Cómo gestionar y controlar la seguridad a través del menú SECTOOLS – Parte II
Conozca otras herramientas para la gestión de seguridad en AS400 mediante el menú SECTOOLS - Parte II, y una mejora de seguridad en IBM i 7.1 relacionada con una de esas herramientas, que ofrece la posibilidad de "deshabilitar un usuario de manera automatizada".
NOTA: el presente tip es una actualización del publicado en el año 2002. Incluye una mejora interesante en la seguridad en versión i 7.1 de IBM. Esta mejora está relacionada con la posiblidad de "deshabilitar un usuario de manera automatizada" como nueva característica integrada en los perfiles de usuario. Si bien esta función sigue aún disponible en el menú SECTOOLS, la ventaja es que en IBM i 7.1 puede manejarse de forma más directa especificando un parámetro en el perfil de usuario. Más adelante en este artículo se hace referencia a los dos nuevos parámetros disponibles en los perfiles de usuario (en algunos casos excluyentes entre sí) que manejan esta funcionalidad a partir de la versión IBM i 7.1.
El menú SECTOOLS es un conjunto de herramientas de seguridad provistas por OS/400 que permiten, entre otras tareas, analizar contraseñas por omisión, habilitar usuarios en determinados rangos horarios, inhabilitar perfiles que no se utilizaron más de un número especificado de días, trabajar con la activación y visualización de las anotaciones de auditoría y generar una gran cantidad de informes relacionados con la seguridad.
En la segunda parte del presente tip ampliaremos algunas de sus posibilidades. Para poder acceder a las opciones del menú, desde línea de comandos ingrese GO SECTOOLS.
El menú SECTOOLS ofrece amplias opciones para gestionar y controlar aspectos de la seguridad del OS/400. Para acceder a este menú ingrese en la línea de comandos GO SECTOOLS. Aparece la siguiente pantalla:
Las opciones que analizaremos en este tip son las marcadas en azul. Existen más herramientas en las pantallas siguientes de este menú que serán cubiertas en próximos tips.
Las opciones 1, 2, 3 y 4 fueron cubiertas en el Tip – Cómo gestionar y controlar la seguridad a través del menú SECTOOLS - Parte I.
Opciones 5 y 6: Planificación de activación
La planificación de activación es una de las herramientas ofrecidas por el menú SECTOOLS que permite activar y desactivar perfiles de usuarios en determinados rangos horarios de algunos o todos los días de la semana. Esta función trabaja realizando cambios sobre el parámetro Estado (palabra clave STATUS) del perfil de usuario que admite los valores *ENABLED para habilitar y *DISABLED para inhabilitar. Para utilizar esta función es necesario realizar las siguientes tareas:
a. Determinar cuáles son los perfiles de usuarios que trabajarán bajo este esquema. Esta función puede ser adecuada para perfiles de usuarios que deben acceder al sistema en horarios predeterminados. Todo aquel usuario que no sea incorporado a esta planificación de activación podrá utilizarse en cualquier horario.b. Cambiar la planificación de activación: la opción 6, comando CHGACTSCDE, permite incorporar un nombre de perfil de usuario, la hora de habilitación, la hora de inhabilitación y los días. A través de este último parámetro, se puede seleccionar *ALL para que la habilitación-inhabilitación se realice todos los días de la semana, o por el contrario, algunos días en particular.
c. Visualizar planificación de activación: la opción 5, comando DSPACTSCD, permite visualizar la planificación de activación. La información visualizada depende de lo que se haya especificado en el comando CHGACTSCDE ejecutado previamente. La siguiente pantalla muestra la ejecución de la opción 5 “Visualizar planificación de activación”:
Considerar lo siguiente:
- Cada vez que un perfil de usuario es habilitado o inhabilitado, un mensaje es enviado a la cola de mensajes del usuario que creó la entrada de planificación. Los identificadores de mensajes de los mensajes enviados son CPIB313 y CPIB315 respectivamente.
- Observar la segunda planificación de la lista. La habilitación puede producirse un determinado día y la inhabilitación al siguiente. Cuando se utiliza esta posibilidad, el parámetro Días (palabra clave DAYS) del comando CHGACTSCDE debe establecerse en *ALL.
- No es posible disponer de distintas planificaciones para un mismo usuario. Por ejemplo, si el usuario JUAN debe habilitarse los lunes de 9 a 18 horas y los restantes días de 18 a 4 horas, la segunda planificación “pisaría” la primera.
- La utilización de esta herramienta genera dos entradas planificadas de nombre QSECACT1. Una de ellas habilita el perfil, y la otra lo deshabilita. Para visualizarla utilizar el comando WRKJOBSCDE.
- La ejecución de CHGACTSCDE modifica el contenido de un *FILE PF-DTA existente con propietario QSYS en QUSRSYS de nombre QASECACT, y autorización *PUBLIC *EXCLUDE. Este archivo puede ser explotado desde cualquier aplicación, por ejemplo con QUERY/400 ( RUNQRY QRY(*NONE) QRYFILE(QUSRSYS/QASECACT) ).
- Si se desea desactivar esta herramienta, ejecutar nuevamente el comando CHGACTSCDE y especificar el nombre del usuario. En los parámetros referidos a la hora ingresar el valor *NONE en ambos.
- Para comprobar que las habilitaciones e inhabilitaciones se estén realizando según lo planeado, se puede rastrear las entradas en el journal de seguridad. La opción *SECURITY en el valor del sistema QAUDLVL produce la anotación de todos los cambios realizados en un perfil de usuario, con tipo de entrada CP (perfil de usuario cambiado). Otra forma de analizar las habilitaciones e inhabilitaciones es con el comando PRTUSRPRF TYPE(PWDINFO).
- Los perfiles de usuarios que hayan alcanzado el número máximo de intentos de signon permitidos (valor de sistema QMAXSIGN), no serán habilitados por esta herramienta.
-
Si en el momento de la inhabilitación el usuario está activo, el perfil será cambiado a estdo *DISABLED, pero la sesión no será cancelada. Si luego de finalizar la sesión desea ingresar otra vez al sistema, no podrá hacerlo hasta su próxima habilitación. La planificación de la activación no cubre la desconexión del trabajo interactivo cuando llega su hora de inhabilitación, pero puede programarse utilizando el mensaje que avisa la inhabilitación, colas de mensajes y programas manejadores de interrupciones.
Opciones 7 y 8: Planificación de caducidad
La planificación de caducidad permite especificar que, a partir de una fecha dada, un perfil sea inhabilitado o suprimido del sistema. En este último caso, deberá definirse cuál es la acción a tomar con los objetos que son propiedad del perfil (se eliminan junto con el perfil o se cambia la propiedad a otro perfil de usuario). Para activar esta función, realizar las siguientes tareas:
En la pantalla anterior se puede observar que cuando en el parámetro Acción se ingresa el valor *DELETE, aparecen los parámetros Opción objeto poseído (palabra clave OWNOBJOPT) y Opción grupo primario (palabra clave PGPOPT). Estos parámetros permiten especificar cuál es el tratamiento que se dará a los objetos que son propiedad del perfil a eliminar. Para el parámetro Opción objeto poseído, las posibilidades son:
Si el perfil a eliminar es un perfil de grupo y figura como grupo primario de algunos objetos, entra en acción el parámetro Opción grupo primario. A través de él se puede especificar qué acción se tomará sobre los objetos donde el perfil a eliminar es el grupo primario:
Cuando se incorpora un perfil de usuario en la planificación de caducidad, y la acción elegida es *DELETE, deberían analizarse qué objetos posee en propiedad y también en qué objetos aparece como grupo primario. Si el perfil a eliminar es propietario de programas que adoptan, el cambio de propiedad hará que se adopten las autorizaciones del nuevo dueño. Otra consideración es si existen descripciones de trabajo donde el nombre del perfil de usuario a eliminar esté almacenado (parámetro Usuario en los objetos de tipo *JOBD).
Una vez ingresada la planificación, podrá visualizarse la lista de caducidad.
- a. Visualizar planificación de caducidad: la opción 7, comando DSPEXPSCD, permite visualizar la planificación de caducidad. La información visualizada depende de lo que se haya especificado en el comando CHGEXPSCDE ejecutado previamente. La siguiente pantalla muestra la ejecución de la opción 7 “Visualizar planificación de caducidad”:
Considerar lo siguiente:
- La utilización de esta herramienta genera una única entrada planificada de nombre QSECEXP1. Para visualizarla, utilizar el comando WRKJOBSCDE.
- La ejecución de CHGEXPSCDE modifica el contenido de un *FILE PF-DTA existente con propietario QSYS en QUSRSYS de nombre QASECEXP, y autorización *PUBLIC *EXCLUDE. Este archivo puede ser explotado desde cualquier aplicación, por ejemplo con QUERY/400 ( RUNQRY QRY(*NONE) QRYFILE(QUSRSYS/QASECEXP) ).
- Para eliminar un perfil de usuario de la planificación de caducidad, ejecutar el comando CHGEXPSCDE, ingresando el valor *NONE en el parámetro Fecha de caducidad (palabra clave EXPDATE).
- Las operaciones de inhabilitación o supresión del perfil de usuario son registradas por el journal de seguridad. La opción *SECURITY en el valor del sistema QAUDLVL produce la anotación de todos los cambios realizados en un perfil de usuario, con tipo de entrada CP (perfil de usuario cambiado). Las entradas de tipo DO (supresión de objeto) marcan las eliminaciones de los perfiles de usuarios.
- El perfil de usuario que incorporó la extrada de planificación de expiración recibe mensajes en su cola de mensajes que avisan sobre la supresión del perfil de usuario (CPIB30F) y la inhabilitación (CPIB317).
- Si un perfil de usuario está incluido en la planificación de expiración con opción *DELETE, y existe un trabajo activo bajo ese perfil, entonces el trabajo que se encarga de la eliminación entra en ejecución, pero queda en estado LCKW (espera por bloqueo) durante una cantidad de segundos o hasta que el recurso (en este caso el perfil de usuario a suprimir) es liberado. Si el perfil no pudo ser eliminado, se recibe el mensaje CPIB310.
- La opción *DISABLE inhabilita el perfil de usuario aunque el mismo posea una sesión de pantalla abierta. No se realiza desconexión alguna del trabajo interactivo.
Versión IBM i 7.1: Nuevos parámetros de seguridad en los perfiles de usuario
En IBM i 7.1 fueron agregados a los perfiles de usuarios, 2 nuevos parámetros (en algunos son excluyentes y en otro caso depende uno del otro ) que aportan la misma funcionalidad detallada en los párrafos anteriores mediante las opciones asociadas dentro del menú SECTOOLS. Por lo tanto en vez de utilizar las opciones del menú SECTOOLS detalladas, con lo provisto en esta nueva versión del sistema operativo, se puede simplificar su uso haciendo los cambios directamente en los perfiles ya creados, con el comando CHGUSRPRF.
Los parámetros agregados al perfil de usuario son: el parámetro USREXPDATE (Fecha de caducidad de usuario) y el parámetro USREXPITV (Intervalo de caducidad de usuario). Ambos valores pueden ser especificados o cambiados por un administrador del sistema con los comandos CRTUSRPRF (Crear Perfil de Usuario) y CHGUSRPRF (Cambiar Perfil de usuario).
- Si se establece el parámetro "Intervalo de caducidad de usuario" (USREXPITV), el usuario permanecerá habilitado por el número de días especificado. Pasada esa cantidad de días, el usuario será deshabilitado automáticamente.
- Si se especifica el parámetro "Fecha de caducidad de usuario" (USREXPDATE), el usuario se desactivará a la medianoche de la fecha especificada. (La fecha debe estar en el formato de fecha del trabajo que ejecuta el comando.). Si se especifica en este parámetro el valor *NONE, no existirá fecha de expiración para ese usuario.
La relación entre los dos parámetros es la siguiente:
- si en el parámetro USREXPDATE se especifica el valor *USREXPITV, es necesario especificar un valor en el parámetro USREXPITV.
- Si en cambio, el parámetro USREXPDATE tiene un valor distinto de *USREXPITV, no se permite colocar ningún valor en el parámetro USREXPITV y en este caso, los dos parámetros son excluyentes entre sí..
NOTA: Estos parámetros se visualizan y se cambian sólo cuando se realizan cambios al perfil de usuario desde "pantalla verde".
Tener en cuenta, como ya se mencionó anteriormente, que los comandos DSPACTSCD y CHGEXPSCDE del menú SECTOOLS siguen ofreciendo la misma funcionalidad de siempre, pero ahora integrada al sistema operativo con los parámetros mencionados dentro del perfil de usuario.
Se puede suprimir (acción *DELETE) un perfil de usuario que "caducó", pero esa funcionalidad está disponible solamente mediante la ejecución del comando CHGEXPSCDE. El comando DSPUSRPRF provee la misma información que el comando DSPACTSCD (Visualizar planificación de activación) para un perfil de usuario determinado. Por lo tanto, toda la información de caducidad de perfiles de usuario se visualiza mediante la ejecución del comando DSPACTSCD y DSPUSRPRF.
Comprender entonces, que los comandos, CHGEXPSCDE y DSPACTSCD, operan como siempre, pero ahora de manera más integrada desde el punto de vista del código, con los nuevos parámetros incorporados a los perfiles de usuario.
Como se mencionó anteriormente, tener en cuenta que la acción (*DELETE o *DISABLED) se debe seguir especificando en el comando CHGGEXPSCDE, en el parámetro ACTION, no hay posibilidad de cambiarlo en los parámetros dentro del perfil. Como ejemplo, si se especifica CHGEXCPSCDE TEKM8 (con alguna acción especificada) y luego se ejecuta DSPUSRPRF TEKM8, se podrá visualizar para ese perfil de usuario la opción de acción (*DISABLE o *DELETE) y la fecha de caducidad.
Para tener en cuenta...
- Es importante observar que tanto para la planificación de activación, como para la planificación de caducidad se generan entradas en el mandato WRKJOBSCDE. Las entradas planificadas someten trabajos en la hora especificada. Su ejecución dependerá de las condiciones en las que se encuentre el sistema: cola de trabajos liberada, máxima cantidad de trabajos activos, subsistema arrancado. Por lo tanto, si se especifica hora de habilitación a las 8:30, se producirá efectivamente a ese horario, si se dan todas las condiciones para que el trabajo se ejecute.
- Cuando se elimina un perfil de usuario, si está incorporado en alguna de las listas (activación o caducidad), las planificaciones son automáticamente eliminadas.
- Para poder acceder a los comandos CHGACTSCDE y CHGEXPSCDE es necesario poseer las autorizaciones especiales *ALLOBJ, *SECADM y *JOBCTL.
- Los trabajos batch pueden igualmente correr bajo un perfil de usuario en estado *DISABLED.
Copyright Teknoda S.A.
IMPORTANTE: “Notas técnicas de AS/400 - IBM i" se envía con frecuencia variable y sin cargo como servicio a nuestros clientes IBM i - AS/400. Contiene notas/tutoriales/artículos técnicos desarrollados en forma totalmente objetiva e independiente. NS iTech - Teknoda es una organización de servicios de tecnología informática y NO comercializa hardware, software ni otros productos. |