Lea en AS/400 System i . . .

Aprovechando las posibilidades del WRKACTJOB a través de sus parámetros

Obtenga una salida diferente de la habitual al ejecutar el comando WRKACTJOB, aprovechando lo ofrecido por algunos parámetros interesantes que posibilitan entre otras acciones la de renovar automáticamente la pantalla resultante.

FaceBookTwitterGoogle+

Cómo gestionar y controlar la seguridad a través del menú SECTOOLS – Parte I

Conozca algunas herramientas de seguridad en AS400 utilizando el menú SECTOOLS - Parte I

El menú SECTOOLS es un conjunto de herramientas de seguridad provistas por OS/400 que permiten, entre otras tareas, analizar contraseñas por omisión, habilitar usuarios en determinados rangos horarios, inhabilitar perfiles que no se utilizaron más de un número especificado de días, trabajar con la activación y visualización de las anotaciones de auditoría y generar una gran cantidad de informes relacionados con la seguridad. En la primera parte del presente tip ampliaremos algunas de sus posibilidades.

Para poder acceder a las opciones del menú, desde línea de comandos ingrese GO SECTOOLS.

El menú SECTOOLS ofrece amplias opciones para gestionar y controlar aspectos de la seguridad del OS/400. Para acceder a este menú ingrese en la línea de comandos GO SECTOOLS. Aparece la siguiente pantalla:

AS400-menu-sectools-1-1

Las opciones que analizaremos en este tip son las marcadas en azul. Existen más herramientas en las pantallas siguientes de este menú que serán cubiertas en próximos tips.

Opción 1 : Analizar contraseñas por omisión

El comando ANZDFTPWD permite acceder a una lista de perfiles de usuarios cuya contraseña es igual al nombre del perfil. Los usuarios con esta característica pueden representar un riesgo para la seguridad del sistema. Esto puede ocurrir porque en el momento de crear un perfil de usuario con el comando CRTUSRPRF se utilizaron dos defaults que deberían haberse cambiado: el valor  para el parámetro “Contraseña de usuario”  (palabra clave PASSWORD) en *USRPRF y el parámetro “Contraseña caducada” (palabra clave PWDEXP) en *NO.  La ejecución del mandato ANZDFTPWD ofrece la posibilidad directa de determinar estas situaciones, dejando como resultado un archivo de spool de nombre QPSECPWD con los nombres de los usuarios que se encuentran en esta situación. Es importante observar, en el prompt del comando, que es posible seleccionar una acción a tomar para los perfiles en cuestión.

La siguiente pantalla muestra las opciones disponibles:

AS400-menu-sectools-1-2

  • *NONE: no se toma ninguna acción sobre los perfiles.
  • *DISABLE: todos los perfiles incluidos en el listado serán puestos en estado *DISABLED (parámetro “Estado” con palabra clave STATUS) en el momento de ejecutar el comando. Los perfiles en este estado  no pueden iniciar trabajos interactivos.
  • *PWDEXP: para todos los perfiles incluidos en el listado, el parámetro “Contraseña caducada” (palabra clave PWDEXP) será establecido a *YES. En el próximo inicio de sesión que se realice con estos perfiles, deberá cambiarse la contraseña.

Observar que pueden seleccionarse *DISABLE y *PWDEXP simultáneamente.

La primer ejecución de ANZDFTPWD genera un objeto de tipo *FILE PF-DTA , de nombre QASECPWD en la biblioteca QUSRSYS, con propietario QSYS y autorización *PUBLIC *EXCLUDE. Este archivo puede ser explotado desde cualquier aplicación, por ejemplo con QUERY/400  ( RUNQRY QRY(*NONE) QRYFILE(QUSRSYS/QASECPWD) ).

Opciones 2, 3 y 4: Gestión de perfiles de usuario activos

A través de las opciones 2, 3 y 4 se puede planificar que los perfiles de usuario que no hayan iniciado sesión después de un número de días especificado, sean automáticamente pasados a estado *DISABLED. Para habilitar esta función es necesario realizar las siguientes tareas:

1. Establecer el número de días máximo de inactividad aceptado: la opción 4 “Analizar actividad de perfil”, comando ANZPRFACT, permite especificar la cantidad de días tolerados de inactividad de usuarios.

2. Cambiar lista de perfiles activos:  la opción 3, comando CHGACTPRFL, con el parámetro “Acción” (palabra clave ACTION) en *ADD (es el valor por default)  permite agregar a la lista los nombres de los perfiles de usuario que no serán vigilados en cuanto a su tiempo de inactividadEn este caso los usuarios agregados  nunca se van a considerar inactivos.  Si en el parámetro “Acción” (palabra clave ACTION) se especifica *REMOVE, el perfil  de usuario indicado se eliminará de la lista y se considerará inactivo una vez transcurrido el número máximo de días especificado (especificada con el comando ANZPRFACT).

3. Visualizar lista de perfiles activos:  la opción 2, comando DSPACTPRFL, permite visualizar  la lista de perfiles de usuario activos. Estos perfiles de usuario no se van a inhabilitar como resultado de ejecutar el comando ANZPRFACT. La información visualizada  depende de lo que se haya especificado en el comando CHGACTPRFL ejecutado previamente.

La siguiente pantalla muestra la ejecución de la opción 2 “Visualizar lista de perfiles activos”:

 

AS400-menu-sectools-1-3

Considerar lo siguiente:

  • Es aconsejable añadir a la lista de la pantalla anterior todos los perfiles que se hayan creado para poseer objetos de aplicación y que no se utilizan para iniciar sesiones. También conviene añadir a esta lista cualquier otro perfil IBM ("Q") que no se desee inhabilitar. En la ayuda de los comandos  CHGACTPRFL y ANZPRFACT figura la lista de los perfiles que nunca se considerarán inactivos, entre ellos QSECOFR, QSYS y QTCP.
  • La utilización de esta herramienta genera una entrada planificada de nombre QSECIDL1. Para visualizarla utilizar el comando WRKJOBSCDE.
  • Si se desea desactivar esta herramienta ejecutar ANZPRFACT  INACDAYS(*NOMAX). La entrada planificada será inmediatamente eliminada del WRKJOBSCDE.
  • La ejecución de CHGACTPRFL y ANZPRFACT modifican el contenido de un *FILE PF-DTA existente con propietario QSYS en QUSRSYS de nombre QASECIDL, y autorización *PUBLIC *EXCLUDE. Este archivo puede ser explotado desde cualquier aplicación, por ejemplo con QUERY/400  ( RUNQRY QRY(*NONE) QRYFILE(QUSRSYS/QASECIDL) ).

Para tener en cuenta...

    • Una forma práctica de evitar usuarios que posean contraseñas igual al nombre del perfil es cambiar el default del parámetro “Contraseña caducada”  (palabra clave PWDEXP) del comando CRTUSRPRF. Esto se puede realizar emitiendo el comando: CHGCMDDFT CMD(CRTUSRPRF) NEWDFT(‘PWDEXP(*YES)’) desde una sesión abierta con un perfil con autorización especial *ALLOBJ.  Puede referirse al Tip nro 1: “Modificación de los valores por default que rigen en los comandos del OS/400”.
    • Para poder ejecutar ANZDFTPWD es necesario tener autorización especial *ALLOBJ y *SECADM.
    • Para ejecutar los comandos ANZPRFACT, CHGACTPRFL y DSPACTPRFL se necesita la autorización especial *ALLOBJ. El mandato ANZPRFACT también requiere *SECADM y *JOBCTL.

Copyright Teknoda S.A.

IMPORTANTE:
“Notas técnicas de AS/400" se envía con frecuencia variable y sin cargo como servicio a nuestros clientes AS/400. Contiene notas/tutoriales/artículos técnicos desarrollados en forma totalmente objetiva e independiente. Teknoda es una organización de servicios de tecnología informática y NO comercializa hardware, software ni otros productos.
Si desea suscribir otra dirección de e-mail para que comience a recibir las Notas Técnicas AS400, envíe un mensaje desde esa direcciónletter400@teknoda.com, aclarando nombre, empresa, cargo y país del suscriptor.

AS400 , iSeries y System i son marcas registradas de IBM. IBM no es el editor de esta publicación y no es responsable de la misma en ningún aspecto. La información contenida en esta publicación ha sido generada por nuestros especialistas a partir de fuentes consideradas confiables y del ejercicio profesional cotidiano. No obstante, por la posibilidad de error humano, mecánico, cambio de versión u otro, Teknoda no garantiza la exactitud o completud de la misma.
COPYRIGHT TEKNODA S.A. PROHIBIDA SU REPRODUCCION TOTAL O PARCIAL SIN CONSENTIMIENTO DE TEKNODA


 

Escribir un comentario


Código de seguridad
Refescar

Suscribirse a Teknodatips


Recibirá un mail cada vez que se publique un nuevo tip. Seleccionar AL MENOS un casillero:
  • AS/400 Tips
  • SAP/ABAP Tips



Joomla Extensions powered by Joobi

Lea en AS/400 Tips . . .

Infografía comparativa Comandos de SAVE RESTORE del AS400

save_restore_thumbnail

Conozca y diferencie visualmente qué partes del almacenamiento resguarda y restaura cada comando y cada opción del Menú Salvar y Restaurar. PUEDE DESCARGAR UN FORMATO POSTER PARA IMPRESION.

Para lograr un entendimiento conceptual es de suma utilidad contar con una ayuda gráfica, que  permita diferenciarlos a primera vista. Nuestro equipo de especialistas ha desarrollado el "Infographics" que presentamos con este tip. Por supuesto, el mismo debe complementarse con la información detallada de los innumerables parámetros de cada comando, pero es un útil marco de referencia  para recordar el área de injerencia de cada comando.

LEER ESTE ARTICULO >>>>>

 

 

 

Copyright © 2017 Teknoda tips - Tecnologia SAP Netweaver - IBM AS400 - System i - iSeries. Todos los derechos reservados.