FTP サーバーへのアクセス権限設定 iseries ナビゲーターを使用した FTP サーバーへのアクセス権限の制限方法をご紹介いたしま す FTP サーバーへのアクセス権限設定 OS/400 は V4 以前から クライアントから i5/os オブジェクトへのさまざまなアクセス手法を提供し てきました 古くはクライアント アクセス (PC サポート ) のデータ転送や FTP ODBC や ADO Windows GUI インターフェース ( オペレーション ナビゲーター ) などはその代表例でしょう 今回とりあげる i5/os V5 の iseries ナビゲーターは iseries 上のサーバー ジョブに対するクライアントからの操作に対して さまざまなアクセス制限を容易に設定できるように機能拡張されています 例えば iseries アクセス ( クライアント アクセス ) におけるデータ転送の使用制限 iseries アクセスの各機能の使用制限 FTP サーバーや FTP クライアントのログオン FTP サブコマンドの使用制限などです これらを統一された簡易な GUI インターフェースから設定することが可能です 今回はその中から FTP サーバーへのアクセス制限に関する機能をご紹介いたします i5/os のV4 以前は 要求妥当性イグジット ポイントの設定が FTPアクセスを制御する唯一の手法でした i5/os V5 では iseries ナビゲーターのアプリケーション管理 GUI 画面で同等の機能が提供されます iseries ナビゲーターを使用すると 管理者は各々のユーザーが実行できる FTP オペレーションを制限することができます 制御できる FTP オペレーションは 現在の TCP/IP 要求妥当性イグジット ポイントによってサポートされるものと同等です しかも i5/os V4 以前のようにイグジット ポイント用にイグジット プログラムをユーザー コーディングする必要が無く 簡単な GUI 操作だけで設定が可能です 権限の設定はユーザー ID ごとに行いますが iseries ナビゲーターを使用することで 追加情報 ( 例. ユーザー IP アドレス, ファイル名, etc.) をより細かく制御することが可能となります
この機能は グリーン スクリーン (5250 画面 ) からは利用できません ユーザーまたはグループ名ごとに認可または否認機能を提供 イグジット プログラムの作り込みまたは購入不要 妥当性要求のイグジット ポイントと同様のオペレーション制御 FTP サーバーへのログオンの許可 FTP サブコマンドの実行許可
FTP サーバーへのアクセス権限設定 ( 設定の詳細 ) iseries ナビゲーターを使用した FTP サーバーへのアクセス権限の制限方法をご紹介いたします FTP サーバーへのアクセス可能なユーザープロフィールを限定する FTP サーバー上で使用可能な機能 (FTP サブコマンド ) をユーザープロフィール毎に制限する ご紹介する FTP サーバーの属性変更は 5250 画面からは実行できません iseries アクセス (iseries ナビゲーターの紹介と導入 ) の開始 1. iseries 側で iseries アクセスに必要なジョブを開始します 5250 画面で QSECOFR 権限でサイ ンオンして以下のコマンドを実行します 1) STRTCP 2) STRSBS QSERVER 3) STRHOSTSVR *ALL 2. また FTP サーバーは iseries ナビゲーターの紹介と導入または 5250 画面から起動できます 5250 画面から実行する場合は以下のコマンドを実行します 1) STRTCPSVR *FTP
FTP サーバーログオン時のアクセス権限の設定 PC に iseries アクセスの導入が完了するとデスクトップまたはスタートメニューに iseries ナビゲー ターのアイコンが作成されます こちらをクリックして開始します 1. iseries ナビゲーターの紹介と導入を最初に起動した場合には接続する iseries を設定するよう要 求されます 以下のパラメーターを入力してください サーバー : iseries の TCP/IP 上のホスト名 (CFGTCP '12' で確認できます ) または iseries の IP アドレスを入力します 例は OSA270 デフォルトユーザー ID : iseries に接続するためのユーザープロフィールです *SECADM 特殊 権限を持つユーザーを指定してください 例は QSECOFR 等 接続の確認 : このボタンを押すと iseries アクセスを導入した PC と iseries とで正しく TCP/IP 通信できるか確認できます 2.
接続する iseries を選択して右クリックし [ アプリケーション管理 ] -[ ローカル設定 ] を選択します アプリケーション管理 ウィンドウが表示されます 3. 1) [ ホスト アプリケーション ] タブをクリックします 2) [TCP/IP UTILITIES FOR ISERIES]-[FTP サーバー ]-[ ログオン サーバー ] をクリックします
4. [ カスタマイズ ] ボタンをクリックします - アクセスのカスタマイズ ] パネルが表示されます 5. 各項目を設定します 1) デフォルト アクセス : デフォルト値はチェックがついています デフォルトの状態では全ての iseries 上のユーザープロフィールで FTP サーバーにアクセス可能です ( 否認されるアクセス に指定したユーザーを除く ) チェックをはずすと 許可されるアクセス に登録したユーザープロフィールを除く全ユーザープロフィールが FTP サーバーへアクセス不可となります 2) 全オブジェクト システム特権を持つユーザー : チェックをつけると *ALLOBJ 特殊権限を持つユーザーの FTP サーバーへのアクセスがすべて許 可されます
3) 許可されるアクセス : 1) 2) のチェックを外している場合 このフィールドに追加されたユーザーのみが FTP サーバーへアクセス可能となります ユーザーを追加するには左のユーザーおよびグループから該当するユーザープロフィール グループプロフィールを選択し 追加 -[ ボタン ] をクリックします 4) 否認されるアクセス : FTP サーバーへのアクセスを許可しないユーザープロフィールを指定する場合 このフィールドに ユーザープロフィールを追加します 設定例 1 アクセスのカスタマイズデフォルト アクセスチェックをはずす全オブジェクト システム特権を持つユーザーチェックをつける ユーザープロフィールの設定 FTPUSER1 *USR クラス *ALLOBJ 権限なし許可されるアクセスに登録 FTPUSER2 *USR クラス *ALLOBJ 権限なし否認されるアクセスに登録 QSECOFR *SECOFR クラス *ALLOBJ 権限あり登録なし FTP サーバーへのログオン結果 FTPUSR1 ログオン可能 FTPUSR2 ログオン不可
QSECOFR ログオン可能 * FTPUSR2 でログオンした時はエラー画面が表示されます 設定例 2 アクセスのカスタマイズデフォルト アクセスチェックをはずす全オブジェクト システム特権を持つユーザーチェックをはずす ユーザープロフィールの設定 FTPUSER1 *USR クラス *ALLOBJ 権限なし許可されるアクセスに登録 FTPUSER2 *USR クラス *ALLOBJ 権限なし登録なし QSECOFR *SECOFR クラス *ALLOBJ 権限あり登録なし FTP サーバーへのログオン結果 FTPUSER1 ログオン可能 FTPUSER2 ログオン不可 QSECOFR2 ログオン不可 FTP サーバー上で使用可能な機能をユーザープロフィール毎に制限する方法 FTP のサブコマンドについてユーザー単位で使用可能 不可能を設定する事ができます メニュー項目の名前 制限するFTPサブコマンド サブコマンドの意味 使用例 CLコマンド Rcmd CLコマンドを実行する quote rcmd call QGPL/PGM1
ディレクトリー / ライブラ mkd, mkdir ディレクトリーの作成 mkdir /tmp/test1 リー作成 ディレクトリー / ライブラ rmd, rmdir ディレクトリーの削除 rmdir /tmp/test1 リー削除 ディレクトリー変更 Cd ディレクトリーの変更 cd /tmp ファイルの削除 dele, delete ファイル削除 delete /tmp/test.txt ファイルの名前制限 Rename ファイル名の変更 rename test.txt test2.txt ファイルをリスト Ls ファイル一覧をリスト表 Ls 示 ファイルを受信 Put クライアントからファイルを受信 put c: test.txt /tmp/test.txt ファイルを送信 Get クライアントにファイルを送信 get /tmp/test2.txt c: test2.txt 1. 接続する iseries を選択して右クリック -[ アプリケーション管理 ] を選択します -[ アプリケーション管理 ] のウィンドウが表示されます 1) [ ホスト アプリケーション ] タブを選択します 2) [TCP/IP UTILITIES FOR ISERIES]-[ ファイル転送プロトコル ]- [FTP サーバー ]-[ 特定の操作 ] をクリックします
3) 変更したい FTP サブコマンド項目を選択して [ カスタマイズ ] ボタンをクリックします ( 上の図で はディレクトリー変更を選択しています ) 2. アクセスのカスタマイズ画面が表示されます 基本的な設定手順は FTP サーバーログオン時のアクセス権限の設定と同様です 上記の設定例では FTPUSER2 は cd サブコマンドを使用する事ができません 下図は権限がないコマンドを実行した場合のエラー例です (cd サブマンド実行時のエラー )
参考情報 iseries ナビゲーターの紹介と導入 iseries ナビゲーターを使用すると System i を GUI 画面から操作する事ができます 従来の 5250 画面からの操作のように System i コマンドを覚えなくても Windows のエクスプ ローラーと同様の画面から System i の操作をすることができます iseries ナビゲーターにより System i をより簡単に使用することができます 1. iseries アクセスの機能の一部です Windows 上の GUI にエクスプローラーに似た形式で System i のオブジェクト ジョブ等を表示します この GUI 画面から一般的な Windows の操作で System i を操作するコマンドを実行できます 2. 5250 画面から実行できる機能のほぼ全てを iseries ナビゲーターの GUI 画面から実行できます 3. 加えて iseries ナビゲーターからだけ実行できる独自の機能拡張もされています
4. PC 側に iseries アクセスを導入しておきます System i 側には i5/os オプション 12 ホストサー バーが必要です iseries アクセス (iseries ナビゲーター ) の導入 iseries アクセスの CD-ROM または System i の IFS(V5 の場合 /QIBM/ProdData/CA400/Express/Install/Image 以下 ) の SETUP.EXE を実行します この際 導入オプションで iseries ナビゲーターを導入してください 導入に関する考慮事項 PTF 情報等が提供されています IFS 上 CD-ROM 上の README.TXT READMESP.TXT 等 をご参照ください iseries ナビゲーターの機能 パフォーマンスは i5/os のバージョン iseries ナビゲーターのバー ジョンが新しいほど向上しています 最新のバージョンをお使いください 最新の PTF を適用してからご使用ください PTF は以下の URL より入手可能です ( インストーラーは英語版ですが日本語環境に適用しても正常動作します ) また Windows 95 をお使いの場合 iseries ナビゲーター操作中にエラーが発生するケースがあります 修正方法等は CD-ROM に含まれる上記 README.TXT をご参照ください iseries アクセス (US)