In diesem Kapitel werden die verschiedenen Aspekte des Natural Remote Procedure Call-Schutzes beschrieben. Folgende Themen werden behandelt:
Allgemeine Informationen zu Natural Remote Procedure Calls finden Sie in der Natural RPC-Dokumentation.
In einer Client/Server-Umgebung können Sie Natural Security einsetzen, um die Verwendung von Natural Remote Procedure Calls zu schützen. Sie können sowohl Natural RPC Server als auch die Art und Weise schützen, wie von Clients ausgehende Natural RPC Service Requests (Dienstanforderungen, Anfragen) behandelt werden.
Ein RPC Service Request ist die Anforderung eines Clients an einen Natural RPC Server, ein Natural-Subprogramm aufzurufen, das sich in einer Bibliothek auf dem Server befindet.
Wenn ein Remote CALLNAT ausgeführt wird und die Natural
RPC Logon Option auf dem Client gesetzt ist, werden die folgenden Daten zur
Validierung an den Natural RPC Server übergeben:
der Name des aufzurufenden Subprogramms;
die Kennung (ID) der Bibliothek auf dem Server, die das aufzurufende Subprogramm enthält;
die Natural RPC-Benutzerkennung (User ID) und das Passwort (d. h. die Natural-Benutzerkennung und das Passwort, die mit dem Natural RPC Service Request übermittelt wurden);
die EntireX-Benutzerkennung (User ID). Die Gültigkeitsprüfung hängt von der Anmeldeoption ab; siehe unten.
Siehe auch Natural RPC mit Natural Security verwenden in der Natural RPC-Dokumentation.
Wenn der Natural RPC Server durch Natural Security geschützt werden soll, sollten Sie die Einstellungen der folgenden Natural-Profilparameter überprüfen:
| Profilparameter | Erläuterung |
|---|---|
RPC |
Die Einstellungen für eine Natural-Sitzung, die als
Natural RPC Server gestartet wird, werden durch den Natural-Profilparameter
RPC bestimmt. Für einen Server, der durch Natural
Security geschützt werden soll, sind zwei Schlüsselwort-Subparameter des
Profilparameters RPC von besonderer Bedeutung:
SRVNAME und LOGONRQ.
Damit ein Server durch Natural Security geschützt wird und
nur Secured Requests akzeptiert werden, müssen Sie den
Schlüsselwort-Subparameter |
FSEC |
Mit dem Profilparameter FSEC
können Sie die FSEC-Systemdatei festlegen, die mit dem Natural RPC Server
verknüpft werden soll.
|
ETID |
Wenn Sie die Server-Sitzung starten und
mit dem Profilparameter ETID (Adabas-Benutzerkennung)
einen konkreten Wert angeben, wird bei allen Service Requests an den Server
dieselbe angegebene ETID verwendet.
Wenn Sie die Server-Sitzung mit dem Profilparameter
Wenn Sie die Server-Sitzung mit dem Profilparameter
Wenn Sie einen Server mit Replikaten starten, muss der
Parameter |
AUTO |
Der Profilparameter AUTO
(automatische Anmeldung) wird nur beim Start der Server-Sitzung ausgewertet.
Bei nachfolgenden Service Requests an den laufenden Server wird der
Profilparameter AUTO ignoriert.
Wenn Sie die Server-Sitzung mit |
Die Festlegung der Zugriffsrechte auf die angeforderte Bibliothek auf dem Server erfolgt generell durch die der Natural RPC Server-Sitzung zugewiesenen Natural Security-Benutzersicherheitsprofile und -Bibliothekssicherheitsprofile in der FSEC-Systemdatei.
Speziell für den Schutz von Natural RPC-Servern bietet Natural Security die folgenden Optionen:
Im Sicherheitsprofil einer Bibliothek können Sie verschiedene Optionen setzen, die beim Zugriff auf die Bibliothek mittels eines Natural RPC Service Request gelten. Diese Optionen sind unter Natural RPC-Einschränkungen im Kapitel Bibliotheken verwalten beschrieben.
Sie können Sicherheitsprofile für Natural RPC-Server definieren, wie unten im Abschnitt Sicherheitsprofile für Natural RPC-Server beschrieben.
Im Abschnitt Voreingestellte Werte für Bibliotheken - Library Preset Values im Kapitel Administrator Services können Sie verschiedene Natural RPC-Server-Sitzungsoptionen festlegen, die die Anmeldung bei Bibliotheken über Natural RPC Service Requests steuern.
Dieser Abschnitt behandelt die folgenden Themen:
Die folgenden Situationen werden von Natural Security unterstützt:
Nur Natural RPC Server, die durch Natural Security geschützt sind: Die Natural RPC- Benutzerkennung wird auf Gültigkeit geprüft.
Natural RPC Server, der durch Natural Security und EntireX Security geschützt ist: Die Natural RPC-Benutzerkennung und die EntireX-Benutzerkennung werden auf Gültigkeit geprüft.
Die Sicherheitsdaten werden vom Natural Client geliefert, wenn die Natural RPC Logon-Option gesetzt ist. In diesem Fall gilt das Folgende:
Die Natural RPC-Benutzerkennung und das Passwort, die für
den Natural RPC Service Request verwendet werden sollen, müssen über die
Natural-Anwendungsprogrammierschnittstelle USR1071N (enthalten in
der Bibliothek SYSEXT) angegeben werden. Um sicherzustellen, dass
diese Benutzerkennung und das Passwort bei Bedarf verfügbar sind, sollte die
Ausführung von USR1071N eine der ersten Aufgaben sein, die eine Anwendung auf
dem Client ausführt. Wenn USR1071N nicht ausgeführt wird und der
Client unter Natural Security läuft, werden stattdessen die Benutzerkennung und
das Passwort aus der Natural Security-Anmeldung auf dem Client verwendet.
Wenn die Option Impersonation im
Sicherheitsprofil des RPC Servers auf A gesetzt ist und der Server
mit ETID=OFF gestartet wurde, wird die Benutzerkennung auf dem
Client über die Natural-Anwendungsprogrammierschnittstelle
USR4371N (enthalten in der Bibliothek SYSEXT)
angegeben. Außerdem kann USR4371N dazu verwendet werden, die ETID
für den Service Request festzulegen.
Die EntireX-Benutzerkennung wird über die
Natural-Anwendungsprogrammierschnittstelle USR2071N
bereitgestellt.
Die Bibliothekskennung, die für den Service Request
verwendet werden soll, muss über die Natural-Anwendungsprogrammierschnittstelle
USR4008N (enthalten in der Bibliothek SYSEXT)
angegeben werden. Wird USR4008N nicht ausgeführt, wird stattdessen
die Kennung der Client-Bibliothek verwendet, in der das
CALLNAT-Statement ausgeführt wurde.
Anmerkung
Wenn die Natural RPC-Passwörter, die für einen Service
Request verwendet werden, Sonderzeichen enthalten können, müssen Sie
sicherstellen, dass die Natural-Zeichenumsetzungstabellen NTTABA1
und NTTABA2 auf dem Natural RPC Server entsprechend angepasst
wurden.
Die Remote Procedure Call-Dokumentation für den Client enthält Informationen, wie die erforderlichen Sicherheitsdaten mit einem RPC Service Request von einem Nicht-Natural-Client zu übermitteln sind an einen
Natural RPC Server, der durch Natural Security geschützt ist;
Natural RPC Server, der durch Natural Security und EntireX Security geschützt ist.
Für die Benutzerauthentifizierung auf dem Natural RPC Server sind zwei Modi möglich:
Gültigkeitsprüfung mit Impersonation,
Gültigkeitsprüfung ohne Impersonation.
Impersonation setzt voraus, dass der Zugriff auf das Betriebssystem, auf dem ein Natural RPC Server läuft, durch ein SAF-konformes externes Security-System kontrolliert wird. Die Benutzerauthentifizierung (Überprüfung der Natural RPC-Benutzerkennung und - optional - des Passworts) wird von diesem externen Security-System durchgeführt. Impersonation bedeutet, dass nach erfolgreicher Authentifizierung und Feststellung der Identität des Benutzers alle nachfolgenden Berechtigungsprüfungen auf der Grundlage dieser Identität durchgeführt werden. Dazu gehören auch Berechtigungsprüfungen für den Zugriff auf externe Ressourcen (z. B. Datenbanken oder Arbeitsdateien).
Impersonation ist nur möglich, wenn der Natural RPC Server unter z/OS im Batch-Modus oder unter CICS läuft. Impersonation kann verwendet werden, wenn ein SAF-konformes externes Security-System verwendet wird und die Benutzerauthentifizierung von diesem externen Security-System durchgeführt werden soll.
Impersonation wird durch die Einstellung Impersonation im Sicherheitsprofil des Natural RPC Servers aktiviert (siehe Bestandteile eines RPC-Serverprofils unten).
Wenn die Impersonation für den Natural RPC-Server nicht aktiv ist, wird Natural Security eine Anmeldung bei der angefragten Bibliothek durchführen, wobei die Natural RPC-Benutzerkennung verwendet wird. Die Anmeldung erfolgt gemäß den Natural Security-Anmelderegeln und den Sicherheitseinstellungen, die in der dem Server zugeordneten FSEC-Systemdatei definiert sind.
Eine Prüfung, die während der Anmeldung durchgeführt wird, basiert auf der Auswertung der Option Natural RPC Restrictions > Logon Option im Sicherheitsprofil der angeforderten Bibliothek. Diese Option legt fest, ob nur die Natural RPC-Benutzerkennung oder sowohl die Benutzerkennung als auch das Passwort durch das Natural Security-Anmeldeverfahren überprüft werden sollen:
Wenn die Logon Option auf
N oder E gesetzt ist, werden sowohl die
Benutzerkennung als auch das Passwort überprüft.
Wenn die Logon Option auf
A oder S gesetzt ist, wird nur die Benutzerkennung
(User ID) überprüft - unter der Annahme, dass das Passwort bereits überprüft
wurde (ähnlich wie beim Natural-Profilparameter AUTO=ON).
Wenn die Anmeldeoption auf E oder
S gesetzt ist, prüft Natural Security zusätzlich, ob die Natural
RPC-Benutzerkennung mit der EntireX-Benutzerkennung identisch ist. Sind beide
Kennungen nicht identisch, wird der Service Request abgelehnt.
Nach einer erfolgreichen Anmeldung wird das angeforderte Subprogramm ausgeführt.
Wenn die Verarbeitung des Service Request einen Zugriff auf eine externe Ressource (z.B. eine Datenbank oder eine Arbeitsdatei) beinhaltet, wird die externe Benutzerkennung, die zum Starten des Natural RPC Servers verwendet wurde, zur Überprüfung der Berechtigung für einen solchen Zugriff verwendet.
Impersonation (Impersionierung) kann verwendet werden, wenn die Benutzerauthentifizierung durch ein SAF-konformes externes Sicherheitssystem durchgeführt wird.
Wenn Impersonation für den Natural RPC Server aktiv ist, übergibt das Natural Server Frontend die Natural RPC-Benutzerkennung und das Passwort (oder nur die Benutzerkennung) zur Überprüfung an das externe Sicherheitssystem.
Nach erfolgreicher Benutzerauthentifizierung durch das externe Sicherheitssystem führt Natural Security eine Anmeldung bei der angeforderten Bibliothek durch. Für diese Anmeldung verwendet Natural Security die Natural RPC-Benutzerkennung, führt aber keine Passwortprüfung für diesen Benutzer durch. Die Anmeldung erfolgt gemäß den Natural Security-Anmelderegeln und den Sicherheitseinstellungen, die in der dem Server zugeordneten FSEC-Systemdatei definiert sind.
Eine Prüfung, die während der Anmeldung durchgeführt wird,
basiert auf der Auswertung der Natural RPC Restrictions >
Logon-Option im Sicherheitsprofil der angeforderten
Bibliothek: Wenn die Anmeldeoption auf E oder S
gesetzt ist, prüft Natural Security, ob die Natural RPC-Benutzerkennung mit der
EntireX-Benutzerkennung identisch ist. Wenn die beiden Kennungen nicht
identisch sind, wird der RPC Service Request abgelehnt.
Nach erfolgreicher Anmeldung wird das angeforderte Subprogramm ausgeführt.
Beinhaltet die Bearbeitung des Service Request einen Zugriff auf eine externe Ressource (z. B. eine Datenbank oder eine Arbeitsdatei), wird die Natural RPC-Benutzerkennung verwendet, um die Berechtigung für einen solchen Zugriff zu prüfen.
Wenn Sie einen Natural RPC Server verwenden, der Dienste bereitstellt, die von Subprogrammen ausgeführt werden, die in einer einzigen Bibliothek enthalten sind, können Sie die Option Logon Mode im Sicherheitsprofil des Natural RPC Servers verwenden, um die Performance zu verbessern. Dadurch wird die Anzahl der Datenbankzugriffe auf die Natural Security-Systemdatei FSEC reduziert.
Die Bibliothek auf dem Server wird zu Beginn der Server-Sitzung
festgelegt und bleibt bis zum Ende der Server-Sitzung unverändert. Service
Requests für eine andere Bibliothek werden zurückgewiesen. Ist die Bibliothek
ungeschützt (People protected = N), wird die
Berechtigung des Benutzers zum Zugriff auf die Bibliothek nicht geprüft. Ist
die Bibliothek geschützt (People protected =
Y), wird die Berechtigung des Benutzers zum Zugriff auf die
Bibliothek geprüft. Nach erfolgreicher Prüfung werden die Bedingungen des
Benutzers für die Benutzung der Bibliothek durch das
Bibliothekssicherheitsprofil festgelegt. Auch wenn eine spezielle Verlinkung
zwischen dem Benutzer und der Bibliothek besteht, werden die Einstellungen im
speziellen Link-Profil ignoriert.
Anmerkung
Wenn Logon Mode auf S gesetzt
wird, um die Performance zu verbessern, ist zu bedenken, dass auch andere
Einstellungen von Natural Security die Performance beeinflussen, insbesondere
die Option Logon recorded in Benutzer- und
Bibliothekssicherheitsprofilen. Darüber hinaus kann die Leistung der
ETID-getriggerten Behandlung von Datenbanktransaktionen nicht optimiert
werden.
Dieser Abschnitt fasst die Prüfungen zusammen, die von Natural Security abhängig von den Einstellungen in den Sicherheitsprofilen durchgeführt werden, wenn ein Service Request an einen Natural RPC Server gestellt wird. Die folgenden Schritte werden durchgeführt:
Die Benutzerauthentifizierung wird durchgeführt (siehe Abschnitt Gültigkeitsprüfung auf dem Server oben).
RPC Server Profile > die Option Logon Mode wird zu Beginn der Natural RPC Server-Sitzung ausgewertet (siehe Abschnitt Anmeldemodus - Logon Mode-Option oben).
Library Profile > General Options > die Option People-protected (Personengeschützt ) wird ausgewertet.
Library Profile > Natural RPC Restrictions > die Option Logon Option wird ausgewertet (siehe Abschnitt Gültigkeitsprüfung auf dem Server weiter oben): Je nach Einstellung wird geprüft, ob die Natural RPC-Benutzerkennung mit der EntireX-Benutzerkennung identisch ist.
RPC Server Profile > die Option Service Protection wird beim Start der Natural RPC Server-Sitzung ausgewertet.
Bei der Installation von Natural Security wird automatisch ein
Standard-Sicherheitsprofil (Default Security Profile) mit der Serverkennung
* erstellt. Dieses Profil gilt für alle Natural RPC Server, für
die keine individuellen Sicherheitsprofile definiert sind. Sie können die
Einstellungen in diesem Standardprofil an Ihre Anforderungen anpassen.
Anmerkung
Sollte in Ihrer FSEC-Systemdatei kein Standard-RPC-Serverprofil
* vorhanden sein (dies kann der Fall sein, weil die Datei bei der
Installation nicht vorhanden war), dann müssen Sie das Programm
NSCRPCAC in der Bibliothek SYSSEC ausführen. Dieses
Programm erstellt das Standard-Serverprofil.
Wenn Sie nicht für jeden einzelnen Server ein Sicherheitsprofil
definieren wollen, können Sie Stern-Notation für die Serverkennung verwenden:
Wenn Sie ein Serversicherheitsprofil erstellen und als Serverkennung eine
Zeichenkette gefolgt von einem Stern (*) wählen, gilt das Profil
für alle Server, deren Kennung mit dieser Zeichenkette beginnt. Für einen
einzelnen Server innerhalb eines solchen Bereichs können Sie dennoch ein
individuelles Sicherheitsprofil definieren.
Wenn Sie beispielsweise ein Serversicherheitsprofil mit der
Kennung A* definieren, gilt es für alle Server, deren Kennung mit
A beginnt (z.B. ARPC1, AA01,
ABC, ADE usw.). Ein Profil mit der Kennung
ABC* würde dann beispielsweise für ABCA,
ABCXYZ usw. gelten.
Im Folgenden werden die Bestandteile von Serversicherheitsprofilen und die Funktionen beschrieben, mit denen sie angelegt und verwaltet werden.
Bei einigen Natural Security-Funktionen wird der Code
RP verwendet, um den Objekttyp Natural RPC
Server zu repräsentieren.
Der folgende Bildschirmtyp ist der primäre Profilbildschirm, der angezeigt wird, wenn Sie eine der Funktionen Add, Copy, Modify oder Display für das Sicherheitsprofil eines Natural RPC Servers aufrufen:
11:55:00 *** NATURAL SECURITY *** 2021-12 31
- Modify NatRPC Server -
Modified .. 2021-12-31 by SAG
NatRPC Server ... RPCS01
Description ..... __________________________________
--------------- Options -------------
Impersonation ............ (N,Y,A): Y
Lock User ................ (N,X,*): X
ETID ................. (N,*,S,F,C): S
Logon Mode ................. (N,S): S
Domain separator .................: _
Service protection ......... (R,*): *
Additional Options ... N
Enter-PF1---PF2---PF3---PF4---PF5---PF6---PF7---PF8---PF9---PF10--PF11--PF12---
Help PrevM Exit AddOp Flip Canc
|
Die einzelnen Elemente, die Sie als Teil des Sicherheitsprofils eines Natural RPC Servers definieren können, werden im Folgenden erläutert.
| Feld | Erläuterung | |
|---|---|---|
| Impersonation | Impersonierung ist nur
relevant, wenn ein SAF-konformes externes Sicherheitssystem zur
Benutzerauthentifizierung verwendet wird.
Impersonierung ist oben unter Gültigkeitsprüfung einer RPC-Dienstanforderung (Service Request) beschrieben. Mit dieser Option wird die Impersonierung für den Server aktiviert: |
|
N
|
Impersonierung ist nicht aktiv. | |
Y
|
Impersonierung ist aktiv - mit Gültigkeitsprüfung der Benutzerkennung und des Passworts. | |
A |
Impersonierung ist aktiv - mit Gültigkeitsprüfung der Benutzerkennung, aber nicht des Passworts. | |
| Impersonierung ist nur möglich, wenn der Server unter z/OS im Batch-Modus oder unter CICS läuft. Ist dies nicht der Fall, wird die Einstellung dieser Option ignoriert. | ||
| Lock User | Benutzer sperren. Diese Option gilt nur für Bibliotheken, in deren Sicherheitsprofil die Option Lock User (im Abschnitt Natural RPC-Einschränkungen des Bibliothekssicherheitsprofils) auf "*" gesetzt ist. Für diese Bibliotheken steuert sie die Sperrung von Benutzern, wenn diese versuchen, über Natural RPC-Dienstanforderungen auf diese Bibliotheken auf dem Server zuzugreifen: | |
N |
Die Funktion Lock User ist nicht aktiv. | |
X |
Die Funktion Lock User ist für Zugriffsversuche auf Bibliotheken auf dem Server mittels Natural RPC Service Calls aktiv. Sobald ein Benutzer die maximale Anzahl von Anmeldeversuchen erreicht hat, ohne das korrekte Passwort einzugeben, wird er gesperrt, d.h. die Benutzerkennung wird "ungültig" gemacht. Natural Security merkt sich erfolglose Anmeldeversuche über mehrere Sitzungen hinweg: Die Fehlerzähler für die Client-Benutzerkennungen, die erfolglos ausprobiert wurden, werden für Zugriffsversuche in nachfolgenden Sitzungen gespeichert, so dass sich die Anzahl der nachfolgenden Versuche um diese Kennungen verringert. Der Fehlerzähler für eine Benutzerkennung wird erst nach einer erfolgreichen Anmeldung zurückgesetzt. | |
* |
Der Wert der Option Lock user in Voreingestellte Werte für Bibliotheken - Library Preset Values unter Administrator Services bestimmt, ob die Funktion Lock User für Zugriffsversuche auf Libraries über Natural RPC-Dienstanforderungen aktiv ist oder nicht. | |
| Weitere Informationen zur Funktion Lock User finden Sie auch unter der Option Lock User im Abschnitt General Options im Kapitel Administrator Services. | ||
| ETID | Diese Option gilt nur für Secured Service Requests, die von Natural Clients an den Natural RPC Server übergeben werden. Sie legt fest, welche ETIDs für diese Clients während der Server-Sitzung verwendet werden sollen: | |
N |
Die Standard-ETID, die im Benutzersicherheitsprofil des Natural Client definiert ist, bestimmt die zu verwendende ETID. | |
S |
Für jede Dienstanforderung, die auf den
Natural RPC Server unter der Kontrolle von Natural Security zugreift, wird eine
zeitstempelbezogene ETID generiert. Die ETID wird beim Zugriff auf den Server
generiert und bleibt so lange gültig, bis die Dienstanforderung verarbeitet
wurde. Anmeldungen beim Server werden aufgezeichnet.
Informationen zu zeitstempelbezogenen ETIDs finden Sie auch unter ETID im Abschnitt Voreingestellte Werte für Benutzer - User Preset Values im Kapitel Administrator Services. |
|
F |
Wie S, jedoch werden
Anmeldungen beim Natural RPC Server nicht aufgezeichnet.
|
|
C |
Die ETID wird vom Client geliefert,
wobei als ETID der von der Anwendungsprogrammierschnittstelle
USR1071N gelieferte Passwortwert verwendet wird (siehe auch
Vom Client zu liefernde
Sicherheitsdaten).
|
|
* |
Die Einstellung der Option ETID im Abschnitt Voreingestellte Werte für Benutzer - User Preset Values, die für das Sicherheitsprofil des Benutzers gilt, bestimmt die zu verwendende ETID. | |
Wenn diese Option auf
einen anderen Wert als N gesetzt ist, wird empfohlen, die RPC
Server-Sitzung mit dem Natural-Profilparameter ETID=OFF zu
starten. Bei Public Service Requests hat diese Option keine Auswirkung. Bei
diesen wird die ETID des Natural RPC Servers verwendet, die beim Start der
Server-Sitzung festgelegt wurde.
|
||
| Logon Mode | Anmeldemodus. Diese Option kann verwendet werden, wenn nur auf eine Bibliothek auf dem Natural RPC Server zugegriffen wird: | |
N |
Es gilt kein spezieller Anmeldemodus. | |
S |
Es gilt der statische Modus: Die Bibliothek auf dem Natural RPC Server wird zu Beginn der Server-Sitzung festgelegt. Sie bleibt bis zum Ende der Server-Sitzung unverändert. Der Server verarbeitet Service Requests nur für diese eine Bibliothek. Jeder Service Request mit einer anderen Bibliothekskennung wird zurückgewiesen. Wenn diese Option gesetzt ist, werden die Nutzungsbedingungen der Bibliothek durch das Bibliothekssicherheitsprofil bestimmt. Selbst wenn ein spezieller Link zwischen dem Benutzer und der Bibliothek besteht, wird das Profil des speziellen Links ignoriert. | |
| Wenn der Natural RPC
Server Dienste anbietet, die von Subprogrammen ausgeführt werden, die in einer
einzigen Bibliothek enthalten sind, können Sie diese Option verwenden, um die
Performance zu verbessern.
Siehe auch Gültigkeitsprüfung einer RPC-Dienstanforderung (Service Request) oben. |
||
| Domain Separator | Dieses Feld ist nur
relevant, wenn
Um sicherzustellen, dass diese Prüfung korrekt durchgeführt wird, müssen Sie das Domänenzeichen in diesem Feld angeben: Die Prüfung wird dann auf die ersten 8 Zeichen nach dem Domänen-Trennzeichen angewendet. |
|
| Service Protection | Mit dieser Option kann der Zugriff auf den Natural RPC Server eingeschränkt werden: | |
* |
Der Zugriff ist nicht eingeschränkt: Alle Benutzer können auf den Server zugreifen. | |
R |
Der Zugriff ist eingeschränkt: Nur
Benutzer, die mit dem Serverprofil verlinkt sind, dürfen auf den Server
zugreifen. Außerdem können Sie den Zugriff auf den Server auf bestimmte Dienste
(Subprogramme) beschränken.
Weitere Informationen finden Sie unter Dienste
erlauben/nicht erlauben. Bevor Sie dieses Feld von "R" auf |
|
Bevor Sie dieses Feld von
R auf * zurücksetzen können, müssen Sie die Liste der
erlaubten Dienste löschen, die Sie eventuell über
Allowing/Disallowing
Services festgelegt haben.
|
||
Wenn Sie entweder das Feld Additional Options
mit Y markieren oder PF4 drücken, wird ein Fenster
angezeigt, in dem Sie die folgenden Optionen auswählen können:
Maintenance Information - Verwaltungsinformationen
Security Notes - Sicherheitsvermerke
Owners - Eigentümer
Optionen, bei denen bereits etwas angegeben oder definiert wurde, sind mit einem Pluszeichen (+) gekennzeichnet.
Sie können ein oder mehrere Elemente aus dem Fenster auswählen, indem Sie sie mit einem beliebigen Zeichen markieren. Für jedes ausgewählte Element wird ein weiteres Fenster angezeigt:
| Zusätzliche Option | Erläuterung |
|---|---|
| Maintenance
Information (nur Anzeige) |
Verwaltungsinformationen. In diesem Fenster werden die
folgenden Informationen angezeigt:
|
| Security Notes | Sicherheitsvermerke. Hier können Sie Anmerkungen zum Sicherheitsprofil eingeben. |
| Owners | Eigentümer. In diesem Fenster können Sie bis zu acht
Kennungen von Administratoren eingeben. Nur die hier angegebenen
Administratoren sind berechtigt, dieses Serversicherheitsprofil zu verwalten.
Wird kein Eigentümer angegeben, kann jeder Benutzer des Typs Administrator das Sicherheitsprofil verwalten. Zu jedem Eigentümer kann optional im Feld nach der Kennung die Anzahl der Miteigentümer angegeben werden, deren Gegenzeichnung für die Verwaltungsberechtigung erforderlich ist. Informationen zu Eigentümern und Miteigentümern finden Sie im Kapitel Gegenzeichnungen. |
Dieser Abschnitt beschreibt die Funktionen zum Anlegen und Verwalten von Sicherheitsprofilen für Natural RPC Server. Folgende Themen werden behandelt:
Um die Verwaltung von Natural RPC-Servern aufzurufen:
Wählen Sie im Hauptmenü (Main Menu) die Option Maintenance.
Es wird ein Fenster angezeigt.
Markieren Sie im Fenster den Objekttyp Natural RPC Server mit einem Zeichen oder mit dem Cursor.
Die Auswahlliste Natural RPC Server Maintenance wird angezeigt.
In dieser Auswahlliste können Sie alle Funktionen der Natural RPC Server-Verwaltung wie unten beschrieben aufrufen.
Um einen Natural RPC-Server in Natural Security zu definieren, müssen Sie ein Sicherheitsprofil für ihn anlegen.
Dazu:
Geben Sie in der Kommandozeile der Auswahlliste
Natural RPC Server Maintenance das Kommando
ADD ein.
Es wird ein Fenster angezeigt, in dem Sie eine Kennung (ID) für den Server eingeben müssen.
Diese Kennung entspricht dem Servernamen, wie er mit dem Natural-Profilparameter RPC angegeben wurde (siehe RPC-Server-Einstellungen in Natural oben), und muss den Namenskonventionen für Natural RPC Server entsprechen. Die Serverkennung kann auch mit Stern-Notation angegeben werden, siehe oben unter Sicherheitsprofile für Natural RPC-Server.
Nachdem Sie eine gültige Kennung eingegeben haben, wird der Bildschirm Add Natural RPC Server angezeigt.
Die Bestandteile, die Sie auf diesem Bildschirm definieren können, sowie alle zusätzlichen Fenster, die Teil eines Serversicherheitsprofils sein können, werden unter Bestandteile eines RPC-Serverprofils beschrieben.
Wenn Sie ein neues Serverprofil hinzufügen, werden die in Ihrem eigenen Benutzersicherheitsprofil angegebenen Eigentümer automatisch in das Serversicherheitsprofil kopiert.
Wenn Sie die Option Natural RPC Server Maintenance aufrufen, wird eine Liste aller Natural RPC-Serverprofile angezeigt, die in Natural Security definiert wurden.
Wenn Sie nicht alle vorhandenen Profile, sondern nur bestimmte Server auflisten möchten, können Sie die Option Start Value (Startwert) verwenden, siehe Kapitel Grundlagen der Benutzung.
Wählen Sie im Hauptmenü (Main Menu) die Option Maintenance. Es wird ein Fenster angezeigt.
Markieren Sie in dem Fenster den Objekttyp Natural RPC Server mit einem Zeichen oder mit dem Cursor (und geben Sie, falls gewünscht, einen Startwert ein). Die Auswahlliste Natural RPC Server Maintenance wird angezeigt:
14:34:42 *** NATURAL SECURITY *** 2021-12-31
- NatRPC Server Maintenance - FSEC (47,11)
Co NatRPC Server Description P Message
__ ________________________________ _____________________ _ ___________________
__ A_NATRPC_SERVER_PAYROLL Department Duckville R
__ ADE_RPC Arch. Department Ge.. R
__ BEST_SERVER Third party logistics R
__ DOBANCO_SRV1 Credit transfer Ban.. R
__ EMPLOYEES_SRV1 Headquarter Server P1 *
__ ESSENHEIM_SRV1 Location Essenheim R
__ NATURAL_RPC_SERVER_NAME_32_BYTES Test SRVNAME *
__ RPC_TIME 8 * 7 Support R
__ RPC_TIME_LONG_LIFE 24 * 7 Support *
__ RPC_TIME_LONG_LIFE_B 24 * 7 Support Backup *
__ TEST_SRV0 QA env. 1 *
__ TEST_SRV1 QA env. 2 R
__ TEST_SRV2 QA env. 3 *
__ UHE_SRV Developer Test env. *
__ WWESRV *
Command ===>
Enter-PF1---PF2---PF3---PF4---PF5---PF6---PF7---PF8---PF9---PF10--PF11--PF12---
Help Exit Flip - + Canc
|
Bei jedem Server wird die Serverkennung angezeigt.
In der Liste kann geblättert werden, siehe Grundlagen der Benutzung.
Für Natural RPC Serverprofile stehen die folgenden Verwaltungsfunktionen zur Verfügung (mögliche Code-Abkürzungen sind unterstrichen):
| Code | Funktion |
|---|---|
CO |
Copy: Serverprofil kopieren |
MO |
Modify: Serverprofil ändern |
RE |
Rename: Serverprofil umbenennen |
DE |
Delete: Serverprofil löschen |
DI |
Display: Serverprofil anzeigen |
LU |
Link Users: Benutzer mit Serverprofil verlinken |
Um eine Funktion für ein Serverprofil aufzurufen, müssen Sie den Server in der Spalte Co mit dem entsprechenden Funktionscode markieren.
Sie können verschiedene Serverprofile für verschiedene Funktionen gleichzeitig auswählen, d.h. Sie können mehrere Server auf dem Bildschirm mit einem Funktionscode markieren. Für jeden markierten Server wird dann der entsprechende Bearbeitungsbildschirm angezeigt. Sie können dann die ausgewählten Funktionen für ein Serverprofil eine nach der anderen ausführen.
Mit der Funktion Copy Server Profile können Sie einen neuen Natural RPC Server in Natural Security definieren, indem Sie ein Sicherheitsprofil erstellen, das mit einem bereits vorhandenen Natural RPC Serversicherheitsprofil identisch ist.
Alle Bestandteile des bestehenden Sicherheitsprofils werden in das neue Sicherheitsprofil kopiert - mit Ausnahme der Eigentümer (diese werden aus Ihrem eigenen Benutzersicherheitsprofil in das neue Serversicherheitsprofil kopiert).
Links von Benutzern zum bestehenden Server werden nicht kopiert.
Um ein Serverprofil zu kopieren:
Markieren Sie in der Auswahlliste Natural RPC
Server Maintenance den Server, dessen Sicherheitsprofil Sie
duplizieren möchten, mit dem Funktionscode CO.
Es wird ein Fenster angezeigt, in dem Sie die Kennung (ID) des neuen Servers eingeben müssen.
Die Kennung entspricht dem Servernamen, wie er mit dem
Natural-Profilparameter RPC angegeben wurde (siehe
RPC-Server-Einstellungen in
Natural oben), und muss den Namenskonventionen für Natural
RPC Server entsprechen. Die Serverkennung kann auch mit Stern-Notation
angegeben werden, siehe Sicherheitsprofile für Natural
RPC-Server.
Nachdem Sie eine gültige Kennung eingegeben haben, wird das neue Sicherheitsprofil angezeigt.
Seine Bestandteile, die Sie definieren oder ändern können, sind unter Bestandteile eines RPC-Serverprofils beschrieben.
Mit der Funktion Modify Server Profile können Sie ein bestehendes Sicherheitsprofil eines Natural RPC Servers ändern.
Dazu:
Markieren Sie in der Auswahlliste Natural RPC
Server Maintenance den Server, dessen Sicherheitsprofil Sie ändern
möchten, mit dem Funktionscode MO.
Das Sicherheitsprofil des ausgewählten Servers wird angezeigt.
Seine Bestandteile, die Sie definieren oder ändern können, sind unter Bestandteile eines RPC-Serverprofils beschrieben.
Mit der Funktion Rename Server Profile können Sie die Serverkennung (ID) eines bestehenden Natural RPC Serversicherheitsprofils ändern.
Dazu:
Markieren Sie in der Auswahlliste Natural RPC
Server Maintenance den Server, dessen Kennung Sie ändern möchten,
mit dem Funktionscode RE.
Es wird ein Fenster angezeigt, in dem Sie eine neue Kennung für das Serverprofil eingeben können.
Die Kennung entspricht dem Servernamen, wie er mit dem
Natural-Profilparameter RPC angegeben wurde (siehe
RPC Server-Einstellungen in
Natural oben), und muss den Namenskonventionen für Natural
RPC Server entsprechen. Die Serverkennung kann auch mit Stern-Notation
angegeben werden, siehe oben unter Sicherheitsprofile für Natural
RPC-Server.
Mit der Funktion Delete Server Profile können Sie ein bestehendes Natural RPC-Serversicherheitsprofil löschen.
Dazu:
Markieren Sie in der Auswahlliste Natural RPC
Server Maintenance den Server, dessen Profil Sie löschen möchten,
mit dem Funktionscode DE.
Das Fenster Delete Server Profile wird angezeigt.
Wenn Sie sich gegen das Löschen des Serversicherheitsprofils entscheiden, können Sie das Fenster verlassen, indem Sie ENTER drücken, ohne etwas eingegeben zu haben.
Um das Serversicherheitsprofil zu löschen, müssen Sie die Serverkennung in das Fenster eingeben, um die Löschung zu bestätigen.
Wenn Sie mehr als ein Serverprofil mit DE markieren,
wird ein Fenster angezeigt, in dem Sie gefragt werden, ob Sie die Löschung
jedes einzelnen Serversicherheitsprofils mit der Eingabe der Serverkennung
bestätigen wollen, oder ob alle zum Löschen ausgewählten Serverprofile ohne
diese Einzelbestätigung gelöscht werden sollen. Achten Sie darauf, dass Sie
nicht versehentlich ein Serverprofil löschen.
Mit der Funktion Display Server Profile können Sie ein bestehendes Natural RPC Serversicherheitsprofil anzeigen.
Dazu:
Markieren Sie in der Auswahlliste Natural RPC
Server Maintenance den Server, dessen Sicherheitsprofil Sie anzeigen
möchten, mit dem Funktionscode DI.
Das Sicherheitsprofil des ausgewählten Servers wird angezeigt.
Seine Bestandteile sind unter Bestandteile eines RPC-Serverprofils beschrieben.
Wenn der Zugriff auf einen Natural RPC Server durch die Option Service Protection im Serverprofil eingeschränkt ist (siehe Bestandteile eines RPC-Serverprofils), können Sie mit den unten beschriebenen Funktionen Benutzern den Zugriff auf Dienste (Subprogramme) auf dem Server erlauben/nicht erlauben.
Sie können:
Um einen Dienst zu erlauben/nicht zu erlauben:
Markieren Sie in der Auswahlliste Natural RPC
Server Maintenance den gewünschten Server mit dem Funktionscode
LU. Dies ist nur für Server möglich, in deren Sicherheitsprofil
die Option Service Protection auf R gesetzt
ist (erkennbar an der Spalte P in der Auswahlliste).
Es erscheint ein Fenster, in dem Sie angeben können, ob die
Liste der anzuzeigenden Benutzer alle Benutzer (U), nur verlinkte
Benutzer (L) oder nur nicht-verlinkte Benutzer (N)
enthalten soll.
Anschließend wird die Liste der Benutzer angezeigt.
Oder:
Markieren Sie in der Auswahlliste User
Maintenance den gewünschten Benutzer (Benutzertyp A,
P oder G) mit dem Funktionscode LR.
Es wird eine Liste aller Server angezeigt, bei denen die
Option Service Protection auf R gesetzt
ist.
In den Listen kann geblättert werden, siehe Kapitel Grundlagen der Benutzung.
Markieren Sie in der Spalte Co jeden Benutzer bzw. Server mit einem der folgenden Funktionscodes:
| Code | Funktion |
|---|---|
*A
|
Allow Access
Zugriff erlauben. Der Benutzer darf auf den Server zugreifen. Der Zugriff ist nicht auf bestimmte Subprogramme beschränkt (abgesehen von nicht erlaubten Modulen; siehe unten). |
RA
|
Restrict Access
Zugriff einschränken. Der Benutzer kann nur über explizit erlaubte Dienste (Subprogramme) auf den Server zugreifen. Die Verwendung bestimmter Subprogramme in einer Bibliothek kann generell über den Abschnitt Disallow/Allow Modules eines Bibliotheks- oder Special-Link-Profils eingeschränkt werden. Diese Einschränkungen gelten innerhalb und außerhalb eines RPC Server-Kontextes. Das heißt, wenn ein Subprogramm in der Bibliothek oder im speziellen Linkprofil nicht erlaubt ist, kann es auch nicht in einem RPC Server-Kontext erlaubt werden. Sie können jedoch den Zugriff auf Subprogramme in einem
RPC Server-Kontext weiter einschränken. Der Zugriff auf den Server ist dann nur
über die explizit erlaubten Subprogramme möglich: Wenn Sie einen Benutzer mit
dem Funktionscode Wenn bereits erlaubte Subprogramme vorhanden sind, wird eine Liste mit diesen Subprogrammen angezeigt:
|
DA
|
Disallow Access
Der Benutzer kann nicht auf den Server zugreifen. |
Um einen Dienst zu erlauben/nicht zu erlauben:
Markieren Sie in der Auswahlliste Library
Maintenance die gewünschte Bibliothek mit dem Funktionscode
RA.
Es wird ein Fenster angezeigt, in dem Sie Folgendes angeben können:
U, um eine Liste aller Benutzer
(Benutzertypen A, P und G) zu erhalten,
die die Bibliothek benutzen dürfen (wenn die Bibliothek personengeschützt ist
(People protected = Y), enthält die Liste nur
Benutzer, die mit ihr verlinkt sind); oder
R, um eine Liste aller RPC Server zu
erhalten, in deren Sicherheitsprofil die Option Service
Protection auf R gesetzt ist.
In den Listen kann geblättert werden, siehe Kapitel Grundlagen der Benutzung.
Wenn Sie U gewählt haben, gehen Sie wie folgt
vor:
Markieren Sie in der Liste der Benutzer einen Benutzer mit
RA.
Es wird eine Liste aller Server angezeigt, in deren
Sicherheitsprofil die Option Service Protection auf
R gesetzt ist.
Markieren Sie einen Server mit dem Funktionscode
RA.
Eine Liste aller Dienste (Subprogramme) in der Bibliothek, auf die der Benutzer zugreifen darf, wird angezeigt.
Um weitere Dienste zu erlauben, müssen Sie PF5 drücken. Es wird ein Fenster angezeigt, in dem Sie das gewünschte Subprogramm angeben können.
Um einen Dienst nicht zu erlauben, müssen Sie ihn in der
Liste mit DE markieren.
Wenn Sie R gewählt haben, gehen Sie wie folgt
vor:
Markieren Sie in der Liste der Benutzer einen Benutzer mit
RA.
Es wird eine Liste aller Benutzer (Benutzertypen
A, P und G) und der Dienste
(Subprogramme) in der Bibliothek angezeigt, auf die sie zugreifen dürfen.
Um weitere Dienste zu erlauben, müssen Sie
PF5 drücken. Es erscheint ein Fenster, in dem Sie die gewünschte
Benutzerkennung(ID) und das Subprogramm angeben müssen (für eine Auswahlliste
mit Benutzerkennungen können Sie einen Stern (*) eingeben).
Um einen Dienst nicht zu erlauben, müssen Sie ihn in der
Liste mit DE markieren.
Der Natural Security User Exit LOGONEX4 wird vom
Natural Security RPC-Logon-Programm nach einer erfolgreichen Anmeldung eines
Natural RPC Clients bei einem Natural RPC Server aufgerufen. Weitere
Informationen siehe RPC-relevanter User
Exit im Kapitel User Exits.
Mit dem Natural User Exit USR2074N, der in der Bibliothek
SYSEXT enthalten ist, können Sie das Benutzerpasswort über einen
Natural RPC Service Request (Dienstanforderung) ändern.
