Hola
Aunque supongo que lo tienes, pero por si acaso, este documento explica
un poco como van las autorizaciones de IFS
https://www.ibm.com/support/pages/integrated-file-system-authority-considerations
Sobre lo de simular la autorización adoptada, el IFS sigue las normas de
Unix y puedes hacerlo con las autorizaciones especiales. De IBM no he
encontrado nada, pero en aquí te lo explica (entre otras cosas)
https://www.redhat.com/sysadmin/suid-sgid-sticky-bit
Yo lo he usado para poder incluir el arranque de una utilidad desde el
QSTRUP y funciona perfectamente.
Saludos
Carlos
El 15/04/2024 a las 13:17, datil400 escribió:
Hola a tod@s,
estoy intentando "simular" la autorización adoptada para tener acceso
al IFS. La idea es la siguiente: quiero que un determinado árbol de
directorios del IFS y su contenido sólo sea accesible desde programa.
Si un usuario intentara acceder a ese árbol por otro medio (por
ejemplo, FTP), se encontrada con el mensaje de "Permiso denegado".
Para ello he configurado el árbol de directorios y todo su contenido
con las siguientes autorizaciones:
*PUBLIC -> *EXCLUDE
Propietario -> *ALL
Grupo primario -> *ALL
Por otro lado, cambio el grupo primario del trabajo con la API
qsysetegid() con el perfil de grupo asignado en el IFS (el grupo
primario).
Esto parece que funciona. Es decir, si abro una sesión con un usuario
sin ningún permiso sobre el IFS, no tiene acceso desde ninguna
interfaz (Netserver, FTP, 5250, QSH, PASE). Cuando cambio el grupo
primario del trabajo por el grupo asignado al IFS, entonces el usuario
tiene acceso al IFS (en este caso he probado mandatos CL y QSH).
Sin embargo, SÓLO PARECE, porque el comportamiento de algunos mandatos
CL o comandos QSH no actúan de la misma forma. Por ejemplo, los
siguientes mandatos CL dan acceso a los directorios y ficheros: CHDIR,
MKDIR, RMVLNK, CPY, MOV. Sin embargo, DSPF o EDTF me avisan con un
mensaje de "Permiso denegado".
Con QSH me pasa algo similar, los comandos cd, rm, mkdir, cat, ls, etc
actúan correctamente cuando el grupo primario del trabajo está
cambiado, sin embargo cuando ejecuto un 'sftp', ¡FALLA!
No quiero extenderme mucho más, pero el caso del SFTP es curioso. Como
primer paso, está intentado acceder a una clave privada a la que tiene
permiso el grupo primario del trabajo. Si visualizo con 'cat' el
archivo, se muestra sin problemas. Sin embargo, cuando SFTP intenta
utilizarlo para la conexión avisa con "Permission denied".
He rebuscado artículos, manuales y todo lo que ha caido en mi mano que
pudiera ayudarme, pero no he encontrada nada (sobre todo en IBM) que
pudiera explicar por qué unos mandatos/comandos actúan como debería
con el cambio del grupo primario del trabajo y otros.
¿Alguno de vosotros tiene alguna experiencia con este tema? ¿Alguna
sugerencia?
Gracias por vuestros comentarios.
Javier Mora
____________________________________________________
Únete a Recursos AS400, nuestra Comunidad (http://bit.ly/db68dd )
Forum.Help400 � Publicaciones Help400, S.L.
____________________________________________________
Únete a Recursos AS400, nuestra Comunidad ( http://bit.ly/db68dd )
Forum.Help400 � Publicaciones Help400, S.L.
