"Tips en breve/Tips en detalle" se envía con frecuencia variable y absolutamente sin cargo como un servicio a nuestros clientes AS/400. Contiene notas/recursos/artículos técnicos desarrollados en forma totalmente objetiva e independiente. Teknoda es una organización de servicios de tecnología informática y NO comercializa hardware, software ni otros productos.

Si desea suscribir una dirección de e-mail para que comience a recibir los "Tips", envíe un mensaje desde esa dirección a letter400@teknoda.com, aclarando nombre, empresa, cargo y pais del suscriptor.

Cómo copiar perfiles de usuarios entre distintos sistemas utilizando Operations Navigator y Management Central

Tema: Seguridad, Administración.
Utilidad: Copiar perfiles de usuarios fácilmente..
Nivel: Intermedio
Versión: 5.1

Resumen ejecutivo

Operations Navigator o iSeries Navigator, su nombre más reciente, es la poderosa interfaz gráfica que permite no sólo operar sino también administrar uno o varios sistemas AS/400 simultáneamente. Entre las principales capacidades que posee esta herramienta se encuentran: gestión de trabajos, subsistemas y pools del almacenamiento principal, trabajar con particiones lógicas, servidores de Client Access y de TCP/IP y una completa gama de operaciones relacionadas con la seguridad. La posibilidad de copiar perfiles entre distintos sistemas es una de las tantas utilidades ofrecidas y la que se cubrirá en el presente tip, con dos variantes distintas: el ícono Mis Conexiones o usando Management Central.

Introducción

Cuando se dispone de varias AS/400, es muy común replicar librerías, archivos o programas entre los distintos sistemas. Para estos casos, FTP es una alternativa muy usada. Pero cuando es necesario replicar en otro sistema un objeto de tipo perfil de usuario, las posibilidades son diferentes. Operations Navigator ofrece distintas formas de copiar perfiles de usuarios entre diferentes sistemas y con alcances también distintos: trabajando desde Mis conexiones o desde Management Central.

Desde Mis conexiones es posible "hacer dragging" o "copy and paste" de un objeto de tipo perfil de usuario, mientras que con Management Central los perfiles de usuario y sus autorizaciones pueden ser enviados a varios sistemas simultáneamente. La copia de perfiles de usuarios puede resultar una herramienta muy útil en instalaciones donde se cuenta con más de un sistema AS/400. De esta manera pueden replicarse sencillamente perfiles que resultan útiles en un sistema y que también deberían ser usados, por ejemplo, en un sistema que funciona como backup. Para poder realizar esta tarea exitosamente es necesario poseer un perfil de usuario que posea mínimamente autorización especial *SECADM, para poder crear perfiles de usuarios. Si además tiene autorización especial *ALLOBJ, es posible copiar cualquier perfil de usuario. En el caso de utilizar Management Central, el perfil que realice la tarea también debe poseer autorización especial *SAVSYS.

Parte I - Copiando perfiles de usuario entre sistemas utilizando Operations Navigator - Mis conexiones

Para poder utilizar esta facilidad es necesario ingresar en ambos sistemas con perfiles de usuarios autorizados a esta tarea. Los siguientes son los pasos necesarios para poder copiar un perfil de usuario desde un sistema AS/400 a otro, utilizando "copy and paste":

1. Configurar en Operations Navigator diferentes conexiones hacia los sistemas involucrados en la operación de copia.

2. Iniciar sesión en ambos sistemas, teniendo en cuenta las consideraciones de seguridad ya enunciadas en la sección anterior.

3. Expandir el item Usuarios y grupos. Aparecen tres subcomponentes: Todos los usuarios, Grupos y Usuarios que no forman parte de un grupo. "Clickear" sobre Todos los usuarios. En el panel de la derecha aparecerán todos los perfiles de usuarios que se pueden visualizar según las autorizaciones del perfil con el cual se ingresó.

4. Sobre el panel de la derecha seleccionar el perfil de usuario que se copiará (puede ser más de uno). Con botón derecho del mouse, aparecerá el menú de contexto y desde allí Copiar. La siguiente imagen muestra la ventana que se visualizará:

5. Una vez "marcado" el perfil de usuario para la copia, ir hasta la conexión abierta anteriormente sobre el sistema destino de la copia y "pararse" sobre el item Todos los usuarios. Luego botón derecho del mouse y Pegar. Se visualizará la siguiente ventana:

En caso de haber seleccionado más de un perfil de usuario a copiar, la ventana anterior aparecerá para cada uno de los perfiles marcados para copiar.

6. Desde la ventana "Usuario nuevo basado en ..." podrá directamente crearse el perfil de usuario utilizando el botón "Añadir" (siempre que no existiera un perfil con ese nombre). De esta manera, el nuevo perfil es una copia exacta del perfil original. También es posible, antes de proceder a la creación del nuevo perfil, darle un nombre diferente al nuevo perfil de usuario y efectuar algunos cambios utilizando los botones Grupos o Posibilidades o Trabajos, que están habilitados en la ventana. Luego presionar el botón Añadir.

De esta manera, el nuevo perfil de usuario será creado en el sistema destino. Es importante considerar, que también es posible copiar perfiles entre distintos sistemas simplemente haciendo "dragging" con el perfil de usuario seleccionado.

Copiar perfiles de usuarios utilizando las facilidades de Operations Navigator es equivalente a ejecutar, desde pantalla verde, el comando WRKUSRPRF y luego opción 3 (Copiar) sobre el perfil de usuario seleccionado.

Consideraciones especiales:

• Contraseña: Cuando se copia un perfil de usuario, su contraseña no está incluida dentro de los atributos copiados. La contraseña inicial será igual que el nombre del perfil de usuario. El sistema establece el atributo "Contraseña caducable" en *YES, por lo tanto en el primer inicio de sesión que se realice con el nuevo perfil de usuario, el mismo será obligado a definir una nueva contraseña.

• Copia de perfiles de grupo: La operación de copia de un perfil de grupo, no incluye la creación en el sistema destino de los perfiles integrantes del grupo. En caso de necesitar replicar un grupo completo, deberá primero copiarse el perfil "padre" y luego copiar los integrantes. La copia de los integrantes del grupo incluye el nombre del grupo al que pertenecen en el sistema origen. Al haberse copiado primero el padre con el mismo nombre, los perfiles hijos se asocian automáticamente al grupo creado anteriormente. Este comportamiento hace que la copia de todo un grupo sea una tarea sencilla.

• Autorizaciones del perfil a copiar: La operación de copia de un perfil no incluye la copia de las autorizaciones sobre objetos que el perfil de usuario original posea en el sistema origen. Por lo tanto, si el perfil nuevo en el sistema destino necesita acceder a determinados objetos a través de una lista de autorización, deberá incorporárselo manualmente o utilizando un programa que lleve a cabo esta tarea.

Parte II - Copiando perfiles de usuario entre sistemas con Management Central.

Management Central es uno de los componentes incluidos dentro de iSeries Navigator. Para poder utilizarlo, el servidor TCP/IP que lo soporta debe estar activo. Management Central permite gestionar varios sistemas AS/400 desde un sistema que juega el rol de "Sistema Central", desde el cual se disparan tareas hacia los "Sistemas de punto final" o "Grupos de sistemas". Algunas de las tareas habilitadas para explotar esta poderosa herramienta son: ejecutar comandos, distribuir software, aplicar PTF's, monitorear la actividad del sistema, modificar valores del sistema, gestionar perfiles de usuarios. Esta última capacidad es la que permite crear, cambiar, copiar o aún suprimir usuarios o grupos de usuarios en distintos equipos simultáneamente.

Management Central permite copiar perfiles de usuarios entre sistemas utilizando la opción "Enviar". De esta manera, el perfil de usuario será creado en el o los sistemas destino, como una "réplica" prácticamente exacta de la original, con igual contraseña, con autorización a los mismos objetos (si los mismos objetos existen en el o los sistemas destino) y también con los mismos restantes atributos.

Recolección de inventarios:

Es sumamente importante observar, que Management Central opera sobre un "Inventario" de perfiles de usuarios y grupos que debió ser recolectado previamente a la ejecución de cualquier tarea que se necesite realizar sobre cualquier perfil de usuario o grupo. Esto implica que el Inventario es una lista de los perfiles de usuarios y sus propiedades en el momento de la recolección. Las operaciones realizadas sobre los perfiles de usuarios desde "pantalla verde" (cambios, supresiones o creaciones) no serán "vistas" desde el inventario hasta que se produzca una nueva recolección del mismo. En cambio, las operaciones realizadas desde Management Central, son automáticamente incluidas en el inventario. Para llevar a cabo la recolección del inventario de usuarios y grupos, realizar los siguientes pasos:

1. Expandir el item Management Central dentro de iSeries Navigator. Iniciar sesión con un perfil de usuario que posea autorizaciones especiales suficientes como para realizar la tarea de manera exitosa (*ALLOBJ y *SECADM).

2. Seleccionar el o los sistemas sobre los cuales se recolectará el inventario de usuarios y grupos:

a. Para sólo un sistema: expandir Sistemas de punto final ---> Seleccionar el sistema
b. Para un grupo de sistemas: expandir Grupo de sistemas ---> Seleccionar el grupo

3. Desde el sistema o grupo seleccionado, botón derecho del mouse --> Inventario ---> Recoger ---> Marcar el checkbox Usuarios y grupos. Se visualizará la siguiente ventana:

Observar en la ventana anterior:

• En la barra del título se indica el nombre del sistema o grupo para el cual se ejecutará la recolección.
• Existen distintos tipos de inventarios a recolectar.
• El botón Planificar permite diferir la recolección para que sea ejecutada en una fecha y hora a determinar en la siguiente ventana. Para recolectar en forma inmediata, presionar "Aceptar".
  

4. Todas las acciones solicitadas a Management Central son "convertidas" en Tareas que se someten a los sistemas seleccionados. Para conocer cómo se ejecutó una tarea, expandir Actividad de tareas ---> Inventarios, y sobre la ventana de la derecha, aparecerá la tarea sometida, junto al estado en el que se encuentra (Iniciado, Realizado, Anómalo). Clickeando sobre la tarea, puede obtenerse más información sobre su ejecución. Si la recolección se efectuó exitosamente, se podrá entonces trabajar con "Usuarios y grupos" sobre los inventarios.

Los inventarios pueden ser exportados a un archivo de PC (.xls, .csv, .html, .txt), y también pueden arrancarse búsquedas sobre ellos con criterios de selección muy amplios, y luego guardar el resultado en una carpeta.

Copia o envío de un perfil de usuario:

Una vez que se dispone de un inventario de recolección reciente, se debe seleccionar el perfil de usuario a "Enviar":

1. Expandir Sistemas de punto final.

2. Expandir el sistema de punto final seleccionado.

3. Expandir Usuarios y grupos.

4. Seleccionar Inventarios de usuarios o Inventarios de grupos. Sobre la ventana de la derecha se visualizarán los perfiles de usuarios y sus atributos vigentes al momento de la recolección.

5. Seleccionar un perfil de usuario ---> botón derecho del mouse ---> Enviar. Aparecerá la siguiente ventana:

Observar en la ventana anterior:

• En la barra del título se indica el nombre del sistema que actúa como origen del envío.
  
• En la ventana de la izquierda se pueden visualizar los sistemas de punto final y los grupos de sistemas definidos (con sus integrantes). Desde allí se seleccionan los sistemas o grupos hacia donde se ejecutará el envío del perfil de usuario.
• La solapa Opciones permite determinar la acción a tomar en caso que el perfil enviado ya existiera en el sistema destino. Las posibilidades son: No actualizar el usuario existente o Actualizarlo con el contenido del usuario que se envía. También es posible seleccionar si se respetan los atributos de correo, tal cual están en el perfil original, o debe adaptarse a los establecidos en el sistema destino.
• En la ventana inferior, aparecen el o los perfiles de usuarios que se seleccionaron para este envío.
• El botón Planificar permite diferir la recolección para que sea ejecutada en una fecha y hora a determinar en la siguiente ventana. Para recolectar en forma inmediata, presionar "Aceptar".

6. La siguiente ventana en visualizarse, informa que la tarea se ha iniciado. Para conocer su estado de ejecución: Expandir Actividad de tareas --->Usuarios y grupos. En la ventana de la derecha, en el primer renglón, aparece la tarea sometida y su estado (Iniciado, Realizado, Anómalo), entre otros datos. Para conocer más información sobre la ejecución, doble click sobre la tarea. Aparecerá la siguiente ventana:

Observar en la ventana anterior:

• En la barra del título se indica el nombre de la tarea sometida.
• Observar el nombre de cada uno de los sistemas y la información indicando el estado de finalización en cada uno de los sistemas donde fue sometida. Puede "enviarse" nuevamente el perfil, si sobre alguno de los sistemas se ejecutó de manera anómala.
• En la ventana inferior, aparecen el o los perfiles de usuarios que se seleccionaron para este envío.

Los perfiles de usuario "enviados" o copiados entre sistemas a través de Management Central, son creados en el sistema destino conservando los mismos atributos que el original (autorizaciones especiales, biblioteca corriente, menú inicial, programa inicial, etc) inclusive la contraseña. Las autorizaciones específicas que posee sobre objetos en el sistema origen son también enviadas junto con el perfil (no la información de objetos en propiedad), por lo tanto, si los objetos existen también en el destino, las autorizaciones específicas serán automáticamente incluidas en los correspondientes objetos. El inventario de usuarios y grupos se actualiza automáticamente.

Diferencias entre ambos métodos

Como ya se observara en las dos secciones anteriores, ambos métodos tienen características y alcances diferentes. El siguiente cuadro muestra las diferencias entre los distintos métodos disponibles para la copia de usuarios:

Para tener en cuenta

• La copia o dragging de perfiles de usuarios realizada desde Operations Navigator - Mis conexiones cubierta en la primer parte del presente tip no requiere del servidor de Management Central activo.
  
  
• La jornalización de eventos relacionada con la seguridad, si se encuentra activa, detecta la creación del nuevo perfil de usuario en el sistema destino.
  
  
• Es importante observar que la componente "Usuarios y grupos" de iSeries Navigator no será instalada si la instalación de Client Access Express se realiza seleccionando "Instalación típica". Pueden incorporarse componentes posteriormente utilizando "Instalación selectiva" dentro de la carpeta de Client Access Express.
  
  
• Client Access Express ofrece otras dos formas de instalación: completa (instalando todas las componentes de Operations Navigator) y personalizada (seleccionando las componentes necesarias).
  
  
• En el caso de haberse efectuado la instalación del componente "Usuarios y grupos" en un puesto, es posible inhibir su aparición para determinados usuarios utilizando las facilidades provistas por Administración de Aplicaciones.
  
  
• Para arrancar el servidor TCP/IP de Management Central, utilizar el mandato STRTCPSVR SERVER(*MGTC).
  
  
• Los "Grupos de sistemas" comprenden sistemas de puntos final que fueron agrupados bajo algún criterio, por ejemplo, versión de sistema operativo o aplicativos que tienen instalados.
  
  
  

Copyright Septiembre 2003 Teknoda S.A . Prohibida su reproducción total o parcial sin citar la fuente.

Dudas o comentarios: letter400@teknoda.com

La información contenida en esta cartilla ha sido recolectada en la tarea cotidiana por nuestros especialistas a partir de fuentes consideradas confiables. No obstante, por la posibilidad de error humano, mecánico, cambios de versión u otro, Teknoda no garantiza la exactitud o completud de la información aquí volcada. AS/400 es marca registrada de IBM. Agradecemos el permiso de IBM para usar sus marcas en esta publicación. iseries400 es marca registrada de IBM. IBM no es el editor de esta publicación y no es por lo tanto responsable de su contenido.