|
查看上一个主题 :: 查看下一个主题
|
| 作者 |
信息 |
拉维(GA)
新的用户
已加入:2020年3月20日
帖子:12
地点:印度
|
|
|
|
您好,
这是一个与大型机安全性有关的问题。
我想知道是否有一种方法可以根据主机名限制用户登录?例如,假设有一个用户,其主机名是usera.zzz.com,并且该用户的关联大型机ID是“ USERA1”。该用户使用Windows上安装的TN3270客户端登录到大型机。现在,如果该用户尝试使用ID“ USERB1”(另一个用户的大型机ID)登录,是否可以通过一些有意义的消息来限制访问?由于主机名“ usera.zzz.com”仅附加到“ USERA1”,因此,如果该用户输入“ USERA1”以外的任何ID(在终端),我们应该能够使登录过程失败。有没有办法做到这一点?同样,用户B应该只能输入ID“ USERB1”。 |
|
| 回到顶部 |
|
 |
罗希特·乌马尔吉卡(Rohit Umarjikar)
全球主持人
已加入:2010年9月21日
帖子:2581
地点:美国纽约
|
|
|
|
| 主机名称或ip对于用户之间的任何连接都是相同的,那么真正的用例是什么? |
|
| 回到顶部 |
|
|
拉维(GA)
新的用户
已加入:2020年3月20日
帖子:12
地点:印度
|
|
|
|
| 罗希特·乌马尔吉卡(Rohit Umarjikar)写道: |
| 主机名称或ip对于用户之间的任何连接都是相同的,那么真正的用例是什么? |
当您断开与VPN的连接并重新连接时,IP地址不会更改。 IP地址不一样。
用例:-如果某个大型机用户(例如USERA)以某种方式获得了USERB的密码,那么我们将无法阻止USERA使用USERB的凭据登录。我的问题是“是否有办法在登录大型机时通过检查主机名来防止未经授权的访问”? |
|
| 回到顶部 |
|
|
恩里科·索里切蒂
高级主持人
已加入:2007年3月14日
帖子:10715
所在地:意大利
|
|
| 回到顶部 |
|
|
罗希特·乌马尔吉卡(Rohit Umarjikar)
全球主持人
已加入:2010年9月21日
帖子:2581
地点:美国纽约
|
|
|
|
| 拉维(GA) 写道: |
| 罗希特·乌马尔吉卡(Rohit Umarjikar)写道: |
| 主机名称或ip对于用户之间的任何连接都是相同的,那么真正的用例是什么? |
当您断开与VPN的连接并重新连接时,IP地址不会更改。 IP地址不一样。
用例:-如果某个大型机用户(例如USERA)以某种方式获得了USERB的密码,那么我们将无法阻止USERA使用USERB的凭据登录。我的问题是“是否有办法在登录大型机时通过检查主机名来防止未经授权的访问”? |
我是说,从连接角度来看,大型机的IP是相同的还是主机。为什么会改变?
其次,大多数公司都使用OPT进行单点登录并具有多层登录安全性,所有这些都请尝试实施。
第三,员工有责任不共享密码或在其他员工可能滥用的地方写东西,这是行为准则,因为它不仅是大型机,而且在其他任何您需要此类预防措施的地方。
最后,您可以使用一个登录脚本,该脚本可以在每天登录一次或类似情况时向用户发送电子邮件更改,然后与您站点上的安全团队联系以寻求所有可能的替代方法。 |
|
| 回到顶部 |
|
|
恩里科·索里切蒂
高级主持人
已加入:2007年3月14日
帖子:10715
所在地:意大利
|
|
|
|
正确的方法是不限制主机或IP地址
但要控制对每个应用程序的访问
如果组织由于某种原因不得不四处走动怎么办
(将应用程序移至另一个-如您所说的-主机吗?)
使用正确的RACF / ACF / TSS设置,您只需要...
安全设置已经做好了一切
尝试/建议的设置有人将不得不修改家用门禁系统,以保持运行状态
为什么已经/已经存在多年的时间浪费时间在马粪上,巩固了控制对所需资源的访问的技术 |
|
| 回到顶部 |
|
|
拉维(GA)
新的用户
已加入:2020年3月20日
帖子:12
地点:印度
|
|
|
|
感谢您提供的链接,但在发布问题之前,我已经审查了此链接。在此链接中,我能找到的(可以使用的)最接近的是登录出口,但不幸的是PARM列表没有用户要尝试从其登录的主机的IP地址。如果它具有IP地址,则可以使用“ GETHOSTBYADDR”来确定主机名。同样,通过这种设置,如果事情四处移动,则无需更改访问控制系统。当我与在TN3270 / RACF等上工作过的一些人交谈时,他们说,如果不对ECSA中驻留的TCP / IP驱动程序模块EZBTIINI应用钩子,就不可能完成此任务。按照下面的说明,这是获取有关主机尝试连接到大型机的信息的连接点,
1287451C | A78E 00FF | CHI R8,X'FF'
12874520 | A724 FFF3 | BRC X'2',*-X'1A'
12874524 | B914 0008 | LGFR R0,R8
12874528 | E50F E000 F000 | MVCDK X'0'(R14),X'0'(R15)==挂钩点
1287452E | B219 0000 | SAC X'0'
12874532 | EBEC D368 0096 | LMH R14,R12,X'368'(R13)
12874538 | 98EC D2F0 | LM R14,R12,X'2F0'(R13)
1287453C | 9AEC D32C | LAM AR14,AR12,X'32C'(R13)
12874540 | 07FE | BCR X'F',R14
我在上述位置设置了SLIP陷阱(此时它将处于交叉存储模式。HOME ==> TN3270, primary ==>TCP / IP,辅助==>OMVS),并注意到它在上述挂钩点构建了一些未记录的控制块“ CFGMREQ”,并且该控制块保存了各种信息,包括主机的IP地址。我可以将此钩子与登录出口一起使用来完成我想做的事情,但是插入系统钩子是我们可以追求的最后一个选择。因此,我想在该论坛上与专家联系,以探讨其他选择。 |
|
| 回到顶部 |
|
|
拉维(GA)
新的用户
已加入:2020年3月20日
帖子:12
地点:印度
|
|
|
|
[quote =“ 罗希特·乌马尔吉卡(Rohit Umarjikar)”]
| 拉维(GA) 写道: |
| 罗希特·乌马尔吉卡(Rohit Umarjikar)写道: |
| 主机名称或ip对于用户之间的任何连接都是相同的,那么真正的用例是什么? |
我是说,从连接角度来看,大型机的IP是相同的还是主机。为什么会改变?
其次,大多数公司都使用OPT进行单点登录并具有多层登录安全性,所有这些都请尝试实施。
第三,员工有责任不共享密码或在其他员工可能滥用的地方写东西,这是行为准则,因为它不仅是大型机,而且在其他任何您需要此类预防措施的地方。
最后,您可以使用一个登录脚本,该脚本可以在每天登录一次或类似情况时向用户发送电子邮件更改,然后与您站点上的安全团队联系以寻求所有可能的替代方法。 |
1.我不了解从大型机的连接角度来看IP怎么可能是相同的。
2.您的意思是通过电子邮件进行OTP吗?
3.是的,但是确实发生了安全漏洞,我们试图捕获安全漏洞事件。 |
|
| 回到顶部 |
|
|
罗希特·乌马尔吉卡(Rohit Umarjikar)
全球主持人
已加入:2010年9月21日
帖子:2581
地点:美国纽约
|
|
|
|
运行仿真器的PC的IP地址不同,但是仿真器中用于连接大型机LPAR的IP地址没有变化。我们正在谈论两个不同的IP。
请通过您网站上的RACF Security管理员进行跟进,以及上述其他想法,您也可以研究提供这些服务的任何第三方产品。 |
|
| 回到顶部 |
|
|
拉维(GA)
新的用户
已加入:2020年3月20日
帖子:12
地点:印度
|
|
|
|
| 罗希特·乌马尔吉卡(Rohit Umarjikar)写道: |
运行仿真器的PC的IP地址不同,但是仿真器中用于连接大型机LPAR的IP地址没有变化。我们正在谈论两个不同的IP。
请按照您网站上的RACF安全管理员的意见进行跟进,以及上述其他想法。 |
是的,我正在寻找启动与大型机上的TN3270服务器的连接请求的PC的IP地址。 |
|
| 回到顶部 |
|
|
恩里科·索里切蒂
高级主持人
已加入:2007年3月14日
帖子:10715
所在地:意大利
|
|
|
|
只是做一个决定,以便我们不浪费任何时间...
如果要检查是否允许用户连接到应用程序
无论应用程序和用户的位置如何
正确的方法是定义相关的RACF配置文件并将访问权限授予USER
如果您改变主意并希望控制IP地址之间的连接,那么正确的方法是定义适当的防火墙规则
是时候锁定主题并让TS在决定要求后再打开一个新的主题 |
|
| 回到顶部 |
|
|
罗希特·乌马尔吉卡(Rohit Umarjikar)
全球主持人
已加入:2010年9月21日
帖子:2581
地点:美国纽约
|
|
|
|
| 清除并锁定。 |
|
| 回到顶部 |
|
|
|
|
