Discussion :

[arno06]

Bonjour à tous,

Je viens de créer des dizaines de user sur l'AS400 de mon entreprise afin que ces derniers puissent se connecter avec leur propre identifiant et non plus avec des users administrateurs.

Afin de renforcer au maximum les procédures de sécurité en interne, chaque profil a d'office été mis en *DISABLED et est activé à la demande en *ENABLED en même temps que l'activation d'une ligne qui permets à ces intervenants externes d'accéder à notre machine (ceci entre autre afin qu'une tierce personne ne profite pas de l'activation de la ligne du 1er demandeur sans que nous sachions le motif de connexion).

Afin de simplifier cette gestion de la sécurité, je voudrais savoir s'il est possible de créer un petit programme simple qui basculerait automatiquement le profil du demandeur en *DISABLED immédiatement après sa connexion ?

La mise en *ENABLED serait encore faites manuellement (à moins que l'on aussi automatiser) et ce programme le passerait le profil en *DISABLED immédiatement après connexion ?

Pouvez-vous m'aider à écrire ce programme svp ?

Si vous avez des améliorations à ce niveau je suis également preneur...

Merci à tous pour votre aide.

Cordialement

[rcordonnier]

Bonjour,

ci dessous un exemple de programme

[001.00 PGM PARM(&PR &VER)
002.00 DCL VAR(&PR) TYPE(*CHAR) LEN(10)
003.00 DCL VAR(&VER) TYPE(*CHAR) LEN(9)
004.00 DCLF FILE(BEXPDTASYS/SELECTUSR)
005.00
006.00 DEB:
007.00 RCVF
008.00 MONMSG MSGID(CPF0864) EXEC(GOTO CMDLBL(FIN))
009.00 IF COND(&UPUPRF *EQ 'SECURITE') THEN(DO)
010.00 GOTO CMDLBL(DEB)
011.00 ENDDO
012.00
013.00 IF COND(&UPUPRF *EQ 'EXPLOIT') THEN(DO)
014.00 GOTO CMDLBL(DEB)
015.00 ENDDO
016.00
017.00 CHGUSRPRF USRPRF(&UPUPRF) STATUS(&VER)
018.00 MONMSG MSGID(CPF0000)
019.00
020.00 GOTO CMDLBL(DEB)
021.00 FIN:
022.00 ENDPGM
*************** Fin des données }

ce petit programme avec paramètres peut être une solution mais cela ne peut pas etre forcement ce que tu souhaite tiens nous au courant.

bien cordialeemnt

[matt_]

Bonjour tout le monde,

Je suis tombé par hasard sur ce sujet, et c'est exactement ce que je souhaite faire sur l'as400 de la société dans laquelle je bosse.

On voudrait aussi faire comme arno06, à savoir que certains profils utilisateurs passent automatiquement en *DISABLED après la connexion sur la machine.

Par contre, comme je suis novice, je comprend pas trop le programme écris. Si rcordonnier me lis ou quelqu'un d'autre, désactive-t-il en auto les profils ? Pourrait-on me l'expliquer svp ?

Ne pourrait-on pas créer un job dans le scheduler par exemple qui ferait aussi le même travail, mais qui du coup qui ne se ferait pas instantanément mais chaque jour à une heure définie ?

Je suis preneur pour les deux solutions, la plus facile à mettre en œuvre, même si je préférerais la désactivation immédiate...

Ca me serait vraiment utile si je pouvais avoir votre aide

Merci par avance à tous !

[m4k-Hurrican]

Bonjour,

Ce programme change juste le statut d'un utilisateur en fonction d'un paramètre fixé dans un fichier.
Mais bref, je suppose qu'il est lancé de manière régulière, et que le profil est désactivé quand il n'est pas utilisé. Sauf que si le programme passe avant que l'utilisateur ait pu ouvrir sa session, il se retrouve désactivé automatiquement.

Franchement, cette manière de faire (activer/désactiver les profils) est un peu étrange. J'aime mieux en général bloquer l'accès au réseau, plutôt qu'au serveur (via une liste XAUth sur mon routeur).
Mais bon, la seule solution que je vois pour le moment, serait de passer un programme qui vérifie le statut de la ligne concernée et tombe le profil une fois qu'elle est désactivée. Reste qu'on a toujours ce problème de timing. Il faut donc que l'utilisateur soit passé à ENABLED après que la ligne ait été activée. Peut être y a t'il moyen d'intercepter le changement de statut de la ligne, et de lui greffer un programme d'exit, mais je ne le connais pas.

[FORMULARY]

On peut peut-être modifier le programme initial de ces profils pour appeler un CLP qui modifierait le profil en *disabled puis appellerait le programme normal.
Mais le hic, c'est qu'il faut le droit *SECADM pour exécuter la commande CHGUSRPRF. Donc compiler le programme en *OWNER et chgpgm avec useadpaut(*no) pour tous les programmes qu'ils pourraient appeler. Pas génial !

Ou alors utiliser STRWCH pour intercepter le message CPF1124 (travail démarré). A voir !