38 - AS400 (el dinosaurio sigue vivo!) - Perfiles de usuario - 27/05/2006
Autor: Lic. María Solange D'Antuono
http://www.segu-info.com.ar
En nuestra entrega anterior hicimos un repaso general
sobre las características
principales del i5, objetos, bibliotecas, archivos, programas y subsistemas.
En nuestra entrega anterior hicimos un repaso general sobre las características
principales del i5, objetos, bibliotecas, archivos, programas y subsistemas.
Continuando con nuestra aproximación a Seguridad en iSeries, hoy toca el turno a
la definición de usuarios.
Existen 3 tipos de seguridad a establecer para el iSeries:
- Seguridad física: protección del
sistema, dispositivos, salidas, y medios donde la información es resguardada.
- Seguridad de acceso: se define quien tendrá acceso al
sistema y que podrá hacer una vez que accedió.
- Seguridad de los recursos: se establece seguridad a nivel
de objetos.
Para analizar la Seguridad de acceso, establecemos "perfil de usuario": es un objeto
que contiene información acerca de un usuario.
El perfil del usuario contiene:
- Información del usuario
- Nombre
- Contraseña
- Autorizaciones especiales
- Clase de usuario; Dependiendo de la clase de usuario, se podrán definir diferentes
tipos de autorizaciones especiales. Un usuario final debería ser clase *USER y no
poseer autorizaciones especiales.
- Nivel de caducidad de contraseña
- Menú o programa de inicio
- Otros
- Objetos de su propiedad
- Autorizaciones sobre objetos
Autorizaciones especiales: existen varios niveles de autorizaciones especiales, entre las
que vamos a destacar:
- ALLOBJ: el usuario tiene acceso a todos los objetos.
- JOBCTL: el usuario puede detener, ver, retener, liberar,
cancelar y limpiar cualquier trabajo que se esté ejecutando en el sistema.
También puede iniciar o detener dispositivos o subsistemas.
- SECADM: funciones de creación de perfiles.
Listas y grupos
Las autorizaciones se pueden brindar a través de listas de autorizaciones, o a
partir de perfiles de grupo.
Lista de autorización: Contiene una lista de perfiles de usuario con
diferentes autorizaciones a objetos.
Grupos: es un tipo especial de perfil de usuarios, que luego será asignado a cada
usuario como parte de él. Un usuario puede tener hasta 16 grupos asignados.
Definiciones generales de seguridad en usuarios
A la hora de definir perfiles de usuario, se debe tener en cuenta:
- Los perfiles de grupo no deben tener contraseña (o sea, no logueables). Los
usuarios deben acceder al sistema a través de su perfil y no con el de grupo.
- Las autorizaciones especiales se deben definir a nivel usuario y no a nivel grupo. Definirlo
a nivel de grupo implicaría la herencia a todos los usuarios pertenecientes a dicho grupo,
de autorizaciones que posiblemente sólo necesite uno de los integrantes.
- Los perfiles con autorizaciones especiales potentes (*ALLOBJ, *SERVICE, *SECADM o *SPLCTL)
no deben ser utilizados como perfiles de grupo.
- No se deben utilizar perfiles de usuario Q* (definidos por IBM) como perfil de grupo o
como perfil de usuario común, ya que IBM cambia con cierta periodicidad el acceso de
los perfiles IBM de usuario en las distintas releases.
- Los usuarios deben tener definido el período de caducidad de la contraseña
- El permiso *PUBLIC de los perfiles de usuario debe ser *EXCLUDE.
Buenos Aires, 27 de mayo de 2006