Lea en AS/400 System i . . .

Aprovechando las posibilidades del WRKACTJOB a través de sus parámetros

Obtenga una salida diferente de la habitual al ejecutar el comando WRKACTJOB, aprovechando lo ofrecido por algunos parámetros interesantes que posibilitan entre otras acciones la de renovar automáticamente la pantalla resultante.

FaceBookTwitterGoogle+

Gestión de acceso a aplicaciones con iseries Navigator - Parte II

Utilice "Administración de Aplicaciones" de iSeries Navigator.

Parte II: Proteja las Aplicaciones de cliente y las Aplicaciones de Sistema Principal AS400

iSeries Navigator es una potente interfaz gráfica para los clientes Windows que permite gestionar y administrar uno o varios sistemas AS400 fácilmente.

Dentro de las distintas componentes del System i Navigator que se pueden instalar opcionalmente, una de las más útiles es la llamada Administración de Aplicaciones.

A través de esta componente se pueden controlar las tareas que otros usuarios de iSeries Navigator pueden ver y hacer tanto del lado del cliente como del lado del servidor. Por supuesto, esto requiere que el usuario que inicia la sesión al AS400 a través de iSeries Navigator posea privilegios de administrador de seguridad.

Independientemente del tipo de instalación realizada en la PC, de todas maneras es posible restringir “por usuario o grupo de usuarios” el acceso a cualquiera de las componentes (funciones administrables). Esto se puede lograr a través de la componente Administración de Aplicaciones.  Las  restricciones definidas serán  almacenadas en el servidor y por lo tanto respetadas al acceder desde distintos puestos de trabajo.

En la nota de tecnología anteriormente publicada (Parte I, referida a este tema) se explicó cómo personalizar algunos de los accesos a  través de la componente Administración de Aplicaciones, aplicándola en ese caso sobre las funciones propias del System i Navigator.

En la presente nota de tecnología se verá cómo personalizar algunos accesos a través de la componente Administración de Aplicaciones del iseries Navigator, para en este caso, proteger el uso de determinadas Aplicaciones de cliente (Ej. Mandato Remoto, Transferencia de Archivos, Emulación de pantalla 5250, etc) y accesos a las Aplicaciones de sistema principal.

Para ello se utilizarán algunos casos ejemplo.

Es recomendable consultar el artículo "Gestión de acceso a aplicaciones con iseries Navigator – Parte I" para un mayor entendimiento de la nota de tecnología publicada en esta entrega.

Casos ejemplo para proteger el acceso a las Aplicaciones de Cliente y de Sistema Principal

Desde la componente Administración de Aplicaciones se puede permitir que los administradores controlen qué usuarios pueden utilizar las aplicaciones de iSeries Access for Windows para conectarse con el sistema principal AS400.

Por ejemplo, se puede establecer qué usuarios pueden ingresar al sistema mediante una Emulación de pantalla 5250, o quiénes pueden acceder a la función de Mandato Remoto desde una PC, entre otros tipos de acceso.

Los ejemplos que siguen a continuación, personalizan los accesos a algunas Aplicaciones de cliente y Aplicaciones de sistema principal.

NOTA: los casos están enumerados en la secuencia comenzada en la Parte I publicada anteriormente.

Caso 5: Cómo denegar el acceso a todas las componentes de ‘Aplicaciones de cliente’ para un usuario  o grupo de usuarios: Esto incluirá la prohibición de acceder a Emulador de pantalla, Transferencia de datos (en ambos sentidos), Mandato remoto en Línea de mandatos, soporte ODBC. La ventana siguiente ilustra este caso:


iSeriesNavigator-AdminAplicaciones-Cliente-1

De esta manera, un usuario no podrá emular pantalla, ni hacer transferencias usando GUI u otras maneras soportadas por los mandatos propios de iSeries Access for Windows. Tampoco podrá ejecutar mandatos remotos con RMTCMD desde la línea de comandos de Windows.

En los casos siguientes, se mostrará la inhabilitación para alguna de estas facilidades específicamente.

Caso 6: Cómo denegar el acceso a la componente ‘Emulador de pantalla e impresora 5250’ perteneciente a la solapa ‘Aplicaciones de cliente’ para un usuario  o grupo de usuarios: Emulador de pantalla e impresora 5250 es una componente de Aplicaciones de cliente. En algunos casos puede ser conveniente inhabilitar la posibilidad de que el usuario realice signon desde el emulador de pantalla  de iSeries Access for Windows. Esta componente está habilitada para todos los usuarios o grupos, según lo indica la columna ‘Acceso por omisión’ (posee el tilde correspondiente). Además posee una marca de cruz en la columna ‘Acceso personalizado’. Esto está indicando que existen excepciones a esta regla.

La siguiente imagen muestra la pantalla correspondiente:

iSeriesNavigator-AdminAplicaciones-person.emulacion-0

Si la regla plantea el acceso por omisión para todos los usuarios, la excepción señala entonces quiénes son los usuarios que tienen el acceso denegado. Para realizar una personalización, en la pantalla anterior seleccionar el item a personalizar y luego presionar el botón ‘Personalizar’ ubicado en el extremo inferior derecho de la pantalla y se visualizará la siguiente imagen:

iSeriesNavigator-AdminAplicaciones-person.emulacion

En este caso, el usuario TEKM10 tiene el acceso denegado para la subcomponente Emulador de pantalla e impresora 5250. Esto implica, que este usuario no va a poder arrancar una emulación de pantalla y en caso de intentarlo, visualizará la siguiente ventana de rechazo:

iSeriesNavigator-AdminAplicaciones-person.emulacion-rechazo

Caso 7: Cómo denegar el acceso a la componente ‘Mandato remoto – línea de mandatos’ perteneciente a la solapa ‘Aplicaciones de cliente’ para un usuario  o grupo de usuarios: Mandato remoto es una componente de Aplicaciones de cliente. En la siguiente ventana se muestra la inhabilitación del acceso default a dicha componente (sin personalización por usuario o grupo):

iSeriesNavigator-AdminAplicaciones-person.mandatos-remoto

El acceso por omisión para cualquier usuario está denegado, sólo acceden los poseedores del privilegio *ALLOBJ.

En algunos casos puede ser conveniente inhabilitar la posibilidad de que un usuario ejecute un comando de AS400 desde la línea de comandos de Windows con el comando RMTCMD (perteneciente al iSeries Access for Windows).  Ejemplo: desde el prompt del DOS:

RMTCMD crtpf file(lib/arch) rcdlen(10)  //dir IP.

En caso de tener esta posibilidad inhabilitada, envía el siguiente texto:

iSeriesNavigator-AdminAplicaciones-person.mandatos-remoto-1

Caso 8: Cómo denegar el acceso al mandato de iSeries Access for Windows RFROMPCB  perteneciente a la solapa ‘Aplicaciones de cliente’ para un usuario  o grupo de usuarios: El mandato RFROMPCBD, ejecutado desde la línea de comandos de Windows, permite ejecutar transferencias previamente definidas (almacenadas como archivos con extensión .dtt o .tfr) con el componente correspondiente del iSeries Access for Windows. En la siguiente ventana se muestra la componente afectada:

iSeriesNavigator-AdminAplicaciones-RFROMPCB

En este caso el acceso por omisión para cualquier usuario está denegado, sólo acceden los poseedores del privilegio *ALLOBJ.

Como ejemplo, en la línea de comandos de Windows se ingresará lo siguiente:

RFROMPCB c:\transf.dtt

El archivo transf.dtt, contiene el nombre del archivo de PC a transferir, el nombre del archivo donde se almacenará en el disco del AS400 y la dirección IP del sistema hacia donde se transferirá. Cuando se ejecuta el mandato anterior, solicita el ingreso del usuario y contraseña.

La siguiente es la imagen en línea de comandos de Windows:

iSeriesNavigator-AdminAplicaciones-subir-remoto

Caso 9: Cómo denegar el acceso a todas las componentes de ‘Protocolo de transferencia de archivos’ perteneciente a la solapa ‘Aplicaciones de sistema principal’ para un usuario  o grupo de usuarios: Esto incluirá la prohibición tanto de subir como bajar archivos del servidor, desde la línea de comandos de Windows, como también de ejecutar mandatos desde la misma interface.  La siguiente pantalla muestra la solapa involucrada en la definición de estos accesos y el item correspondiente ya expandido:

iSeriesNavigator-AdminAplicaciones-protocoloTCPIP

Como se puede visualizar en la pantalla anterior, se eliminó el acceso por omisión a las funciones del FTP. Esto implica que no se lo puede utilizar, por ejemplo, desde la línea de comandos de Windows. La posibilidad de transferir archivos sigue existiendo si se la accede desde las posibilidades ofrecidas por iseries Access for Windows, por ejemplo, desde la interface GUI.

Caso  10: Cómo denegar el acceso a la componente Mandatos CL de  ‘Protocolo de transferencia de archivos’ perteneciente a la solapa ‘Aplicaciones de sistema principal’ para un usuario  o grupo de usuarios por omisión: Esto imposibilitará la ejecución de un mandato CL, desde el cliente FTP, a través del subcomando FTP (en la PC) quote.  La siguiente pantalla muestra la solapa involucrada en la definición de estos accesos y el item correspondiente ya expandido:

iSeriesNavigator-AdminAplicaciones-mandatoCL

La siguiente pantalla muestra la ejecución del comando y el “rechazo” correspondiente si el usuario no es *ALLOBJ, al ejecutar el subcomando ftp:

quote crtlib teknueva

iSeriesNavigator-AdminAplicaciones-rechazo-ftp

Los casos anteriormente expuestos no cubren todas las combinaciones posibles, pero sirven como patrones para situaciones específicas.

Para tener en cuenta...

  • Tener presente que los perfiles integrantes de grupos heredan las autorizaciones de los grupos a los que pertenezcan, si éstos las tuvieran.
  • La ayuda online de System i Navigator  provee detalles sobre cada campo de la ventana de Administración de Aplicaciones.
  • Si a una aplicación que ya ha sido registrada y que posee controles de accesos sobre determinadas funciones, se la elimina del grupo de aplicaciones administrables a través de Administración de Aplicaciones, todos los seteos particulares se perderán y por lo tanto deberá registrarse nuevamente la aplicación, como ya se explicó en la sección Administración de Aplicaciones: cómo acceder a sus funciones del presente tip.
  • El atributo Limitar posibilidades presente en los perfiles de usuarios, no tiene incidencia en el comportamiento del perfil dentro del entorno gráfico, solamente lo limita en “pantallas verdes”.
  • Definir seteos de accesos personalizados sobre una función para un usuario o un grupo de usuarios desde Administración de Aplicaciones afecta solamente el acceso de dicho usuario a esa función desde el entorno gráfico. Los accesos desde pantalla verde, si ese usuario los tuviera, siguen estando vigentes.

Copyright 2011 - Teknoda S.A.

IMPORTANTE:
“Notas técnicas de AS/400" se envía con frecuencia variable y sin cargo como servicio a nuestros clientes AS/400. Contiene notas/tutoriales/artículos técnicos desarrollados en forma totalmente objetiva e independiente. Teknoda es una organización de servicios de tecnología informática y NO comercializa hardware, software ni otros productos.
Si desea suscribir otra dirección de e-mail para que comience a recibir las Notas Técnicas AS400, envíe un mensaje desde esa direcciónletter400@teknoda.com, aclarando nombre, empresa, cargo y país del suscriptor.

AS400 , iSeries y System i son marcas registradas de IBM. IBM no es el editor de esta publicación y no es responsable de la misma en ningún aspecto. La información contenida en esta publicación ha sido generada por nuestros especialistas a partir de fuentes consideradas confiables y del ejercicio profesional cotidiano. No obstante, por la posibilidad de error humano, mecánico, cambio de versión u otro, Teknoda no garantiza la exactitud o completud de la misma.
COPYRIGHT TEKNODA S.A. PROHIBIDA SU REPRODUCCION TOTAL O PARCIAL SIN CONSENTIMIENTO DE TEKNODA


Ficha técnicaNotas técnicas – Tips de AS400 - iSeries ”Gestión de acceso a aplicaciones con  iSeries Navigator - Parte II"

Tema: Seguridad, iSeries Navigator, control de acceso.

Descripción: Utilice la componente Administración de Aplicaciones del iSeries Navigator (System i Navigator) para controlar el acceso de los usuarios a Aplicaciones de cliente y a las Aplicaciones de sistema principal

 

Escribir un comentario


Código de seguridad
Refescar

Suscribirse a Teknodatips


Recibirá un mail cada vez que se publique un nuevo tip. Seleccionar AL MENOS un casillero:
  • AS/400 Tips
  • SAP/ABAP Tips



Joomla Extensions powered by Joobi

Lea en AS/400 Tips . . .

Infografía comparativa Comandos de SAVE RESTORE del AS400

save_restore_thumbnail

Conozca y diferencie visualmente qué partes del almacenamiento resguarda y restaura cada comando y cada opción del Menú Salvar y Restaurar. PUEDE DESCARGAR UN FORMATO POSTER PARA IMPRESION.

Para lograr un entendimiento conceptual es de suma utilidad contar con una ayuda gráfica, que  permita diferenciarlos a primera vista. Nuestro equipo de especialistas ha desarrollado el "Infographics" que presentamos con este tip. Por supuesto, el mismo debe complementarse con la información detallada de los innumerables parámetros de cada comando, pero es un útil marco de referencia  para recordar el área de injerencia de cada comando.

LEER ESTE ARTICULO >>>>>

 

 

 

Copyright © 2017 Teknoda tips - Tecnologia SAP Netweaver - IBM AS400 - System i - iSeries. Todos los derechos reservados.