Profils d’unités des outils de service IBM i

Les profils d’unités donnent le moyen d’authentifier une unité – plutôt qu’un ID utilisateur —essayant d’agir comme la console.

Une fois le PC authentifié, l’utilisateur essayant d’exécuter Operations Console sur le PC, doit fournir son ID et mot de passe utilisateur des outils de service et doit avoir les privilèges régissant les fonctions Operations Console.

Vous pouvez configurer SST pour permettre des profils d’unités Operations Console spécifiques pour la gestion de la console, mais cette fonction est livrée désactivée. Vous l’activerez en allant dans DST et en enlevant l’Option 7 du menu Work with Service Tools Security Data du menu Work with DST Environment.

Dans le cadre de ses changements visant à simplifier Operations Console, la 6.1 permet désormais, par défaut, la création automatique de jusqu’à 10 profils d’unités habilités DST, nommés de QCONSOLE00 à QCONSOLE09. Pour changer cette valeur, allez à DST, et, dans le menu Work with Service Tools Security Data, spécifiez une valeur de 0 à 49 dans le champ Autocreate service tools device IDs. Vous pouvez désactiver purement et simplement l’autocréation d’unités DST en désactivant l’option Autocreate service tools device IDs sous DST.

Vous atteignez le panneau Work with System Security (figure 7) en sélectionnant l’Option 7 (Work with system security) à partir de DST ou SST. Ce panneau propose trois options importantes très utiles pour gérer la sécurité de tout votre système :

1. Allow system value security changes
2. Allow new digital certificates
3. Allow a ID service tools user ID with a default and expired password to change its own password

Si Allow system value security changes est mise à 2 (No), de nombreuses valeurs système ne pourront pas être changées. C’est clair et net. A moins de remettre cette valeur à 1 (Yes), ces valeurs système ne peuvent pas être changées, même si vous êtes connecté en tant que QSECOFR. Cette option empêche d’autres administrateurs de changer vos valeurs système (à la condition que vous ne leur ayez pas donné un ID utilisateur des outils de service apte à changer cette valeur). Elle empêche aussi leur changement par les fournisseurs pendant leur installation. La liste des valeurs système affectées par ce réglage peut changer à chaque release. Vous pouvez prendre connaissance de la liste actuelle pour votre système en appuyant sur F1=Help pendant que le curseur est sur le paramètre Allow system value security changes sur l’affichage Work with System Security.

L’option Allow new digital certificates vous permet de contrôler si de nouveaux certificats certificate authority (CA) peuvent être ajoutés à votre système. Quand cette option est mise à 2 (No), nul programme ou nulle personne ne peut ajouter une nouvelle CA approuvée à votre système, sans votre consentement explicite. Cette option est utile dans les cas suivants : vous vous souciez de savoir où les certificats numériques ont été créés pour être utilisés dans l’authentification SSL côté client, ou vous exécutez des applications signées numériquement.

L’option Allow a service tools userID with a default and expired password to change its own password contrôle si ces ID utilisateur des outils de services ont le droit de changer leurs propres mots de passe. Quand vous laissez cette option à sa valeur par défaut, 2 (No), le mot de passe ne peut être changé que par un autre ID utilisateur des outils de service avec les privilèges fonctionnels appropriés ou à partir de DST. En conservant cette valeur par défaut, vous empêchez quiconque d’accéder à SST au moyen des ID utilisateur des outils de service bien connus. Ils parviendront à leurs fins si vous n’avez pas changé les mots de passe par défaut de ces ID utilisateur et si vous avez changé cette valeur à 1 (Yes).