Modifications de la sécurité des outils de service

de service sont désormais disponibles au moyen d’un protocole de communications connu (TCP/IP) au lieu d’une liaison twinax propriétaire, IBM a amélioré la sécurité pour authentifier les utilisateurs qui accèdent aux outils de service, même quand ces outils ont déjà  été démarrés quand l’iSeries fonctionne en mode paging dédié. Pour cette raison, on peut utiliser des outils de service à  distance en toute sécurité, même avant que l’iSeries finisse un IPL.

   Avant la V5R1, n’importe quel utilisateur autorisé pouvait accéder à  n’importe quel outil de service sur un iSeries, à  condition d’avoir le droit spécial *SERVICE. *SERVICE donnait accès à  tous les outils de service, mais il n’existait aucune trace de journal pour suivre les éventuelles modifications effectuées avec ces outils. La V5R1 améliore la sécurité des outils de service, ce qui permet de mieux contrôler l’accès aux fonctions de service dans les DST (Dedicated Service Tools), SST (System Service Tools) et interfaces graphiques équivalentes. Ces améliorations permettent aux utilisateurs de créer et de gérer des profils d’utilisateurs d’outils de service, d’activer des profils d’authentification d’unité, de fournir un jeu de privilèges fonctionnels qui peuvent être octroyés et révoqués à  partir de profils utilisateurs des outils de service, et d’offrir un journal de sécurité des outils de service.

   Les profils fournis par IBM (QSECOFR, 11111111 et 22222222), précédemment connus sous le nom de ID utilisateur DST) incluent désormais un profil QSRV, avec à  peu près les mêmes privilèges que 22222222, moins la possibilité Display/Alter/Dump. Chaque profil a des privilèges uniques pour utiliser des fonctions de service.

   Ces profils sont livrés avec leurs mots de passe par défaut habituels réglés sur « expired », ce qui oblige à  les modifier la première fois où l’on essaie d’utiliser l’un des profils. Il faut d’ailleurs les changer dès que possible pour ne pas risquer de se faire devancer par un petit malin. Pour changer ces mots de passe, on peut utiliser le profil utilisateur d’outils de service QSECOFR de DST.

   Les administrateurs peuvent aussi désormais configurer jusqu’à  96 profils utilisateurs d’outils de service supplémentaires avec des privilèges fonctionnels uniques de DST. Les ID utilisateurs d’outils de service peuvent avoir jusqu’à  10 caractères avec un mot de passe sensible aux majuscules/minuscules pouvant atteindre 128 caractères. Les mots de passe de profils utilisateurs expirent après 180 jours. Les utilisateurs n’ont pas le droit d’utiliser les 19 derniers mots de passe (les 18 précédents plus le mot de passe courant). QSECOFR peut activer et désactiver les mots de passe ; ils peuvent aussi être désactivés par trois tentatives de connexion à  l’outil de service invalides par le même nom d’utilisateur.

   Le fait de démarrer le DST ou le SST sous la V5R1 a pour effet de demander un profil et un mot de passe utilisateur d’outils de service valide. Les utilisateurs se voient aussi demander un profil et un mot de passe utilisateur d’outil de service quand un utilisateur d’OpsNav (Operations Navigator) tente d’utiliser les fonctions Cluster Management, Disk Units, ou Logical Partitioning (pourvu que Client Access Application Administration ait autorisé l’utilisation de ces fonctions par le profil utilisateur OS/400 qui est actuellement connecté (signed on) à  OpsNav).