> Tech > Déposer son jeton et prendre sa place

Déposer son jeton et prendre sa place

Tech - Par iTPro - Publié le 24 juin 2010
email

Tout utilisateur dépourvu des droits d'accès aux fichiers liés (c'est-à -dire les fichiers sur lesquels pointe la colonne Notes dans la table employés) ne peut accéder à  ces fichiers qu'en obtenant un jeton d'accès. Ce jeton ne fait pas partie du nom de fichier mais doit être inclus dans le nom

d’accès avec le nom du fichier,
quand on essaie d’obtenir l’accès en lecture au fichier lié (ces mêmes utilisateurs
ne pourraient pas obtenir l’accès en écriture au fichier, parce que j’ai indiqué
Write Permission Blocked quand j’ai créé la table de la figure 2b).



Ce que j’ai lu à  propos des droits d’accès aux fichiers liés est un peu confus,
voire trompeur. La réalité est simple : un fichier lié (c’est-à -dire un fichier
sur lequel pointe une colonne DataLink) est accessible à  tout utilisateur doté
de droits suffisants (ou de permissions dans le cas de fichiers IFS) sur ce fichier.
Un utilisateur dûment autorisé peut lire ou écrire des données dans un tel fichier,
indépendamment de la manière dont on a défini la colonne DataLink pour la table.

La figure 4 présente la table obtenue quand j’exécute l’instruction SQL



Select DlURL( Notes ) From Employee



Pour préserver la sécurité, il faut utiliser les techniques AS/400 standards
pour limiter l’accès des utilisateurs



La fonction scalaire DlURL renvoie la portion URL d’une colonne DataLink. La portion
jeton de chaque ligne apparaît en rouge. Bien que ce jeton ne fasse pas strictement
partie de l’URL pour le fichier lié, si l’on n’a pas accès au fichier lié, on
peut y accéder grâce à  ce jeton (nous verrons comment dans un moment. Même un
utilisateur qui possède le droit *EXCLUDE sur le fichier lié, peut afficher son
contenu s’il peut obtenir l’accès à  un jeton valide. En se référant à  la figure
4, un tel utilisateur pourrait consulter le contenu du fichier texte pour l’employé
Barb Gibbens en émettant la commande de la figure 5. Là  encore, le jeton apparaît
en rouge.

Cet exemple montre avec quelle facilité un utilisateur peut accéder aux données
liées dès lors qu’il possède les droits Select (ou *USE) sur la table avec une
colonne DataLink. C’est d’ailleurs pour cette raison qu’il est imprudent d’accorder
aux utilisateurs ce type d’accès aux tables définies comme dans la figure 2b.
Pour préserver la sécurité, il faut utiliser les techniques AS/400 standards,
pour limiter l’accès des utilisateurs aux seuls programmes qui adoptent les droits
en provenance de leur propriétaire (pour obtenir des détails sur les droits adoptés,
voir le manuel IBM OS/400 Security Reference (SC41-5302)). Les programmes avec
des droits adoptés seraient capables d’obtenir un jeton adéquat, mais ils n’afficheraient
pas celui-ci aux yeux de l’utilisateur. Par conséquent, les programmes contrôleraient
l’accès aux fichiers liés. Le programme DSPEMP, commenté ci-dessous, montre comment
on pourrait coder un tel programme.

Téléchargez gratuitement cette ressource

Endpoint Security : Etude IDC Enjeux & Perspectives

Endpoint Security : Etude IDC Enjeux & Perspectives

Quel est l'état de l'art des solutions de Endpoint Security et les perspectives associées à leur utilisation ? Comment garantir la sécurité des environnements sensibles en bloquant au plus tôt les cyber attaques sophistiquées, avant qu’elles n'impactent durablement vos environnements de travail ?

Tech - Par iTPro - Publié le 24 juin 2010