> Tech > Quelques avertissements

Quelques avertissements

Tech - Par iTPro - Publié le 24 juin 2010
email

Vous avez peut-être remarqué que la commande MOUNT ne comporte ni paramètre d'identification d'utilisateur ni mot de passe, et qu'après un montage les utilisateurs peuvent immédiatement accéder à  des fichiers distants sans qu'on leur demande de s'authentifier. Comment NFS vérifie-t-il donc les droits de l'utilisateur à  accéder ou non à 

Quelques avertissements

des fichiers ? Pour en comprendre
le fonctionnement, regardons d’abord la manière dont Unix vérifie les droits
des utilisateurs.

à€ chaque utilisateur d’un système Unix est affectée une identification (User
ID ou UID) sous la forme d’un nombre de 16 bits signé allant de -32768 à  32768
(quelques versions utilisent des nombres de 16 bits non signés allant de 0 à 
65535). L’équivalent Unix de QSECOFR, la racine, a un UID de 0. Pour la vérification
des droits d’accès à  un fichier, Unix utilise l’UID plutôt que le nom de l’utilisateur.
Un utilisateur peut aussi faire partie d’un ou de plusieurs groupes. Les groupes
auxquels appartient un utilisateur sont représentés par des ID de groupes (group
ID ou GID). L’AS/400 demande un UID ou un GID quand il crée des profils d’utilisateurs
; cependant, à  l’exception de NFS AS/400, l’AS/400 utilise le nom de l’utilisateur
plutôt que l’UID pour déterminer les droits de l’utilisateur. NFS AS/400 utilise
les UID et les GID.

Chaque requête NFS, y compris la requête de montage, s’accompagne d’un ensemble
de droits d’utilisateurs tels que l’UID et la liste des GID auxquels appartient
l’utilisateur. Le serveur NFS fait correspondre un profil utilisateur AS/400
dont les droits déterminent si l’utilisateur est autorisé à  accéder au fichier
à  l’UID et aux GID. Quand un profil utilisateur est trouvé pour une UID et que
les requêtes anonymes sont autorisées, la requête est mappée par défaut à  QNFSANON,
l’utilisateur de NFS anonyme, sans droits spécifiques.

Gardez à  l’esprit qu’il est possible pour la même UID d’exister pour différents
profils utilisateurs sur les systèmes serveurs et clients. C’est pourquoi il
est vital de maintenir un schéma UID/GID cohérent pour tous les utilisateurs
dans les systèmes du réseau utilisant NFS. En outre, si on autorise un accès
racine par l’option ROOT de la commande EXPORTFS, un utilisateur racine qui
a tous les droits sur un système client a aussi tous les droits sur le répertoire
exporté, même sans mot de passe QSECOFR.

Pour limiter l’exposition des données critiques, il ne faut exporter que les
répertoires relatifs à  ses applications. Et comme NFS utilise des lookups DNS,
il est important que le serveur DNS soit sûr. Un serveur DNS dont la sécurité
est compromise peut aussi mettre en danger la sécurité NFS parce qu’un utilisateur
peut  » voler  » le nom d’un client et obtenir l’accès à  des fichiers qu’il ne
devrait normalement pas ouvrir.

Cet article ne constitue pas un cours complet sur NFS, mais il a pour but de
constituer un point de départ pour l’exploration des possibilités qu’offre cet
outil. NFS ne constitue peut-être pas la réponse à  tous vos problèmes de partage
de fichiers mais, jusqu’à  ce que l’AS/400 devienne un système client plus mûr,
utilisant d’autres protocoles standard de l’industrie, comme SMB, NFS représente
un bon moyen de partager des ressources locales et des ressources distantes.
Lancez-vous donc, profitez de NFS, et vous verrez qu’ouvrir vos données sur
l’extérieur n’est pas si difficile que vous pouviez le penser !


Denis Seiler est président de Netsys, Ltd., société
spécialisée dans les réseaux, l’administration de systèmes et l’intégration
multi plates-formes. Il travaille sur AS/400 depuis 1988.

Téléchargez gratuitement cette ressource

IBMi et Cloud : Table ronde Digitale

IBMi et Cloud : Table ronde Digitale

Comment faire évoluer son patrimoine IBMi en le rendant Cloud compatible ? Comment capitaliser sur des bases saines pour un avenir serein ? Faites le point et partagez l'expertise Hardis Group et IBM aux côtés de Florence Devambez, DSI d'Albingia.

Tech - Par iTPro - Publié le 24 juin 2010