Сквозная авторизация


Главная Форумы IBM i (OS/400) Сквозная авторизация

В этой теме 10 ответов, 4 участника, последнее обновление  Сергей 8 года/лет, 3 мес. назад.

  • Автор
    Сообщения
  • #4790

    Денис
    Участник

    Подскажите как настроить сквозную авторизацию между серверами с V5R4?

    Задача заключается в том, что при определенных задачах пользователей необходимо перебрасывать на другой сервак без ввода паса,а потом, при необходимости возвращать их обратно.

    Как лучше реализовать?

    Спасибо!

  • #4792

    Oldnick
    Участник

    что значит «перебрасывать»? работаешь, работаешь на одной машине в 5250, и вдруг оказываешься на другой. так?
    в иных случаях не вижу причин не использовать пароль при логине. 🙂

    не могли бы вы пояснить подробнее, что вы хотите сделать, приведите пример конкретный.

  • #4793

    Денис
    Участник

    oldnick1971 писал(а):

    что значит «перебрасывать»? работаешь, работаешь на одной машине в 5250, и вдруг оказываешься на другой. так?

    да… имеено так…

  • #4794

    Oldnick
    Участник

    ну для этого пользователь должен вести какую-то команду, чтобы его «перебросило» на другой сервер.

    стандартно две возможности. STRPASTHR и TELNET
    сейчас попрбовал TELNET (ввел имя и пароль в параметрах) и оказался на другом сервере уже в меню MAIN. попробуй так сделать. 🙂 Обратно вернуться можно нажав кнопку Attn и 99.
    По поводу неввода пароля. можно написать программу и команду, при запуске которых, будет запускаться

    TELNET RMTSYS(2server) RMTUSER(OLDNICK) RMTPWD(12345)

    эту строку зашить к программу и никто не будет знать пароль.
    при желании можно написать более умную программу, которая будет сама определять может ли этт пользователь быть перекинутым на другой сервер или нет и так далее.
    Однако боюсь, что таким способом нельзя быть перекинутым на того пользователя, который был ранее, так как невозможно знать текущие пароли пользователей. Можно перекидывать только на тех кользователей, пароли которых заранее известны. Все зависит от задачи.

    я предложил самое простое решение, которое пришло в голову. 🙂

  • #4800

    Денис
    Участник

    Задача заключается том, что переход между серверами должен быть под тем же юзером, который залогинился в систему…

  • #4801

    Oldnick
    Участник

    Если у сервера уровень защиты стоит 30 и более, ввод пароля обязателен. То есть, нельзя зайти, не вводя пароль для 5250 экрана. Нельзя также ввести пароль одновременно для текущего экрана и для экрана на другом сервере, на который нужно переключиться с текущего экрана.
    Иначе говоря, задача, которая первоначально стояла, мне кажется невыполнимой.
    На сколько я понял, задача не подразумевает «Single Sign On».

  • #4805

    Сергей
    Участник

    Почитайте про Exit point- QIBM_QTG_DEVINIT, там есть параметр ответа (если не путаю, он там 1), так вот,- напишите программульку и зарегистрируйте её в WRGREGINF для QIBM_QTG_DEVINIT. Программа параметром выставленым в 1 дает разрешение на логон.

    Лично я это использую для того, чтобы не вводить пароль в 5250 (достаточно 1-го сайнона и «взведенных» настроек «Baypass signon» & «Auto reconnect») — речь конечно о родном клиенте, Mocha и прочая от 3-их фирм с сайноном не дружат.

    К чему это я?
    Это «читерсво» работает не только на виндовом клиенте!

    [code]TELNET RMTSYS(AS400BKP) RMTUSER(*CURRENT)[/code]

    Только что перепроверил на 2-ух V5R2 с уровнем 30. Пароли на эккаунтах разные, пройдет ли с заблокированным юзером на втором хосте — не знаю. На 40-ом уровне пройти не должно, но сам не пробовал.

    А вообще-то задачка не хорошая, вредная задачка — нельзя так с юзерами «шутить», даже с сервисными программами лучше оставлять следы более заметные, чем в данном случае…

  • #4807

    Сергей
    Участник

    Забыл сказать — если интерес не в том, чтобы просто открыть телнет на другой сервер без ввода пароля, а в том, чтобы при авторизации на одном сервере открывать сессию реально на другом (непосрественно в exit program), то данную методу для этого я не пробовал… может быть и сработает. Из initial program, уж точно должно работать.

  • #4818

    Oldnick
    Участник

    в Моче вроде бы есть автоматический ввод имени и пароля (Bypass Signon)
    (в меню Параметры)
    только что проверил, работает.

  • #4820

    Sever
    Участник

    Sergo писал(а):

    задачка не хорошая, вредная задачка

    Абсолютно согласен с Sergo.

  • #4828

    Сергей
    Участник

    oldnick1971 писал(а):

    в Моче вроде бы есть автоматический ввод имени и пароля (Bypass Signon)
    (в меню Параметры)
    только что проверил, работает.

    Это наверное немного другое — автоматом подставляет имя и пароль в экранной форме (такое можно макросом реализовать и в родном 5250). Сам процесс сайнона в Mocha вообще не используется, вы ведь аутентификацию в нем только один раз проходите, непосредственно в 5250? Если я ничего не путаю — давно Mocha пользовал.

    QIBM_QTG_DEVINIT отрабатывает до сайнон-экрана и от него зависит — вызывать его вообще или нет.

    Вот что мне неизвестно (и экспериментировать лень) — взаимосвязь системной переменной QRMTSIGN и QIBM_QTG_DEVINIT. Да и не моё это 😉 — пусть «железный» админ «развлекается».

Для ответа в этой теме необходимо авторизоваться.