Hallo,
wir benutzen hier einen VMS-Rechner als Messrechner. Bisher habe ich die
anfallenden Daten übers Netz folgendermaßen übertragen: Ich habe mich
per telnet auf dem DEC-Rechner eingeloggt und dann per ftp mit "put" die
Daten auf den UNIX-Rechner kopiert. Aus Sicherheitsgründen wurde nun ftp
auf den UNIX-Rechnern gesperrt (nur noch sftp).
Der Umweg war nötig, weil ftp von UNIX -> VMS immer zu "connection
refused" führte.
Gibt es eine einfache Möglichkeit den DEC-Rechner als ftp server so zu
konfigurieren, dass er eine Verbindung akzeptiert?
Welche Alternativen gibt es?
Beste Grüße
G. Wolmershäuser

G Wolmershäuser wrote:

> wir benutzen hier einen VMS-Rechner als Messrechner. Bisher habe ich die
> anfallenden Daten übers Netz folgendermaßen übertragen: Ich habe mich
> per telnet auf dem DEC-Rechner eingeloggt und dann per ftp mit "put" die
> Daten auf den UNIX-Rechner kopiert. Aus Sicherheitsgründen wurde nun ftp
> auf den UNIX-Rechnern gesperrt (nur noch sftp).
> Der Umweg war nötig, weil ftp von UNIX -> VMS immer zu "connection
> refused" führte.
> Gibt es eine einfache Möglichkeit den DEC-Rechner als ftp server so zu
> konfigurieren, dass er eine Verbindung akzeptiert?

Ja natuerlich, wenn er konfiguriert ist, ,dann wird er wohl auch
incoming connections akzeptieren. Ich vermute, der FTP server war bisher
auf ihrem VMS system gar nicht konfiguriert oder nicht gestartet.

Je nach TCPIP stack ist die konfiguration verschieden, bei DEC/HP TCPIP
services (UCX statt TCPIP in aelteren versionen):
*sys$manager:TCPIP$config
menu option 3 (Server components) -> 5 (FTP)

Wenn Sie die daten nur lesen wollen (und im intranet nicht geheim
gehalten werden muessen), wuerde ich empfehlen, einen anonymous FTP
account dafuer einzurichten.

> Welche Alternativen gibt es?
Falls Ihre netzpolitik FTP verbannt, und nur noch die s-protokolle
(sftp, scp) erlaubt, dann wird FTP ja wohl konsequent auch auf VMS
verboten sein (oder werden) ?
scp und sftp gibts auch unter hinreichend neuen VMS/TCPIP versionen
(TCPIP services 5.3 und neuere).

Und falls die VMS/TCPIP/UCX version zu alt ist, dann gibt es bei
process.com eine SSH implementation fuer DEC TCPIP services (zurueck bis
VMS 6.2 glaub' ich).

--

Joseph Huber - http://www.huber-joseph.de

Joseph Huber schrieb:
> G Wolmershäuser wrote:
>
>> Gibt es eine einfache Möglichkeit den DEC-Rechner als ftp server so zu
>> konfigurieren, dass er eine Verbindung akzeptiert?
>
> Ja natuerlich, wenn er konfiguriert ist, ,dann wird er wohl auch
> incoming connections akzeptieren. Ich vermute, der FTP server war bisher
> auf ihrem VMS system gar nicht konfiguriert oder nicht gestartet.
>
Hallo,
zunächst mal ganz herzlichen Dank für die rasche Antwort. Aus meinen
Äußerungen ist ja hervorgegangen, dass ich absoluter VMS-Laie bin. Ich
habe versucht, die Konfiguration so einzustellen, wie sie mir von UNIX
geläufig ist. In UCX ist im menue "server" ftp enabled. Muss ich jetzt
noch einen daemon starten und wie geht das?
Beste Grüße
G. Wolmershäuser

G Wolmershäuser wrote:
> Joseph Huber schrieb:
> zunächst mal ganz herzlichen Dank für die rasche Antwort. Aus meinen
> Äußerungen ist ja hervorgegangen, dass ich absoluter VMS-Laie bin. Ich
> habe versucht, die Konfiguration so einzustellen, wie sie mir von UNIX
> geläufig ist. In UCX ist im menue "server" ftp enabled. Muss ich jetzt
> noch einen daemon starten und wie geht das?

Die konfiguration wird in der UCX database gespeichert, und beim
naechsten neustart aktiviert:
der "daemon" wird beim start von UCX/TCPIP gestartet.

Eine moeglichkeit das ohne reboot zu machen: im tcpip$config menu die
shutdown/startup tcpip services zu selektieren. (achtung nebeneffekt:
stoppt evtl. aktive connections, also nur bei idle system benutzen.)

Je nach version existieren individuelle startup command-files fuer die
services: *sys$startup:tcpip$ftp_startup ist der kandidat dafuer.


--

Joseph Huber - http://www.huber-joseph.de

Joseph Huber schrieb:
>
> Die konfiguration wird in der UCX database gespeichert, und beim
> naechsten neustart aktiviert:
> der "daemon" wird beim start von UCX/TCPIP gestartet.
>
> Eine moeglichkeit das ohne reboot zu machen: im tcpip$config menu die
> shutdown/startup tcpip services zu selektieren. (achtung nebeneffekt:
> stoppt evtl. aktive connections, also nur bei idle system benutzen.)
>
> Je nach version existieren individuelle startup command-files fuer die
> services: *sys$startup:tcpip$ftp_startup ist der kandidat dafuer.

Nochmals vielen Dank. Ich starte das Netzwerk nach dem booten immer über
das Skript *ucx$config. Dort gibt es verschiedene Menue Punkte. Mit
"Start TCP/IP" kann dann gestartet werden. Allerdings wird dabei
offenbar telnet und ftp nur als client gestartet, obwohl unter dem Punkt
"Server" ftp bereits enabled war.
Beste Grüße
G.W.

G Wolmershäuser wrote:
> Nochmals vielen Dank. Ich starte das Netzwerk nach dem booten immer über
> das Skript *ucx$config. Dort gibt es verschiedene Menue Punkte. Mit
> "Start TCP/IP" kann dann gestartet werden. Allerdings wird dabei
> offenbar telnet und ftp nur als client gestartet, obwohl unter dem Punkt
> "Server" ftp bereits enabled war.

Also das haendische starten nach einem boot ist sehr, nunja, ungewoehnlich.
Der richtige platz dafuer ist in sys$manager:systartup_vms.com.
Und da Sie ucx$config benutzen, nehme ich an es ist eine version vor 5.0.
Da sollte also $*sys$startup:ucx$startup rein, bevor irgendein program
oder subsystem gestartet wird, das TCP/IP braucht.
Bei allen neueren TCPIP versionen startet tcpip$startup auch alle server
wie FTP. Kann mich nicht mehr daran erinnern, ob das vorher nicht der
fall war.
Da sollten Sie dann evtl. in systartup_vms nach ucx$startup noch ein
*ucx$ftp_startup anhaengen.

--

Joseph Huber - http://www.huber-joseph.de

G Wolmershäuser <wolmersh*chemie.uni-kl.de> wrote:
> Ich starte das Netzwerk nach dem booten immer über
> das Skript *ucx$config. Dort gibt es verschiedene Menue Punkte. Mit
> "Start TCP/IP" kann dann gestartet werden.

Darauf ist Sepp ja schon eingegangen.

> Allerdings wird dabei
> offenbar telnet und ftp nur als client gestartet, obwohl unter dem Punkt
> "Server" ftp bereits enabled war.

Ich weiss nicht, ob es vor Version 5 auch schon so war, aber ab Version 5
stehen dort immer zwei Einträge: "enabled"/"disabled" und "started"/"stopped".

Einfachster Test: Den FTP-Client auch einschalten und dann "$ FTP localhost".
Wenn das klappt, und die Verbindung vom Unix-Rechner nicht, haben Sie ein
Netzwerkproblem.

HTH,
Martin
--
One OS to rule them all | Martin Vorlaender | OpenVMS rules!
One OS to find them | work: mv*pdv-systeme.de
One OS to bring them all | http://vms.pdv-systeme.de/users/martinv/
And in the Darkness bind them.| home: martin.vorlaender*t-online.de

Martin Vorlaender schrieb:
>
> Ich weiss nicht, ob es vor Version 5 auch schon so war, aber ab Version 5
> stehen dort immer zwei Einträge: "enabled"/"disabled" und "started"/"stopped".

Hallo,
bei meiner Version gibt es nur "enabled"/"disabled"

> Einfachster Test: Den FTP-Client auch einschalten und dann "$ FTP localhost".
> Wenn das klappt, und die Verbindung vom Unix-Rechner nicht, haben Sie ein
> Netzwerkproblem.

ergibt bei mir:
%FTP-E-NETERR, I/O error on network device
-SYSTEM-F-REJECT, connect to network object rejected

An ein Netzwerkproblem glaube ich eher weniger, weil alles andere
funktioniert, nur eben ftp server nicht.

Beste Grüße
G.W.

Joseph Huber schrieb:
>
> Also das haendische starten nach einem boot ist sehr, nunja, ungewoehnlich.

Kann das für die anstehenden Probleme verantwortlich sein?

> Der richtige platz dafuer ist in sys$manager:systartup_vms.com.
> Und da Sie ucx$config benutzen, nehme ich an es ist eine version vor 5.0.
> Da sollte also $*sys$startup:ucx$startup rein, bevor irgendein program
> oder subsystem gestartet wird, das TCP/IP braucht.
> Bei allen neueren TCPIP versionen startet tcpip$startup auch alle server
> wie FTP. Kann mich nicht mehr daran erinnern, ob das vorher nicht der
> fall war.
> Da sollten Sie dann evtl. in systartup_vms nach ucx$startup noch ein
> *ucx$ftp_startup anhaengen.

Ich werd's mal versuchen.
Können evtl. bestimmte Einträge in log-files Hinweise liefern?
Beste Grüße
G.W.

G Wolmershäuser:

> ergibt bei mir:
> %FTP-E-NETERR, I/O error on network device
> -SYSTEM-F-REJECT, connect to network object rejected
>
> An ein Netzwerkproblem glaube ich eher weniger, weil alles andere
> funktioniert, nur eben ftp server nicht.

Es ist auch kein Netzwerkproblem. Das "connect to network
object rejected" entspricht unter UNIX dem "connection refused"
und besagt, dass an dem angegebenen Port - für FTP wäre das
Port 21 - kein Listen passiert (d.h., es gibt keinen Prozess, der
an diesen Port gesendete Requests abhandelt). Für UCX/TCIP
Services heißt das, dass das FTP-Service nicht gestartet wurde.

Was passiert bei einem

$ TCPIP ENABLE SERVICE FTP

Man kann auch am Server ein:

$ TCPIP SHOW DEVICE/PORT=21

ausprobieren - da sollte eine Zeile wie

Device_socket Type Local Remote Service Host

bg57 STREAM 21 0 FTP *

ausgegeben werden. Ist das nicht so, dann ist das FTP Service
nicht gestartet.

LG, Ferry

--
Ing Ferry Bolhar
Magistrat der Stadt Wien - MA 14
A-1010 Wien
E-Mail: bol*adv.magwien.gv.at

G Wolmershäuser wrote:
>> Da sollten Sie dann evtl. in systartup_vms nach ucx$startup noch ein
>> *ucx$ftp_startup anhaengen.
>
> Ich werd's mal versuchen.
> Können evtl. bestimmte Einträge in log-files Hinweise liefern?

Erstmal wurde ich den ftp startup interactive ausfuehren, und sehen, ob
es da evtl. error messages gibt. Ausserdem davor das eigene terminal
(window?) oder ein zweites als operator terminal deklarieren
(REPLY/ENABLE/TEMP), um eventuelle messages zu sehen.
Sie haben bis jetzt nicht gesagt, welche version von UCX oder TCPIP
services Sie haben: je nach version ist das FTP startup file:
*sys$startup:ucx$ftp_startup
oder
*sys$startup:tcpip$ftp_startup

Und log files in sys$sysroot:[tcpip$ftp] oder [ucx$ftp].
(da ich selbst den server nirgends am laufen hab, bin ich mir nicht
sicher, evtl. in sys$sysdevice:[ucx$ftp]).

--

Joseph Huber - http://www.huber-joseph.de

Joseph Huber schrieb:
>
> Erstmal wurde ich den ftp startup interactive ausfuehren, und sehen, ob
> es da evtl. error messages gibt. Ausserdem davor das eigene terminal
> (window?) oder ein zweites als operator terminal deklarieren
> (REPLY/ENABLE/TEMP), um eventuelle messages zu sehen.
> Sie haben bis jetzt nicht gesagt, welche version von UCX oder TCPIP
> services Sie haben: je nach version ist das FTP startup file:

Das ist kein böser Wille :-) Ich weiß nur nicht, wie ich die Version
feststellen kann. Gibt es einen zu "uname" in UNIX analogen Befehl zur
Ermittlung der Version?

> *sys$startup:ucx$ftp_startup
> oder
> *sys$startup:tcpip$ftp_startup

Da bekomme ich die Meldung, dass tcpip bereits gestartet sei.

> Und log files in sys$sysroot:[tcpip$ftp] oder [ucx$ftp].
> (da ich selbst den server nirgends am laufen hab, bin ich mir nicht
> sicher, evtl. in sys$sysdevice:[ucx$ftp]).

Ich habe folgende Log-Dateien gefunden welche offenbar jedes mal beim
Versuch den VMS-Rechner als Server anzusprechen erzeugt werden:

UCX$FTPD_STARTUP.LOG;xxx

%DCL-E-OPENIN, error opening DKA300:[IPDS.IPDS290]IPDS_LOGIN.COM; as input
-RMS-E-PRV, insufficient privilege or file protection violation
UCX$FTP job terminated at 17-OCT-2007 16:34:30.07

Accounting information:
Buffered I/O count: 30 Peak working set size: 1744
Direct I/O count: 11 Peak page file size: 38224
Page faults: 135 Mounted volumes: 0
Charged CPU time: 0 00:00:00.23 Elapsed time: 0
00:00:00.41

Was mich stutzig macht ist der Hinweis auf eine Datei mit "IPDS" im
Namen. Das sind alles Dateien, welche mit der Steuerung des Messgerätes
zusammenhängen.

Es gibt noch eine weitere log-Datei namens UCX$FTPSERVER.LOG
welche offenbar bei der Einrichtung des Messgeräts erzeugt wurde:

SYSTEM job terminated at 27-NOV-1995 14:40:09.17

Accounting information:
Buffered I/O count: 1048 Peak working set size: 3440
Direct I/O count: 210 Peak page file size: 40704
Page faults: 262 Mounted volumes: 0
Charged CPU time: 0 00:00:03.05 Elapsed time: 0
00:07:22.97

Sind die Inhalte diese Dateien erhellend?

Beste Grüße
G.W.

On 2007-10-17 17:26, "G Wolmershäuser" wrote:

> [...]
>
> Ich habe folgende Log-Dateien gefunden welche offenbar jedes mal beim
> Versuch den VMS-Rechner als Server anzusprechen erzeugt werden:
>
> UCX$FTPD_STARTUP.LOG;xxx
>
> %DCL-E-OPENIN, error opening DKA300:[IPDS.IPDS290]IPDS_LOGIN.COM; as input
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> -RMS-E-PRV, insufficient privilege or file protection violation

Was sagt denn ein "DIR /SECURITY" zu dieser Datei? (Bitte von einem
hinreichend privilegierten Account aus ausführen, sonst werden die
wirklich wichtigen Informationen gar nicht angezeigt.)

> UCX$FTP job terminated at 17-OCT-2007 16:34:30.07
>
> [...]
>
> Was mich stutzig macht ist der Hinweis auf eine Datei mit "IPDS" im
> Namen. Das sind alles Dateien, welche mit der Steuerung des Messgerätes
> zusammenhängen.

Muss diese Prozedur für eine FTP-Session überhaupt ausgeführt werden?
Steht darin etwas der Art "IF F$MODE() ...", also "bedingte Ausführung,
je nachdem, was das für ein Prozess ist" ("interactive", "batch",
"network", ...)?

> [...]

Michael

--
Real names enhance the probability of getting real answers.
My e-mail account at DECUS Munich is no longer valid.

Michael Unger <spam.to.unger*spamgourmet.com> wrote:

> On 2007-10-17 17:26, "G Wolmershäuser" wrote:
<schnipp>
>> Was mich stutzig macht ist der Hinweis auf eine Datei mit "IPDS" im
>> Namen. Das sind alles Dateien, welche mit der Steuerung des
>> Messgerätes zusammenhängen.
>
> Muss diese Prozedur für eine FTP-Session überhaupt ausgeführt werden?
> Steht darin etwas der Art "IF F$MODE() ...", also "bedingte Ausführung,
> je nachdem, was das für ein Prozess ist" ("interactive", "batch",
> "network", ...)?

Das klingt stark nach einem Aufruf in SYS$MANAGER:SYLOGIN.COM (bzw. der
Datei, auf die der logische Namen SYS$SYLOGIN zeigt).

Dieser Aufruf sollte etwas "abgesichert" werden, wie Michael schon
vorgeschlagen hat. Evt. auch über die Abfrage des Usernamens, also etwa
$ if f$extract(0, 4, f$getjpi("","username")) .eqs. "UCX$" -
then $ goto no_ipds
[hier kommt dann der Aufruf von IPDS_LOGIN.COM und eventuell andere
für FTP & Co. überflüssige Befehle]
$no_ipds:
$! hier gehts wieder normal weiter

Auf diese Art wird IPDS_LOGIN u.a. von allen UCX-Prozessen ignoriert.

Hans.

--
[...] ein gut konfigurierter Windows-Rechner, an dem niemand herumspielt,
läuft auch über mehrere Tage stabil.
(c't 14/2004, S. 147)

=?ISO-8859-15?Q?G_Wolmersh=E4user?= <wolmersh*chemie.uni-kl.de> wrote:

> Joseph Huber schrieb:
<schnipp>
>> Sie haben bis jetzt nicht gesagt, welche version von UCX oder TCPIP
>> services Sie haben: je nach version ist das FTP startup file:
>
> Das ist kein böser Wille :-) Ich weiß nur nicht, wie ich die Version
> feststellen kann. Gibt es einen zu "uname" in UNIX analogen Befehl zur
> Ermittlung der Version?

Für VMS gehts am einfachsten mit
$ SHOW SYSTEM /NOPROC
oder
$ WRITE SYS$OUTPUT F$GETSYI("VERSION")

Für UCX (um das es hier ging)
$ UCX SHOW VERSION

Im Gegensatz zum DECnet-Stack ist der IP-Stack nicht so eng ins
Betriebssystem integriert, sondern als "Layered Product" draufgesetzt.
Daher kann man häufig auf ein und derselben OpenVMS Version verschiedene
Versionen von UCX bzw. TCP/IP (= UCX ab Version 5) verwenden. Nicht
zugleich, aber doch. Man kann auch den IP Stack eines anderen Herstellers
verwenden (z.B. von Process Software).

Hans.

Hans Bachner:

> Im Gegensatz zum DECnet-Stack ist der IP-Stack nicht so eng ins
> Betriebssystem integriert, sondern als "Layered Product" draufgesetzt.

Ist DECnet seit VMS V7 auch - es ist nicht mehr vorinstalliert, und
man kann auch wahlweise Phase IV oder Phase V installieren - oder
auch gar kein DECnet.

Etliche Produkte verwenden DECnet übrigens nur zur lokalen Prozeß-
kommunikation; die haben dann ein Problem, wenn überhaupt kein
DECnet installiert ist. IMHO sollte HP entweder ein "local only"
DECnet anbieten, das - ohne eigene Lizenz - diese Funktionalität
(local task-to-task communication) abdeckt, oder die Funktionalität
in den VMS Core einbauen.

Lizenzmäßig fallt DECnet übrigens auch unter VMS V7 noch unter
die "System-Integrated Products" (wie RMS Journaling, Clustering
und Volume Shadowing).

LG, Ferry

--
Ing Ferry Bolhar
Magistrat der Stadt Wien - MA 14
A-1010 Wien
E-Mail: bol*adv.magwien.gv.at

G Wolmershäuser wrote:
>> *sys$startup:ucx$ftp_startup
>> oder
>> *sys$startup:tcpip$ftp_startup
>
> Da bekomme ich die Meldung, dass tcpip bereits gestartet sei.

Das ist wohl eine antwort auf ucx$startup, nicht ucx$ftp_startup,
das ohnehine mit den unten gezeigten messages im log-file ist das
problem nicht der service startup.

> Ich habe folgende Log-Dateien gefunden welche offenbar jedes mal beim
> Versuch den VMS-Rechner als Server anzusprechen erzeugt werden:
>
> UCX$FTPD_STARTUP.LOG;xxx
>
> %DCL-E-OPENIN, error opening DKA300:[IPDS.IPDS290]IPDS_LOGIN.COM; as input
> -RMS-E-PRV, insufficient privilege or file protection violation
> UCX$FTP job terminated at 17-OCT-2007 16:34:30.07
> Was mich stutzig macht ist der Hinweis auf eine Datei mit "IPDS" im
> Namen. Das sind alles Dateien, welche mit der Steuerung des Messgerätes
> zusammenhängen.
>

Wie andere schon gesagt haben, muss in sylogin.com (oder im login.com
des ftp users) der zugriff auf IPDS_LOGIN unterbunden werden.
Einiges an nuetzlichen dingen findet sich in sys$manager:sylogin.template:

Am anfang: $ Goto MODE_'F$MODE()'
Und dann jeweils labels wie z.b.
$MODE_INTERACTIVE: !alles fuer interactives login
...
$MODE_BATCH: !batch jobs
...
$MODE_NETWORK: !hier landet auch ein FTP login
,,,
$MODE_OTHER: !alles andere, i.a wird hier nichts mehr stehen.
$EXIT

Oder aber, falls IPDS_LOGIN wichtige logische namen definiert, muss
IPDS_LOGIN die protection so gesetzt werden, dass mindestens ein
E(xecute) zugriff fuer diesen user (oder die gruppe) erlaubt wird.
Was mich wundert: dieser file protection violation error passiert ja
wohl auch bei interaktivem login desselben users, hat das bisher noch
niemanden gestoert ?

--

Joseph Huber - http://www.huber-joseph.de

Michael Unger schrieb:
>
> Was sagt denn ein "DIR /SECURITY" zu dieser Datei? (Bitte von einem
> hinreichend privilegierten Account aus ausführen, sonst werden die
> wirklich wichtigen Informationen gar nicht angezeigt.)

Leider komme ich erst jetzt wieder dazu, mich um das Problem zu kümmern.....

Directory DKA300:[IPDS.IPDS290]

IPDS_LOGIN.COM;2 9 19-MAR-1999 16:02:53.06 [SYSTEM]

(RWED,RWED,RE,)
IPDS_LOGIN.COM;1 9 27-JAN-1999 14:21:05.26 [SYSTEM]

(RWED,RWED,RE,)



> Muss diese Prozedur für eine FTP-Session überhaupt ausgeführt werden?
> Steht darin etwas der Art "IF F$MODE() ...", also "bedingte Ausführung,
> je nachdem, was das für ein Prozess ist" ("interactive", "batch",
> "network", ...)?

Eigentlich kann ich in dieser Datei nichts erkennen, was mit dem
Netzwerk zu tun hat (außer der Ethernet Addresse). Hier mal Auszüge,
welche sich eigentlich nur auf die Steuerung des Messgeräts und die
Auswertesoftware beziehen neben einigen allgemeinen Einstellungen. z.B.


$ !--------------------
$ ! Stoe IPDS constants
$ !--------------------
$
$ TERMINAL_TYPE :== VT200
$ TERMINAL_LINES :== 24
$
$ ETH_ADDRESS :== AA000400FFFF

$ !---------------------------
$ ! Keyboard table assignments
$ !---------------------------
$
$ K0 :== ASSIGN /NOLOG IPDS$CONST:KEYBOARD.DAT IPDS$KEYBOARD
$!!! K1 :== ASSIGN /NOLOG IPDS$CONST:KEYBOARD.PC IPDS$KEYBOARD
! Unused
$!!! K2 :== ASSIGN /NOLOG IPDS$CONST:KEYBOARD.SGI IPDS$KEYBOARD
! Unused


$ !---------------------------
$ ! Stoe IPDS graphic programs
$ !---------------------------
$
$ CELL :== $ IPDS$EXEC:DWCL

$ !---------------------------------
$ ! Stoe IPDS programs in ASCII mode
$ !---------------------------------
$
$ ADD :== $ IPDS$EXEC:ADD

$ !-------------------------
$ ! Stoe-defined OS commands
$ !-------------------------
$
$ DIR :== DIR /SIZE /DATE


Was mir noch eingefallen ist. Die Verbindung mit dem Messgerät geschieht
über eine PMAD-A Ethernet Verbindung. Kann es da irgendwelche Konflikte
geben?
Beste Grüße
G.W.

Hans Bachner schrieb:
>
> Für UCX (um das es hier ging)
> $ UCX SHOW VERSION

Danke! Hier mal das Ergebnis:

DKA300:[UCX$FTP]_$ ucx show version

DEC TCP/IP Services for OpenVMS AXP Version V3.3
on a DEC 3000 - M300LX running OpenVMS V6.2

Beste Grüße
G.W.

=?ISO-8859-15?Q?G_Wolmersh=E4user?= <wolmersh*chemie.uni-kl.de> wrote:

<schnipp>
> DKA300:[UCX$FTP]_$ ucx show version
>
> DEC TCP/IP Services for OpenVMS AXP Version V3.3
> on a DEC 3000 - M300LX running OpenVMS V6.2

Wow! Das ist ja fast noch der Auslieferungszustand vor knapp 15 Jahren, und
seither nichts mehr dran gedreht :-)
(Ok, OpenVMS V6.2 kam erst 1995)

UCX V3.3 ist übrigens nicht Jahr-2000-zertifiziert - wenn es aber schon
fast 8 Jahre problemlos läuft, gehört es anscheinend zur Kategorie der
(vielen) Produkte, die einfach nicht getestet wurden und daher das
"Gütesiegel" nicht erhielten.

Hans.

Hans Bachner schrieb:
>
> Das klingt stark nach einem Aufruf in SYS$MANAGER:SYLOGIN.COM (bzw. der
> Datei, auf die der logische Namen SYS$SYLOGIN zeigt).
>
> Dieser Aufruf sollte etwas "abgesichert" werden, wie Michael schon
> vorgeschlagen hat. Evt. auch über die Abfrage des Usernamens, also etwa
> $ if f$extract(0, 4, f$getjpi("","username")) .eqs. "UCX$" -
> then $ goto no_ipds
> [hier kommt dann der Aufruf von IPDS_LOGIN.COM und eventuell andere
> für FTP & Co. überflüssige Befehle]
> $no_ipds:
> $! hier gehts wieder normal weiter
>

Hier die Datei SYLOGIN.COM:

$!VERIFY = 'F$VERIFY(0)
$!IF F$MODE() .EQS. "OTHER" THEN EXIT
$! Remove the comments from the above commands to support the 'r' commands
$! when using all OpenVMS TCP/IP products. Consult vendor documentation for
$! more information.
$!
$! This command procedure is always run when anybody on the entire system
$! logs in. It is equivalent to LOGIN.COM except that the instructions
$! contained herein are executed everytime anyone on the VMS system
$! logs in to their account.
$!
$! Remove the comments from the following command to support Wollongong
$! Pathways specific login procedure.
$!*TWG$TCP:[NETDIST.MISC]SYSLOGIN.COM
$!
$! Remove the comment from the following command to execute Process
Software's
$! TCPware command definition procedure.
$!*TCPWARE:TCPWARE_COMMANDS.COM
$!
$! For interactive processes, turn on Control T, and set the terminal type
$!
$ mode = f$mode()
$ tt_devname = f$trnlnm("TT")
$ session_mgr_login = (mode .eqs. "INTERACTIVE") .and. -
(f$locate("WSA",tt_devname) .ne. f$len(tt_devname))
$ session_detached_process = (mode .eqs. "INTERACTIVE") .and. -
(f$locate("MBA",tt_devname) .ne. f$len(tt_devname))
$ unknown_devtyp = (mode .eqs. "INTERACTIVE") .and. -
(f$getdvi("sys$command","devtype") .eq. 0)
$!
$ if (mode .eqs. "INTERACTIVE") .and. unknown_devtyp .and. .not. -
(session_mgr_login .or. session_detached_process)
$ then
$!!!!! SET TERMINAL/INQUIRE
$ endif
$!
$ if (mode .eqs. "INTERACTIVE") .and. .not. -
(session_mgr_login .or. session_detached_process)
$ then
$ SET CONTROL=T
$ endif
$!
$! MicroVAX Support Removed from OpenVMS Alpha
$!
$! Place your site-specific LOGIN commands below
$!
$! STOE commands:
$!
$ *IPDS$DIR:IPDS_LOGIN
$ DIR :== DIR /SIZE /DATE
$ NEW :== DIR /SIZE /DATE /EXCL=(*.*;1)
$ EDIT :== EDIT /EDT /COMMAND=IPDS$DIR:EDTINI.STOE
$ PURE :== *IPDS$DIR:PURE
$ DATA :== *IPDS$DIR:SETDATA.COM
$ DEMO :== *IPDS$DIR:SETDEMO.COM
$ HOME :== *IPDS$DIR:SETHOME.COM
$ TCPIP :== *SYS$MANAGER:UCX$STARTUP
$ TCPIP2 :== *SYS$MANAGER:UCX$SHUTDOWN
$!
$ DATA :== *IPDS$DIR:SETDATA.COM
$ DEMO :== *IPDS$DIR:SETDEMO.COM
$ HOME :== *IPDS$DIR:SETHOME.COM
$!

Ich bin leider nicht mit der Syntax von VMS Skripts vertraut. Was also
sollte hier konkret verändert werden? Es gibt übrigens nur einen User
nämlich SYSTEM (root).
Beste Grüße
G.W.

=?ISO-8859-15?Q?G_Wolmersh=E4user?= <wolmersh*chemie.uni-kl.de> wrote:

<schnipp>
> Directory DKA300:[IPDS.IPDS290]
>
> IPDS_LOGIN.COM;2 9 19-MAR-1999 16:02:53.06 [SYSTEM]
> (RWED,RWED,RE,)
> IPDS_LOGIN.COM;1 9 27-JAN-1999 14:21:05.26 [SYSTEM]
> (RWED,RWED,RE,)
>
<schnipp>
>
> Eigentlich kann ich in dieser Datei nichts erkennen, was mit dem
> Netzwerk zu tun hat (außer der Ethernet Addresse).

Das war auch nicht unbedingt zu erwarten und ist eine Bestätigung, dass
die Prozedur für FTP-Verbindungen einfach übersprungewerden kann.

> Hier mal Auszüge,
> welche sich eigentlich nur auf die Steuerung des Messgeräts und die
> Auswertesoftware beziehen neben einigen allgemeinen Einstellungen. z.B.
>
<schnipp>
>
> Was mir noch eingefallen ist. Die Verbindung mit dem Messgerät
> geschieht über eine PMAD-A Ethernet Verbindung. Kann es da
> irgendwelche Konflikte geben?

Ich weiß zwar nicht, was eine PMAD-A Verbindung ist, mit dem
geschilderten Problem (kein Zugriff für den FTP-Prozess auf die
IPDS_LOGIN.COM) hat sie definitv nichts zu tun.

Wird auf dem System nur als User SYSTEM gearbeitet? Oder hat der IPDS-
User einen UIC in der System-Gruppe? [1]

Aber egal - entweder die Prozedur wird für den User UCX$FTP in der
SYLOGIN.COM erst gar nicht aufgerufen, oder der User UCX$FTP erhält
Leserechte auf die IPDS_LOGIN.COM:

$ set securiy /acl=(ident=ucx$ftp, accss=read) -
DKA300:[IPDS.IPDS290]IPDS_LOGIN.COM
oder (erlaubt Zugriff für alle anderen Benutzer)
$ set protection=w:r DKA300:[IPDS.IPDS290]IPDS_LOGIN.COM

Damit sollte die Fehlermeldung in der Datei UCX$FTPD_STARTUP.LOG
verschwinden und ein FTP-Zugriff vom Unix-System aus möglich sein.

Hope this helps,
Hans.


[1]
$ set default sys$system
$ mc authorize show /brief xxxx
wobei statt xxxx der für IPDS verwendete Username angegeben wird

Ferry Bolhar schrieb:
>
> Was passiert bei einem
>
> $ TCPIP ENABLE SERVICE FTP
>
> Man kann auch am Server ein:
>
> $ TCPIP SHOW DEVICE/PORT=21
>
> ausprobieren - da sollte eine Zeile wie
>
> Device_socket Type Local Remote Service Host
>
> bg57 STREAM 21 0 FTP *

In allen Fällen erhalte ich:

The Internet Network has already been started
%SYSTEM-F-DEVACTIVE, device is active

Beste Grüße
G.W.

On 2007-10-18 14:40, "G Wolmershäuser" wrote:

> Michael Unger schrieb:
>>
>> Was sagt denn ein "DIR /SECURITY" zu dieser Datei? (Bitte von einem
>> hinreichend privilegierten Account aus ausführen, sonst werden die
>> wirklich wichtigen Informationen gar nicht angezeigt.)
>
> Leider komme ich erst jetzt wieder dazu, mich um das Problem zu kümmern.....
>
> Directory DKA300:[IPDS.IPDS290]
>
> IPDS_LOGIN.COM;2 9 19-MAR-1999 16:02:53.06 [SYSTEM]
>
> (RWED,RWED,RE,)
^^^^^^^^^^^^^^^
> IPDS_LOGIN.COM;1 9 27-JAN-1999 14:21:05.26 [SYSTEM]
>
> (RWED,RWED,RE,)
^^^^^^^^^^^^^^^

Das heißt, in der Reihenfolge "privileged system user", "owner", "group"
und "world" gelesen, dass nur SYSTEM vollen Zugriff hat; schon alle
anderen User in der UIC-Group "[1,*]" dürfen nur noch lesen ("Read") und
ausführen ("Execute") -- die "Spitzfindigkeiten" der unteren UIC-Gruppen
mal außen vor gelassen.

"World", also alle "normalen" User, haben auf diese Datei gar keinen
Zugriff, mithin auch nicht die FTP-Prozesse. Setz doch mal (zumindest
vorübergehend und dokumentiert) den Zugriff für alle auf "Execute":

| $ SET SECURITY DKA300:[IPDS.IPDS290]IPDS_LOGIN.COM;* -
| /PROTECTION=(S:RWED,O:RWED,G:RE,W:E)

(Das "-" erzwingt lediglich eine "Fortsetzungszeile", es hat nichts mit
dem eigentlichen Befehl zu tun.)

Ebenso müssen alle Verzeichnisse (in der Struktur darüber), um den
Zugriff zu gewährleisten, für "World" das "Execute"-Recht haben.

> [...]
>
> Eigentlich kann ich in dieser Datei nichts erkennen, was mit dem
> Netzwerk zu tun hat (außer der Ethernet Addresse). Hier mal Auszüge,
> welche sich eigentlich nur auf die Steuerung des Messgeräts und die
> Auswertesoftware beziehen neben einigen allgemeinen Einstellungen. z.B.
>
> [...]

Ich sehe da auch nichts, was relevant sein könnte -- aber ein
fehlgeschlagener Zugriffsversuch führt halt in aller Regel dazu, dass
der ausführende Prozess beendet wird.

> Was mir noch eingefallen ist. Die Verbindung mit dem Messgerät geschieht
> über eine PMAD-A Ethernet Verbindung. Kann es da irgendwelche Konflikte
^^^^^^^^^^^^^^^
> geben?

Was ist denn das??

Michael

--
Real names enhance the probability of getting real answers.
My e-mail account at DECUS Munich is no longer valid.

Hans Bachner schrieb:
>
> Ich weiß zwar nicht, was eine PMAD-A Verbindung ist, mit dem
> geschilderten Problem (kein Zugriff für den FTP-Prozess auf die
> IPDS_LOGIN.COM) hat sie definitv nichts zu tun.

Das muss wohl auch eine Ethernetverbindung über eine RS232-Schnittstelle
sein.

> Wird auf dem System nur als User SYSTEM gearbeitet? Oder hat der IPDS-
> User einen UIC in der System-Gruppe? [1]

Ja, ausschließlich System.

> Aber egal - entweder die Prozedur wird für den User UCX$FTP in der
> SYLOGIN.COM erst gar nicht aufgerufen, oder der User UCX$FTP erhält
> Leserechte auf die IPDS_LOGIN.COM:
>
> $ set securiy /acl=(ident=ucx$ftp, accss=read) -
> DKA300:[IPDS.IPDS290]IPDS_LOGIN.COM
> oder (erlaubt Zugriff für alle anderen Benutzer)
> $ set protection=w:r DKA300:[IPDS.IPDS290]IPDS_LOGIN.COM
>
> Damit sollte die Fehlermeldung in der Datei UCX$FTPD_STARTUP.LOG
> verschwinden und ein FTP-Zugriff vom Unix-System aus möglich sein.

Heureka!!! (Die 3 "!" mögen mir verziehen werden).
Ja, das war's!
Ich möchte mich hiermit ausdrücklich bei allen bedanken, die an der
Diskussion beteiligt waren; insbesondere auch dafür, dass die in vielen
anderen Gruppen üblichen Beschimpfungen ausblieben und ausschließlich
konstruktive Beiträge erschienen sind.
Nochmals ganz herzlichen Dank!
G.W.

=?ISO-8859-15?Q?G_Wolmersh=E4user?= <wolmersh*chemie.uni-kl.de> wrote:

<schnipp>
> Hier die Datei SYLOGIN.COM:
<schnipp>
>
> Ich bin leider nicht mit der Syntax von VMS Skripts vertraut. Was also
> sollte hier konkret verändert werden?

Eine Abfrage auf den Usernamen (oder einen Teil davon), wie im
vorhergehenden Beitrag beschrieben - und anstelle des "goto no_ipds"
einfach "exit" eintragen. FTP braucht sicher nichts von den folgenden
Symbolen.

> Es gibt übrigens nur einen User
> nämlich SYSTEM (root).

In diesem Fall (nur ein User) ist wahrscheinlich der im anderen Posting
schon genannte Befehl

$ set securiy /acl=(ident=ucx$ftp, accss=read) -
DKA300:[IPDS.IPDS290]IPDS_LOGIN.COM

die Möglichkeit, mit dem geringstmöglichen Aufwand ohne
Sicherheitseinbußen ans Ziel u kommen. (Der Befehl kann übrigens auch in
einer Zeile eingegeben werden, wenn man das "-" am Ende der ersten Zeile
wegläßt).

Hans.

On 2007-10-18 16:32, "G Wolmershäuser" wrote:

> [...]
>
> [...] insbesondere auch dafür, dass die in vielen
> anderen Gruppen üblichen Beschimpfungen ausblieben und ausschließlich
> konstruktive Beiträge erschienen sind.
> [...]

Die "VMS User Community" ist halt anders ...

Michael

--
Real names enhance the probability of getting real answers.
My e-mail account at DECUS Munich is no longer valid.

In article <5npelnFje9vkU1*mid.individual.net>, Michael Unger <spam.to.unger*spamgourmet.com> writes:
>On 2007-10-18 16:32, "G Wolmersh=E4user" wrote:
>
>> [...]
>>=20
>> [...] insbesondere auch daf=FCr, dass die in viel=
>en=20
>> anderen Gruppen =FCblichen Beschimpfungen ausblieben und ausschlie=DFli=
>ch=20
>> konstruktive Beitr=E4ge erschienen sind.
>> [...]
>
>Die "VMS User Community" ist halt anders ...

Aber nur noch die deutschsprachige, wenn man in letzter Zeit comp.os.vms so
betrachtet... :-(

Viele Gruesse
Christoph Gartmann

--
Max-Planck-Institut fuer Phone : +49-761-5108-464 Fax: -452
Immunbiologie
Postfach 1169 Internet: gartmann*immunbio dot mpg dot de
D-79011 Freiburg, Germany
http://www.immunbio.mpg.de/home/menue.html

Christoph Gartmann <gartmann*nonsense.immunbio.mpg.de> wrote:

> In article <5npelnFje9vkU1*mid.individual.net>, Michael Unger
<spam.to.unger*spamgourmet.com> writes:
<schnipp>
>>Die "VMS User Community" ist halt anders ...
>
> Aber nur noch die deutschsprachige, wenn man in letzter Zeit
> comp.os.vms so betrachtet... :-(

Seufz... in der Tat. Ich schau dort nur noch sporadisch rein. Vielleicht
sollte man eine Gruppe comp.os.politics (oder comp.os.gossip) aufmachen
und alle einschlägigen Beiträge sofort dorthin f'up-en.

Hans.

--
We now see that real VMS users give themselves real privileges
causing real problems ;-).
(Günther Fröhlin, Hewlett-Packard, in einem Support Thread)

On 2007-10-19 18:10, "Hans Bachner" wrote:

> Seufz... in der Tat. Ich schau dort nur noch sporadisch rein. Vielleicht
> sollte man eine Gruppe comp.os.politics (oder comp.os.gossip) aufmachen
> und alle einschlägigen Beiträge sofort dorthin f'up-en.

"alt.dev.null" reicht Dir nicht?

Michael

--
Real names enhance the probability of getting real answers.
My e-mail account at DECUS Munich is no longer valid.

Michael Unger <spam.to.unger*spamgourmet.com> wrote:

> On 2007-10-19 18:10, "Hans Bachner" wrote:
>
>> Seufz... in der Tat. Ich schau dort nur noch sporadisch rein. Vielleicht
>> sollte man eine Gruppe comp.os.politics (oder comp.os.gossip) aufmachen
>> und alle einschlägigen Beiträge sofort dorthin f'up-en.
>
> "alt.dev.null" reicht Dir nicht?

Oh, die kannte ich noch nicht :-)

Aber die gibt halt nicht das comp.os.*-Feeling... ;-)

Hans.

G Wolmershäuser:

>> $ TCPIP SHOW DEVICE/PORT=21
>>
>> ausprobieren - da sollte eine Zeile wie
>>
>> Device_socket Type Local Remote Service Host
>>
>> bg57 STREAM 21 0 FTP *
>
> In allen Fällen erhalte ich:
>
> The Internet Network has already been started
> %SYSTEM-F-DEVACTIVE, device is active

Dass du das bei einem SHOW DEVICE bekommst,
kann ich mir nicht vorstellen.

LG, Ferry
--