Javier: ¿los procesos que fallaron son de un mismo sistema? ¿el dueño de los objetos de esos sistemas (*file, *pgm, etc.), es unico? Si es así, ¿puedes poner al usuario que hoy es *ALLOBJ como perfil de grupo primario o secundario, el dueño de esos sistemas?, así debieras poder sacar el *ALLOBJ.
Saludos Ignacio De: [email protected] [mailto:[email protected]] En nombre de Javier Mora Enviado el: miércoles, 13 de noviembre de 2013 9:29 Para: forum.help400 Asunto: RE: ALLOBJ y problemas de autorizaciones Planteo la consulta de otra forma. Quiero eliminar *ALLOBJ del usuario y que sólo utilice aquello que verdaderamente necesita. No es un usuario físico, sino virtual (casi todo son procesos automáticos que vienen desde fuera del IBM i, p.e. Windows). Hemos hecho una primera prueba (a las bravas) y todos los procesos han empezado a fallar, por una razón u otra. Realmente, lo que queremos saber son los objetos que está utilizando con *ALLOBJ y que no podría utilizar sin este valor. En mi auditoría actual tengo activado en QAUDLVL los valores *AUTFAIL y *SECURITY, pero parece que no es suficiente. Pensaba que con estos valores quedaría registrado todo aquel objeto utilizado gracias a la autorización especial *ALLOBJ, y además lo haría como una 'violación de seguridad' (registros AF). Sin embargo, no veo ningún rastro. Gracias por el comentario. Javier ________________________________ De: [email protected]<mailto:[email protected]> [mailto:[email protected]] En nombre de Marti Riera Enviado el: martes, 12 de noviembre de 2013 18:51 Para: forum.help400 Asunto: Re: ALLOBJ y problemas de autorizaciones Hola, Antes de quitarle el *ALLOBJ, hay que analizar que objetos y/o aplicaciones utiliza, como bien dices la auditoria te puede ayudar, pero ojo en la auditoria solo se graban los objetos cambiados, no los utilizados, por tanto antes deberías cambiar los objetos para que se audite su uso (CHGOBJAUD), el problema es que puedes dejar el sistema muy penalizado en cuanto a rendimiento y uso de disco de los receptores de diario ya que hay que analizarlos antes de eliminarlos (depende del equipo claro), además deberías documentar el valor de auditoria de los objetos antes de cambiarlo, para dejarlo igual después. En fin de entrada parece un obstáculo insalvable, por eso hay que evitar los usuarios *ALLOBJ. Yo aplicaría métodos alternativos: Por ejemplo solo auditar el uso del objeto tipo bibliotecas, con esto al menos ya sabemos cuales usa. Aunque ya sepamos algunas directamente analizando la JOBD del usuario. Como dices que accede al IFS también habría que auditar que directorios usa, lo podrías hacer a un primer o segundo nivel, y bajar mas si es necesario. También podemos analizar si el usuario tiene acceso a linea de mandatos o ejecuta desde una aplicación de esa forma podríamos descartar algunas bibliotecas. Tambien si tiene acceso desde servicios tipo FTP, ODBC, DDM, HTTP, ect.. ya que eso puede abrir o cerrar mucho el ambito a buscar. Una vez sepamos a que bibliotecas accede puedes darle permisos a ellas y sus objetos (mejor a un grupo) y ya podrías quitarle *ALLOBJ. A partir de ahí si quieres bajar a nivel de objeto si podrías analizar en que objetos realiza cambios y cambiar el resto de objetos a read-only para ese usuario. Bueno, supongo que habrá otras formas de hacerlo (como try&error) pero espero te haya dado algunas pistas. Saludos Martí Riera 2013/11/12 Javier Mora <[email protected]<mailto:[email protected]>> Hola a tod@s<mailto:tod@s>: Tengo un usuario con autorización especial *ALLOBJ y quiero saber qué problemas puedo tener de autorizaciones si le quito *ALLOBJ. Sobre todo tengo dudas con los objetos del IFS. ¿La auditoría del sistema puede ayudarme a descubrir estos posibles fallos de autorizaciones? ¿Cómo? (He de reconocer que no tengo mucha experiencia con la auditoría del sistema). Mi idea consiste en revisar primero con qué me puedo encontrarme si quito *ALLOBJ del usuario, arreglar el problema y, una vez subsanados todos los que surjan, eliminar la autorización especial. ¿Sugerencias?, gracias por la ayuda. Javier Mora García ____________________________________________________ Únete a Recursos AS400, nuestra Comunidad ( http://bit.ly/db68dd ) Forum.Help400 © Publicaciones Help400, S.L. ----------------------------------------------------------------- Notice of Confidentiality: The information transmitted is intended only for the sender and person or entity to which it is addressed and may contain confidential and/or privileged material. Any review, e-transmission, dissemination or other use of, or taking of any action in reliance upon, this information by persons or entities other than the intended recipient is prohibited. If you received this in error, please contact the sender immediately by return electronic transmission and then immediately delete this transmission, including all attachments, without copying, distributing or disclosing same. ------------------------------------------------------------------ Aviso de Confidencialidad: Este correo electrónico y/o el material adjunto es para uso exclusivo del emisor y la persona o entidad a la que expresamente se le ha enviado, y puede contener información confidencial o material privilegiado. Si usted no es el destinatario legítimo del mismo, por favor repórtelo inmediatamente al remitente del correo y bórrelo. Cualquier revisión, retransmisión, difusión o cualquier otro uso de este correo, por personas o entidades distintas a las del destinatario legítimo, queda expresamente prohibido. Este correo electrónico no pretende ni debe ser considerado como constitutivo de ninguna relación legal, contractual o de otra índole similar.
____________________________________________________ Únete a Recursos AS400, nuestra Comunidad ( http://bit.ly/db68dd ) Forum.Help400 © Publicaciones Help400, S.L.
