Employer des profils utilisateur iSeries

disponibles sur l’iSeries.
Voyons comment procéder. Rappelons
que le site Bulletin Board Service
(figure 1) publié sur l’iSeries a une
zone commune (accessible par tous)
et certaines zones protégées (accessibles
uniquement par les utilisateurs
concernés). Vous avez l’intention de
dire au serveur HTTP qu’il doit vérifier
le profil utilisateur de l’utilisateur entrant
sur le système (au lieu d’utiliser
une liste de validation).
Vous devez aussi dire au serveur
HTTP que les utilisateurs provenant de
votre service comptable (et personne
d’autre) peuvent accéder aux liens
Accounts, que seuls les employés du service personnel peuvent accéder aux
liens Human Resources, et ainsi de
suite. Nous verrons plus loin les droits d’accès propres à  chaque service ou
département. Pour l’instant, voyons
comment nous pouvons configurer le
serveur pour faire usage des profils utilisateur
existants sur le système.
Invoquez le HTTP Administration
et naviguez jusqu’à  la configuration de
l’instance pour Accounts (SRV_AC
CTS). Vous vous retrouvez à  l’écran de
la figure 2. Sélectionnez Basic Authentication
et, sur l’écran résultant, entrez
le nom du domaine. Défilez jusqu’à  la
section user name (figure 5) et sélectionnez
« User profile of the client » sur
le menu déroulant dans le champ
« User name to process requests ».
Comme résultat, %%CLIENT%% s’y affiche.
J’explique brièvement l’implication
de ce champ.
Par défaut, le serveur HTTP (animé
par Apache) bascule sur un profil système
iSeries tout en accédant aux pages
de vos répertoires Web. Ce profil (s’il
n’est pas spécifié par l’utilisateur) est
QTMHHTTP. Si vous examinez les autorités
des répertoires IFS (integrated file
system) dans lesquels vous publiez vos
pages Web (c’est-à -dire, /www/…), vous
verrez que ce profil a toutes les autorités
d’objet et de données. Par conséquent,
dans de tels cas, même si vous
fournissez des autorités privées pour limiter
les utilisateurs à  un niveau de répertoires,
n’en déduisez pas que votre
contenu Web est bien protégé. En réalité,
il est encore largement ouvert
parce que, en interne, le système fait
permuter le profil utilisateur avec le
profil QTMHHTTP pendant qu’il accède
aux pages.
Pour régler ce problème, ne laissez
pas le champ « User name to process
requests » vierge. Donc, que devezvous
entrer ici ? Parce que vous voulez
que l’autorité des utilisateurs s’applique
(au lieu de toute autorité
proxy), sélectionnez l’option « User
profile of the client » pour ce champ. A
nouveau, l’entrée %%CLIENT%% apparaîtra.
Ensuite, défilez jusqu’à  la section
intitulée « User authentication method
to validate password », sélectionnez
l’option « Use user profiles » et cliquez
sur OK pour appliquer ces changements.
Cela fait, revenez à  l’écran de
configuration en cliquant sur l’option
Configuration à  la partie supérieure.
Vous revenez ainsi à  la page principale,
où vous cliquez sur le nom du répertoire que vous voulez protéger
(dans ce cas, /www/tst_accts/htdocs).
Dans le panneau de droite, sélectionnez
l’option Control Access sous la section
Authentication and Security. Dans
l’écran résultant, défilez jusqu’à  « Users
and Groups who can access this resource
» et assurez-vous que l’option
« All authenticated users » est sélectionnée.
Cette double vérification vous
permet de savoir que c’est bien les profils
utilisateur iSeries qui seront utilisés
pour la validation (et aucun autre
moyen tel que des groupes utilisateur).
Cliquez sur OK. Ouvrez le panneau
Administration et sélectionnez
Start (ou Restart, selon le cas) pour le
serveur que vous venez de configurer
(TST_ACCTS, dans cet exemple). Cela
termine votre travail sur le serveur
HTTP. Celui-ci est maintenant prêt à 
servir les utilisateurs.