Как автоматизировать обновление паролей пользователей FTP на удаленном FTP-сервере IBM z / OS?
Мы хотим решить бизнес-проблему, как запланировать автоматическое обновление пароля на удаленном FTP-сервере (примечание: z / OS), над которым у нас нет административного контроля, до истечения срока действия пароля. Например, раз в месяц обновляйте пользователя JDoe ' s пароль, как локально, так и на удаленном FTP-сервере ftp.abc.com.
Наш бизнес-процесс требует передачи файлов с использованием протокола FTPS на / с удаленного FTP-сервера (примечание: z / OS). Отдельная организация администрирует этот удаленный FTP-сервер, предоставляя нашей команде учетную запись пользователя, но не административный контроль на уровне сервера. Политика FTP-сервера автоматически истекает сроком действия паролей учетных записей пользователей по прошествии определенного периода времени. Когда это происходит, персонал FTP-сервера требует, чтобы человек, связанный с указанной учетной записью, позвонил в службу поддержки FTP-сервера и подтвердил свою личность. После успешной проверки сотрудники службы поддержки FTP-сервера сбрасывают пароль, требуя от пользователя выбрать новый пароль при следующем входе в систему. FTP-сервер позволяет пользователям сбрасывать свой пароль через командную строку, задав для пароля строку «oldpw / newpw / newpw»; впоследствии, пользователи входят в систему только с помощью "newpw".
Администраторы FTP-сервера не устанавливают пароль пользователя FTP, срок действия которого никогда не истекает.
Несколько лет назад ныне вышедший на пенсию член команды создал собственное приложение для выполнения этой задачи, используя FTPS функциональность, предоставляемая ComponentPro «Клиентский компонент FTP / SSL для .NET». Из-за ограничений ресурсов мы предпочли бы решение, которое нам не нужно поддерживать собственными силами. Примечание: если возможно; если собственный путь представляет собой путь, пусть будет так.
Как мы можем сделать это лучше?
BACKGROUND
Каждая реализация сервера FTP решает, если/как вызывать элементы управления доступом , в соответствии с технической спецификацией протокола передачи файлов (FTP) RFC 959:
2.2. ТЕРМИНОЛОГИЯ . ... пропускной режим Контроль доступа определяет привилегии пользователей на использование и к файлам в этой системе. Контроль доступа необходимые для предотвращения несанкционированного или случайного использования файлов. Вызов доступа является прерогативой серверного FTP-процесса. управления.
Поскольку политика паролей представляет собой форму контроля доступа, а RFC 959 не указывает механизм сброса паролей, кажется разумным заключить , что каждая реализация FTP-сервера решает, если/как поддерживать сброс пароля, инициализированного FTP-клиентом .
На практике это представляет собой то, что мы видим :
Некоторые серверы, такие как Titan FTP server, поддерживают команду SITE PSWD:
SITE PSWD "". " " Другие серверы, такие как WS_FTP Server, поддерживают команду CPWD:
CPWDЕще один вариант:
CPWD сайта
IBM Z/OS FTP SERVER PASSWORD RESET MECHANISM
IBM z/OS FTP сервер расширяет команду File Transfer Protocol (FTP) "PASS", чтобы предоставить пользователям FTP возможность инициировать смену пароля, через FTP клиент.
В частности, введите "oldpass/newpass/newpass", в поле "password" FTP-клиента (замените действительный старый и новый пароли, соответственно, на "oldpass" и "newpass", сохранив разделители forward-slash). При успешном входе в систему это приводит к тому, что FTP-сервер впоследствии меняет пароль пользователя FTP на удаленном сервере. Последующие логины требуют от пользователя FTP предоставления только нового пароля. Дополнительные ограничения существуют; подробнее см. документацию по команде IBM FTP "PASS".
AUTOMATING IBM Z/OS PASSWORD RESETS
Automation зависит как от механизма сброса пароля FTP-сервером, так и от FTP-клиента, который подходит для автоматизации.
В настоящее время мы используем Ipswitch WS_FTP Professional Client v12:
ONERROR GOTO end1 ;(Goes to the end1 label and ends the script)
TRACE SCREEN ;(sends a trace of the script to the screen - you can modify this line to point to a trace files so that any errors can be viewed after the script is run)
LOG SCREEN ;(sends the log file to the screen you can modify this line to point to a trace files so that any errors can be viewed after the script is run)
USER test ;(username command)
PASS oldpw/newpw/newpw ;(password command)
CONNECT 127.0.0.1 21 ;(connects to the remote site)
CLOSE ;(closes the connection)
LABEL end1