:::Teknoda::: Tips IBM AS/400, iseries400 - Cómo gestionar y controlar la seguridad a través del menú SECTOOLS - Parte I

Home

Quiénes Somos

Teknoda y AS400

Teknoda y SAP

Contáctenos

Notas técnicas al AS/400 - Tip en detalle (Lo nuevo, lo escondido, o simplemente lo de siempre pero bien explicado) "Tips en breve/Tips en detalle" se envía con frecuencia variable y absolutamente sin cargo como un servicio a nuestros clientes AS/400. Contiene principalmente notas técnicas y no contiene mensajes publicitarios. Si desea suscribir otra dirección de e-mail para que comience a recibir los "Tips", envíe un mensaje desde esa dirección a letter400@teknoda.com , aclarando nombre, empresa y cargo del suscriptor.
	Cómo gestionar y controlar la seguridad a través del menú SECTOOLS - Parte I Tema: Seguridad, Administración. Utilidad: Administración de Seguridad Nivel: Intermedio/Avanzado. Versión: Todas.

Resumen ejecutivo El menú SECTOOLS es un conjunto de herramientas de seguridad provistas por OS/400 que permiten, entre otras tareas, analizar contraseñas por omisión, habilitar usuarios en determinados rangos horarios, inhabilitar perfiles que no se utilizaron más de un número especificado de días, trabajar con la activación y visualización de las anotaciones de auditoría y generar una gran cantidad de informes relacionados con la seguridad. En la primera parte del presente tip ampliaremos algunas de sus posibilidades. Para poder acceder a las opciones del menú, desde línea de comandos ingrese GO SECTOOLS. Introducción El menú SECTOOLS ofrece amplias opciones para gestionar y controlar aspectos de la seguridad del OS/400. Para acceder a este menú ingrese en la línea de comandos GO SECTOOLS. Aparece la siguiente pantalla: Las opciones que analizaremos en este tip son las marcadas en azul. Existen más herramientas en las pantallas siguientes de este menú que serán cubiertas en próximos tips. Opción 1 : Analizar contraseñas por omisión El comando ANZDFTPWD permite acceder a una lista de perfiles de usuarios cuya contraseña es igual al nombre del perfil. Los usuarios con esta característica pueden representar un riesgo para la seguridad del sistema. Esto puede ocurrir porque en el momento de crear un perfil de usuario con el comando CRTUSRPRF se utilizaron dos defaults que deberían haberse cambiado: el valor para el parámetro "Contraseña de usuario" (palabra clave PASSWORD) en USRPRF y el parámetro "Contraseña caducada" (palabra clave PWDEXP) en NO. La ejecución del mandato ANZDFTPWD ofrece la posibilidad directa de determinar estas situaciones, dejando como resultado un archivo de spool de nombre QPSECPWD con los nombres de los usuarios que se encuentran en esta situación. Es importante observar, en el prompt del comando, que es posible seleccionar una acción a tomar para los perfiles en cuestión. La siguiente pantalla muestra las opciones disponibles: NONE: no se toma ninguna acción sobre los perfiles. DISABLE: todos los perfiles incluidos en el listado serán puestos en estado DISABLED (parámetro "Estado" con palabra clave STATUS) en el momento de ejecutar el comando. Los perfiles en este estado no pueden iniciar trabajos interactivos. PWDEXP: para todos los perfiles incluidos en el listado, el parámetro "Contraseña caducada" (palabra clave PWDEXP) será establecido a YES. En el próximo inicio de sesión que se realice con estos perfiles, deberá cambiarse la contraseña. Observar que pueden seleccionarse DISABLE y PWDEXP simultáneamente. La primer ejecución de ANZDFTPWD genera un objeto de tipo FILE PF-DTA , de nombre QASECPWD en la biblioteca QUSRSYS, con propietario QSYS y autorización PUBLIC EXCLUDE. Este archivo puede ser explotado desde cualquier aplicación, por ejemplo con QUERY/400 ( RUNQRY QRY(NONE) QRYFILE(QUSRSYS/QASECPWD) ). Opciones 2, 3 y 4: Gestión de perfiles de usuario activos A través de las opciones 2, 3 y 4 se puede planificar que los perfiles de usuario que no hayan iniciado sesión después de un número de días especificado, sean automáticamente pasados a estado DISABLED. Para habilitar esta función es necesario realizar las siguientes tareas: 1. Establecer el número de días máximo de inactividad aceptado: la opción 4 "Analizar actividad de perfil", comando ANZPRFACT, permite especificar la cantidad de días tolerados de inactividad de usuarios. 2. Cambiar lista de perfiles activos: la opción 3, comando CHGACTPRFL, con el parámetro "Acción" (palabra clave ACTION) en ADD (es el valor por default) permite agregar a la lista los nombres de los perfiles de usuario que no serán vigilados en cuanto a su tiempo de inactividad. En este caso los usuarios agregados nunca se van a considerar inactivos. Si en el parámetro "Acción" (palabra clave ACTION) se especifica REMOVE, el perfil de usuario indicado se eliminará de la lista y se considerará inactivo una vez transcurrido el número máximo de días especificado (especificada con el comando ANZPRFACT). 3. Visualizar lista de perfiles activos: la opción 2, comando DSPACTPRFL, permite visualizar la lista de perfiles de usuario activos. Estos perfiles de usuario no se van a inhabilitar como resultado de ejecutar el comando ANZPRFACT. La información visualizada depende de lo que se haya especificado en el comando CHGACTPRFL ejecutado previamente. La siguiente pantalla muestra la ejecución de la opción 2 "Visualizar lista de perfiles activos": Considerar lo siguiente: Es aconsejable añadir a la lista de la pantalla anterior todos los perfiles que se hayan creado para poseer objetos de aplicación y que no se utilizan para iniciar sesiones. También conviene añadir a esta lista cualquier otro perfil IBM ("Q") que no se desee inhabilitar. En la ayuda de los comandos CHGACTPRFL y ANZPRFACT figura la lista de los perfiles que nunca se considerarán inactivos, entre ellos QSECOFR, QSYS y QTCP. La utilización de esta herramienta genera una entrada planificada de nombre QSECIDL1. Para visualizarla utilizar el comando WRKJOBSCDE. Si se desea desactivar esta herramienta ejecutar ANZPRFACT INACDAYS(NOMAX). La entrada planificada será inmediatamente eliminada del WRKJOBSCDE. La ejecución de CHGACTPRFL y ANZPRFACT modifican el contenido de un FILE PF-DTA existente con propietario QSYS en QUSRSYS de nombre QASECIDL, y autorización PUBLIC EXCLUDE. Este archivo puede ser explotado desde cualquier aplicación, por ejemplo con QUERY/400 ( RUNQRY QRY(NONE) QRYFILE(QUSRSYS/QASECIDL) ). Para tener en cuenta... Una forma práctica de evitar usuarios que posean contraseñas igual al nombre del perfil es cambiar el default del parámetro "Contraseña caducada" (palabra clave PWDEXP) del comando CRTUSRPRF. Esto se puede realizar emitiendo el comando: CHGCMDDFT CMD(CRTUSRPRF) NEWDFT('PWDEXP(YES)') desde una sesión abierta con un perfil con autorización especial ALLOBJ. Puede referirse al Tip nro 1: "Modificación de los valores por default que rigen en los comandos del OS/400". Para poder ejecutar ANZDFTPWD es necesario tener autorización especial ALLOBJ y SECADM. Para ejecutar los comandos ANZPRFACT, CHGACTPRFL y DSPACTPRFL se necesita la autorización especial ALLOBJ. El mandato ANZPRFACT también requiere SECADM y JOBCTL.
Copyright Agosto 2001 Teknoda S.A . Prohibida su reproducción total o parcial sin citar la fuente. Dudas o comentarios: letter400@teknoda.com La información contenida en esta cartilla ha sido recolectada en la tarea cotidiana por nuestros especialistas a partir de fuentes consideradas confiables. No obstante, por la posibilidad de error humano, mecánico, cambios de versión u otro, Teknoda no garantiza la exactitud o completud de la información aquí volcada. AS/400 es marca registrada de IBM. Agradecemos el permiso de IBM para usar sus marcas en esta publicación. iseries400 es marca registrada de IBM. IBM no es el editor de esta publicación y no es por lo tanto responsable de su contenido.
Volver a página principal de Notas Técnicas AS/400