Tout utilisateur dépourvu des droits d'accès aux fichiers liés (c'est-à -dire les fichiers sur lesquels pointe la colonne Notes dans la table employés) ne peut accéder à ces fichiers qu'en obtenant un jeton d'accès. Ce jeton ne fait pas partie du nom de fichier mais doit être inclus dans le nom
Déposer son jeton et prendre sa place
d’accès avec le nom du fichier,
quand on essaie d’obtenir l’accès en lecture au fichier lié (ces mêmes utilisateurs
ne pourraient pas obtenir l’accès en écriture au fichier, parce que j’ai indiqué
Write Permission Blocked quand j’ai créé la table de la figure 2b).
Ce que j’ai lu à propos des droits d’accès aux fichiers liés est un peu confus,
voire trompeur. La réalité est simple : un fichier lié (c’est-à -dire un fichier
sur lequel pointe une colonne DataLink) est accessible à tout utilisateur doté
de droits suffisants (ou de permissions dans le cas de fichiers IFS) sur ce fichier.
Un utilisateur dûment autorisé peut lire ou écrire des données dans un tel fichier,
indépendamment de la manière dont on a défini la colonne DataLink pour la table.
La figure 4 présente la table obtenue quand j’exécute l’instruction SQL
Select DlURL( Notes ) From Employee
Pour préserver la sécurité, il faut utiliser les techniques AS/400 standards
pour limiter l’accès des utilisateurs
La fonction scalaire DlURL renvoie la portion URL d’une colonne DataLink. La portion
jeton de chaque ligne apparaît en rouge. Bien que ce jeton ne fasse pas strictement
partie de l’URL pour le fichier lié, si l’on n’a pas accès au fichier lié, on
peut y accéder grâce à ce jeton (nous verrons comment dans un moment. Même un
utilisateur qui possède le droit *EXCLUDE sur le fichier lié, peut afficher son
contenu s’il peut obtenir l’accès à un jeton valide. En se référant à la figure
4, un tel utilisateur pourrait consulter le contenu du fichier texte pour l’employé
Barb Gibbens en émettant la commande de la figure 5. Là encore, le jeton apparaît
en rouge.
Cet exemple montre avec quelle facilité un utilisateur peut accéder aux données
liées dès lors qu’il possède les droits Select (ou *USE) sur la table avec une
colonne DataLink. C’est d’ailleurs pour cette raison qu’il est imprudent d’accorder
aux utilisateurs ce type d’accès aux tables définies comme dans la figure 2b.
Pour préserver la sécurité, il faut utiliser les techniques AS/400 standards,
pour limiter l’accès des utilisateurs aux seuls programmes qui adoptent les droits
en provenance de leur propriétaire (pour obtenir des détails sur les droits adoptés,
voir le manuel IBM OS/400 Security Reference (SC41-5302)). Les programmes avec
des droits adoptés seraient capables d’obtenir un jeton adéquat, mais ils n’afficheraient
pas celui-ci aux yeux de l’utilisateur. Par conséquent, les programmes contrôleraient
l’accès aux fichiers liés. Le programme DSPEMP, commenté ci-dessous, montre comment
on pourrait coder un tel programme.
Téléchargez cette ressource
Les mégatendances cybersécurité et cyber protection 2024
L'évolution du paysage des menaces et les conséquences sur votre infrastructure, vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la synthèse des conseils et recommandations à appliquer dans votre organisation.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
