Access for Windows sobre la PC, es posible seleccionar cuáles componentes de todos los disponibles se desean instalar en el puesto de trabajo. De esta manera,  es factible una instalación completa del iSeries Access for Windows (esto instalaría todas las componentes disponibles de esta herramienta) o una instalación selectiva o customizada (sólo se instalarían las componentes seleccionadas).

Independientemente del tipo de instalación realizada en la PC, de todas maneras es posible restringir “por usuario o grupo de usuarios” el acceso a cualquiera de las componentes (funciones administrables). Esto se puede lograr a través de la componente Administración de Aplicaciones.  Las  restricciones definidas serán  almacenadas en el servidor y por lo tanto respetadas al acceder desde distintos puestos de trabajo.

En la presente nota de tecnología (Parte I) se explicará cómo personalizar algunos de los accesos a  través de la componente Administración de Aplicaciones, aplicándola en este caso sobre las funciones propias del System i Navigator.

En una segunda entrega, se verá cómo personalizar los accesos para  las  Aplicaciones de cliente y Aplicaciones de sistema principal, para lo que se detallará en otros casos ejemplo cómo restringir o permitir los accesos a las mismas.

Administración de Aplicaciones: cómo acceder a sus funciones

Para acceder a la ventana de Administración de Aplicaciones, realizar los siguientes pasos:

  1. Iniciar  iSeries Navigator.
  2. Abrir una conexión sobre el equipo AS400 - iSeries sobre el cual se trabajará. Ingresar usuario y contraseña.
  3. Una vez establecida la conexión, presionar botón derecho del mouse sobre la conexión y aparecerá el menú contextual. En este menú seleccionar Administración de Aplicaciones.

Se visualizará la siguiente ventana:

iSeriesNavigator-AdminAplicaciones

En la imagen anterior, puede observarse todo el árbol de funciones de System i Navigator.

Desde esta ventana, se podrán seleccionar usuarios o grupos de usuarios para autorizarlos  o denegarles  accesos para cada uno de los items que componen el árbol, y también para alguna de las opciones del menú de contexto de la conexión.

  • Por omisión, el acceso para cualquier usuario o grupo de usuarios está permitido (siempre que el usuario o el grupo tenga acceso a esas funciones también desde pantalla verde).
  • Para los usuarios poseedores de autorización especial *ALLOBJ, también está permitido el acceso a todas las funciones (ver la columna Acceso a todos los objetos).

En la siguiente sección se analizará con profundidad la posibilidad de personalizar los accesos.

Administración de Aplicaciones organiza las aplicaciones en las siguientes categorías (esto se puede observar en las diferentes solapas de la imagen anterior):

  • System i Navigator: incluye System i Navigator y todos sus conectores.
  • Aplicaciones de cliente: incluye todas las otras aplicaciones de cliente, incluyendo iSeries Access for Windows, que provee funciones sobre clientes que son administrados a través de la componente de Administración de Aplicaciones.
  • Aplicaciones de sistema principal: incluye todas las aplicaciones que residen completamente sobre los servidores y proveen funciones que son administradas a través de la componente Administración de Aplicaciones.

Nota: Si al abrir el item Administración de Aplicaciones, en alguna de las solapas no se visualizan funciones para administrar, ésto significa que la aplicación (System i Navigator o Aplicaciones del cliente) no ha sido registrada. Las aplicaciones deben registrarse antes de intentar administrarlas con Administración de Aplicaciones. Para registrar una aplicación, en la ventana anterior, presionar el botón Aplicaciones ubicado en la esquina inferior izquierda y luego añadir la aplicación seleccionada.

En el caso de las Aplicaciones de sistema principal, las funciones administrables son registradas automáticamente cuando el producto es instalado en el servidor.

Personalización de los accesos específicamente para las funciones provistas por iSeries Navigator

En esta sección de la presente nota de tecnología, se explicará la personalización de algunos de los accesos a través de la componente Administración de Aplicaciones, aplicándola en este caso sobre los componentes del System i Navigator (iSeries Navigator)

El mismo procedimiento explicado en esta sección es aplicable también a las Aplicaciones de cliente y Aplicaciones de sistema principal, que serán tratados en una entrega posterior, como continuación sobre este tema, donde serán detallados otros casos ejemplo de personalizaciones de acceso, para esas aplicaciones (de Cliente y de Sistema Principal).

 

Cada aplicación puede contener una o más funciones. Cada función tiene múltiples seteos, llamados seteos de accesos que son usados para controlar el acceso a esa función. A cada usuario o grupo se le puede denegar o permitir el acceso a las funciones ya registradas que son administradas por la componente Administración de Aplicaciones.

Para poder administrar aplicaciones es necesario tener autorización especial *SECADM en el perfil con que se inicia la sesión de System i Navigator.

Especificaciones originales de acceso

Cuando se llega por primera vez a la ventana de Administración de Aplicaciones, se pueden observar los seteos originales para componentes y subcomponentes del System i Navigator.

El “Acceso por omisión” está permitido para cada una de las funciones  y  también el acceso para los usuarios con autorización  especial *ALLOBJ en la columna “Acceso a todos los objetos”. De esta manera, un usuario final o grupo, sin ningún privilegio, podrá realizar las mismas funciones que ya realiza desde “pantalla verde” con los permisos que tiene por default (siempre y cuando la componente esté instalada). Tener en cuenta que en la interfaz nativa se agrega además,  la posibilidad de restringirle al usuario la utilización de la línea de comandos.

Al utilizar la interfaz gráfica (aquí no existe línea de comandos), estas restricciones se logran inhibiendo al usuario o al grupo el acceso a determinadas funciones de las componentes del System i Navigator .

Inhabilitando los accesos default a través de la columna ‘Acceso por omisión’

Desde la ventana de Administración de Aplicaciones es posible eliminar el acceso por default a una componente (por ejemplo, Gestión de trabajos) y a las subcomponentes que la integran (Trabajos activos, Trabajos servidores, etc) con sólo eliminar el tilde que está ubicado en el renglón de la componente correspondiente. Esta acción también inhabilita a cada una de las subcomponentes afectadas. De esta manera, ningún usuario verá la componente deshabilitada en el árbol de las componentes de System i Navigator , sin importar el nivel de privilegios que dicho usuario posea.

La situación descripta se puede visualizar en la siguiente imagen que corresponde a un extracto de la ventana de Administración de Aplicaciones:

iSeriesNavigator-Funcion-Gestion-trabajos-omision

 

También puede plantearse un esquema como el siguiente donde solamente algunas de las subcomponentes se habilitan:

iSeriesNavigator-AdminAplicaciones-person.gest-trabajos-0

Los siguientes son ejemplos de accesos bajo distintos perfiles de usuarios, al inhabilitar el acceso por omisión para una componente:

  • Perfiles sin privilegios: para los perfiles de usuarios que no poseen autorizaciones especiales, la columna ‘Acceso por omisión’ determina que la componente o las subcomponentes “destildadas” no se visualicen en el árbol de System i Navigator .
  • Perfiles con algunos privilegios: para los perfiles de usuarios con autorizaciones especiales que no sean ni *ALLOBJ ni *SECADM, por ejemplo *JOBCTL, es interesante observar que, aunque el usuario posea este privilegio no va a poder visualizar la componente o subcomponente inhabilitada para el acceso por omisión. En el caso de la autorización especial *SECADM, existen consideraciones especiales que se ampliarán más adelante.
Perfil de usuario con privilegio *ALLOBJ: con el acceso default inhabilitado por la columna ‘Acceso por omisión’ y siendo usuarios con privilegio *ALLOBJ, la visualización de la componente protegida dependerá de lo especificado en la columna “Acceso a todos los objetos”. Los usuarios en esta situación tendrán el acceso habilitado a la componente si poseen los tildes correspondientes en la columna ‘Acceso a todos los objetos’.  Si se inhabilita la componente o  alguna de las subcomponentes en la columna ‘Acceso a todos los objetos’ , el perfil de usuario en cuestión no podrá visualizarlas en el árbol de System i Navigator   a pesar de poseer un privilegio tan poderoso como *ALLOBJ.

Es importante observar que cuando se inhabilitan componentes o subcomponentes a través de la columna ‘Acceso a todos los objetos’, los usuarios con privilegio *ALLOBJ son tratados como un usuario común y según lo especificado por la columna ‘Acceso por omisión’.

 

El planteo de excepciones: personalización de accesos

En las consideraciones realizadas anteriormente se tuvieron en cuenta casos que funcionaban como reglas de acceso (se permitía o se prohibía el acceso a un item para todos los usuarios o grupos de usuarios). En esta sección, se analizará el planteo de excepciones para estas reglas.

La siguiente imagen muestra, en la columna de la derecha llamada ‘Acceso personalizado’ que para las subcomponentes Trabajos activos y Subsistemas existe una personalización de los accesos para determinados usuarios o grupos:

iSeriesNavigator-AdminAplicaciones-person.gest-trabajos

Caso 1: Cómo denegar el acceso a una subcomponente para un usuario o grupo de usuarios:

La subcomponente Trabajos activos está habilitada para todos los usuarios o grupos, según lo indica la columna ‘Acceso por omisión’ (posee el tilde correspondiente). Además posee una marca de cruz en la columna ‘Acceso personalizado’. Esto está indicando que existen excepciones a esta regla.

Si la regla plantea el acceso por omisión para todos los usuarios, la excepción señala entonces quiénes son los usuarios que tienen el acceso denegado. Para realizar una personalización, en la pantalla anterior seleccionar el item a personalizar y luego presionar el botón ‘Personalizar’ ubicado en el extremo inferior derecho de la pantalla y se visualizará la siguiente imagen:

iSeriesNavigator-AdminAplicaciones-denegar-u1

En este caso, el usuario USUARIO1 tiene el acceso denegado para la subcomponente Trabajos activos.

Caso 2: Cómo permitir el acceso a una subcomponente para un usuario o grupo de usuarios cuando el acceso por default está inhabilitado:

La subcomponente Subsistemas está inhabilitada para todos los usuarios y grupos, según lo indica la columna ‘Acceso por omisión’ (no posee el tilde correspondiente). Además posee una marca de cruz en la columna ‘Acceso personalizado’. Esto está indicando que existen excepciones a esta regla. Si la regla plantea la inhabilitación por omisión para todos los usuarios, la excepción señala entonces quiénes son los usuarios que tienen el acceso permitido. Para realizar una personalización, en la pantalla de Administración de Aplicaciones seleccionar el item a personalizar y luego presionar el botón ‘Personalizar’ ubicado en el extremo inferior derecho de la pantalla y se visualizará la siguiente imagen:

iSeriesNavigator-AdminAplicaciones-person.gest-trabajos-1

En este caso, el usuario USUARIO2 tiene el acceso permitido para la subcomponente Subsistemas. Es importante observar que al inhabilitar el acceso a todos los usuarios por omisión, se hace imprescindible especificar explícitamente el usuario o los usuarios a los cuales se les permitirá el acceso.

Caso 3: Cómo permitir el acceso a una subcomponente para un usuario perteneciente a un grupo, que a su vez tiene el acceso denegado:

La subcomponente Agrupaciones de memoria está inhabilitada para todos los usuarios y grupos, según lo indica la columna ‘Acceso por omisión’ (no posee el tilde correspondiente). Además posee una marca de cruz en la columna ‘Acceso personalizado’. Esto está indicando que existen excepciones a esta regla. Si la regla plantea la inhabilitación por omisión para todos los usuarios y grupos, la excepción señala entonces quiénes son los usuarios o grupos que tienen el acceso permitido. Para realizar una personalización, en la pantalla de Administración de Aplicaciones seleccionar el item a personalizar y luego presionar el botón ‘Personalizar’ ubicado en el extremo inferior derecho de la pantalla y se visualizará la siguiente imagen:

iSeriesNavigator-AdminAplicaciones-person.gest-trabajos-2

Observar que, si bien el acceso por omisión está inhabilitado para todos los usuarios y grupos, en este caso todos los usuarios pertenecientes al grupo OPEGRUPO tienen el acceso permitido. Sin embargo, el usuario OPENOCHE, integrante del mismo grupo,  tiene el acceso denegado. Es importante observar que al inhabilitar el acceso a todos los usuarios por omisión, se hace imprescindible especificar explícitamente el usuario o grupos de usuarios a los cuales se les permitirá el acceso.

 

Caso 4: Cómo permitir el acceso a una subcomponente para un usuario  cuando el acceso por default y el acceso a usuarios con privilegio del sistema están ambos inhabilitados:

La subcomponente Valores del sistema y Gestión de tiempo está inhabilitada para todos los usuarios y grupos, y también para todos aquellos usuarios con privilegio *ALLOBJ. Por lo tanto es necesario realizar una personalización de los accesos, para que la componente pueda ser accedida por algún usuario o grupo. Para realizar una personalización, en la pantalla de Administración de Aplicaciones seleccionar el item a personalizar y luego presionar el botón ‘Personalizar’ ubicado en el extremo inferior derecho de la pantalla y se visualizará la siguiente imagen:

iSeriesNavigator-AdminAplicaciones-person.valores-sistema

Observar, en la imagen anterior que, el único perfil al cual se le permite el acceso a la subcomponente Valores del sistema y Gestión de tiempo es PERFALLOBJ.

El usuario QSECOFRtampoco visualizará esta subcomponente en el árbol de System i Navigator, pero tiene siempre la posibilidad de revertir esta situación.

Es importante observar en este caso, que al inhabilitar tanto el acceso a todos los usuarios por omisión como el acceso para todos los perfiles con *ALLOBJ, se hace aún más imprescindible especificar explícitamente el usuario o grupo a los cuales se les permitirá el acceso.

IMPORTANTE: considerar lo mencionado en el párrafo anterior, cuando se intente controlar específicamente la componente Administración de Aplicaciones!

Como se mencionó al comienzo de esta nota técnica, los casos presentados anteriormente reflejan ejemplos donde se detalla una personalización de los accesos que realicen los usuarios a algunas de las funciones del árbol completo de las componentes del iSeries Navigator (System i Navigator),  instaladas en el puesto de trabajo (PC).

En una segunda parte, se detallarán otros casos ejemplo que restringen el acceso de usuarios a las Aplicaciones de Cliente o las Aplicaciones del sistema principal.

 

Para tener en cuenta ...

 

  • Tener presente que los perfiles integrantes de grupos heredan las autorizaciones de los grupos a los que pertenezcan, si éstos las tuvieran.
  • La ayuda online de System i Navigator  provee detalles sobre cada campo de la ventana de Administración de Aplicaciones.
  • Si a una aplicación que ya ha sido registrada y que posee controles de accesos sobre determinadas funciones, se la elimina del grupo de aplicaciones administrables a través de Administración de Aplicaciones, todos los seteos particulares se perderán y por lo tanto deberá registrarse nuevamente la aplicación, como ya se explicó en la sección Administración de Aplicaciones: cómo acceder a sus funciones del presente tip.
  • El atributo Limitar posibilidades presente en los perfiles de usuarios, no tiene incidencia en el comportamiento del perfil dentro del entorno gráfico, solamente lo limita en “pantallas verdes”.
  • Definir seteos de accesos personalizados sobre una función para un usuario o un grupo de usuarios desde Administración de Aplicaciones afecta solamente el acceso de dicho usuario a esa función desde el entorno gráfico. Los accesos desde pantalla verde, si ese usuario los tuviera, siguen estando vigentes.
  • Copyright 2011 - Teknoda S.A.

    IMPORTANTE:
    “Notas técnicas de AS/400 - IBM i" se envía con frecuencia variable y sin cargo como servicio a nuestros clientes IBM i - AS/400. Contiene notas/tutoriales/artículos técnicos desarrollados en forma totalmente objetiva e independiente. NS iTech - Teknoda es una organización de servicios de tecnología informática y NO comercializa hardware, software ni otros productos.
    Si desea suscribir otra dirección de e-mail para que comience a recibir las Notas Técnicas AS400 - IBM i, envíe un mensaje desde esa dirección a info@nsitech.com.ar  o  a letter400@nsitech.com.ar, aclarando nombre, empresa, cargo y país del suscriptor.

    AS400 , iSeries, System i, IBM Power Systems, IBM i son marcas registradas de IBM. IBM no es el editor de esta publicación y no es responsable de la misma en ningún aspecto. La información contenida en esta publicación ha sido generada por nuestros especialistas a partir de fuentes consideradas confiables y del ejercicio profesional cotidiano. No obstante, por la posibilidad de error humano, mecánico, cambio de versión u otro, NS iTech - Teknoda no garantiza la exactitud o completud de la misma.
    COPYRIGHT NS iTech - TEKNODA S.A.  PROHIBIDA SU REPRODUCCION TOTAL O PARCIAL SIN CONSENTIMIENTO DE  NS iTech - TEKNODA


     

Ficha técnicaNotas técnicas – Tips de AS400 - iSeries ”Gestión de acceso a aplicaciones con iSeries Navigator - Parte I"

Tema: Seguridad, iSeries Navigator, control de acceso.

Descripción: Utilice la componente Administración de Aplicaciones del iSeries Navigator (System i Navigator) para controlar el acceso a sus funciones.

     

 

Lea en AS/400 Tips . . .

Infografía comparativa Comandos de SAVE RESTORE del AS400

save_restore_thumbnail

Conozca y diferencie visualmente qué partes del almacenamiento resguarda y restaura cada comando y cada opción del Menú Salvar y Restaurar. PUEDE DESCARGAR UN FORMATO POSTER PARA IMPRESION.

Para lograr un entendimiento conceptual es de suma utilidad contar con una ayuda gráfica, que  permita diferenciarlos a primera vista. Nuestro equipo de especialistas ha desarrollado el "Infographics" que presentamos con este tip. Por supuesto, el mismo debe complementarse con la información detallada de los innumerables parámetros de cada comando, pero es un útil marco de referencia  para recordar el área de injerencia de cada comando.

LEER ESTE ARTICULO >>>>>

 

 

 

Copyright © 2024 Teknoda Tech Portal & Training. Todos los derechos reservados.
Joomla! es software libre, liberado bajo la GNU General Public License.