Ouvrir les ports utilisées par les applications IBM i

briques et moins il ressemble à du gruyère, plus votre réseau sera sûr.

Si vous ne pouvez pas ouvrir les ports dont vous avez besoin, ne renoncez pas pour cela à utiliser ce superbe nouvel outil GUI qui vous fera gagner tant de temps chaque jour. Il existe d’autres méthodes pour lesquelles vos camarades du réseau ne s’inquiéteront pas à propos des nouveaux trous dans leurs pare-feu. Vous pouvez déployer OpenSSH pour créer un tunnel sûr que vos applications IBM i utiliseront. « Securing Communications with OpenSSH on IBM i5/OS » vous explique cette option. Vous pourriez aussi établir un tunnel VPN IP Security (IPSec) de votre PC client directement au serveur IBM i (voir : « Configuring TCP/IP on i5/OS platform »). IBM a aussi un document à propos de la configuration de Management Central dans un environnement protégé par pare-feu : « Configuring Management Central Connections for Firewall Environments ».

L’une des choses les plus ennuyeuses qui ne peut pas être changée est peut-être l’obligation du port 2300 (ou 2301 pour SSL) pour l’accès à la console système à distance vers le Hardware Management Console (HMC). Cette contrainte peut être contournée en trouvant un routeur consommateur simple capable de faire la retransmission de port (c’est une fonction courante dans les unités pour applications de jeu on-line). Placez le routeur du même côté du pare-feu que votre HMC et réglez le port 23 pour retransmettre vers le port 2300. Cet arrangement permettra à une session Telnet standard vers le port 23 de passer au port 2300 sur le HMC. Même si le pare-feu bloque le port, les utilisateurs à distance peuvent quand même utiliser le port Telnet standard pour accéder au HMC. Bien que ce dispositif puisse sembler légèrement moins sûr, n’oubliez pas que les utilisateurs doivent encore s’authentifier au HMC et au système lui-même, et que le simple choix d’un numéro de port étrange n’est pas une bonne pratique pour la sécurité (particulièrement depuis que tout produit de supervision de paquets peut facilement voir les ports source et destination).

Si les ports ne peuvent pas être ouverts, la solution de dernier recours consiste à déployer un serveur de terminal à accès distant. Ce peut-être tout simplement un PC qui permet le contrôle à distance (par exemple, Windows Remote Desktop). Ou ce peut-être quelque chose de plus sophistiqué : un serveur Citrix. Il existe une unité bien connue qui peut servir de serveur de terminaux : c’est une appliance VPN SSL, fournie par les fournisseurs de pare-feu. Placez n’importe quel serveur de terminaux à distance que vous employez du même côté du pare-feu que votre serveur IBM i cible, et vous pourrez y accéder comme s’il n’y avait pas de pare-feu, parce que, bien entendu, il n’y a pas de pare-feu entre le serveur de terminaux et l’IBM i. Les ports nécessaires pour ces services à distance sont bien compris et il sera bien plus facile de demander à l’équipe réseau de les ouvrir (s’ils ne le sont pas déjà).

Et l’horizon est plein d’espoir. Les outils ont tendance à aller vers une interface de type web, en utilisant davantage de ports standard et moins de ports en général. La dernière version du HMC élimine WebSM et opte plutôt pour l’accès basé sur le navigateur. System i Access for Web autorise bon nombre des mêmes fonctions de la version standard avec moins de ports nécessaires. IBM est franchement engagé sur cette voie et devrait délivrer davantage de fonctionnalités avec moins d’exigences pare-feu avec chaque release.

Quels que soient vos problèmes de connectivité, ne renoncez jamais ! Ces outils GUI modernes tiennent souvent toutes leurs promesses, et avec un peu d’effort, vous pouvez éviter de heurter le mur de briques du pare-feu dans vos tentatives pour bien utiliser vos systèmes avec les tous derniers outils.