Privilèges fonctionnels des outils de service IBM i

Et aussi de déterminer si cet utilisateur peut contrôler la clé et les fonctions du panneau opérateur qui donnent à un utilisateur l’accès à LIC et la possibilité d’effacer ou de réinstaller le système d’exploitation.

En contrôlant quels panneaux un utilisateur des outils de service est autorisé à voir, vous contrôlez les fonctions qu’il est autorisé à exécuter dans SST et DST. IBM offre un grand nombre de privilèges, ce qui vous permet de créer des ID utilisateur des outils de service limités aux seules tâches qu’un utilisateur a le droit d’accomplir.

Certes, les ID utilisateur des outils de service intéressent peu les auditeurs et ne sont régis par aucune loi ou réglementation. Mais c’est un bon principe de sécurité que de créer des ID utilisateur limités aux seuls privilèges nécessaires pour des jobs bien précis. Les privilèges fonctionnels permettent cela.

Dans les écrans concernant les ID utilisateur des outils de service (figure 1 et figure 2), vous avez peut-être remarqué l’option Change privilege(s) (en tapant Option 7 ou en appuyant sur F5, respectivement). Cette sélection produit des écrans comme ceux des figures 3, 4 et 5.

Dans IBM i 6.1, un nouveau concept a été introduit : celui de “lier” un ID utilisateur des outils de service avec un profil utilisateur IBM i. Le but est de valider des fonctions qui nécessitent un ou plusieurs privilèges de service mais qui sont exécutées à partir d’une ligne de commande plutôt que SST ou DST. Ces fonctions sont généralement actives quand vous êtes au téléphone en train de régler un problème avec IBM, et pas dans le cadre normal de vos activités quotidiennes.

Vous pouvez soit lier l’ID utilisateur des outils de service d’une personne à son profil IBM i , soit, si vous avez plusieurs profils IBM I qui ont besoin du privilège de service, créer un ID utilisateur des outils de service, accorder le privilège requis, puis le lier au profil de groupe du profil utilisateur IBM i. Quand vous liez un ID utilisateur des outils de service à un profil de groupe IBM i, chaque profil dans le groupe est lié à l’ID utilisateur des outils de service et a ce privilège quand il utilise les fonctions IBM i qui le requièrent.

Il est important de noter que le profil IBM i QSECOFR est lié à l’ID utilisateur des outils de service QSECOFR, et ce lien ne peut être ni supprimé ni changé. Comme le profil IBM i QSECOFR est lié à l’ID utilisateur des outils de service QSECOFR, chaque profil IBM i qui est un membre de QSECOFR est lié à l’ID des outils de service QSECOFR.

IBM i 6.1 a aussi ajouté une méthode (longtemps attendue) pour afficher les attributs de l’ID utilisateur des outils de service à partir de l’IBM i. Dans les versions antérieures, il fallait aller dans SST ou DST pour visualiser les attributs des ID utilisateur des outils de service individuels. La commande Display Service Tools User ID (DSPSSTUSR) vous permet d’afficher ou d’imprimer les attributs d’un ou de tous les ID utilisateur des outils de service. La figure 6 montre l’information fournie pour chaque ID utilisateur des outils de service.