iSeriesナビゲーターを使用したFTPサーバーへのアクセス権限の制限方法をご紹介いたします。
- FTPサーバーへのアクセス可能なユーザープロフィールを限定する
- FTPサーバー上で使用可能な機能(FTPサブコマンド)をユーザープロフィール毎に制限する
※今回ご紹介するFTPサーバーの属性変更は5250画面からは実行できません。
※iSeriesナビゲーターの紹介と導入はこちらを参照ください。
iSeriesアクセス(iSeriesナビゲーターの紹介と導入)の開始
1. iSeries側でiSeriesアクセスに必要なジョブを開始します。5250画面でQSECOFR権限でサインオンして以下のコマンドを実行します。
1) STRTCP
2) STRSBS QSERVER
3) STRHOSTSVR *ALL
2. また、FTPサーバーはiSeriesナビゲーターの紹介と導入または5250画面から起動できます。5250画面から実行する場合は以下のコマンドを実行します。
1) STRTCPSVR *FTP
FTPサーバーログオン時のアクセス権限の設定
PCにiSeriesアクセスの導入が完了するとデスクトップまたはスタートメニューにiSeriesナビゲーターのアイコンが作成されます。こちらをクリックして開始します。
1. iSeriesナビゲーターの紹介と導入を最初に起動した場合には接続するiSeriesを設定するよう要求されます。
以下のパラメーターを入力してください。
サーバー : iSeriesのTCP/IP上のホスト名(CFGTCP '12'で確認できます。)またはiSeriesのIPアドレスを入力します。
例はOSA270
デフォルトユーザーID : iSeriesに接続するためのユーザープロフィールです。*SECADM、特殊権限を持つユーザーを指定してください。
例はQSECOFR等
接続の確認 : このボタンを押すとiSeriesアクセスを導入したPCとiSeriesとで正しくTCP/IP通信できるか確認できます。
2. 接続するiSeriesを選択して右クリックし、[アプリケーション管理] -[ローカル設定]を選択します。
―「アプリケーション管理」ウィンドウが表示されます。
3.
1)[ホスト・アプリケーション]タブをクリックします。
2) [TCP/IP UTILITIES FOR ISERIES]-[FTPサーバー]-[ログオン・サーバー]をクリックします。
4.[カスタマイズ]ボタンをクリックします。
-「アクセスのカスタマイズ]パネルが表示されます。
5.各項目を設定します。
1) デフォルト・アクセス :
デフォルト値はチェックがついています。デフォルトの状態では全てのiSeries上のユーザープロフィールでFTPサーバーにアクセス可能です(“否認されるアクセス”に指定したユーザーを除く)。チェックをはずすと“許可されるアクセス”に登録したユーザープロフィールを除く全ユーザープロフィールが、FTPサーバーへアクセス不可となります。
2) 全オブジェクト・システム特権を持つユーザー :
チェックをつけると*ALLOBJ 特殊権限を持つユーザーのFTPサーバーへのアクセスがすべて許可されます。
3) 許可されるアクセス :
1)デフォルト・アクセス、2)全オブジェクト・システム特殊権限を持つユーザーのチェックを外している場合、このフィールドに追加されたユーザーのみがFTPサーバーへアクセス可能となります。
ユーザーを追加するには左のユーザーおよびグループから該当するユーザープロフィール、グループプロフィールを選択し、追加-[ボタン]をクリックします。
4) 否認されるアクセス :
FTPサーバーへのアクセスを許可しないユーザープロフィールを指定する場合、このフィールドにユーザープロフィールを追加します。
設定例1
・アクセスのカスタマイズ
デフォルト・アクセス チェックをはずす
全オブジェクト・システム特権を持つユーザー チェックをつける
・ユーザープロフィールの設定
FTPUSER1 *USR クラス、 *ALLOBJ権限なし 許可されるアクセス に登録
FTPUSER2 *USR クラス、 *ALLOBJ権限なし 否認されるアクセス に登録
QSECOFR *SECOFRクラス、*ALLOBJ権限あり 登録なし
・FTPサーバーへのログオン結果
FTPUSR1 ログオン可能
FTPUSR2 ログオン不可
QSECOFR ログオン可能
* FTPUSR2でログオンした時はエラー画面が表示されます
設定例2
・アクセスのカスタマイズ
デフォルト・アクセス チェックをはずす
全オブジェクト・システム特権を持つユーザー チェックをはずす
・ユーザープロフィールの設定
FTPUSER1 *USR クラス、 *ALLOBJ権限なし 許可されるアクセスに登録
FTPUSER2 *USR クラス、 *ALLOBJ権限なし 登録なし
QSECOFR *SECOFRクラス、*ALLOBJ権限あり 登録なし
・FTPサーバーへのログオン結果
FTPUSER1 ログオン可能
FTPUSER2 ログオン不可
QSECOFR2 ログオン不可
FTPサーバー上で使用可能な機能をユーザープロフィール毎に制限する方法
FTPのサブコマンドについてユーザー単位で使用可能・不可能を設定する事ができます。
| メニュー項目の名前 | 制限するFTPサブコマンド | サブコマンドの意味 | 使用例 |
|---|---|---|---|
| CLコマンド | rcmd | CLコマンドを実行する | quote rcmd call QGPL/PGM1 |
| ディレクトリー/ライブラリー作成 | mkd, mkdir | ディレクトリーの作成 | mkdir /tmp/test1 |
| ディレクトリー/ライブラリー削除 | rmd, rmdir | ディレクトリーの削除 | rmdir /tmp/test1 |
| ディレクトリー変更 | cd | ディレクトリーの変更 | cd /tmp |
| ファイルの削除 | dele, delete | ファイル削除 | delete /tmp/test.txt |
| ファイルの名前制限 | rename | ファイル名の変更 | rename test.txt test2.txt |
| ファイルをリスト | ls | ファイル一覧をリスト表示 | ls |
| ファイルを受信 | put | クライアントからファイルを受信 | put c:\test.txt /tmp/test.txt |
| ファイルを送信 | get | クライアントにファイルを送信 | get /tmp/test2.txt c:\test2.txt |
1. 接続するiSeriesを選択して 右クリック -[ アプリケーション管理]を選択します。
-[アプリケーション管理]のウィンドウが表示されます。
1) [ホスト・アプリケーション]タブを選択します。
2) [TCP/IP UTILITIES FOR ISERIES]-[ファイル転送プロトコル]- [FTPサーバー]-[特定の操作]をクリックします。
3) 変更したいFTPサブコマンド項目を選択して[カスタマイズ]ボタンをクリックします。(上の図ではディレクトリー変更を選択しています。)
2. アクセスのカスタマイズ画面が表示されます。
※基本的な設定手順は FTPサーバーログオン時のアクセス権限の設定と同様です。
注)上記の設定例では FTPUSER2はcd サブコマンドを使用する事ができません。
下図は権限がないコマンドを実行した場合のエラー例です。(cdサブマンド実行時のエラー)
