Rastreando y documentando seguridad de los objetos con PRTPVTAUT
Aprenda las posibilidades del comando PRTPVTAUT para listar la información de seguridad desde la perspectiva de los objetos, es decir, las autorizaciones privadas de un grupo de objetos de una determinada biblioteca.
La seguridad del AS/400 se construye a partir de innumerables componentes y especificaciones, interactuantes e interrelacionadas. Es así que el nivel de acceso a cualquier objeto almacenado en el sistema es la resultante de un entramado de autorizaciones, originados desde diversas fuentes: atribuciones especiales de los perfiles de usuario, y las autoridades definidas dentro del objeto, autoridad pública, listas de autorización etc.
La autorizaciones inherentes a cada objeto o grupo de objetos, (definidas y almacenadas junto con él) es lo denominamos autorizaciones especificas o privadas del objeto. El concepto de autorizaciones privadas abarca también a las listas de autorización, dado que las listas son sólo un recurso administrativo para definir autorizaciones privadas en forma masiva y externa al objeto, pero el vínculo a las mismas es también un atributo del objeto.
El comando Print Private Authority (PRTPVTAUT) permite obtener un reporte de las autorizaciones específicas (privadas) de un conjunto de objetos de un determinado tipo, dentro de una determinada biblioteca, carpeta o directorio. El comando lista, para el conjunto de objetos solicitado qué usuarios están autorizados al mismo y con qué nivel de autoridad. Acorde con el concepto indicado en el párrafo previo, la información abordada por el comando PRTPVTAUT también puede incluir las autorizaciones privadas originadas en las listas de autorización asociadas a dichos objetos.
Los reportes del PRTPRVTAUT son un recurso valioso cuando se trata de rastrear o documentar el origen de la autoridad resultante sobre los objetos. También es especialmente útil para restrear o documentar listas de autorizaciones. En todos los casos, perspectiva de la información brindada es la de la autoridad emanada de los objetos mismos.
Obviamente, desde un punto de vista estrictamente documental. sería necesario complementar la información de este comando con las de otros comandos o recursos que analicen otras fuentes de autoridad, u otras perspectivas como por ejemplo, las autorizaciones especiales de los perfiles de usuario. (ver más adelante apartado sobre comandos complementarios).
Parámetros y posibilidades de PRTPVTAUT
Como se aprecia en la figura, el comando PRTPVTAUT solicita el tipo de objeto (OBJTYPE) a listar y la biblioteca (LIB) (directorio o carpeta) de los mismos. Es posible indicar si se listan las listas de autorizaciones (AUTLOBJ), y si el informe debe ser completo, o listar únicamente los cambios (CHGRPTONLY) en las autorizaciones privadas acontecidos desde la última emisión del comando (ver más abajo cómo el sistema almacena esta información).
El parámetro AUTTYPE (Tipo de autorización) es aplicable a los objetos *FILE, y permite, cuando se indica *FIELD o *ALL, listar las atuorizaciones privadas establecidas a nivel de campo del archivo.
Cuando se trata de directorios, puede o no indicarse buscar en los subdirectorios contenidos.
IMPORTANTE: Para poder ejecutar este comando es necesario poseer la autorización especial *ALLOBJ o de auditoría (*AUDIT).
Las salidas de PRTPVTAUT
El comando PRTVTAUT genera tres (3) reportes para los objetos seleccionados.
El primer reporte contiene todas las autoridades privadas para cada una de los objetos seleccionados. (ver figura)
Nótese que el archivo de spool que contiene la salida se denomina QPSECPVT. En los casos donde hay una lista de autorizaciones asociada, el nombre de la misma aparece en la columna correspondiente.
El segundo tipo de reporte contiene las adiciones o cambios a las autoridades privadas que hubieran tenido lugar desde la última emisión del comando.
Existe un archivo QPVxxxxxxx alojado en QUSRSYS, donde xxxxxxx es el tipo de objeto especificado en el comando, contiene la información correspondiente a la última vez que se corriera PRTPVTAUT sobre ese grupo de objetos. Dentro del archivo habrá UN MIEMBRO para cada biblioteca previamente analizada por el comando, siendo el nombre de miembro el mismo que el de la biblioteca. Si el tipo de objeto listado con PRTPVTAUT no requiriera biblioteca (EJ. *USRPRF), se utiliza QSYS como nombre de biblioteca.
El tercer reporte que genera PRTPVTAUT contiene información sobre la supresión de autorizaciones privadas desde la última corrida del comando. Cualquier objeto que hubiera sido eliminado o usuarios que hayan sido removidos como poseedores de autoridad privada sobre el objeto aparecerá en este listado.
Listas de autorización con el comando PRTPVTAUT
Es posible valerse del comando PRTPVTAUT para documentar las autorizaciones privadas contenidas en las listas de autorizaciones. Para ello, puede indicarse
PRTPVTAUT OBJTYPE(*AUTL) CHGRPTONLY(*NO) AUTLOBJ(*YES)
que generará un archivo de spool con nombre QPSYDALO por cada lista de autorizaciones. Además, si se pidió imprimir las listas de autorizaciones (AUTLOBJ(*YES)) genera el archivo de spool QPSECPVT.
Algunos comandos complementarios que muestran autoridades privadas
Como se dijo anteriormente, desde un punto de vista estrictamente documental. sería necesario complementar la información de este comando con las de otros comandos o recursos que analicen otras fuentes de autoridad, u otras perspectivas como por ejemplo, las autorizaciones especiales de los perfiles de usuario.
Pero manteniéndonos dentro del espectro de las autoridades privadas de objeto, hay otros comandos que pueden informarlas parcialmente.
Por ejemplo, el comando DSPUSRPRF utilizado con la opción TYPE (*OBJAUT) genera información sobre las autorizaciones privadas , pero desde la perspectiva del usuario, no del objeto.
El comando PRTPUBAUT genera un listado de objetos de un determinado tipo y biblioteca, con los objetos que tengan autorización pública distinta de *EXCLUDE.
Desde V5R4 tenemos también un comando muy útil, WRKOBJPVT ofrece una interfaz familiar tipo WRK, que permite gestionar sobre autorizaciones privadas, y listar tanto objetos como archivos del IFS.
Consideraciones adicionales
- Existen muchos giros del comando PRTPVTAUT aplicables a Carpetas y Directorios, y a tipos de objeto especiales (*SOCKET, *STMF, etc.), no tratados en el presente artículo.
Copyright 2012 - Teknoda S.A.
IMPORTANTE: “Notas técnicas de AS/400 - IBM i" se envía con frecuencia variable y sin cargo como servicio a nuestros clientes IBM i - AS/400. Contiene notas/tutoriales/artículos técnicos desarrollados en forma totalmente objetiva e independiente. NS iTech - Teknoda es una organización de servicios de tecnología informática y NO comercializa hardware, software ni otros productos. |