FTP サーバーへのアクセス権限設定
iSeries ナビゲーターを使用した FTP サーバーへのアクセス権限の制限方法をご紹介いたしま す。FTP サーバーへのアクセス権限設定
OS/400 は V4 以前から、クライアントから i5/OS オブジェクトへのさまざまなアクセス手法を提供し てきました。古くはクライアント・アクセス(PC サポート)のデータ転送や、FTP、ODBC や ADO、 Windows GUI インターフェース(オペレーション・ナビゲーター)などはその代表例でしょう。今回とりあげる i5/OS V5 の iSeries ナビゲーターは、iSeries 上のサーバー・ジョブに対するクライ アントからの操作に対して、さまざまなアクセス制限を容易に設定できるように機能拡張されてい ます。例えば iSeries アクセス(クライアント・アクセス)におけるデータ転送の使用制限、iSeries ア クセスの各機能の使用制限、FTP サーバーや FTP クライアントのログオン、FTP サブコマンドの 使用制限などです。これらを統一された簡易な GUI インターフェースから設定することが可能です。 今回はその中から FTP サーバーへのアクセス制限に関する機能をご紹介いたします。 i5/OS の V4 以前は、要求妥当性イグジット・ポイントの設定が、FTP アクセスを制御する唯一の手 法でした。i5/OS V5 では、iSeries ナビゲーターの アプリケーション管理 GUI 画面で同等の機能 が提供されます。iSeries ナビゲーターを使用すると、管理者は各々のユーザーが実行できる FTP オペレーションを制限することができます。制御できる FTP オペレーションは、現在の TCP/IP 要求妥当性イグジット・ポイントによってサポートされるものと同等です。しかも、i5/OS V4 以前の ようにイグジット・ポイント用にイグジット・プログラムをユーザー・コーディングする必要が無く、簡 単な GUI 操作だけで設定が可能です。権限の設定はユーザーID ごとに行いますが、iSeries ナビ ゲーターを使用することで、追加情報(例. ユーザーIP アドレス, ファイル名, etc.)をより細かく制 御することが可能となります。
※この機能は、グリーン・スクリーン(5250 画面)からは利用できません。 ユーザーまたはグループ名ごとに認可または否認機能を提供 イグジット・プログラムの作り込みまたは購入不要 妥当性要求のイグジット・ポイントと同様のオペレーション制御 FTP サーバーへのログオンの許可 FTP サブコマンドの実行許可
FTP サーバーへのアクセス権限設定(設定の詳細)
iSeries ナビゲーターを使用した FTP サーバーへのアクセス権限の制限方法をご紹介いたしま す。 FTP サーバーへのアクセス可能なユーザープロフィールを限定する FTP サーバー上で使用可能な機能(FTP サブコマンド)をユーザープロフィール毎に制限す る ※ご紹介する FTP サーバーの属性変更は 5250 画面からは実行できません。iSeries アクセス(iSeries ナビゲーターの紹介と導入)の開始
1.iSeries 側で iSeries アクセスに必要なジョブを開始します。5250 画面で QSECOFR 権限でサイ ンオンして以下のコマンドを実行します。 1) STRTCP 2) STRSBS QSERVER 3) STRHOSTSVR *ALL 2. また、FTP サーバーは iSeries ナビゲーターの紹介と導入または 5250 画面から起動できます。 5250 画面から実行する場合は以下のコマンドを実行します。 1) STRTCPSVR *FTP
FTP サーバーログオン時のアクセス権限の設定
PC に iSeries アクセスの導入が完了するとデスクトップまたはスタートメニューに iSeries ナビゲー ターのアイコンが作成されます。こちらをクリックして開始します。 1. iSeries ナビゲーターの紹介と導入を最初に起動した場合には接続する iSeries を設定するよう要 求されます。以下のパラメーターを入力してください。サーバー : iSeries の TCP/IP 上のホスト名(CFGTCP '12'で確認できます。)または iSeries の IP アドレスを入力します。
例は OSA270
デフォルトユーザーID : iSeries に接続するためのユーザープロフィールです。*SECADM、特殊 権限を持つユーザーを指定してください。
例は QSECOFR 等
接続の確認 : このボタンを押すと iSeries アクセスを導入した PC と iSeries とで正しく TCP/IP 通信できるか確認できます。
接続する iSeries を選択して右クリックし、[アプリケーション管理] -[ローカル設定]を選択します。
―「アプリケーション管理」ウィンドウが表示されます。
3.
1) [ホスト・アプリケーション]タブをクリックします。
4. [カスタマイズ]ボタンをクリックします。 -「アクセスのカスタマイズ]パネルが表示されます。 5. 各項目を設定します。 1) デフォルト・アクセス : デフォルト値はチェックがついています。デフォルトの状態では全ての iSeries 上のユーザープロ フィールで FTP サーバーにアクセス可能です。(“否認 されるアクセス”に指定したユーザーを除 く。)チェックをはずすと“許可されるアクセス”に登録したユーザープロフィールを除く全ユーザープ ロフィール が、FTP サーバーへアクセス不可となります。 2) 全オブジェクト・システム特権を持つユーザー : チェックをつけると*ALLOBJ 特殊権限を持つユーザーの FTP サーバーへのアクセスがすべて許 可されます。
3) 許可されるアクセス : 1)、2)のチェックを外している場合、このフィールドに追加されたユーザーのみが FTP サーバーへ アクセス可能となります。ユーザーを追加するには左のユーザーおよびグループから該当する ユーザープロフィール、グループプロフィールを選択し、追加-[ボタン]をクリックします。 4) 否認されるアクセス : FTP サーバーへのアクセスを許可しないユーザープロフィールを指定する場合、このフィールドに ユーザープロフィールを追加します。 設定例 1 アクセスのカスタマイズ デフォルト・アクセス チェックをはずす 全オブジェクト・システム特権を持つユーザー チェックをつける ユーザープロフィールの設定
FTPUSER1 *USR クラス、*ALLOBJ 権限なし 許可されるアクセス に登録 FTPUSER2 *USR クラス、*ALLOBJ 権限なし 否認されるアクセス に登録 QSECOFR *SECOFR クラス、*ALLOBJ 権限あり 登録なし
FTP サーバーへのログオン結果 FTPUSR1 ログオン可能 FTPUSR2 ログオン不可
QSECOFR ログオン可能 * FTPUSR2 でログオンした時はエラー画面が表示されます。 設定例 2 アクセスのカスタマイズ デフォルト・アクセス チェックをはずす 全オブジェクト・システム特権を持つユーザー チェックをはずす ユーザープロフィールの設定
FTPUSER1 *USR クラス、 *ALLOBJ 権限なし 許可されるアクセスに登録 FTPUSER2 *USR クラス、 *ALLOBJ 権限なし 登録なし
QSECOFR *SECOFR クラス、*ALLOBJ 権限あり 登録なし FTP サーバーへのログオン結果 FTPUSER1 ログオン可能 FTPUSER2 ログオン不可 QSECOFR2 ログオン不可
FTP サーバー上で使用可能な機能をユーザープロフィール毎に制限する方法
FTP のサブコマンドについてユーザー単位で使用可能・不可能を設定する事ができます。 メニュー項目の名前 制限するFTPサブコ マンド サブコマンドの意味 使用例 CLコマンド Rcmd CLコマンドを実行する quote rcmd call QGPL/PGM1ディレクトリー/ライブラ リー作成
mkd, mkdir ディレクトリーの作成 mkdir /tmp/test1
ディレクトリー/ライブラ リー削除
rmd, rmdir ディレクトリーの削除 rmdir /tmp/test1
ディレクトリー変更 Cd ディレクトリーの変更 cd /tmp
ファイルの削除 dele, delete ファイル削除 delete /tmp/test.txt ファイルの名前制限 Rename ファイル名の変更 rename test.txt test2.txt ファイルをリスト Ls ファイル一覧をリスト表 示 Ls ファイルを受信 Put クライアントからファイ ルを受信 put c:¥test.txt /tmp/test.txt ファイルを送信 Get クライアントにファイル を送信 get /tmp/test2.txt c:¥test2.txt 1. 接続する iSeries を選択して 右クリック -[ アプリケーション管理]を選択します。 -[アプリケーション管理]のウィンドウが表示されます。 1) [ホスト・アプリケーション]タブを選択します。
2) [TCP/IP UTILITIES FOR ISERIES]-[ファイル転送プロトコル]- [FTP サーバー]-[特定の操作] をクリックします。
3) 変更したい FTP サブコマンド項目を選択して[カスタマイズ]ボタンをクリックします。(上の図で はディレクトリー変更を選択しています。) 2. アクセスのカスタマイズ画面が表示されます。 ※基本的な設定手順は FTP サーバーログオン時のアクセス権限の設定と同様です。 ※上記の設定例では FTPUSER2 は cd サブコマンドを使用する事ができません。 下図は権限がないコマンドを実行した場合のエラー例です。(cd サブマンド実行時のエラー)
【参考情報】 iSeries ナビゲーターの紹介と導入
iSeries ナビゲーターを使用すると System i を GUI 画面から操作する事ができます。
従来の 5250 画面からの操作のように System i コマンドを覚えなくても、Windows のエクスプ ローラーと同様の画面から System i の操作をすることができます。iSeries ナビゲーターにより System i をより簡単に使用することができます。
1.
iSeries アクセスの機能の一部です。Windows 上の GUI にエクスプローラーに似た形式で System i のオブジェクト、ジョブ等を表示します。この GUI 画面から一般的な Windows の操作で System i を操作するコマンドを実行できます。
2.
5250 画面から実行できる機能のほぼ全てを iSeries ナビゲーターの GUI 画面から実行できます。
3.
4.
PC 側に iSeries アクセスを導入しておきます。System i 側には i5/OS オプション 12 ホストサー バーが必要です。
iSeries アクセス(iSeries ナビゲーター)の導入
iSeries アクセスの CD-ROM または System i の IFS(V5 の場合、
/QIBM/ProdData/CA400/Express/Install/Image 以下)の SETUP.EXE を実行します。この際、 導入オプションで iSeries ナビゲーターを導入してください。
導入に関する考慮事項
PTF 情報等が提供されています。IFS 上、CD-ROM 上の README.TXT、READMESP.TXT 等 をご参照ください。
iSeries ナビゲーターの機能・パフォーマンスは i5/OS のバージョン、iSeries ナビゲーターのバー ジョンが新しいほど向上しています。最新のバージョンをお使いください。 最新の PTF を適用してからご使用ください。PTF は以下の URL より入手可能です。(インストー ラーは英語版ですが日本語環境に適用しても正常動作します。)また、Windows 95 をお使いの 場合、iSeries ナビゲーター操作中にエラーが発生するケースがあります。修正方法等は CD-ROM に含まれる上記 README.TXT をご参照ください。 iSeries アクセス(US)
