Uno dei comandi più importanti nel mondo As400 o iBMI, è il WRKUSRPRF, cioè la gestione dei profili utenti.
Nel mondo iBMI la gestione utenti è complessa, perchè vi sono tantissimi paramentri che permettono la modifica anche minime di sicurezza
SECDAM e non solo
L’utente che attua la creazione/modifica di un user profile, deve avere determinate caratteristiche.
Sicuramente la più importante è che abbia come autorizzazione SECADM, ed che possa utilizzare il menu iniziale, la sua descrizione lavoro, coda messaggi e programma di attenzione (se specificato).
CRTUSERPRF, CHGUSRPRF e WRKUSRPRF
Il comando per la creazione del profilo è ovviamente CRTUSRPRF, per le modifiche CHGUSRPRF e per la gestione WRKUSPRF.
Con quest’ultimo puoi anche modificare, copiare cancellare ecc il profilo stesso.
Le opzioni per la creazione dei profili sono tantissimi, quindi affronteremo solo le principali.
USRPRF
Questa opzione è la più semplice. In pratica è il nome utente del profilo. La lunghezza massima del profilo è di 10 caratteri. Si possono utilizzare sia lettere (dalla A alla Zeta), numeri (da 0 a 9) e anche alcuni caratteri speciali: cancelletto (#), dollaro ($), sottolineatura (_), chiocciola (@).
PASSWORD
Mi pare che il significato sia ovvio! Si tratta della password del profilo utente, che ovviamente sarà criptata.
Le regole delle password, sono tantissime. Si può decidere se utilizzare da 1 a 10 caratteri oppure da 1 a 128, case sensitive, con il check delle vecchie password, expired della stessa dopo un tot di mesi, il numero massimo e minimo, ecc.
Insomma le regole sono estremamente flessibile, regolate dai valori di sistema:
- QPWDCHGBLK Blocco modifica parola d’ordine
- QPWDEXPITV Interv. scadenza par. d’ordine
- QPWDEXPWRN Avvertenza scadenza parola d’ordine
- QPWDLMTAJC Limite cifre adiacenti par. ordine
- QPWDLMTCHR Limite caratt. par. d’ordine
- QPWDLMTREP Limite caratt. ripet. parola d’ordine
- QPWDLVL Livello parola d’ordine
- QPWDMAXLEN Lungh. mass. par. ord.
- QPWDMINLEN Lungh. min. par. d’ordine
- QPWDPOSDIF Limite posiz. caratt. par. d’ordine
- QPWDRQDDGT Rich. cifre in par. ord.
- QPWDRQDDIF Contr. par. d’ordine dupl.
- QPWDRULES Regole parola d’ordine
- QPWDVLDPGM Progr. conval. par. d’ordine
Come potete leggere la personalizzazione è davvero capillare!
PWDEXP
Questo parametro può essere impostato solo a *NO oppure *SI. Se impostato a *SI quanto l’utente si collega chiederà di cambiare la password. Si usa spesso quando si vuole eseguire un reset della password obbligando cosi l’utente a cambiarla.
STATUS
Anche in questo caso il valore che può assumere sono solo due stati: *ENABLED e *DISABLED. Nel primo caso il profilo funzionerà, nel secondo non permetterà di fare nessuno accesso. Il profilo si disabilità se per esempio si raggiungono i tentativi massimi della password errata (valore di sistema QMAXSING), oppure se scaduto dopo un tot di mesi oppure per inutilizzo (di norma 3 mesi), ma anche altri opzioni.
USRCLS
Questo parametro specifica la classe del profilo. Insomma a quale “modello” è il profilo. Le classi sono sei e ogni classe ha delle “autorizzazioni speciali” che sono definite dal valore di sistema QSECURITY
- USER Utente (non ha autorizzazioni speciali)
- SYSOPER Operatore di Sistema (*JOBCTL e *SAVSYS)
- PGMR Programmatore (non ha autorizzazioni speciali)
- SECADM Responsabile della sicurezza (*SECADM)
- SECOFR Amministratore (tutte le autorizzazioni)
il SYSVAL QSECURITY può assumere un valore da 20 a 50 (il 10 non è permesso). A seconda del valore, le autorizzazione delle classi cambiano. Di norma viene dato con il valore impostato a 40 (nel nostro esempio).
ASTLVL
Identifica il livello di assistenza dell’interfaccia. Insomma le informazioni che vedrai con i vari comandi iBMi.
*BASIC, *INTERMED e *ADVANCE *SYSVAL (cioè il valore assunto da QASTLVL. Di norma si lascia ad *INTERMED.
CURLIB, INLPGM E INLMNU
Queste opzione sono la configurazione dell’ambiente iniziale di lavoro, ovvero la libreria corrente, programma e menu iniziale. Il tutto dipende dal personalizzazione che si vuole dare al profilo. Il default il menu inziale è “MAIN”.
SPCAUT
Queste sono le famose autorizzazioni speciali. Sono tantissime è necessario procedere con cautela! Dare un *allobj a un utente significa che di fatto può fare quasi tutto!
Queste sono i valori che si possono dare. Con *USRCLS si danno quelle relative alla classe che abbiamo visto sopra.
Le autorizzazioni sono:
*ALLOBJ (autorizzazione su tutti gli oggetti)
*AUDIT (funzioni di controllo)
*IOSYSCFG (Configurazione di sistema )
*JOBCTL (Controllo del lavoro)
*SAVSYS (Salvataggi di sistema)
*SECADM (Sicurezza)
*SERVICE (Funzioni di servizio)
*SPLCTL (Stampe)
JOBD, GRPPRF,, GRPAUT, MSGQ, OUTQ …ecc
Queste ultime servono a caratterizzare il profilo a secondo della sua attività. Quale job description, profilo di gruppo, message queue utilizzare. Si può personalizzare cosi come si possono lasciare i valore di default *SYSVAL.
Questi sono le principali opzioni per la creazione/gestione di un profilo utente. Il numero di opzioni possibili sono tantissime, ma ho cercato di spiegare le più utilizzate. Spero di non aver sintetizzare troppo, dando una idea chiara sul significato di ogni opzione. Come avete visto, spesso i valori di sistema la fanno da padrone, perché di fatto permette di settare il default delle opzioni.
Alla prossima con un altro Post!!!
Vostro iBlog127
Fonte:
www.ibm.com