Сквозная авторизация

Главная Форумы IBM i (OS/400) Сквозная авторизация

Просмотр 10 веток ответов
  • Автор
    Сообщения
    • #4790
      Денис
      Участник

      Подскажите как настроить сквозную авторизацию между серверами с V5R4?

      Задача заключается в том, что при определенных задачах пользователей необходимо перебрасывать на другой сервак без ввода паса,а потом, при необходимости возвращать их обратно.

      Как лучше реализовать?

      Спасибо!

    • #4792
      Oldnick
      Участник

      что значит “перебрасывать”? работаешь, работаешь на одной машине в 5250, и вдруг оказываешься на другой. так?
      в иных случаях не вижу причин не использовать пароль при логине. 🙂

      не могли бы вы пояснить подробнее, что вы хотите сделать, приведите пример конкретный.

    • #4793
      Денис
      Участник

      oldnick1971 писал(а):

      что значит “перебрасывать”? работаешь, работаешь на одной машине в 5250, и вдруг оказываешься на другой. так?

      да… имеено так…

    • #4794
      Oldnick
      Участник

      ну для этого пользователь должен вести какую-то команду, чтобы его “перебросило” на другой сервер.

      стандартно две возможности. STRPASTHR и TELNET
      сейчас попрбовал TELNET (ввел имя и пароль в параметрах) и оказался на другом сервере уже в меню MAIN. попробуй так сделать. 🙂 Обратно вернуться можно нажав кнопку Attn и 99.
      По поводу неввода пароля. можно написать программу и команду, при запуске которых, будет запускаться

      TELNET RMTSYS(2server) RMTUSER(OLDNICK) RMTPWD(12345)

      эту строку зашить к программу и никто не будет знать пароль.
      при желании можно написать более умную программу, которая будет сама определять может ли этт пользователь быть перекинутым на другой сервер или нет и так далее.
      Однако боюсь, что таким способом нельзя быть перекинутым на того пользователя, который был ранее, так как невозможно знать текущие пароли пользователей. Можно перекидывать только на тех кользователей, пароли которых заранее известны. Все зависит от задачи.

      я предложил самое простое решение, которое пришло в голову. 🙂

    • #4800
      Денис
      Участник

      Задача заключается том, что переход между серверами должен быть под тем же юзером, который залогинился в систему…

    • #4801
      Oldnick
      Участник

      Если у сервера уровень защиты стоит 30 и более, ввод пароля обязателен. То есть, нельзя зайти, не вводя пароль для 5250 экрана. Нельзя также ввести пароль одновременно для текущего экрана и для экрана на другом сервере, на который нужно переключиться с текущего экрана.
      Иначе говоря, задача, которая первоначально стояла, мне кажется невыполнимой.
      На сколько я понял, задача не подразумевает “Single Sign On”.

    • #4805
      Сергей
      Участник

      Почитайте про Exit point- QIBM_QTG_DEVINIT, там есть параметр ответа (если не путаю, он там 1), так вот,- напишите программульку и зарегистрируйте её в WRGREGINF для QIBM_QTG_DEVINIT. Программа параметром выставленым в 1 дает разрешение на логон.

      Лично я это использую для того, чтобы не вводить пароль в 5250 (достаточно 1-го сайнона и “взведенных” настроек “Baypass signon” & “Auto reconnect”) – речь конечно о родном клиенте, Mocha и прочая от 3-их фирм с сайноном не дружат.

      К чему это я?
      Это “читерсво” работает не только на виндовом клиенте!

      [code]TELNET RMTSYS(AS400BKP) RMTUSER(*CURRENT)[/code]

      Только что перепроверил на 2-ух V5R2 с уровнем 30. Пароли на эккаунтах разные, пройдет ли с заблокированным юзером на втором хосте – не знаю. На 40-ом уровне пройти не должно, но сам не пробовал.

      А вообще-то задачка не хорошая, вредная задачка – нельзя так с юзерами “шутить”, даже с сервисными программами лучше оставлять следы более заметные, чем в данном случае…

    • #4807
      Сергей
      Участник

      Забыл сказать – если интерес не в том, чтобы просто открыть телнет на другой сервер без ввода пароля, а в том, чтобы при авторизации на одном сервере открывать сессию реально на другом (непосрественно в exit program), то данную методу для этого я не пробовал… может быть и сработает. Из initial program, уж точно должно работать.

    • #4818
      Oldnick
      Участник

      в Моче вроде бы есть автоматический ввод имени и пароля (Bypass Signon)
      (в меню Параметры)
      только что проверил, работает.

    • #4820
      Sever
      Участник

      Sergo писал(а):

      задачка не хорошая, вредная задачка

      Абсолютно согласен с Sergo.

    • #4828
      Сергей
      Участник

      oldnick1971 писал(а):

      в Моче вроде бы есть автоматический ввод имени и пароля (Bypass Signon)
      (в меню Параметры)
      только что проверил, работает.

      Это наверное немного другое – автоматом подставляет имя и пароль в экранной форме (такое можно макросом реализовать и в родном 5250). Сам процесс сайнона в Mocha вообще не используется, вы ведь аутентификацию в нем только один раз проходите, непосредственно в 5250? Если я ничего не путаю – давно Mocha пользовал.

      QIBM_QTG_DEVINIT отрабатывает до сайнон-экрана и от него зависит – вызывать его вообще или нет.

      Вот что мне неизвестно (и экспериментировать лень) – взаимосвязь системной переменной QRMTSIGN и QIBM_QTG_DEVINIT. Да и не моё это 😉 – пусть “железный” админ “развлекается”.

Просмотр 10 веток ответов
  • Для ответа в этой теме необходимо авторизоваться.