10 des mythes de sécurité les plus courants sur l’IBM i

En tant que consultant, j’ai répondu à ces questions et j’ai mis un terme aux idées fausses sur un plan individuel. Mais il me semble intéressant de faire partager cette connaissance plus largement.

Mythe N° 1 : classe utilisateur

Le premier sujet abordé est l’attribut classe utilisateur (user class) du profil utilisateur. La classe utilisateur n’est jamais utilisée pour le contrôle d’autorité. J’aimerais avoir reçu un dollar chaque fois que quelqu’un m’a posé une question et, pour décrire la situation, a déclaré : « L’utilisateur est dans la classe utilisateur *SECOFR user class. » Lorsque vous voulez déterminer pourquoi un utilisateur ne peut pas accéder, ou peut mais ne devrait pas pouvoir accéder à un objet, vous devez ignorer l’attribut classe utilisateur. La classe à laquelle l’utilisateur appartient n’a aucune importance : l’algorithme de contrôle d’autorité ne regarde jamais cet attribut.

L’utilisateur pourrait être dans la classe *USER et avoir toutes les autorités spéciales. Ou bien, il pourrait être assigné à la classe utilisateur *SECOFR et n’avoir aucune autorité spéciale. Donc, en regardant la classe utilisateur, vous risquez de faire de fausses suppositions. Cette classe n’est utilisée que quand le profil est créé pour prendre par défaut l’attribution d’autorité spéciale de l’utilisateur, pour déterminer quelles options du menu IBM i il voit, et pour déterminer si les autorités spéciales devraient être ajustées quand on applique IPL au système entre le niveau de sécurité 20 et un niveau supérieur.