Servidor Domino para AS/400
Servidor Domino para AS/400
Contenido
Parte 1. Servidor Domino para
AS/400 . . . 1
Capítulo 1. Novedades de la V4R5 . . . 3
Capítulo 2. Impresión de este tema . . . 5
Capítulo 3. Creación de usuarios
Domino . . . 7
Tipos de usuarios de Domino para AS/400 . . . . 7 Detalles: Definir al mismo tiempo un usuario de AS/400 y Domino . . . 8 Detalles: Registrar un usuario AS/400 en Domino . . 8 Necesidades de autorización para los
administradores de Domino para AS/400 . . . 8 Detalles: Otorgar autorizaciones especiales a un
usuario . . . 11 ¿Qué ocurre cuando se define un usuario Domino? 11
Capítulo 4. Planificación de
autorizaciones para la integración de
bases de datos Domino . . . 13
Control de acceso a las bases de datos Domino . . 13 Autorización cuando las aplicaciones Domino
acceden a datos DB2 UDB en AS/400 . . . 14 Autorización cuando las aplicaciones Domino utilizan LS:DO o @DB para acceder a DB2 UDB . 15 Autorización cuando las actividades de LEI
acceden a DB2 UDB . . . 18 Autorización cuando los programas de AS/400
acceden a las bases de datos de Domino. . . 19 Ejemplo: Autorización para acceder a las bases de datos Domino desde los programas AS/400 . 19 Recomendaciones de seguridad para Domino para AS/400 . . . 20
Capítulo 5. Desarrollo de una estrategia
de copias de seguridad para un
servidor Domino para AS/400 . . . 23
Copia de seguridad del producto Domino para
AS/400 . . . 23
Bibliotecas y directorios de Domino para AS/400 24 Elección de una opción para la copia de seguridad del servidor Domino completo . . . 25
Detalles: Salvar el directorio del servidor Domino 25 Detalles: Salvar todo . . . 26 Copia de seguridad de los objetos cambiados del servidor Domino para AS/400 . . . 26
Estrategias de copia de seguridad incremental . . 27 Ejemplos: Copia de seguridad de objetos
cambiados del servidor Domino para AS/400 . . 28 Copia de seguridad del correo del servidor Domino 29
Ejemplos: Copia de seguridad del correo de
Domino . . . 30 Copia de seguridad de bases de datos Domino
específicas . . . 30 Ejemplos: Copia de seguridad de bases de datos Domino específicas . . . 31
Capítulo 6. Recuperación de Domino
para AS/400
. . . 33
Recuperación de un servidor Domino para AS/400 completo . . . 33 Recuperación del correo de Domino . . . 34 Recuperación de bases de datos de Domino
específicas . . . 35 Restaurar objetos cambiados a un servidor Domino para AS/400 . . . 36
Ejemplo: Restaurar objetos Domino cambiados a partir de una copia de seguridad acumulativa . . 36 Ejemplo: Restaurar objetos Domino cambiados a partir de una copia de seguridad del tipo noche por noche . . . 37 Ejemplo: Restaurar bases de datos Domino a
partir de una copia de seguridad incremental . . 38 Ejemplo: Restaurar objetos cambiados de un
subdirectorio Domino específico . . . 38
Capítulo 7. Más información acerca de
Domino para AS/400 . . . 41
¿Qué es Lotus Domino? . . . 42 ¿Qué es Domino para AS/400? . . . 42
Parte 1. Servidor Domino para AS/400
La mayoría de empresas que utilizan Domino™descubren que muy pronto se convierte en un producto esencial para la organización y sus procesos. Al igual que cualquier otra parte importante de la organización, el servidor Domino requiere planificación y gestión.
En los apartados de este Information Center se describen algunas tareas administrativas y de gestión que son exclusivas del producto Domino para AS/400®, en comparación con otras plataformas de servidor Domino. Esas tareas
de gestión afectan a las siguientes áreas:
v “Capítulo 3. Creación de usuarios Domino” en la página 7
v “Capítulo 4. Planificación de autorizaciones para la integración de bases de datos Domino” en la página 13
v “Capítulo 5. Desarrollo de una estrategia de copias de seguridad para un servidor Domino para AS/400” en la página 23
v “Capítulo 6. Recuperación de Domino para AS/400” en la página 33 En el “Capítulo 7. Más información acerca de Domino para AS/400” en la página 41 se proporciona información general y se indican fuentes adicionales de información acerca de Domino para AS/400.
Capítulo 1. Novedades de la V4R5
v Una barra de navegación simplificada proporciona un acceso más sencillo a la información de Domino.
v El apartado “Necesidades de autorización para los administradores de Domino para AS/400” en la página 8 incluye información nueva acerca de las
autorizaciones de AS/400 que son necesarias para realizar otras tareas administrativas típicas, por ejemplo, cambiar las propiedades de un servidor, cambiar el archivo NOTES.INI para un servidor y suprimir un servidor.
Capítulo 2. Impresión de este tema
Es posible examinar o bajar una versión PDF de este documento para verlo o imprimirlo. Para ver archivos PDF hay que tener instalado Adobe®Acrobat® Reader. Se puede bajar una copia desde la página de presentación de Adobe. . Para ver o bajar la versión PDF, seleccione Servidor Domino para AS/400
(aproximadamente 300 KB o 44 páginas).
Para guardar un PDF en su estación de trabajo con el fin de verlo o imprimirlo: 1. Abra el PDF en el navegador (pulse el enlace anterior).
2. En el menú del navegador, pulse Archivo. 3. Pulse Guardar como...
4. Navegue hasta el directorio en el que desearía guardar el PDF. 5. Pulse Guardar.
Capítulo 3. Creación de usuarios Domino
Para que un usuario pueda conectarse al servidor Domino para AS/400, es necesario definir el usuario. Haga lo siguiente:
1. Revise la información del apartado “Tipos de usuarios de Domino para AS/400” para determinar si el usuario necesita un perfil de usuario AS/400 y un registro Domino.
2. Para los nuevos usuarios AS/400 y Domino, Operations Navigator proporciona un método eficaz para crear un perfil de usuario AS/400 y registrar el usuario en Domino. “Detalles: Definir al mismo tiempo un usuario de AS/400 y Domino” en la página 8 describe el procedimiento.
3. Para un usuario AS/400 existente, Operations Navigator proporciona una opción para registrar el usuario en uno o más servidores Domino. “Detalles: Registrar un usuario AS/400 en Domino” en la página 8 describe el
procedimiento.
4. Para un usuario que sólo necesite registrarse en Domino, es probable que sea más eficaz utilizar las funciones administrativas de Domino. La documentación de Domino describe estas funciones.
5. Revise el apartado “Necesidades de autorización para los administradores de Domino para AS/400” en la página 8 para determinar si el usuario tiene responsabilidades administrativas que necesitan autorizaciones especiales del AS/400.
6. Si es necesario, utilice el procedimiento del apartado “Detalles: Otorgar
autorizaciones especiales a un usuario” en la página 11 para asignar privilegios especiales al usuario.
Para obtener información adicional, consulte los siguientes apartados: v “¿Qué ocurre cuando se define un usuario Domino?” en la página 11
v “Recomendaciones de seguridad para Domino para AS/400” en la página 20
Tipos de usuarios de Domino para AS/400
El servidor Domino para AS/400 puede tener tres tipos de usuarios: Usuarios sólo de Domino
Estos usuarios se conectan al servidor desde un cliente Notes o un navegador. No utilizan ninguna función de AS/400 excepto el servidor Domino para AS/400. Estos usuarios no necesitan un perfil de usuario AS/400.
Usuarios de Domino y AS/400
Estos usuarios se conectan al servidor desde un cliente Notes o un
navegador. También acceden al AS/400 de otras maneras, por ejemplo con una emulación de estación de trabajo 5250 o con Client Access. Estos usuarios necesitan un perfil de usuario AS/400 y un registro Domino. Usuarios de Domino que necesitan acceso a DB2/400
Estos usuarios se conectan al servidor desde un cliente Notes o un navegador. A pesar de que no utilizan otras funciones de AS/400, estos usuarios ejecutan aplicaciones Domino que acceden a los archivos de base de datos DB2/400. El que estos usuarios necesiten un perfil de usuario de AS/400 dependerá de la estrategia elegida en las aplicaciones Domino para proporcionar acceso a los datos.
Detalles: Definir al mismo tiempo un usuario de AS/400 y Domino
Puede utilizarse Operations Navigator para crear un usuario AS/400 y registrar al mismo tiempo el usuario en Domino. Haga lo siguiente:1. En la ventana de Operations Navigator, localice el servidor AS/400. Pulse en el signo + para expandir el servidor.
2. Localice y seleccione Usuarios y Grupos.
3. Pulse con el botón derecho del ratón en Usuarios y Grupos. 4. Pulse en Usuario nuevo.
5. Para crear el usuario de AS/400, entre la información de la página Propiedades.
6. Para especificar información adicional relativa al usuario, seleccione cada uno de los siguientes botones. A continuación especifique información en las páginas que se muestran.
v Grupos (opcional) v Personal
v Seguridad v Trabajos
Si tiene alguna pregunta acerca de las páginas, dispone de ayuda en línea. 7. Para crear el usuario en el servidor AS/400, pulse Añadir.
8. Para registrar el usuario en Domino, pulse el botón Redes. 9. Pulse la pestaña Registro Domino.
10. Seleccione el servidor en el que desea registrar el usuario. 11. Pulse el botón Añadir.
12. Especifique la información de las páginas de registro. Si tiene alguna pregunta acerca de las páginas de registro de Domino, hay disponible ayuda en línea. 13. Para completar el registro del usuario en Domino, pulse Aceptar.
Detalles: Registrar un usuario AS/400 en Domino
Para registrar en Domino a un usuario AS/400 existente puede utilizar Operations Navigator. Haga lo siguiente:
1. En la ventana de Operations Navigator, localice el servidor de AS/400. Pulse el signo + para expandir el servidor.
2. Localice y seleccione Usuarios y Grupos.
3. Para expandir Usuarios y Grupos, pulse en el signo + . En la parte derecha de la ventana aparecerá una lista de todos los perfiles de usuario AS/400.
4. Localice el usuario que desea registrar. Para seleccionar el perfil de usuario, efectúe una doble pulsación en el nombre de usuario.
5. En la pantalla Propiedades del usuario, pulse el botón Redes. 6. Pulse la pestaña Registro Domino.
7. Seleccione el servidor en el que desea registrar el usuario. 8. Pulse el botón Añadir.
9. Teclee la información que se solicita en las páginas de Registro Domino. Si tiene alguna pregunta acerca de las páginas, dispone de ayuda en línea. 10. Pulse Aceptar para registrar el usuario.
Necesidades de autorización para los administradores de Domino para
AS/400
Los usuarios que realizan funciones de administración de Domino necesitan la autorización necesaria para realizarlas (No es deseable que todos los usuarios Domino o AS/400 puedan administrar el servidor Domino). Para planificar la autorización de los administradores de Domino, divida las tareas de
Tareas administrativas sólo de Domino:
Estas tareas tienen lugar dentro del servidor Domino cuando éste se ejecuta. Estas tareas no necesitan interactuar con el entorno del servidor AS/400 fuera de
Domino. Un administrador sólo de Domino no necesita disponer de autorizaciones especiales en el AS/400. De hecho, un administrador sólo de Domino ni siquiera necesita un perfil de usuario AS/400. La documentación de Domino describe cómo otorgar este tipo de autorización de administración en Domino.
A continuación se proporcionan algunos ejemplos de tareas de administración de sólo Domino:
Crear una base de datos Domino nueva
Desde la perspectiva del AS/400, una tarea como es la creación de una base de datos Domino nueva se ejecuta bajo el perfil de usuario QNOTES. En un servidor Domino para AS/400 configurado correctamente, o bien el perfil de usuario QNOTES es propietario del directorio de base de datos Domino, o bien tiene autorización suficiente sobre el mismo. Por lo tanto, un administrador de Domino (que se ejecute como QNOTES) tiene la autorización necesaria para crear un objeto nuevo en el directorio de base de datos Domino.
Definir el acceso a la base de datos
Por omisión, el sistema establece correctamente la autorización para una base de datos nueva (desde la perspectiva del AS/400). El administrador de Domino no tiene que preocuparse acerca de la autorización de AS/400 para una base de datos Domino. El administrador de Domino sólo necesita definir el control de acceso de Domino (a través de funciones Domino). Crear usuarios sólo de Domino
Algunos usuarios sólo acceden al servidor Domino. No necesitan tener otro acceso al AS/400. Estos usuarios no necesitan un perfil de usuario AS/400. El administrador de Domino puede registrar estos usuarios a través de Domino sin acceder a las funciones AS/400.
Tareas administrativas mixtas:
Estas tareas requieren interacción con el entorno del servidor AS/400. Los administradores de Domino que llevan a cabo estas tareas necesitan un perfil de usuario AS/400. A continuación se proporcionan las descripciones de estas tareas y de las autorizaciones AS/400 que necesitan tales administradores:
Arrancar y detener el servidor Domino
El administrador puede utilizar Operations Navigator o mandatos AS/400 (STRDOMSVR y ENDDOMSVR) para arrancar y detener el servidor Domino. Ambas interfaces necesitan tener una autorización especial *JOBCTL para arrancar y detener los servidores Domino.
Para proporcionar autorización especial *JOBCTL a un usuario, cambie el campo de autorización especial en el perfil del usuario. Para cambiar el perfil de un usuario puede utilizar Operations Navigator o el mandato Cambiar perfil de usuario (CHGUSRPRF).
Trabajar con la consola Domino
El administrador puede utilizar Operations Navigator o un mandato AS/400 (WRKDOMCSL) para acceder a la consola Domino. Esta consola muestra eventos de servidor y proporciona una línea de mandatos desde la que el administrador puede emitir mandatos de servidor Domino. Para trabajar con la consola Domino, un administrador necesita tener
autorización *USE sobre el programa QNNINCSS de la biblioteca QNOTES y autorización *USE sobre el mandato WRKDOMCSL de la biblioteca QSYS.
Para otorgar las autorizaciones necesarias, escriba los siguientes mandatos desde una línea de mandatos AS/400:
GRTOBJAUT OBJ(QNOTES/QNNINCSS) OBJTYPE(*PGM)
USER(nombre-perfil-administrador) AUT(*USE) REPLACE(*YES) GRTOBJAUT OBJ(QSYS/WRKDOMCSL) OBJTYPE(*CMD)
USER(nombre-perfil-administrador) AUT(*USE) REPLACE(*YES)
Nota: Por omisión, cualquier usuario AS/400 puede visualizar la consola
de Domino. Los administradores necesitan disponer de autorización sobre el programa QNNINCSS para poder entrar mandatos del servidor Domino desde la consola de Domino.
Someter un mandato de servidor Domino
Además de emitir un mandato de servidor desde la consola, el administrador puede someter un mandato de servidor mediante un mandato AS/400 (SBMDOMCMD). Este método permite al administrador incluir un mandato de servidor en un trabajo de proceso por lotes AS/400 o en un programa CL. Para emitir un mandato de servidor utilizando este método, el administrador necesita autorización *USE sobre el programa QNNINSDC de la biblioteca QNOTES y autorización *USE sobre el mandato SBMDOMCMD de la biblioteca QSYS.
Para otorgar las autorizaciones necesarias, escriba los siguientes mandatos desde una línea de mandatos AS/400:
GRTOBJAUT OBJ(QNOTES/QNNINSDC) OBJTYPE(*PGM)
USER(nombre-perfil-administrador) AUT(*USE) REPLACE(*YES) GRTOBJAUT OBJ(QSYS/SBMDOMCMD) OBJTYPE(*CMD)
USER(nombre-perfil-administrador) AUT(*USE) REPLACE(*YES) Cambiar el servidor Domino
Después de configurar un servidor Domino, el administrador puede utilizar Operations Navigator o un mandato AS/400 (CHGDOMSVR) para cambiar la configuración del servidor. Para cambiar el servidor se necesitan las autorizaciones especiales *ALLOBJ, *IOSYSCFG, *JOBCTL y *SECADM. Para proporcionar estas autorizaciones especiales a un usuario, cambie el campo de autorización especial en el perfil del usuario. Para cambiar el perfil de un usuario puede utilizar Operations Navigator o el mandato Cambiar perfil de usuario (CHGUSRPRF).
Cambiar el archivo NOTES.INI
El archivo NOTES.INI define las características operativas del servidor Domino. El administrador puede utilizar Operations Navigator o un mandato AS/400 (EDTF) para cambiar el archivo NOTES.INI para el servidor. Ambas interfaces requieren autorización especial *ALLOBJ o autorización específica para cambiar el archivo.
Para otorgar a un usuario la autorización especial *ALLOBJ, cambie el campo de autorización especial en el perfil del usuario. Para cambiar el perfil de un usuario puede utilizar Operations Navigator o el mandato Cambiar perfil de usuario (CHGUSRPRF). Para otorgar a un usuario autorización específica para cambiar el archivo NOTES.INI, utilice el mandato Trabajar con enlaces de objeto (WRKLNK) a fin de buscar la vía de acceso del archivo y, a continuación, utilice la opción 9 para trabajar con las autorizaciones del archivo (pulse F23 para visualizar la opción 9).
| | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | |
Suprimir el servidor Domino
Al suprimir un servidor Domino se suprime el directorio de datos utilizado por el servidor. El directorio de datos también puede contener datos de usuario. El administrador puede utilizar Operations Navigator o un mandato AS/400 (CFGDOMSVR) para suprimir un servidor Domino. Ambas interfaces requieren las autorizaciones especiales *ALLOBJ, *IOSYSCFG, *JOBCTL y *SECADM.
Para proporcionar estas autorizaciones especiales a un usuario, cambie el campo de autorización especial en el perfil del usuario. Para cambiar el perfil de un usuario puede utilizar Operations Navigator o el mandato Cambiar perfil de usuario (CHGUSRPRF).
Suprimir el software Domino
El administrador puede utilizar un mandato AS/400 (DLTLICPGM) para suprimir el software de Domino para AS/400. El mandato requiere la autorización especial *ALLOBJ.
Para proporcionar la autorización especial *ALLOBJ a un usuario, cambie el campo de autorización especial en el perfil del usuario. Puede utilizar Operations Navigator o el mandato Cambiar perfil de usuario
(CHGUSRPRF) para cambiar el perfil de un usuario. Puesta a punto de usuarios para Domino y AS/400
Algunos usuarios necesitan acceder al servidor Domino y a otras funciones AS/400. Estos usuarios necesitan un perfil de usuario AS/400. Para crear un perfil de usuario AS/400, el perfil de usuario AS/400 del administrador de Domino debe tener autorización especial *SECADM.
Detalles: Otorgar autorizaciones especiales a un usuario
Para asignar autorizaciones especiales a un usuario AS/400, haga lo siguiente: 1. En la ventana de Operations Navigator, localice el servidor AS/400. Pulse en el
signo + para expandir el servidor. 2. Localice y seleccione Usuarios y Grupos.
3. Para expandir Usuarios y Grupos, pulse en el signo + . En la parte derecha de la ventana aparecerá una lista de todos los perfiles de usuario AS/400.
4. Localice el usuario que necesita una autorización especial (también recibe el nombre de privilegio). Para seleccionar el perfil de usuario, efectúe una doble pulsación en el nombre de usuario.
5. En la pantalla Propiedades del usuario, pulse el botón Seguridad.
6. En el diálogo Seguridad — Privilegios, seleccione los privilegios que desea otorgar al usuario.
7. Pulse Aceptar para efectuar los cambios.
¿Qué ocurre cuando se define un usuario Domino?
Cuando se define un usuario Domino nuevo en un servidor, la aplicación del servidor hace dos cosas:
v Crea un documento de persona en el Directorio del servidor Domino (Listín Público). Un documento de persona puede considerarse como una combinación de las funciones que proporcionan el perfil de usuario AS/400 y el directorio de distribución del sistema AS/400. El documento de persona define y ubica al usuario.
v Crea un archivo de ID para el usuario. El archivo de ID contiene el certificado digital que el cliente Notes utiliza para autentificarse en el servidor. Para que el
Capítulo 3. Creación de usuarios Domino
11
| | | | | | | | | | | | | | | | | | | | | | | |
usuario pueda conectarse al servidor de forma satisfactoria, la estación de trabajo del usuario debe tener una copia de este archivo de ID.
Nota: Para los usuarios que se conecten a Domino mediante navegadores en
lugar de hacerlo mediante clientes Notes, el proceso de autentificación es distinto. La documentación de Domino describe los métodos para definir distintos tipos de usuarios.
Capítulo 4. Planificación de autorizaciones para la integración
de bases de datos Domino
Uno de los puntos fuertes de Domino para AS/400 es la capacidad de integrar datos de las bases de datos DB2 UDB para AS/400 y Domino en ambas direcciones. Para aprovechar esta integración es necesario entender y controlar cómo funcionan las autorizaciones entre los dos tipos de bases de datos. v El apartado “Control de acceso a las bases de datos Domino” describe cómo
asegurar que la seguridad AS/400 subyacente trabaja correctamente con el control normal de acceso de la base de datos Domino.
v El apartado “Autorización cuando las aplicaciones Domino acceden a datos DB2 UDB en AS/400” en la página 14 describe alternativas de configuración de autorizaciones cuando las aplicaciones Domino acceden a los recursos de DB2 UDB.
v El apartado “Autorización cuando los programas de AS/400 acceden a las bases de datos de Domino” en la página 19 describe alternativas de configuración de autorizaciones cuando los programas AS/400 acceden a las bases de datos Domino.
v El apartado “Recomendaciones de seguridad para Domino para AS/400” en la página 20 resume las recomendaciones de seguridad para ejecutar Domino en el AS/400.
Control de acceso a las bases de datos Domino
IBM y Lotus han diseñado la seguridad de las bases de datos Domino para AS/400 con dos objetivos:
v Para preservar la portabilidad de las aplicaciones Domino, la seguridad de las bases de datos Domino en el AS/400 debe ser igual que en otras plataformas de servidor. Un modelo de seguridad que funciona en distintos servidores es un valor de Domino.
v Para preservar la seguridad e integridad de otras aplicaciones que puedan compartir el mismo AS/400, Domino para AS/400 debe seguir las reglas de seguridad que se aplican a todas las demás aplicaciones AS/400. La seguridad integrada aplicada uniformemente es un valor de AS/400.
Bloques básicos del control de acceso
Para comprender cómo trabajan la seguridad de Domino y AS/400 conjuntamente con el fin de lograr estos objetivos, empecemos con la información básica relativa a cómo trabaja la seguridad de Domino y a cómo almacena el AS/400 las bases de datos Domino.
v Domino proporciona la posibilidad de definir una lista de control de acceso para cada base de datos Domino. Las listas de control de acceso proporcionan
autorizaciones parecidas a las autorizaciones AS/400. Por ejemplo, en Domino la autorización editor permite a un usuario cambiar cualquier documento de una base de datos. Sin embargo, un editor no puede suprimir una base de datos o proporcionar a otros usuarios autorización sobre la base de datos.
De forma similar, en DB2 UDB la autorización *CHANGE permite a un usuario añadir, cambiar o suprimir registros en un archivo de base de datos. Sin
© Copyright IBM Corp. 1998, 2000
13
| | | |
embargo, la autorización *CHANGE no permite a un usuario suprimir el archivo ni permite autorizar a terceros para que lo utilicen.
Nota: Puede encontrar más información acerca de las autorizaciones de Domino
en las publicaciones de Domino.
v Cuando se configura un servidor Domino para AS/400, se especifica el
directorio para las bases de datos del servidor. Por ejemplo, se puede especificar /NOTES/DATA. Las bases de datos de Domino para AS/400 (archivos con extensión .NSF) siempre residen en el sistema de archivos integrado AS/400. AS/400 crea el directorio de base de datos Domino con la autorización de uso público establecida en *EXCLUDE. Siempre que un usuario Domino crea una base de datos nueva, la autorización de uso público para dicha base de datos es *EXCLUDE. Esto evita que los usuarios AS/400 accedan a las bases de datos Domino desde fuera de Domino. (Como es evidente, todo usuario con autorización especial *ALLOBJ puede acceder a cualquier base de datos o suprimirla).
v Por omisión, un perfil de usuario llamado QNOTES es propietario del directorio de base de datos Domino y de todos los objetos del directorio. El perfil de usuario QNOTES tiene autorización *ALL sobre los objetos. Los trabajos del servidor Domino se ejecutan utilizando el perfil de usuario QNOTES. Secuencia de pasos para la comprobación de accesos
Ahora puede juntar las piezas del rompecabezas y ver qué ocurre cuando un usuario Notes intenta acceder a una base de datos Domino:
1. OS/400 comprueba si el usuario tiene autorización sobre el objeto del sistema de archivos integrado (por ejemplo /NOTES/DATA/mydb.nsf). Para OS/400, el usuario parece ser QNOTES. Por lo tanto, QNOTES debe tener autorización suficiente sobre los archivos de base de datos Domino del sistema de archivos integrado. Cuando Domino para AS/400 crea los directorios y las bases de datos, el perfil de QNOTES es propietario de los mismos. Por lo tanto, a menos que el administrador haya hecho algo no habitual, QNOTES tiene autorización y OS/400 permite el acceso.
2. El control pasa a Domino para AS/400. Domino sabe cuál es el usuario real que ha establecido una conexión con el servidor y se ha autentificado. El servidor Domino comprueba la autorización del usuario en la lista de control de acceso de la base de datos. Si el usuario tiene la autorización correcta, Domino para AS/400 sigue adelante con la petición del usuario.
Autorización cuando las aplicaciones Domino acceden a datos DB2
UDB en AS/400
Una característica importante de Domino para AS/400 es la integración entre las bases de datos Domino y DB2 UDB en el AS/400. Existen cuatro métodos para que las aplicaciones Domino puedan acceder a (y actualizar) DB2 UDB:
v Las aplicaciones LotusScript utilizan el objeto de datos de LotusScript (LS:DO) como interfaz para datos DB2 UDB. Mediante LS:DO, la aplicación Domino envía una petición a DB2 UDB.
v Las aplicaciones Domino de cualquier lenguaje de programación soportado pueden utilizar instrucciones @DB para interactuar con una base de datos relacional, incluida DB2 UDB.
v Domino Enterprise Connection Services (DECS) proporciona acceso en tiempo real a datos DB2 UDB mediante una aplicación Domino.
| | | | | | | | | | |
v Lotus Enterprise Integrator (LEI), antes conocido como NotesPump, proporciona métodos de fácil utilización para sincronizar información de bases de datos Domino con información de DB2 UDB. LEI es un producto Domino añadido que se puede pedir por separado.
Nota: En otras plataformas de servidor, las funciones LS:DO y @DB utilizan una
interfaz ODBC con las bases de datos relacionales. En AS/400, el sistema operativo intercepta la petición de la base de datos Domino y la procesa directamente sin utilizar ODBC. Por lo tanto, el programa tiene el mismo aspecto que en otras plataformas de servidor Domino, pero el proceso subyacente en AS/400 es más directo.
Los cuatro métodos para acceder a DB2 UDB desde Domino establecen una
conexión desde Domino al AS/400. La conexión especifica el perfil de usuario cuya
autorización utiliza el sistema para acceder a los archivos DB2 UDB y una contraseña correspondiente a ese perfil de usuario.
Los siguientes temas proporcionan más información:
v “Autorización cuando las aplicaciones Domino utilizan LS:DO o @DB para acceder a DB2 UDB”
v “Autorización cuando las actividades de LEI acceden a DB2 UDB” en la página 18
Autorización cuando las aplicaciones Domino utilizan LS:DO
o @DB para acceder a DB2 UDB
Una aplicación Domino puede utilizar funciones LS:DO (objeto de datos de LotusScript) o @DB para proporcionar acceso a DB2 UDB. En ambos métodos, la aplicación establece una conexión con DB2 UDB. La conexión especifica un perfil de usuario y una contraseña de AS/400. Antes de permitir la conexión, OS/400 comprueba lo siguiente:
v La combinación de perfil de usuario y contraseña, que debe ser válida. v La autorización del usuario para el archivo DB2 UDB.
A continuación se enumera una serie de consideraciones de seguridad para proteger los datos DB2 UDB cuando se proporciona acceso desde las aplicaciones Domino.
1. Para las aplicaciones en tiempo real (aplicaciones conectadas a un cliente), decida qué perfil de usuario AS/400 utilizarán las aplicaciones Domino para acceder a los datos DB2 UDB. Puede tomar la decisión basándose en la aplicación Domino o en DB2 UDB. Las opciones son las siguientes:
v Utilizar el perfil de usuario del usuario que está ejecutando la aplicación Domino. Con este método necesita un perfil de usuario AS/400 para cada usuario Domino que necesite ejecutar una aplicación que acceda a datos DB2 UDB. En el apartado “Detalles: Conexión de una aplicación Domino a DB2 UDB con un perfil de usuario AS/400 coincidente” en la página 16 se describe cómo puede proporcionar la aplicación Domino el perfil de usuario y la contraseña AS/400.
v Definir perfiles de usuario AS/400 especiales cuya única función sea
proporcionar a Domino acceso a los datos AS/400. Esto elimina la necesidad de que cada usuario Domino tenga un perfil de usuario AS/400. En el apartado “Detalles: Conexión de una aplicación Domino a DB2 UDB con un perfil de usuario AS/400 especial” en la página 16 se exponen diversas consideraciones sobre este método.
Capítulo 4. Planificación de autorizaciones para la integración de bases de datos Domino
15
| | | | | | | | | | | | | |
v Utilizar una combinación de estos métodos. Cree perfiles de usuario especiales para proporcionar el equivalente al acceso público (o anónimo) para usuarios Domino. Esto puede ser adecuado para los archivos de base de datos que pueden ver todos los usuarios. Confíe en el perfil de usuario AS/400 del usuario Domino para niveles de acceso más elevados o para archivos confidenciales.
2. Para las aplicaciones planificadas (como los agentes), también debe proporcionar un perfil de usuario AS/400 al conectarse a DB2 UDB. Las
aplicaciones planificadas se ejecutan en el servidor sin un cliente conectado. Por lo tanto, la aplicación no puede solicitar un ID de usuario y una contraseña de un usuario Domino. Repase el apartado “Detalles: Conexión de una aplicación Domino a DB2 UDB con un perfil de usuario AS/400 especial” para conocer las alternativas disponibles.
3. Considere la posibilidad de utilizar autorización adoptada para proporcionar un control más estricto sobre las acciones que puede realizar un programa Domino con los datos DB2 UDB. Consulte el apartado “Ejemplo: Utilización de autorización adoptada para acceso de Domino a datos DB2 UDB” en la
página 17.
4. Tenga en cuenta que puede utilizar la posibilidad de ocultación del diseño que proporciona Domino a fin de evitar que los usuarios vean información de seguridad acerca de una aplicación.
Detalles: Conexión de una aplicación Domino a DB2 UDB con un
perfil de usuario AS/400 coincidente
Cuando una aplicación Domino accede a datos DB2 UDB, la aplicación Domino necesita establecer una conexión con DB2 UDB. La conexión necesita un perfil de usuario y una contraseña AS/400 válidos.
Cuando desee que la aplicación Domino se conecte utilizando el perfil AS/400 del usuario Domino, lleve a cabo una de las acciones siguientes:
1. La aplicación puede solicitar al usuario Domino un nombre y una contraseña de perfil de usuario AS/400 durante la primera conexión dentro de una sesión. Asegúrese de que la aplicación protege cuidadosamente esta información. Debe evitarse almacenar las contraseñas de los perfiles de usuario AS/400 en el servidor.
2. Puede hacerse con un formulario y una base de datos para los usuarios Domino que necesiten tener acceso a bases de datos AS/400. El formulario solicita al usuario el nombre y la contraseña del perfil de usuario AS/400. La aplicación cifra la información y la almacena en una base de datos segura en el cliente. Por lo tanto, sólo el usuario o una aplicación que se ejecute en nombre del usuario pueden descifrar la contraseña.
Con este método, los usuarios no necesitan especificar el perfil de usuario y la contraseña AS/400 cada vez que se conectan desde Domino a DB2 UDB. Sin embargo, deberán utilizar el formulario para actualizar el registro
correspondiente de la base de datos cuando cambien la contraseña AS/400.
Detalles: Conexión de una aplicación Domino a DB2 UDB con un
perfil de usuario AS/400 especial
Cuando una aplicación Domino accede a datos DB2 UDB, la aplicación Domino necesita establecer una conexión con DB2 UDB. La conexión necesita un perfil de usuario y una contraseña AS/400 válidos.
Es posible que desee crear perfiles de usuario especiales con el objetivo de proporcionar conexiones entre las aplicaciones Domino y los datos DB2 UDB. Realice lo siguiente para los perfiles de usuario especiales:
1. Decida cuántos perfiles de usuario especiales desea crear:
v Cree un único perfil de usuario AS/400 para proporcionar acceso anónimo (o público) a las bases de datos no confidenciales.
v Cree varios perfiles específicos para proporcionar acceso a DB2 UDB. Puede considerar estos perfiles de usuario como similares a los perfiles de grupo. Estos perfiles sirven para simplificar la gestión de autorizaciones. Recuerde que con este método, el AS/400 no sabe nada acerca del usuario Domino real. La aplicación Domino establece el nombre del perfil de usuario. Esto significa que confía en el administrador de Domino para controlar quién puede utilizar la aplicación.
2. Decida si desea utilizar contraseñas para la conexión:
v La conexión puede especificar un nombre de perfil de usuario y *NOPWD. El perfil de usuario QNOTES debe tener autorización *USE sobre el perfil de usuario. Con este método, cualquier aplicación Domino puede utilizar este perfil de usuario AS/400 para intentar acceder a los datos.
v La aplicación puede almacenar el nombre del perfil de usuario y una contraseña. Puede proteger esta información de forma que solamente los programadores de confianza puedan verla y actualizarla. Sin embargo, necesitará actualizar la aplicación siempre que cambie la contraseña de AS/400.
Con este método, solamente los usuarios Domino que tengan autorización sobre el programa que contiene el perfil de usuario y la contraseña podrán intentar acceder con él a los datos DB2 UDB. El perfil QNOTES no necesita tener autorización *USE sobre el perfil de usuario.
3. Defina el perfil de usuario para protegerlo contra utilizaciones no deseadas: a. Establezca el programa inicial en *NONE.
b. Establezca el menú inicial en *SIGNOFF.
Ejemplo: Utilización de autorización adoptada para acceso de
Domino a datos DB2 UDB
Es posible que utilice autorización adoptada en el AS/400 para gestionar la forma en que los usuarios actualizan la información. Por ejemplo, el usuario típico puede tener autorización *USE sobre el archivo de pedidos abiertos (que permite ver pero no crear, cambiar ni suprimir). Sin embargo, es posible que desee asegurarse de que sólo ciertos usuarios puedan crear o cambiar pedidos. Además querrá asegurarse de que un pedido nuevo pase las comprobaciones de edición antes de pasar al archivo de pedidos abiertos. Este tipo de control puede llevarse a cabo en AS/400 con la autorización adoptada. Un perfil de usuario con autorización *CHANGE sobre el archivo de pedidos abiertos es propietario del programa que proporciona la función de crear y cambiar. Ciertos usuarios tienen autorización *USE para ejecutar el programa.
Para utilizar una técnica similar cuando desee gestionar la capacidad de actualizar datos DB2 UDB desde las aplicaciones Domino, haga lo siguiente:
1. Si es necesario, diseñe y cree programas AS/400 que realicen las tareas que desea llevar a cabo (como cambiar un registro específico de una base de datos). Probablemente pueda adaptar programas ya existentes.
2. Ponga a punto los programas para que adopten la autorización de un perfil de usuario que disponga de autorización adecuada sobre el archivo de base de datos. Haga lo siguiente:
a. Para transferir la propiedad del programa al perfil de usuario adecuado, utilice el mandato Cambiar propietario de objeto (CHGOBJOWN).
b. Para especificar que el programa debe adoptar la autorización, utilice el mandato Cambiar programa (CHGPGM). Especifique *OWNER para el parámetro Perfil de usuario (USRPRF).
3. Defina los programas como procedimientos almacenados para los archivos DB2 UDB que desea actualizar.
4. Diseñe y cree los programas Domino para que utilicen los procedimientos almacenados con el fin de actualizar los archivos DB2 UDB.
5. Cuando los programas Domino se conecten a DB2 UDB, especifique un nombre de perfil de usuario que tenga autorización *USE sobre los programas de procedimiento almacenado.
Autorización cuando las actividades de LEI acceden a DB2
UDB
Lotus Enterprise Integrator (LEI), antes conocido como NotesPump, es una aplicación Domino que se puede pedir por separado y que proporciona la posibilidad de sincronizar bases de datos Domino con DB2 UDB para AS/400 (y otras bases de datos relacionales). Normalmente, cuando se utiliza LEI hay uno o varios administradores responsables de definir y gestionar la sincronización que se produce entre las bases de datos. El administrador crea documentos de actividad en una base de datos LEI. Cada documento describe una actividad de
sincronización específica y la planificación correspondiente. Por ejemplo, puede sincronizar el archivo maestro de clientes DB2 UDB con la base de datos de servicio al cliente Domino dos veces al día.
Una actividad de LEI debe establecer una conexión con DB2 UDB. La conexión especifica un perfil de usuario y una contraseña de AS/400. Antes de permitir la conexión, OS/400 comprueba lo siguiente:
v La combinación de perfil de usuario y contraseña, que debe ser válida. v La autorización del usuario para el archivo DB2 UDB.
A continuación se proporcionan algunas consideraciones de seguridad para proteger los datos DB2 UDB cuando se proporciona acceso desde las actividades de LEI:
1. Decida qué perfiles de usuario AS/400 se van a utilizar en la petición de conexión. En el apartado “Detalles: Conexión de una aplicación Domino a DB2 UDB con un perfil de usuario AS/400 especial” en la página 16 se comentan las opciones.
2. Asegúrese de proteger la base de datos de actividades de LEI en forma tal que solamente los administradores de confianza puedan verla o cambiarla. También puede proteger documentos individuales de la base de datos. Por ejemplo, cuando tenga más de un administrador de LEI, no es necesario que todos los administradores conozcan el perfil de usuario y la contraseña para cada actividad.
3. Decida si desea sincronizar los datos y las autorizaciones o solamente los datos. La documentación de LEI proporciona más información acerca de cómo configurar las actividades de LEI y acerca de las cuestiones de seguridad relacionadas. También proporciona detalles acerca de cómo funciona la sincronización de autorizaciones. | | | | | | | | | |
Autorización cuando los programas de AS/400 acceden a las bases de
datos de Domino
La integración de base de datos entre Domino y AS/400 funciona en ambas direcciones. Las aplicaciones Domino pueden recuperar (y actualizar) datos DB2 UDB. Igualmente, las aplicaciones AS/400 pueden recuperar (y actualizar) información de las bases de datos Domino. A continuación se proporcionan los pasos básicos para acceder a una base de datos Domino desde un programa de AS/400:
1. Para acceder a una base de datos Domino, un programa AS/400 utiliza las API (Interfaz de Programación de Aplicaciones) de Domino. Estas API Domino están disponibles para los lenguajes de programación C, C++ y Java.
2. Domino procesa la petición de base de datos como un programa servidor (no como un programa cliente-servidor). Por lo tanto, el usuario Domino para la petición de base de datos es el usuario asociado al servidor.
3. Un servidor Domino puede tener más de un archivo NOTES.INI. El archivo NOTES.INI especifica el usuario correspondiente a los trabajos del servidor para ese archivo INI.
4. El programa AS/400 puede utilizar una API para seleccionar el archivo INI adecuado para las bases de datos Domino a las que desea acceder. Si el programa AS/400 no especifica explícitamente un archivo INI, Domino utiliza el usuario por omisión del servidor.
5. El usuario Domino debe tener la autorización necesaria sobre la base de datos Domino.
6. Para acceder al servidor Domino y al archivo NOTES.INI, el programa AS/400 que contiene las API debe ejecutarse bajo el perfil de usuario QNOTES. No es posible adoptar la autorización de QNOTES para obtener acceso porque el sistema de archivos integrado no reconoce la autorización adoptada. (Las bases de datos Domino residen en el sistema de archivos integrado del AS/400). Para que el servidor Domino funcione correctamente, el perfil de usuario QNOTES debe tener autorización *ALL sobre todos los objetos Domino. Por lo tanto, debe evitar otorgar a los usuarios autorización sobre el perfil de usuario QNOTES y sólo debe adoptar la autorización de QNOTES cuando sea necesario. En cambio, utilice programas específicos para funciones específicas y utilice el intercambio de perfiles. El apartado “Ejemplo: Autorización para acceder a las bases de datos Domino desde los programas AS/400” proporciona un ejemplo de esta técnica.
Ejemplo: Autorización para acceder a las bases de datos
Domino desde los programas AS/400
A continuación se proporciona un ejemplo para proporcionar acceso a datos Domino desde un programa AS/400 al tiempo que se protege el perfil de usuario QNOTES:
Pasos:
1. Cree un programa AS/400 que contenga las instrucciones de API para acceder a bases de datos Domino específicas. Por ejemplo: un programa C++ llamado ACCESSDOM. A continuación se proporcionan las características de seguridad del programa ACCESSDOM:
v La autorización de uso público es *EXCLUDE.
v El perfil de usuario QNOTES es propietario del programa. v El programa no adopta la autorización.
v Ningún usuario tiene autorización privada sobre el programa.
2. Cree un programa que proporcione la interfaz de usuario AS/400. El programa puede visualizar información tanto de las bases de datos AS/400 como de una base de datos Domino. Por ejemplo, un programa RPG llamado USERDB1. A continuación se proporcionan las características de seguridad del programa USERDB1:
v La autorización de uso público es *EXCLUDE.
v El perfil de usuario QNOTES es propietario del programa.
v El programa adopta la autorización del perfil de usuario QNOTES. v Existen usuarios autorizados con autorización privada sobre el programa. 3. Proporcione acceso a la base de datos Domino a través de los pasos siguientes:
a. Un usuario autorizado ejecuta el programa USERDB1.
b. El programa USERDB1 utiliza una API AS/400 para cambiar al perfil de usuario QNOTES. (El usuario no tiene autorización directa para cambiar al perfil de usuario QNOTES. Sin embargo, el programa USERDB1 adopta la autorización del perfil QNOTES y, por lo tanto, tiene autorización suficiente para cambiar al perfil de usuario QNOTES).
c. El programa USERDB1 llama al programa ACCESSDOM y pasa los parámetros relativos a la petición de base de datos.
d. El programa ACCESSDOM ejecuta las API de Domino para recuperar los datos de Domino y devolverlos al programa USERDB1.
e. El programa USERDB1 vuelve al perfil de usuario del usuario solicitante. Visualiza los datos de Domino para el usuario.
Características de seguridad del ejemplo:
v La autorización de uso público sobre el programa ACCESSDOM es *EXCLUDE. Ningún usuario (excepto un usuario con autorización especial *ALLOBJ) puede ejecutar este programa directamente. Por lo tanto, los usuarios AS/400 no pueden obtener acceso a las bases de datos Domino fuera del control del programa USERDB1.
v La autorización de uso público para el programa USERDB1 también es
*EXCLUDE. Solamente determinados usuarios AS/400 tienen autorización para ejecutar el programa.
v El programa ACCESSDOM puede especificar un archivo NOTES.INI. El archivo NOTES.INI puede señalar un usuario Domino que disponga de las
autorizaciones de base de datos deseadas.
v Para este ejemplo no es necesario que los usuarios AS/400 típicos tengan autorización *USE sobre el perfil de usuario QNOTES. El programador necesitará tener autorización sobre el perfil de usuario QNOTES.
Recomendaciones de seguridad para Domino para AS/400
A continuación se proporcionan recomendaciones para proteger el servidor
Domino y el resto de datos y aplicaciones AS/400 al ejecutar Domino para AS/400 en el sistema:
v Para que Domino para AS/400 funcione adecuadamente, asegúrese de que el perfil de usuario QNOTES es propietario de todos los objetos del directorio de datos de Domino. (Por omisión, esto sucederá automáticamente).
v Debido a que el perfil QNOTES debe tener autorización *ALL sobre las bases de datos Domino, los valores del perfil de usuario QNOTES están diseñados para proteger los datos de Domino. Por ejemplo, el perfil de usuario QNOTES no tiene contraseña. El menú inicial es *SIGNOFF. No debe cambiar los valores del perfil de usuario QNOTES.
v La autorización de uso público sobre el perfil de usuario QNOTES es
*EXCLUDE. Esto evita que los usuarios sometan trabajos que se ejecutan bajo el perfil de usuario QNOTES. No debe cambiar la autorización de uso público para el perfil de usuario QNOTES. Otorgue autorización privada sobre el perfil de usuario QNOTES con precaución extrema.
Nota: Para garantizar que los usuarios no puedan someter trabajos bajo el perfil
de usuario QNOTES, el nivel de seguridad del sistema (valor del sistema QSECURITY) debe ser 40 o superior. De lo contrario, una descripción de trabajo que especifique el perfil de usuario QNOTES representará un riesgo potencial para la seguridad.
v Por omisión, el perfil de usuario QNOTES es propietario del directorio de base de datos Domino y de los objetos que contiene. Para asegurarse de que las aplicaciones Domino se ejecutan adecuadamente, debe asegurarse de que el perfil de usuario QNOTES sea propietario de esos objetos.
v Por omisión, la autorización de uso público sobre el directorio de base de datos Domino y los objetos que contiene es *EXCLUDE. Para garantizar que la seguridad de Domino funciona correctamente, debe asegurarse de que la autorización de uso público sobre el directorio o los objetos es *EXCLUDE.
Nota: El directorio de base de datos Domino es el directorio por omisión que se
especifica al configurar el servidor Domino. El valor por omisión es /NOTES/DATA.
Capítulo 5. Desarrollo de una estrategia de copias de
seguridad para un servidor Domino para AS/400
Un servidor Domino típico contiene información importante de la empresa. Es posible que la mayor parte de esta información no exista en ninguna otra
organización excepto en los servidores. Por ejemplo, los usuarios suelen confiar en el correo electrónico para comunicaciones importantes que no quedan recogidas en ningún otro sitio. Igualmente, una aplicación en línea de servicio al cliente puede contener registros de los que no existe copia impresa. Por lo tanto, necesita una buena estrategia para hacer regularmente copias de seguridad de la información contenida en el servidor Domino. Las copias de seguridad constituyen una protección frente a los siniestros (por ejemplo, la destrucción del local o del
hardware) y los errores humanos, tales como la eliminación accidental de una base de datos muy importante.
La estrategia para realizar las copias de seguridad del servidor Domino puede incluir algunas o todas las opciones siguientes:
v El apartado “Copia de seguridad del producto Domino para AS/400” describe las opciones para salvar las partes relativamente estáticas (no cambiantes) del servidor Domino.
v El apartado “Elección de una opción para la copia de seguridad del servidor Domino completo” en la página 25 describe las opciones para salvar las partes dinámicas (cambiantes) del servidor Domino.
v El apartado “Copia de seguridad de los objetos cambiados del servidor Domino para AS/400” en la página 26 describe las opciones para llevar a cabo copias de seguridad incrementales entre copias de seguridad completas.
v El apartado “Copia de seguridad del correo del servidor Domino” en la página 29 describe cómo salvar una única base de datos de correo o todas las bases de datos de correo del servidor Domino.
v El apartado “Copia de seguridad de bases de datos Domino específicas” en la página 30 describe cómo salvar una base de datos Domino específica o un grupo de bases de datos.
Copia de seguridad del producto Domino para AS/400
Después de instalar el producto Domino para AS/400, incluidas las características opcionales, debe salvar fuera de línea una copia del producto. También debe salvar periódicamente una copia del producto; por ejemplo, al actualizar a un nuevo release o al aplicar arreglos. Para salvar las bibliotecas y directorios que contienen la información relativamente estática del servidor Domino para AS/400, dispone de las siguientes opciones.
Nota: Si el AS/400 ya está ejecutando otras aplicaciones, probablemente ya esté
utilizando alguna de esas opciones.
1. Para salvar el sistema AS/400 completo, utilice la opción 21 (Sistema completo) del menú Salvar.
Nota: Para acceder al menú Salvar teclee GO SAVE
2. Para salvar únicamente bibliotecas y directorios de producto, utilice la opción 22 (Sólo datos de sistema) del menú Salvar.
Nota: Las bibliotecas de producto tienen nombres que empiezan por “Q”. Los directorios de producto se encuentran en la siguiente vía de acceso: /QIBM/ProdData/
3. Para incluir el directorio y bibliotecas de Domino en un programa existente de copia de seguridad de sistema, utilice los siguientes mandatos:
SAVLIB LIB(QNOTES QNOTESAPI QNOTESCPP QNOTESHTST QNOTESLSKT)
DEV(nombre-dispositivo)
SAV DEV('/QSYS.LIB/nombre-dispositivo.DEVD') OBJ('/QIBM/ProdData/*') UPDHST(*YES)
Para obtener información detallada acerca del contenido de bibliotecas y directorios Domino, consulte el apartado “Bibliotecas y directorios de Domino para AS/400”.
Bibliotecas y directorios de Domino para AS/400
El contenido de las bibliotecas AS/400 es el siguiente: v Programas del producto de servidor Domino para AS/400.
v Programas disponibles que los desarrolladores de Domino pueden copiar en las estaciones de trabajo.
v Información de adaptación, tal como las descripciones de subsistemas y trabajos. La tabla siguiente muestra las bibliotecas Domino. Todas estas bibliotecas, excepto
QUSRNOTES,forman parte del grupo *IBM de copia de seguridad. QUSRNOTES
forma parte del grupo *ALLUSR.
Elemento Biblioteca Vía de acceso de biblioteca
Producto Domino para AS/400
QNOTES /QSYS.LIB/QNOTES.LIB
API de C QNOTESAPI /QSYS.LIB/QNOTESAPI.LIB API de C++ QNOTESCPP /QSYS.LIB/QNOTESCPP.LIB Extensiones de LotusScript QNOTESLSKT /QSYS.LIB/QNOTESLSKT.LIB Información de adaptación QUSRNOTES QSYS.LIB/QUSRNOTES.LIB
La mayor parte de la información para el producto Domino para AS/400 se encuentra en el sistema de archivos integrado. La tabla siguiente muestra los directorios:
Tipo de información Vía de acceso
Información estática del producto /QIBM/ProdData/Lotus/Notes Archivos de adaptación del producto /QIBM/UserData/Lotus/Notes Vía de acceso para el directorio de datos del
servidor
Especificadas al configurar el servidor
| |||| | | || ||| ||| | | || | | || | |
Elección de una opción para la copia de seguridad del servidor
Domino completo
Cuando se habla de salvar un servidor Domino, normalmente se está hablando de salvar toda la información dinámica asociada al servidor. Debe salvar todas las bases de datos, incluyendo las bases de datos de correo de usuario. También debe salvar el Directorio Domino (Listín Público) para el servidor.
Cuando se configura un servidor Domino, se especifica el directorio para el servidor, por ejemplo /NOTES/DATA. Por omisión, todas las bases de datos del servidor estarán en esa vía de acceso. Los administradores de Domino pueden tener la autorización para situar una base de datos Domino en otra vía de acceso (utilizando un mandato de sistema de archivos integrado). Normalmente, los usuarios finales (clientes Notes) no pueden crear bases de datos Domino en ninguna ubicación excepto en la vía de acceso por omisión del servidor. Si es usted responsable de la copia de seguridad de un servidor Domino para AS/400, debe desarrollar una estrategia de copia de seguridad que coincida con la política seguida para almacenar la información. A continuación se proporcionan dos combinaciones posibles:
Estrategia de gestión de base de datos Domino Estrategia de copia de seguridad de base de datos Domino
Limitar la ubicación de bases de datos Domino.
Combine las políticas y la seguridad para mantener todas las bases de datos Domino dentro del directorio (vía de acceso) por omisión del servidor Domino.
Con este método, puede elegir hacer una copia de seguridad sólo de la vía de acceso del servidor y de la vía de acceso que contiene los objetos dinámicos suministrados por IBM. Consulte el apartado “Detalles: Salvar el directorio del servidor Domino”
No limitar la ubicación de las bases de datos Domino.Dé por hecho que las bases de datos Domino pueden existir en cualquier parte del sistema de archivos integrado (en el directorio raíz o en el directorio /QOpenSys).
Con este método, debe realizar copias de seguridad de todo el directorio raíz y del directorio /QOpenSys. Consulte el apartado “Detalles: Salvar todo” en la página 26
Detalles: Salvar el directorio del servidor Domino
A continuación se proporciona un ejemplo de los pasos para efectuar una copia de seguridad del directorio del servidor Domino para AS/400 y del directorio
suministrado por IBM.
1. Para asegurar la obtención de una copia completa del servidor debe detener el mismo antes de iniciar la operación de salvar. Escriba el siguiente mandato AS/400:
ENDDOMSVR SERVER(nombre-servidor)
Si utiliza sincronización de directorio, detenga también los trabajos de sincronización de directorio. Escriba el siguiente mandato:
CALL QNOTESINT/QNNDIEND
2. Para salvar el directorio Domino y el directorio suministrado por el sistema, utilice el mandato siguiente. Sustituya /NOTES/DATA por el nombre de su directorio.
SAV DEV('/QSYS.LIB/nombre-dispositivo.DEVD') OBJ(('/NOTES/DATA/*')
('/QIBM/UserData/Lotus/Notes/*'))
3. Para salvar la biblioteca que contiene la información de adaptación de los servidores Domino, utilice el mandato siguiente:
SAVLIB LIB(QUSRNOTES) DEV(nombre-dispositivo)
Nota: Si normalmente ya utiliza la opción 21 o 23 del menú Salvar, no es necesario
que efectúe copias de seguridad del servidor Domino por separado.
Detalles: Salvar todo
Si las bases de datos Domino no están confinadas en una vía de acceso de
directorio específica, utilice alguna de las siguientes opciones para asegurar que las bases de datos Domino se salvan de forma periódica:
v Salvar el sistema completo (opción 21 del menú Salvar). v Salvar todos los datos de usuario (opción 23 del menú Salvar).
v Utilizar el mandato SAV (Salvar) para salvarlo todo excepto los sistemas de archivos QSYS.LIB y QDLS:
SAV DEV('/QSYS.LIB/nombre-dispositivo.DEVD') OBJ(('/*') ('QSYS.LIB' *OMIT)
('/QDLS.LIB' *OMIT) ('/QIBM/ProdData' *OMIT)
('QOpenSys/QIBM/ProdData' *OMIT)) UPDHST(*YES)
Notas:
1. Cuando se utilizan las opciones 21 o 23 del menú Salvar, el sistema detiene automáticamente todas las actividades (se coloca en estado restringido). Cuando se utilizan mandatos para salvar la información del servidor (en lugar de utilizar el menú Salvar), antes de efectuar la operación de salvar se debe parar el servidor. De esta manera se asegura que las bases de datos se encuentran en un estado conocido para la operación de salvar. Para parar el servidor, utilice el mandato Finalizar servidor Domino (ENDDOMSVR). 2. Vea la documentación de Domino para conocer las posibles alternativas (por
ejemplo, los servidores en cluster) para reducir las repercusiones de las operaciones de copia de seguridad en la disponibilidad del servidor Domino para los usuarios.
Copia de seguridad de los objetos cambiados del servidor Domino
para AS/400
AS/400 proporciona la posibilidad de salvar solamente los objetos cambiados desde una fecha y hora específicas o desde la última operación de salvar. Este tipo de posibilidad de salvar se llama a veces copia de seguridad incremental.
Algunas instalaciones de AS/400 realizan periódicamente operaciones de salvar incrementales en combinación con una operación de salvar completa que se efectúa con menos frecuencia. Por ejemplo, puede que desee salvar semanalmente el servidor Domino para AS/400 completo, quizá el sábado por la noche. En este caso, cada noche durante la semana salvará únicamente lo que haya cambiado desde el sábado por la noche. Una combinación de copias de seguridad completas e incrementales puede resultar particularmente útil si el servidor Domino tiene muchas bases de datos que no cambian muy a menudo.
Para salvar información basándose en la fecha del último cambio, utilice el parámetro CHGPERIOD (Período de cambio) del mandato SAV (Salvar). A continuación se proporciona un ejemplo de los pasos necesarios:
1. Inicie una sesión de AS/400 con un perfil de usuario que disponga de las autorizaciones especiales *JOBCTL y *SAVSYS.
2. Asegúrese de que nadie está utilizando el grupo de bases de datos que desea salvar. Es posible que necesite utilizar el mandato Finalizar servidor Domino (ENDDOMSVR) para detener el servidor y cesar la actividad de base de datos. No rearranque el servidor hasta que haya finalizado la operación de salvar. 3. Monte el medio (por ejemplo, la cinta) para la operación de salvar en el
dispositivo de salvar AS/400.
4. Escriba el mandato Salvar (SAV) adecuado. Por ejemplo, para salvar todos los objetos del directorio HRINFO que hayan cambiado desde las 20 horas del 8 de noviembre, escriba el mandato siguiente:
SAV DEV('/QSYS.LIB/nombre-dispositivo.DEVD') OBJ('/NOTES/DATA/HRINFO/*.*') CHGPERIOD('11/08/97' 020000) UPDHST(*YES)
Consulte los siguientes temas para obtener información relacionada: v “Estrategias de copia de seguridad incremental”
v “Ejemplos: Copia de seguridad de objetos cambiados del servidor Domino para AS/400” en la página 28
Estrategias de copia de seguridad incremental
AS/400 proporciona la posibilidad de salvar solamente los objetos cambiados desde una fecha y hora específicas o desde la última operación de salvar. Este tipo de posibilidad de salvar se llama a veces copia de seguridad incremental.
Las dos estrategias siguientes son las más habituales para las copias de seguridad incrementales:
1. Salvar cambios desde la última copia de seguridad completa. Con esta
estrategia, se salva todo lo que se ha modificado desde la última vez que se salvaron todas las bases de datos del servidor Domino. Por ejemplo, suponga que el sábado por la noche se salva todo el servidor completo. El domingo por la noche se salvaría todo lo que hubiera cambiado desde el sábado por la noche. El lunes por la noche se salvaría todo lo que hubiera cambiado desde el sábado por la noche. El martes por la noche se salvaría todo lo que hubiera cambiado desde el sábado por la noche. Y así sucesivamente.
La ventaja de esta estrategia es que la recuperación es más simple. Cuando sea necesario efectuar una recuperación, sólo necesitará utilizar las cintas de la copia de seguridad completa y las cintas de la copia de seguridad incremental más reciente. La desventaja de esta estrategia es que hasta que no se realiza la siguiente copia de seguridad completa, las copias de seguridad se van haciendo cada día mayores (tanto en utilización de medios como en duración).
2. Cambios desde la última copia de seguridad incremental. Con esta estrategia
sólo se salvan los objetos que han cambiado desde la copia de seguridad más reciente. Por ejemplo, suponga que el sábado por la noche se salva todo el servidor completo. El domingo por la noche se salvaría todo lo que hubiera cambiado desde el sábado por la noche. El lunes por la noche se salvaría todo lo que hubiera cambiado desde el domingo por la noche. El martes por la noche se salvaría todo lo que hubiera cambiado desde el lunes por la noche. Y así sucesivamente.
La ventaja de esta estrategia es que el tamaño de la copia de seguridad
incremental es más pequeño (tanto en utilización de medios como en duración). La desventaja es que la operación de recuperación es más compleja. Cuando
tenga que efectuar una recuperación, necesitará utilizar las cintas de la copia de seguridad completa y las de todas las copias de seguridad incrementales.
Ejemplos: Copia de seguridad de objetos cambiados del
servidor Domino para AS/400
Los siguientes ejemplos muestran cómo salvar objetos cambiados del servidor Domino:
v Copia de seguridad de todos los cambios (desde la última copia de seguridad
completa).Para realizar cada noche una copia de seguridad incremental de
todos los cambios acaecidos desde la última copia de seguridad completa, haga lo siguiente:
1. El sábado por la noche efectúe una copia de seguridad completa (utilizando, por ejemplo, la opción 23 del menú Salvar). Asegúrese de que en el mandato SAV se especifica UPDHST(*YES) para que el sistema actualice la
información de objeto con la hora y día de la copia de seguridad más reciente.
2. El domingo por la noche, escriba el siguiente mandato: SAV DEV('/QSYS.LIB/nombre-dispositivo.DEVD')
OBJ('/NOTES/DATA/*.*') CHGPERIOD(*LASTSAVE)
3. El lunes por la noche, escriba el siguiente mandato: SAV DEV('/QSYS.LIB/nombre-dispositivo.DEVD')
OBJ('/NOTES/DATA/*.*') CHGPERIOD(*LASTSAVE)
4. Continúe utilizando el mismo mandato cada noche hasta la siguiente copia de seguridad completa.
v Copia de seguridad de los cambios de un día. Para realizar cada noche una copia de seguridad incremental de los cambios habidos desde la anterior copia de seguridad incremental, haga lo siguiente:
Nota: Suponga que la última copia de seguridad completa se realizó el sábado 8
de noviembre de 1997 a las 20 horas.
1. El domingo por la noche, 9 de noviembre, a las 22 horas, escriba el siguiente mandato:
SAV DEV('/QSYS.LIB/nombre-dispositivo.DEVD') OBJ('/NOTES/DATA/*.*')
CHGPERIOD('11/08/97' 200000)
2. El lunes por la noche, 10 de noviembre, a las 21 horas, escriba el siguiente mandato:
SAV DEV('/QSYS.LIB/nombre-dispositivo.DEVD') OBJ('/NOTES/DATA/*.*')
CHGPERIOD('11/09/97' 220000)
3. El martes por la noche, 11 de noviembre, a las 20 horas, escriba el siguiente mandato:
SAV DEV('/QSYS.LIB/nombre-dispositivo.DEVD') OBJ('/NOTES/DATA/*.*')
CHGPERIOD('11/10/97' 210000)
4. Cada noche, ejecute el mandato SAV. Cambie el parámetro Periodo de cambio a la hora y fecha de la copia de seguridad anterior.
Notas acerca de los ejemplos:
1. En todos los ejemplos se da por supuesto que el directorio correspondiente al servidor Domino es /NOTES/DATA.
2. En los ejemplos, el parámetro DEV indica al sistema qué dispositivo desea utilizar para la operación de restauración. En nombre-dispositivo, sustituya el nombre de su dispositivo AS/400, por ejemplo, TAP01.
3. Para salvar una base de datos, el AS/400 debe ser capaz de bloquearla con el fin de que no se produzcan cambios durante la operación de salvar. Para salvar de forma satisfactoria bases de datos de Notes, debe asegurarse de que nadie esté utilizando las bases de datos o bien debe detener el servidor Domino para AS/400 que contiene las bases de datos. Una forma de parar el servidor es utilizar el mandato Finalizar servidor Domino (ENDDOMSVR). No rearranque el servidor hasta que haya finalizado la operación de salvar.
4. Vea la documentación de Domino para conocer las posibles alternativas (por ejemplo, los servidores en cluster) para reducir las repercusiones de las operaciones de copia de seguridad en la disponibilidad del servidor Domino para los usuarios. Para obtener información detallada acerca de la
documentación de Domino, consulte el “Capítulo 7. Más información acerca de Domino para AS/400” en la página 41.
Copia de seguridad del correo del servidor Domino
Este tema describe específicamente cómo salvar correo del servidor Domino para AS/400. Si ya tiene una estrategia para salvar toda la información de usuario del servidor Domino, probablemente no necesitará un procedimiento aparte para salvar el correo. Sin embargo, es posible que advierta que el intervalo de copia de seguridad para todo el servidor no es suficientemente frecuente para el correo electrónico, ya que éste es muy inestable.
El servidor Domino almacena el correo en varias bases de datos:
v La base de datos MAIL.BOX de cada servidor contiene correo para que el servidor lo direccione a los buzones de los usuarios individuales o a otro servidor.
v Cada usuario Lotus Notes tiene una base de datos de correo individual. El nombre de la base de datos de correo es normalmente el ID de usuario con la extensión NSF. (El administrador de Domino tiene la opción de utilizar nombres distintos para las bases de datos de correo.) Por ejemplo, la base de datos de correo para el usuario GNELSON sería GNELSON.NSF. Normalmente, todas las bases de datos de correo individuales están en un subdirectorio dedicado, como /NOTES/DATA/MAIL.
Para salvar el correo, haga lo siguiente:
1. Inicie una sesión de AS/400 con un perfil de usuario que disponga de las autorizaciones especiales *JOBCTL y *SAVSYS.
2. En una línea de mandatos, utilice el mandato siguiente para detener el servidor Domino:
ENDDOMSVR SERVER(nombre-servidor)
Nota: Para salvar una base de datos, el AS/400 debe ser capaz de bloquearla
con el fin de que no se produzcan cambios durante la operación de salvar. Para salvar el correo de Notes de forma satisfactoria, necesitará detener el servidor Domino para AS/400 que contiene las bases de datos de correo. No rearranque el servidor hasta que haya finalizado la
operación de salvar.
3. Monte el medio de salvar adecuado (por ejemplo, una cinta) en el dispositivo AS/400.
4. Utilice el mandato Salvar (SAV) para salvar las bases de datos de correo, por ejemplo:
SAV DEV('/QSYS.LIB/nombre-dispositivo.DEVD') OBJ('/NOTES/DATA/MAIL/*.NSF')
Para obtener un ejemplo, consulte el apartado “Ejemplos: Copia de seguridad del correo de Domino”.
Ejemplos: Copia de seguridad del correo de Domino
Los siguientes ejemplos muestran la utilización del mandato Salvar para realizar copias de seguridad del correo del servidor Domino:
v Para salvar una base de datos específica, por ejemplo la base de datos MAIL.BOX, utilice el siguiente mandato:
SAV DEV('/QSYS.LIB/nombre-dispositivo.DEVD') OBJ('/NOTES/DATA/MAIL.BOX')
v Para salvar del subdirectorio MAIL todos los archivos de un tipo específico, utilice el siguiente mandato:
SAV DEV('/QSYS.LIB/nombre-dispositivo.DEVD') OBJ('/NOTES/DATA/MAIL/*.NSF')
v Para salvar una base de datos de correo de usuario específica, por ejemplo la base de datos de correo GNELSON, utilice el siguiente mandato:
SAV DEV('/QSYS.LIB/nombre-dispositivo.DEVD') OBJ('/NOTES/DATA/MAIL/GNELSON.NSF') Notas acerca de los ejemplos:
1. En todos los ejemplos se da por supuesto que el directorio correspondiente al servidor Domino es /NOTES/DATA.
2. En los ejemplos, el parámetro DEV indica al sistema qué dispositivo desea utilizar para la operación de restauración. En nombre-dispositivo, sustituya el nombre de su dispositivo AS/400, por ejemplo, TAP01.
3. Para salvar una base de datos, el AS/400 debe ser capaz de bloquearla con el fin de que no se produzcan cambios durante la operación de salvar. Para salvar el correo de Notes de forma satisfactoria, necesitará detener el servidor Domino para AS/400 que contiene las bases de datos de correo. Una forma de parar el servidor es utilizar el mandato Finalizar servidor Domino (ENDDOMSVR). No rearranque el servidor hasta que haya finalizado la operación de salvar. 4. Vea la documentación de Domino para conocer las posibles alternativas (por
ejemplo, los servidores en cluster) para reducir las repercusiones de las operaciones de copia de seguridad en la disponibilidad del servidor Domino para los usuarios. Para obtener información detallada acerca de la
documentación de Domino, consulte el “Capítulo 7. Más información acerca de Domino para AS/400” en la página 41.
Copia de seguridad de bases de datos Domino específicas
Por varios motivos, es posible que desee salvar una base de datos Domino específica. Por ejemplo:
v Para crear una copia de seguridad antes de aplicar un PTF (arreglo temporal del programa) o probar un agente nuevo.
v Para crear una copia para archivo al final de un periodo contable.
| |
