Artículos publicados por Segu-Info

38 - AS400 (el dinosaurio sigue vivo!) - Perfiles de usuario - 27/05/2006


Autor: Lic. María Solange D'Antuono

http://www.segu-info.com.ar

En nuestra entrega anterior hicimos un repaso general sobre las características principales del i5, objetos, bibliotecas, archivos, programas y subsistemas.

En nuestra entrega anterior hicimos un repaso general sobre las características principales del i5, objetos, bibliotecas, archivos, programas y subsistemas.

Continuando con nuestra aproximación a Seguridad en iSeries, hoy toca el turno a la definición de usuarios.

Existen 3 tipos de seguridad a establecer para el iSeries:

  • Seguridad física: protección del sistema, dispositivos, salidas, y medios donde la información es resguardada.
  • Seguridad de acceso: se define quien tendrá acceso al sistema y que podrá hacer una vez que accedió.
  • Seguridad de los recursos: se establece seguridad a nivel de objetos.

Para analizar la Seguridad de acceso, establecemos "perfil de usuario": es un objeto que contiene información acerca de un usuario.

El perfil del usuario contiene:

  1. Información del usuario
    • Nombre
    • Contraseña
    • Autorizaciones especiales
    • Clase de usuario; Dependiendo de la clase de usuario, se podrán definir diferentes tipos de autorizaciones especiales. Un usuario final debería ser clase *USER y no poseer autorizaciones especiales.
    • Nivel de caducidad de contraseña
    • Menú o programa de inicio
    • Otros
  2. Objetos de su propiedad
  3. Autorizaciones sobre objetos

    Autorizaciones especiales: existen varios niveles de autorizaciones especiales, entre las que vamos a destacar:

    • ALLOBJ: el usuario tiene acceso a todos los objetos.
    • JOBCTL: el usuario puede detener, ver, retener, liberar, cancelar y limpiar cualquier trabajo que se esté ejecutando en el sistema. También puede iniciar o detener dispositivos o subsistemas.
    • SECADM: funciones de creación de perfiles.

Listas y grupos

Las autorizaciones se pueden brindar a través de listas de autorizaciones, o a partir de perfiles de grupo.

Lista de autorización: Contiene una lista de perfiles de usuario con diferentes autorizaciones a objetos.

Grupos: es un tipo especial de perfil de usuarios, que luego será asignado a cada usuario como parte de él. Un usuario puede tener hasta 16 grupos asignados.

Definiciones generales de seguridad en usuarios

A la hora de definir perfiles de usuario, se debe tener en cuenta:

  1. Los perfiles de grupo no deben tener contraseña (o sea, no logueables). Los usuarios deben acceder al sistema a través de su perfil y no con el de grupo.
  2. Las autorizaciones especiales se deben definir a nivel usuario y no a nivel grupo. Definirlo a nivel de grupo implicaría la herencia a todos los usuarios pertenecientes a dicho grupo, de autorizaciones que posiblemente sólo necesite uno de los integrantes.
  3. Los perfiles con autorizaciones especiales potentes (*ALLOBJ, *SERVICE, *SECADM o *SPLCTL) no deben ser utilizados como perfiles de grupo.
  4. No se deben utilizar perfiles de usuario Q* (definidos por IBM) como perfil de grupo o como perfil de usuario común, ya que IBM cambia con cierta periodicidad el acceso de los perfiles IBM de usuario en las distintas releases.
  5. Los usuarios deben tener definido el período de caducidad de la contraseña
  6. El permiso *PUBLIC de los perfiles de usuario debe ser *EXCLUDE.

Buenos Aires, 27 de mayo de 2006

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto