IBM大型机论坛索引
 
 登录
 
IBM大型机论坛索引 大型机:搜索 IBM Mainframe论坛:常见问题解答  寄存器
 

有没有一种方法可以根据主机名限制用户登录?


IBM大型机论坛 -> 所有其他大型机主题
 发表新话题    该主题已锁定:您无法编辑帖子或回复。
查看上一个主题 :: 查看下一个主题  
作者 信息
拉维(GA)

新的用户


已加入:2020年3月20日
帖子:12
地点:印度

 发布 发表于:2020年12月23日星期三上午8:01
引用回复

您好,

这是一个与大型机安全性有关的问题。
我想知道是否有一种方法可以根据主机名限制用户登录?例如,假设有一个用户,其主机名是usera.zzz.com,并且该用户的关联大型机ID是“ USERA1”。该用户使用Windows上安装的TN3270客户端登录到大型机。现在,如果该用户尝试使用ID“ USERB1”(另一个用户的大型机ID)登录,是否可以通过一些有意义的消息来限制访问?由于主机名“ usera.zzz.com”仅附加到“ USERA1”,因此,如果该用户输入“ USERA1”以外的任何ID(在终端),我们应该能够使登录过程失败。有没有办法做到这一点?同样,用户B应该只能输入ID“ USERB1”。
回到顶部
查看用户资料 发送私信
罗希特·乌马尔吉卡(Rohit Umarjikar)

全球主持人


已加入:2010年9月21日
帖子:2581
地点:美国纽约

 发布 发表于:2020年12月23日星期三上午10:30
引用回复

主机名称或ip对于用户之间的任何连接都是相同的,那么真正的用例是什么?
回到顶部
查看用户资料 发送私信
拉维(GA)

新的用户


已加入:2020年3月20日
帖子:12
地点:印度

 发布 发表于:2020年12月23日,星期三12:24 pm
引用回复

罗希特·乌马尔吉卡(Rohit Umarjikar)写道:
主机名称或ip对于用户之间的任何连接都是相同的,那么真正的用例是什么?


当您断开与VPN的连接并重新连接时,IP地址不会更改。 IP地址不一样。
用例:-如果某个大型机用户(例如USERA)以某种方式获得了USERB的密码,那么我们将无法阻止USERA使用USERB的凭据登录。我的问题是“是否有办法在登录大型机时通过检查主机名来防止未经授权的访问”?
回到顶部
查看用户资料 发送私信
恩里科·索里切蒂

高级主持人


已加入:2007年3月14日
帖子:10715
所在地:意大利

 发布 发表于:2020年12月23日,星期三12:32 pm
引用回复

如果有人拿到了别人的证书,
您的组织比低技能的问题要大得多

记得...
安全是10%的技术性90%的良好做法和教育以及对违规行为的正确处理

到处使用他人凭证是合法解雇的原因

但就您的问题而言,可以

让您的安全人员查看手册中的适当定义,以防止用户登录到特定应用程序

www.ibm.com/support/knowledgecenter/zh-CN/SSLTBW_2.1.0/com.ibm.zos.v2r1.ikjb400/part4.htm
回到顶部
查看用户资料 发送私信
罗希特·乌马尔吉卡(Rohit Umarjikar)

全球主持人


已加入:2010年9月21日
帖子:2581
地点:美国纽约

 发布 发表于:2020年12月23日,星期三3:59 pm
引用回复

拉维(GA) 写道:
罗希特·乌马尔吉卡(Rohit Umarjikar)写道:
主机名称或ip对于用户之间的任何连接都是相同的,那么真正的用例是什么?


当您断开与VPN的连接并重新连接时,IP地址不会更改。 IP地址不一样。
用例:-如果某个大型机用户(例如USERA)以某种方式获得了USERB的密码,那么我们将无法阻止USERA使用USERB的凭据登录。我的问题是“是否有办法在登录大型机时通过检查主机名来防止未经授权的访问”?

我是说,从连接角度来看,大型机的IP是相同的还是主机。为什么会改变?
其次,大多数公司都使用OPT进行单点登录并具有多层登录安全性,所有这些都请尝试实施。
第三,员工有责任不共享密码或在其他员工可能滥用的地方写东西,这是行为准则,因为它不仅是大型机,而且在其他任何您需要此类预防措施的地方。
最后,您可以使用一个登录脚本,该脚本可以在每天登录一次或类似情况时向用户发送电子邮件更改,然后与您站点上的安全团队联系以寻求所有可能的替代方法。
回到顶部
查看用户资料 发送私信
恩里科·索里切蒂

高级主持人


已加入:2007年3月14日
帖子:10715
所在地:意大利

 发布 发表于:2020年12月23日,星期三4:41 pm
引用回复

正确的方法是不限制主机或IP地址
但要控制对每个应用程序的访问

如果组织由于某种原因不得不四处走动怎么办
(将应用程序移至另一个-如您所说的-主机吗?)

使用正确的RACF / ACF / TSS设置,您只需要...
安全设置已经做好了一切

尝试/建议的设置有人将不得不修改家用门禁系统,以保持运行状态

为什么已经/已经存在多年的时间浪费时间在马粪上,巩固了控制对所需资源的访问的技术
回到顶部
查看用户资料 发送私信
拉维(GA)

新的用户


已加入:2020年3月20日
帖子:12
地点:印度

 发布 发表于:2020年12月23日,星期三5:32 pm
引用回复

恩里科·索里切蒂写道:
如果有人拿到了别人的证书,
但就您的问题而言,可以

让您的安全人员查看手册中的适当定义,以防止用户登录到特定应用程序

www.ibm.com/support/knowledgecenter/zh-CN/SSLTBW_2.1.0/com.ibm.zos.v2r1.ikjb400/part4.htm


感谢您提供的链接,但在发布问题之前,我已经审查了此链接。在此链接中,我能找到的(可以使用的)最接近的是登录出口,但不幸的是PARM列表没有用户要尝试从其登录的主机的IP地址。如果它具有IP地址,则可以使用“ GETHOSTBYADDR”来确定主机名。同样,通过这种设置,如果事情四处移动,则无需更改访问控制系统。当我与在TN3270 / RACF等上工作过的一些人交谈时,他们说,如果不对ECSA中驻留的TCP / IP驱动程序模块EZBTIINI应用钩子,就不可能完成此任务。按照下面的说明,这是获取有关主机尝试连接到大型机的信息的连接点,

1287451C | A78E 00FF | CHI R8,X'FF'
12874520 | A724 FFF3 | BRC X'2',*-X'1A'
12874524 | B914 0008 | LGFR R0,R8
12874528 | E50F E000 F000 | MVCDK X'0'(R14),X'0'(R15)==挂钩点
1287452E | B219 0000 | SAC X'0'
12874532 | EBEC D368 0096 | LMH R14,R12,X'368'(R13)
12874538 | 98EC D2F0 | LM R14,R12,X'2F0'(R13)
1287453C | 9AEC D32C​​ | LAM AR14,AR12,X'32C'(R13)
12874540 | 07FE | BCR X'F',R14

我在上述位置设置了SLIP陷阱(此时它将处于交叉存储模式。HOME ==> TN3270, primary ==>TCP / IP,辅助==>OMVS),并注意到它在上述挂钩点构建了一些未记录的控制块“ CFGMREQ”,并且该控制块保存了各种信息,包括主机的IP地址。我可以将此钩子与登录出口一起使用来完成我想做的事情,但是插入系统钩子是我们可以追求的最后一个选择。因此,我想在该论坛上与专家联系,以探讨其他选择。
回到顶部
查看用户资料 发送私信
拉维(GA)

新的用户


已加入:2020年3月20日
帖子:12
地点:印度

 发布 发表于:2020年12月23日,星期三5:39 pm
引用回复

[quote =“ 罗希特·乌马尔吉卡(Rohit Umarjikar)”]
拉维(GA) 写道:
罗希特·乌马尔吉卡(Rohit Umarjikar)写道:
主机名称或ip对于用户之间的任何连接都是相同的,那么真正的用例是什么?

我是说,从连接角度来看,大型机的IP是相同的还是主机。为什么会改变?
其次,大多数公司都使用OPT进行单点登录并具有多层登录安全性,所有这些都请尝试实施。
第三,员工有责任不共享密码或在其他员工可能滥用的地方写东西,这是行为准则,因为它不仅是大型机,而且在其他任何您需要此类预防措施的地方。
最后,您可以使用一个登录脚本,该脚本可以在每天登录一次或类似情况时向用户发送电子邮件更改,然后与您站点上的安全团队联系以寻求所有可能的替代方法。

1.我不了解从大型机的连接角度来看IP怎么可能是相同的。
2.您的意思是通过电子邮件进行OTP吗?
3.是的,但是确实发生了安全漏洞,我们试图捕获安全漏洞事件。
回到顶部
查看用户资料 发送私信
罗希特·乌马尔吉卡(Rohit Umarjikar)

全球主持人


已加入:2010年9月21日
帖子:2581
地点:美国纽约

 发布 发表于:2020年12月23日,星期三5:55 pm
引用回复

运行仿真器的PC的IP地址不同,但是仿真器中用于连接大型机LPAR的IP地址没有变化。我们正在谈论两个不同的IP。
请通过您网站上的RACF Security管理员进行跟进,以及上述其他想法,您也可以研究提供这些服务的任何第三方产品。
回到顶部
查看用户资料 发送私信
拉维(GA)

新的用户


已加入:2020年3月20日
帖子:12
地点:印度

 发布 发表于:2020年12月23日,星期三5:58 pm
引用回复

罗希特·乌马尔吉卡(Rohit Umarjikar)写道:
运行仿真器的PC的IP地址不同,但是仿真器中用于连接大型机LPAR的IP地址没有变化。我们正在谈论两个不同的IP。
请按照您网站上的RACF安全管理员的意见进行跟进,以及上述其他想法。

是的,我正在寻找启动与大型机上的TN3270服务器的连接请求的PC的IP地址。
回到顶部
查看用户资料 发送私信
恩里科·索里切蒂

高级主持人


已加入:2007年3月14日
帖子:10715
所在地:意大利

 发布 发表于:2020年12月23日,星期三8:04 pm
引用回复

只是做一个决定,以便我们不浪费任何时间...

如果要检查是否允许用户连接到应用程序
无论应用程序和用户的位置如何

正确的方法是定义相关的RACF配置文件并将访问权限授予USER

如果您改变主意并希望控制IP地址之间的连接,那么正确的方法是定义适当的防火墙规则

是时候锁定主题并让TS在决定要求后再打开一个新的主题
回到顶部
查看用户资料 发送私信
罗希特·乌马尔吉卡(Rohit Umarjikar)

全球主持人


已加入:2010年9月21日
帖子:2581
地点:美国纽约

 发布 发表于:2020年12月23日,星期三10:00 pm
引用回复

清除并锁定。
回到顶部
查看用户资料 发送私信
查看上一个主题 :: :: 查看下一个主题  
 发表新话题    该主题已锁定:您无法编辑帖子或回复。 查看书签
所有时间均为格林尼治标准时间+ 6小时
论坛索引 -> 所有其他大型机主题

 


类似主题
话题 论坛 回覆
 没有新帖 撤消DB2以除去用户 DB2 4
 没有新帖 删除基于S ...的重复记录 DFSORT / ICETOOL 4
 没有新帖 使用基于关闭的VB记录排序... DFSORT / ICETOOL 6
 没有新帖 如何处理基于文件的依赖文件 JCL和VSAM 8
该主题已锁定:您无法编辑帖子或回复。 排序基于第二个记录... 同步排序 1
搜索我们的论坛:


 回到顶部