Hola Carlos, tengo claro que la autorización adoptada no aplica en el IFS. Hasta ahora, he gestionado el acceso a este dando autorizaciones por usuario o grupos de usuario a cada carpeta u objeto del IFS.
Pero ahora me encuentro en una situación donde todo se ha "desmadrado" y quiero que a determinados directorios del IFS sólo se pueda acceder por programa sin tener que otorgar autorizaciones privadas o de grupo a los usuarios. Para ello hay una alternativa que consiste en asignar a los directorios y ficheros un perfil de grupo primario y establecer en el trabajo que acceda ese perfil de grupo (con una API del IFS). He realizado algunas pruebas que "parecen" que funcionan, pero no en todos los casos y situaciones y no sé si es normal o no. Revisaré la información que me pasas y seguiré haciendo pruebas. Gracias por tu interés. Javier Mora El lun, 15 abr 2024 a las 20:21, Carlos (<cuentadecorreodecar...@gmail.com>) escribió: > Hola > > Aunque supongo que lo tienes, pero por si acaso, este documento explica un > poco como van las autorizaciones de IFS > > > https://www.ibm.com/support/pages/integrated-file-system-authority-considerations > > Sobre lo de simular la autorización adoptada, el IFS sigue las normas de > Unix y puedes hacerlo con las autorizaciones especiales. De IBM no he > encontrado nada, pero en aquí te lo explica (entre otras cosas) > > https://www.redhat.com/sysadmin/suid-sgid-sticky-bit > > Yo lo he usado para poder incluir el arranque de una utilidad desde el > QSTRUP y funciona perfectamente. > > Saludos > > Carlos > > > El 15/04/2024 a las 13:17, datil400 escribió: > > Hola a tod@s, > > estoy intentando "simular" la autorización adoptada para tener acceso al > IFS. La idea es la siguiente: quiero que un determinado árbol de > directorios del IFS y su contenido sólo sea accesible desde programa. Si un > usuario intentara acceder a ese árbol por otro medio (por ejemplo, FTP), se > encontrada con el mensaje de "Permiso denegado". > > Para ello he configurado el árbol de directorios y todo su contenido con > las siguientes autorizaciones: > > *PUBLIC -> *EXCLUDE > Propietario -> *ALL > Grupo primario -> *ALL > > Por otro lado, cambio el grupo primario del trabajo con la API qsysetegid() > con el perfil de grupo asignado en el IFS (el grupo primario). > > Esto parece que funciona. Es decir, si abro una sesión con un usuario sin > ningún permiso sobre el IFS, no tiene acceso desde ninguna interfaz > (Netserver, FTP, 5250, QSH, PASE). Cuando cambio el grupo primario del > trabajo por el grupo asignado al IFS, entonces el usuario tiene acceso al > IFS (en este caso he probado mandatos CL y QSH). > > Sin embargo, SÓLO PARECE, porque el comportamiento de algunos mandatos CL > o comandos QSH no actúan de la misma forma. Por ejemplo, los siguientes > mandatos CL dan acceso a los directorios y ficheros: CHDIR, MKDIR, RMVLNK, > CPY, MOV. Sin embargo, DSPF o EDTF me avisan con un mensaje de "Permiso > denegado". > > Con QSH me pasa algo similar, los comandos cd, rm, mkdir, cat, ls, etc > actúan correctamente cuando el grupo primario del trabajo está cambiado, > sin embargo cuando ejecuto un 'sftp', ¡FALLA! > > No quiero extenderme mucho más, pero el caso del SFTP es curioso. Como > primer paso, está intentado acceder a una clave privada a la que tiene > permiso el grupo primario del trabajo. Si visualizo con 'cat' el archivo, > se muestra sin problemas. Sin embargo, cuando SFTP intenta utilizarlo para > la conexión avisa con "Permission denied". > > He rebuscado artículos, manuales y todo lo que ha caido en mi mano que > pudiera ayudarme, pero no he encontrada nada (sobre todo en IBM) que > pudiera explicar por qué unos mandatos/comandos actúan como debería con el > cambio del grupo primario del trabajo y otros. > > ¿Alguno de vosotros tiene alguna experiencia con este tema? ¿Alguna > sugerencia? > > Gracias por vuestros comentarios. > > Javier Mora > > ____________________________________________________ > Únete a Recursos AS400, nuestra Comunidad ( http://bit.ly/db68dd ) > Forum.Help400 � Publicaciones Help400, S.L. > > ____________________________________________________ > Únete a Recursos AS400, nuestra Comunidad ( http://bit.ly/db68dd ) > Forum.Help400 � Publicaciones Help400, S.L.
____________________________________________________ Únete a Recursos AS400, nuestra Comunidad ( http://bit.ly/db68dd ) Forum.Help400 � Publicaciones Help400, S.L.
