Mais quelle est l’autorite speciale de *jobctl ?

utilisateurs se voient souvent aussi attribuer curieusement le moyen de contrôler les jobs de tous les autres utilisateurs du système. Ce niveau d’autorité élevé est accompli en mettant le paramètre SPCAUT à *JOBCTL dans le profil utilisateur ou le profil de groupe. Bien que ce paramétrage soit normal pour les opérateurs et les administrateurs système, il est très inapproprié, voire dangereux, pour les utilisateurs finaux, même s’ils sont limités à la ligne de commande (c’est-à-dire LMTCPB(*YES)).

Les utilisateurs dotés de l’autorité spéciale *JOBCTL peuvent contrôler chaque job sur le système et peuvent même mettre fin aux sous-systèmes. S’ils y sont autorisés, ils peuvent même arrêter le système ! Par conséquent, si un utilisateur a l’accès ligne de commande et *JOBCTL, il peut très certainement mettre fin au sous-système interactif en utilisant la commande ENDSBS QINTER. Mais quel est le danger si un utilisateur n’a pas l’accès ligne de commande ?

Si un utilisateur a JOBCTL et est limité à la ligne de commande avec LMTCPB(*YES), il peut néanmoins mettre fin à votre sous-système interactif en allant à une invite de commande sur un PC Windows sur lequel iSeries Access est chargé et exécuter la commande suivante :

RMTCMD ENDSBS QINTER

Cette commande terminera votre sous-système interactif, ce qui n’est pas une bonne nouvelle ! Et, si l’utilisateur allait jusqu’à terminer le sous-système de contrôle ? Mieux vaut ne pas y penser !

Remarque : La commande iSeries Access for Windows RMTCMD ne respecte pas les restrictions normalement imposées par LMTCMD(*YES). Donc, même les utilisateurs avec des restrictions ligne de commande peuvent exécuter toute commande qui leur est permise.

Pour établir la liste des utilisateurs sur votre système qui ont l’autorité spéciale *JOBCTL, utilisez la commande suivante :

PRTUSRPRF TYPE(*ALL) SELECT(*SPCAUT) SPCAUT(*ALL)

Cette commande donnera la liste de toutes les autorités spéciales attribuées à chaque utilisateur, ainsi que les autorités spéciales attribuées à ses profils de groupes.

Pour contribuer à la protection de votre système, retirez l’autorité spéciale *JOBCTL aux utilisateurs qui n’en ont pas besoin. Pour contrôler l’accès par des interfaces comme RMTCMD, utilisez Exit Programs du serveur de réseau OS/400 pour obtenir le niveau de contrôle le plus granulaire possible.