> Tech > Configurer l’autorité adoptée

Configurer l’autorité adoptée

Tech - Par iTPro - Publié le 24 juin 2010
email

On l’a vu, l’autorité adoptée est validée au moyen d’attribut de programme. Par défaut, ni les programmes ni les programmes de service n’adoptent l’autorité. Pour configurer un programme afin qu’il adopte l’autorité, exécutez la commande Change Program (CHGPGM) et spécifiez *OWNER pour le paramètre User profile (figure 1).

/>En regardant la figure 1, vous vous demandez peut-être ce qu’est le paramètre Use adopted authority. N’allez surtout pas croire que ce paramètre conduit un programme à adopter l’autorité. Mais reconnaissons que le nom du paramètre prête à confusion. La valeur *NO du paramètre Use adopted authority dit à i5/OS que, pendant que ce programme s’exécute, il doit ignorer toute autorité adoptée disponible à partir d’un programme différent situé plus haut dans la pile d’appels.

Examinons l’exemple de la figure 2. L’utilisatrice Carol choisit une option du menu pour mettre à jour une commande. Si elle essaie de mettre à jour le fichier ABC avec sa seule propre autorité, elle n’y parvient pas parce que le public est exclu et qu’elle ne possède pas de droits spécifiques sur le fichier. En revanche, le programme qui effectue la mise à jour, PGM_A, adopte (le paramètre User profile est réglé sur *OWNER), et parce que le programme appartient au profil utilisateur APP_OWNER et que le fichier ABC appartient lui aussi au profil APP_OWNER, Carol a suffisamment d’autorité pour mettre à jour la commande. PGM_A appelle PGM_B. Comme PGM_B doit appeler des routines de cryptage réglées sur public *EXCLUDE, PGM_B est configuré pour adopter l’autorité et est la propriété du profil utilisateur Security Officer (QSECOFR).

Quand le menu est affiché avec l’information décryptée, les auteurs de l’application veulent s’assurer que les appels suivants (tels que celui adressé au programme CMD_LINE) ne peuvent pas exploiter l’autorité adoptée à partir de PGM_A ou de PGM_B. Pour obtenir cela, CMD_LINE est configuré de manière à ne pas utiliser l’autorité adoptée (l’attribut Use adopted authority est réglé sur *NO). Quand la ligne de commande est affichée, i5/OS ne vérifie que l’autorité de Carol pour les commandes exécutées.

Téléchargez gratuitement cette ressource

Endpoint Security : Guide de Mise en œuvre

Endpoint Security : Guide de Mise en œuvre

Détournement d’applications légitimes, élévation de privilèges, logiciels malveillants furtifs : comment les solutions de Endpoint Security permettent elles de faire face aux nouvelles techniques d'attaques complexes ? Découvrez, dans ce Guide Endpoint Security, les perspectives associées à leur mise en œuvre.

Tech - Par iTPro - Publié le 24 juin 2010

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT