> Tech > Les configurations cachées pour la sécurité et l’administration de l’IBM i

Les configurations cachées pour la sécurité et l’administration de l’IBM i

Tech - Par Dan Riehl - Publié le 24 octobre 2013
email

Personnalisez l'accès aux fonctions sensibles et aux opérations système.

Les configurations cachées pour la sécurité et l’administration de l’IBM i

Notre merveilleux IBM i cache dans ses entrailles de vrais trésors : des options de configuration cachées qui vous permettent de resserrer et de personnaliser davantage votre contrôle. La plupart d’entre nous ignorent cette richesse pourtant à portée de main. Plus exactement, à portée d’un clic ou d’une commande CL.

Certes, IBM n’a pas essayé de cacher ces trésors, mais n’a pas non plus, me semble-t-il, fait de gros efforts pour nous les faire connaître. Ces options de configuration « cachées » permettent de personnaliser l’accès à plusieurs fonctions concernant la sécurité, le système et le réseau, par une simple interface de commande CL ou par Navigator for i (Navigator tout simplement).

Les commandes CL Work with Function Usage (WRKFCNUSG), Change Function Usage (CHGFCNUSG), et Display Function Usage (DSPFCNUSG), sont les interfaces de commande vers ces options de configuration cachées. Navigator donne accès à ces options de configuration par une application peu connue que nous verrons.

Qu’est-ce que “Function Usage”?

Les opérations système et les commandes Sensitive Control Language sont en principe réservées à un certain groupe d’utilisateurs, par une combinaison d’autorités objet (êtes-vous autorisé à utiliser la commande ?) et d’autorités spéciales (avez-vous les autorités spéciales—par exemple, *SECADM, *JOBCTL—requises pour exécuter cette commande ou cette fonction ?).

Function Usage est une couche cachée supplémentaire placée sur certaines opérations sensibles. Ainsi, pour créer un profil utilisateur, un utilisateur doit être autorisé à employer la commande Create User Profile (CRTUSRPRF), après quoi la commande CRTUSRPRF vérifie si l’utilisateur exécutant la commande possède l’autorité spéciale Security Administrator (*SECADM). Si oui, le profil peut être créé. Dans ce cas, aucune autre option de configuration Function Usage cachée supplémentaire n’est impliquée.

Cependant, quand un utilisateur veut examiner le joblog actif d’un utilisateur *ALLOBJ (par exemple, QSECOFR),  il doit remplir trois conditions : être autorisé à se servir de la commande DSPJOBLOG, posséder l’autorité spéciale Job Control (*JOBCTL), et aussi l’autorité *ALLOBJ. Ce sont les règles par défaut du système. Mais, en changeant les options de configuration cachées de Function Usage, vous pouvez changer les règles pour que tout détenteur de l’autorité spéciale *JOBCTL puisse consulter le joblog actif de l’utilisateur *ALLOBJ.

Comme ces options de configuration sont cachées dans Function Usage, la plupart d’entre nous finissent par donner l’autorité *ALLOBJ au personnel d’exploitation. C’est, semble-t-il, le seul moyen pour qu’ils puissent examiner le joblog actif d’un utilisateur *ALLOBJ quand le job a échoué. Ils doivent pouvoir régler le problème en examinant le joblog actif. Mais nous pouvons changer les règles en changeant le Function Usage.

Téléchargez gratuitement cette ressource

*** SMART DSI *** VERSION NUMÉRIQUE

*** SMART DSI *** VERSION NUMÉRIQUE

Découvrez SMART DSI, la nouvelle revue du Décideur IT en version numérique. Analyses et dossiers experts pour les acteurs de la transformation numérique de l'entreprise, Gagnez en compétences et expertise IT Professionnelle avec le contenu éditorial premium de SMART DSI.

Tech - Par Dan Riehl - Publié le 24 octobre 2013