> Tech > Démonstration

Démonstration

Tech - Par iTPro - Publié le 24 juin 2010
email

Examinons un exemple dans le détail. Notre opérateur Joe a besoin d'accéder sur System1 à  Printer Output, Messages, le système de fichiers QSYS.LIB et Users and Groups. Il a aussi besoin de transférer des données de l'iSeries au moyen de Data Transfer, qui fait partie d'iSeries Access. Pour compliquer les

Démonstration

choses, il a aussi besoin
du même accès sur System2, avec en
plus la possibilité d’accéder aux
Authorization Lists. Il y a trois autres
systèmes sur lesquels il ne doit avoir
aucun accès aux fonctions iSeries
Navigator. En tant qu’administrateur,
vous devez configurer cela. Voici comment
vous y prendre.
La première chose à  savoir est que
les paramètres d’Application Administration
sont stockés sur l’iSeries. Rien
n’est stocké sur le PC. Par conséquent,
quel que soit le PC ou l’appareil sans fil
à  partir duquel Joe accède à  l’iSeries, il
examinera ces mêmes paramètres
d’Application Administration.
D’accord, Démarrez iSeries Navigator
et connectez-vous à  System1.
Ensuite, faites un clic droit sur l’icône
de connexion System1 et sélectionnez
Application Administration. Si vous utilisez
la V5R2, vous constaterez que le
menu descend en cascade jusqu’à 
Local Settings et Central Settings. Ce
sont les deux types de paramètres
d’Application Administration dont
vous disposez.
Local settings (figure 1) sont ce
que j’appelle des paramètres d’Application
Administration « normaux ». Les
utilisateurs iSeries y sont habitués depuis
plusieurs releases. Considérez
donc les paramètres locaux comme
« les paramètres que vous définissez localement
sur l’iSeries pour contrôler
l’accès des fonctions iSeries Navigator
quand les utilisateurs essaient d’utiliser
iSeries Navigator à  partir d’un PC
distant ».
Central settings (figure 2) sont une
nouveauté en V5R2 et ils remplacent
en quelque sorte les policies Windows.
iSeries Access appliquait les policies
Windows pour contrôler l’accès aux
applications iSeries Access comme
Data Transfer, mais ces policies étaient
difficiles à  gérer. En V5R2, IBM a ajouté
des paramètres centraux à  Application Administration pour permettre aux administrateurs
de contrôler quels utilisateurs
peuvent utiliser les applications
iSeries Access pour se connecter
à  un iSeries.
Considérez les paramètres centraux
comme « les paramètres qui
contrôlent centralement les applications
sur des PC distants pour déterminer
quelles applications peuvent être
utilisées pour accéder à  un iSeries ».
Donc, si je voulais que Joe puisse
utiliser Data Transfer pour transférer
des données à  partir de cet iSeries,
j’utiliserais central settings. Ainsi, quel
que soit le PC sur lequel Joe travaille, il
peut transférer les données. Avec les
anciennes policies Windows, vous auriez
dû configurer chaque PC pour permettre
à  Joe d’utiliser Data Transfer
pour cet iSeries.
Pour octroyer à  Joe l’accès aux
fonctions iSeries Navigator, sélectionnez
Local Settings. Vous verrez Application
Administration avec l’arbre de
tous les éléments supportés qui peuvent
être contrôlés (figure 1). Vous verrez
aussi certaines colonnes : Default
Access, All Object Access, et Customized
Access
Pour n’importe quelle fonction,
vous pouvez sélectionner la colonne
Default Access : par défaut, tout le
monde aura accès ou personne n’aura
accès. La colonne All Object Access signifie
que même si un utilisateur a l’autorité
spéciale All Object Access dans
son profil utilisateur, vous pouvez lui
accorder ou non l’accès à  une fonction.
La dernière colonne, Customized
Access, permet de personnaliser le
droit d’accès par profil utilisateur ou
profil groupe. Vous pouvez ainsi être
très précis et permettre à  un utilisateur
d’accéder à  la fonction indépendamment
de la manière dont Default
Access ou All Object Access a été défini.
Si vous utilisez Application Administration
pour la première fois, je
conseille fortement de désélectionner
Default Access et All Object Access, afin
que quiconque se connecte à  cet
iSeries ne puisse pas accéder aux fonctions
iSeries Navigator. Je vous
conseille aussi de faire cela sur tous vos
systèmes iSeries afin de savoir exactement
qui y accède au moyen d’iSeries
Navigator.
Pour Joe, vous voulez sélectionner
les éléments auxquels il doit pouvoir
accéder. Décochez la case Default
Access, décochez la case All Object
Access (en option), cliquez sur Customize, puis ajoutez le profil de Joe
à  la liste Allow Access.
Ensuite, pour l’autoriser à  transférer
des données de cet iSeries en utilisant
Data Transfer, à  partir de n’importe
quel PC, sélectionnez Central
Settings. Vous obtiendrez la même
boîte de dialogue. Sélectionnez Data
Transfer, Download from server, puis
ajoutez le profil de Joe comme vous
l’avez fait précédemment. Il peut ainsi
transférer des données dans le sens
descendant mais pas dans le sens ascendant.
Enfin, vous devez donner à  Joe l’accès
aux même fonctions sur System2 et
aussi lui donner accès aux Authorization
Lists. Malheureusement, il
n’existe pas actuellement de moyen
pour copier des applications d’Application
Administration entre systèmes.
Vous devez par conséquent répéter les
étapes précédentes puis ouvrir le
conteneur Security, sélectionner Authorization
Lists, et ajouter le profil de
Joe à  la liste de personnalisation.
Tout est en place. Désormais, quel
que soit le PC sur lequel Joe utilise
iSeries Navigator pour se connecter à 
System1, il aura accès à  Printer Output,
Messages, le système de fichiers
QSYS.LIB et Users and Groups, et il
pourra transférer des données au
moyen de Data Transfer. Et, s’il se
connecte à  System2, il aura aussi accès
aux Authorization Lists. Plus important,
s’il se connecte à  System3, il
n’aura accès à  rien du tout.
Souvenez-vous que les valeurs
Application Administration (local et
central) sont stockées sur l’iSeries. Par
conséquent, quel que soit le PC à  partir
duquel on se connecte, ces valeurs seront
honorées pour le profil utilisateur
employé pour se connecter. De plus,
les produits connexes comme iSeries
Navigator for Wireless honorent aussi
les valeurs Application Administration,
donc une fois l’accès défini, il sera homogène.
Application Administration est en
train de devenir un outil banalisé au
service des applications IBM et des applications
client résidant sur l’iSeries.
Si vous voulez exercer un contrôle similaire
sur l’accès à  vos propres applications,
vous pouvez enregistrer vos
applications hôtes dans Application
Administration, et les administrateurs
pourront utiliser l’interface Application
Administration pour gérer l’accès
qui y conduit.

Téléchargez gratuitement cette ressource

Cybersécurité sous contrôle à 360°

Cybersécurité sous contrôle à 360°

Avec Cloud in One, les entreprises ne gagnent pas uniquement en agilité, en modernisation et en flexibilité. Elles gagnent également en sécurité et en résilience pour lutter efficacement contre l’accroissement en nombre et en intensité des cyberattaques. Découvrez l'axe Cybersécurité de la solution Cloud In One.

Tech - Par iTPro - Publié le 24 juin 2010