Lea en AS/400 System i . . .

Aprovechando las posibilidades del WRKACTJOB a través de sus parámetros

Obtenga una salida diferente de la habitual al ejecutar el comando WRKACTJOB, aprovechando lo ofrecido por algunos parámetros interesantes que posibilitan entre otras acciones la de renovar automáticamente la pantalla resultante.

FaceBookTwitterGoogle+

¿Qué es la Autoridad Adoptada en AS400?

¿Existe alguna forma de lograr que un operador con acceso libre a la línea de mandatos, pueda "deletear" un archivo, pero sólo bajo el control de un programa de aplicación?

El problema que se plantea es un claro ejemplo de aplicación de una de las facilidades del AS/400, denominada AUTORIDAD ADOPTADA.

La autoridad adoptada se aplica para resolver situaciones en las que es necesario que un usuario ejecute una función delicada desde el punto de vista de seguridad pero sólo dentro del control de un programa de aplicación, y NO utilizando un comando CL o una opción de menú en forma directa. Esto es particularmente crítico cuando dicho usuario NO trabaja cautivo dentro de un menú o programa inicial.

La autoridad adoptada permite el acceso de dicho usuario a un grupo de objetos (archivos, comandos, etc.) protegidos con *PUBLIC:*EXCLUDE, a través de un programa que en el momento de su ejecución “adopte” la autoridad de quien lo creó.

El usuario propietario del programa será quien deba tener acceso a los objetos. Para el caso citado, por ejemplo, si no existiera la autoridad adoptada, debería otorgarse al operador (supongamos OPER1) autoridad *ALL sobre el archivo a "deletear", lo que permitiría, en consecuencia, suprimir el mismo archivo desde la línea de mandatos.

Autoridad-adoptada-as400-1

 

Con la autoridad adoptada, en cambio, el perfil OPER1 podría NO TENER autoridad alguna sobre el archivo (como se muestra en la figura: tiene *EXCLUDE, por pertenecer a *PUBLIC), y aún así realizar la función solicitada a través de un programa (por ejemplo, realizando un CALL al programa PGMX), para que se ejecute  adoptando la autoridad de otro usuario, en este caso, TEKM5. Así,  el usuario OPER1 podrá hacer un "DELETE" del archivo al que accede SOLO mediante el programa PGMX.

La autoridad  adoptada resulta utilísima para resolver ciertas situaciones típicas, por ej.:

  • Permitir a un usuario la ejecución del comando SIGNOFF, sólo desde un menú preparado a tal efecto, pero no en la línea de mandatos, o en el menú Petición de sistema.
  • Permitir  que un grupo de usuarios utilice archivos bajo un programa de aplicación, y no pueda utilizar esos mismos archivos con Query, aún si tiene acceso al mismo.

Para implementar la autoridad adoptada, el “creador” del programa (TEKM5, en este caso), deberá cambiar el valor del parámetro USRPRF en el momento de crear el programa con el comando CRTXXXPGM correspondiente, sustituyendo el valor *USER por *OWNER, como se muestra en la figura anterior.

  • Si ya se ha creado el programa sin haber especificado ningún cambio sobre el parámetro USRPRF, se puede sin embargo realizar ese cambio posteriormente, ejecutando el comando CHGPGM.

Luego de esta especificación, cualquiera sea el usuario que invoque dicho programa, éste se ejecutará adoptando las autoridades sobre objetos del usuario TEKM5.

IMPORTANTE: Deberán contemplarse las siguientes consideraciones:

  • Debe asegurarse el programa (objeto de tipo *PGM) para que sólo sea invocado por los usuarios que así lo requieran.
  • La autoridad adoptada es una SUMA de autoridades. Las autoridades del usuario que invoca el programa, se suman a las del *OWNER.
  • Una vez iniciado el programa PGMX, todos los programas invocados por éste mantienen la adopción de autoridades. La autoridad adoptada se revoca sólo cuando el programa se retira de la pila de programas.   Si el usuario que invoca al programa intenta cancelarlo de alguna u otra forma, se revoca la autoridad adoptada en forma inmediata.
  • El programa que corre con autoridad adoptada no la transferirá a otros programas si estos son iniciados con SBMJOB, (batch). En este caso, el programa llamado deberá tener su propia adopción de autoridad. Existen formas alternativas de otorgar autoridad adoptada a un programa bacht: parámetro USRPRF del comando SBMJOB, parámetro USRPRF de la Job Description o mediante un programa asociado a la “routing-entry” del trabajo.
  • Sólo el propietario del programa o el responsable de seguridad (usuario de clase *SECOFR) pueden cambiar el parámetro USRPRF.
  • Considerar específicamente programas que usan autoridad adoptada y el propietario posee autorización especial *ALLOBJ o tiene en propiedad objetos importantes en el sistema.
  • Los programas que adoptan autoridad deberían tener una funcionalidad específica y controlada. Además no deberían facilitar el ingreso de comandos en línea de comandos. Esto podría llevar a una falla en la seguridad si ese programa contiene una opción para abrir una linea de comandos y el programa adoptó la autoridad de un usuario con autorización especial *ALLOBJ!  De esa manera podría tomar control total del sistema!

OS/400 contiene herramientas que permite revisar y monitorear programas que adopten autoridad y de esa manera observar si el comportamiento de esos programas es el esperado.

  • para un usuario en particular mediante el comando DSPPGMADP, obteniendo la salida: por pantalla, como archivo en spool o a un archivo de salida.

  • a través del comando PRTADPOBJ (Print Adopting Object) del menú SECTOOLS - Opción 21, pudiendo en este caso: especificar un usuario determinado, un valor genérico para nombres de usuario o pedir la salida para todos los usuarios. Al ejecutar este comando, se genera un archivo en spool con nombre QPSECADP, que luego podrá ser visualizado como cualquier archivo de spool.
  • Esto puede resultar muy útil si se desea chequear si existen programas que adopten cuyos propietarios tengan autoridad especial *ALLOBJ.

Copyright 2011 - Teknoda S.A.

IMPORTANTE:
“Notas técnicas de AS/400" se envía con frecuencia variable y sin cargo como servicio a nuestros clientes AS/400. Contiene notas/tutoriales/artículos técnicos desarrollados en forma totalmente objetiva e independiente. Teknoda es una organización de servicios de tecnología informática y NO comercializa hardware, software ni otros productos.
Si desea suscribir otra dirección de e-mail para que comience a recibir las Notas Técnicas AS400, envíe un mensaje desde esa direcciónletter400@teknoda.com, aclarando nombre, empresa, cargo y país del suscriptor.

AS400 , iSeries y System i son marcas registradas de IBM. IBM no es el editor de esta publicación y no es responsable de la misma en ningún aspecto. La información contenida en esta publicación ha sido generada por nuestros especialistas a partir de fuentes consideradas confiables y del ejercicio profesional cotidiano. No obstante, por la posibilidad de error humano, mecánico, cambio de versión u otro, Teknoda no garantiza la exactitud o completud de la misma.
COPYRIGHT TEKNODA S.A. PROHIBIDA SU REPRODUCCION TOTAL O PARCIAL SIN CONSENTIMIENTO DE TEKNODA


Ficha técnicaNotas técnicas – Tips de AS400 - iSeries ”Qué es la Autoridad Adoptada en AS400"

Tema: Seguridad, control de acceso.

Descripción: Suprima un archivo en AS400, pero sólo bajo el control de un programa de aplicación.

Escribir un comentario


Código de seguridad
Refescar

Suscribirse a Teknodatips


Recibirá un mail cada vez que se publique un nuevo tip. Seleccionar AL MENOS un casillero:
  • AS/400 Tips
  • SAP/ABAP Tips



Joomla Extensions powered by Joobi

Lea en AS/400 Tips . . .

Infografía comparativa Comandos de SAVE RESTORE del AS400

save_restore_thumbnail

Conozca y diferencie visualmente qué partes del almacenamiento resguarda y restaura cada comando y cada opción del Menú Salvar y Restaurar. PUEDE DESCARGAR UN FORMATO POSTER PARA IMPRESION.

Para lograr un entendimiento conceptual es de suma utilidad contar con una ayuda gráfica, que  permita diferenciarlos a primera vista. Nuestro equipo de especialistas ha desarrollado el "Infographics" que presentamos con este tip. Por supuesto, el mismo debe complementarse con la información detallada de los innumerables parámetros de cada comando, pero es un útil marco de referencia  para recordar el área de injerencia de cada comando.

LEER ESTE ARTICULO >>>>>

 

 

 

Copyright © 2017 Teknoda tips - Tecnologia SAP Netweaver - IBM AS400 - System i - iSeries. Todos los derechos reservados.