Appliquez les sécurités au niveau objet pour que les utilisateurs puissent travailler
librement sans pour autant avoir accès sans restriction au système.
L'un des épisodes les plus drôles du film Blazing Saddles est celui où Taggart
(Slim Pickens) et sa bande tombent sur une barrière de péage au milieu d'un vaste
désert. Taggart se tourne alors vers ses acolytes et déclare «Quelqu'un doit rebrousser
chemin et revenir avec plein de pièces de monnaie!».
Et bien, la sécurité par menus, qui prévaut aujourd'hui sur l'AS/400, ressemble
beaucoup à une barrière de péage au milieu du désert. En fait, elle ne protège
plus rien. Avec les systèmes ouverts d'aujourd'hui, elle peut être contournée
de multiples façons.
Dans cet article, j'explique les risques que présente l'absence de sécurité appropriée
à ce niveau, et j'expose des méthodes d'instauration de droits au niveau objet,
pour que les utilisateurs puissent travailler sans jouir d'un accès illimité au
système.
Comment implémenter une sécurité au niveau objet
La fonction de partage de disques réseau de Client Access pour Windows 95/NT permet
de naviguer dans l’IFS (Integrated Filing System) de l’AS/400 avec pratiquement
toutes les possibilités de l’Explorateur Windows.
Avec des droits suffisants, les utilisateurs peuvent, par le classique «drag and
drop», copier ou déplacer des fichiers entre différents emplacements de l’AS/400,
un PC local, ou le réseau. Les droits *USE leur permettent de consulter le contenu
de fichiers ou de bibliothèques AS/400 (apparaissant comme des sous-répertoires
sous le répertoire QSYS.LIB) dans l’Explorateur. Le droit *CHANGE leur permet
de downloader un fichier, de le modifier, puis de l’uploader à nouveau.
Ces mêmes utilisateurs peuvent aussi, si leur profil le permet, supprimer un fichier,
simplement en le sélectionnant et en appuyant sur la touche Suppr. Ou en faisant
un clic droit sur le fichier et en sélectionnant Supprimer (figure 1). Un écran
demandera peut-être confirmation de la suppression, mais la corbeille de Windows
95/NT n’extraira pas de suppressions accidentelles d’une unité de réseau.
Pour empêcher les suppressions accidentelles de fichiers et de bibliothèques du
répertoire QSYS.LIB, on pourrait utiliser la liste d’autorisation QPWFSERVER pour
restreindre l’accès de certaines applications (unités de réseau Client Access
par exemple) à QSYS.LIB. Toutefois, cette liste d’autorisation ne limite l’accès
qu’à QSYS.LIB; elle ne protège pas d’autres répertoires et fichiers de l’AS/400,
et elle n’empêche pas les mises à jour via des outils comme ODBC (Open Database
Connectivity).
Téléchargez cette ressource
Reporting Microsoft 365 & Exchange
Comment bénéficier d’une vision unifiée de vos messageries, protéger vos données sensibles, vous conformer aisément aux contraintes réglementaires et réduire votre empreinte carbone ? Testez la solution de reporting complet de l’utilisation de Microsoft 365 et Exchange en mode Cloud ou on-premise.
Les articles les plus consultés
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Et si les clients n’avaient plus le choix ?
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Une baie de stockage c’est quoi ?
- Cybersécurité Active Directory et les attaques de nouvelle génération
Les plus consultés sur iTPro.fr
- Le spatial dans le viseur des cyberattaquants
- Connaître son client : exploiter les API des réseaux pour offrir des services personnalisés et sur mesure
- Architecte cloud : applications de chatbot & Azure OpenAI Service
- Le LLMjacking : quand les cyberattaques utilisent illicitement des comptes LLM
- Les identités des développeurs doivent être prises en compte !