> Tech > Tout savoir sur les droits publics

Tout savoir sur les droits publics

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Gary Guthrie et Wayne Madden
L'une des grandes qualités des AS/400 et iSeries est leur solide mécanisme de sécurité. Ce système détermine les droits des utilisateurs sur les objets. Il y a trois catégories de droits sur un objet :
     - Le droit sur l'objet : les opérations qui peuvent être exécutées sur un objet (décrits dans la figure 1a).
     - Le droit sur les données : les opérations que l'on peut réaliser sur le contenu d'un objet (figure 1b).
     - Le droit sur les champs : les opérations effectuées sur les champs de données (figure 1c).
Avec autant de possibilités, le système de sécurité s'avère relativement complexe. Pour garantir un environnement de travail sûr, il est important de bien connaître le processus des droits publics par défaut, ses risques et ses avantages.

Un droit public sur un objet est un droit par défaut accordé aux utilisateurs
qui n’ont pas besoin d’un accès spécifique ou privé sur l’objet. Ces utilisateurs
n’ont pas de droit spécifique attribué au niveau de leur profil utilisateur, ne
figurent pas sur une liste d’autorisation qui leur donnerait un droit spécifique
et ne font pas partie d’un profil de groupe qui possèderait un droit particulier.


Des droits publics sont définis à  chaque fois que l’on crée un objet, soit en
restaurant un objet soit en utilisant l’une des nombreuses commandes de création
de type CrtXxx. Lorsqu’un objet est restauré, les droits publics précédemment
définis à  cet objet lui seront attachés. Lorsqu’un objet est créé avec une commande
CrtXxx, le paramètre Aut (droit) lié à  cette commande définit les droits publics
sur cet objet.



Un droit public sur un objet est un droit par défaut accordé aux utilisateurs



Les droits publics accordés aux utilisateurs se déclinent en plusieurs groupes
de droits standards définis dans chacune des valeurs suivantes : *All, *Change,
*Use, *Exclude.

Voici une description de chacune de ces valeurs :



     – *All : L’utilisateur peut effectuer
toutes les opérations qu’il souhaite sur l’objet sauf celles réservées au propriétaire
ou celles contrôlées par une liste d’autorisation. L’utilisateur peut contrôler
l’existence de l’objet, il peut attribuer ou révoquer des droits sur l’objet,
le modifier et l’utiliser. Cependant, seul le propriétaire peut modifier la propriété
de l’objet.

     – *Change : L’utilisateur peut
exécuter les opérations qu’il souhaite sauf celles réservées au propriétaire et
celles contrôlées par une liste d’autorisation. Il ne peut accéder ni au droit
relatif à  l’existence de l’objet, ni au droit relatif à  l’altération de l’objet,
ni au droit relatif à  la référence de l’objet. Il peut effectuer les fonctions
de base sur l’objet mais il ne peut pas changer ses paramètres. Donc, ce droit
*Change est un droit opérationnel sur l’objet ainsi qu’un droit sur toutes les
données associées lorsque l’objet en possède.

     – *Use : L’utilisateur peut exécuter
les opérations de base sur l’objet comme ouvrir un fichier, lire les données enregistrées
et exécuter un programme. Cependant s’il peut lire et ajouter des données il ne
peut ni les mettre à  jour ni les supprimer. Il s’agit donc d’un droit opérationnel
sur l’objet, un droit de lecture des données, un droit d’ajout de données et un
droit d’exécution des données.

     – *Exclude : Un utilisateur défini
est volontairement exclu de tout droit sur l’objet.



La figure 2a montre les droits particuliers sur les objets, droits définis ci-dessus.
La figure 2b montre les droits particuliers sur les données.










































Figure
1a Droits sur les objets
Droit Description
Opérations
autorisées
*ObjOpr Opérations sur l’objet
– Examen de la description
de l’objet

– Utilisation de l’objet tel que décrit dans les droits sur les données
*ObjMgt Gestion de l’objet
– Définition de sécurités
sur l’objet

– Déplacement ou renommage de l’objet

– Toute opérations autorisées par *ObjAlter et *ObjRef
*ObjExist Existence de l’objet
– Suppression de l’objet

– Espace libre pour l’objet

– Sauvegarde et restauration de l’objet

– Transfert de la propriété de l’objet
*ObjAlter Modification de l’objet
– Ajout, suppression,
initialisation et réorganisation de membres de fichiers base de données

– Modification et ajout d’attributs de fichiers base de données

– Ajout et suppression de triggers

– Modification d’attributs de packages SQL
*ObjRef Référencement de l’objet
– Définition du parent
d’une contrainte d’intégrité
*AutLMgt Gestion des listes
d’autorisations
– Ajout et suppression
d’utilisateurs et de leurs droits des listes d’autorisations





































Figure
1b Droits sur les données
Droit Description
Opérations
autorisées
*Read Lecture · Affichage du contenu
de l’objet
*Add Ajout · Ajout d’entrées à 
l’objet
*Upd Mise à  jour · Modification des
entrées de l’objet
*Dlt Suppression · Suppression d’entrées
de l’objet
*Execute Exécution · Exécution d’un programme,
programme de service ou package SQL· Localisation de l’objet dans une bibliothèque
ou un répertoire










































Figure
1c Droits sur les champs
Droit Description
Opérations
autorisées
*Mgt Gestion · Définit les sécurités
du champ
*Alter Modification · Modification des
attributs du champ
*Ref Référencement · Indique que le champ
fait partie d’une clé parente dans une contrainte d’intégrité
*Read Lecture · Accès au contenu
du champ
*Add Ajout · Ajout d’entrées aux
données
*Update Modification · Modification des
entrées existantes du champ





















































Figure
2a Droits individuels sur les objets
Ensemble de
droits

Droits
sur les données


*ObjOpr


*ObjMgt


*ObjExist


*ObjAlter


*ObjRef

*All
X


X


X


X


X

*Change
X









*Use
X









*Exclude






























































Figure
2b Droits individuels sur les données
Ensemble de
droits



Droits
sur les données




*Read


*Add


*Upd


*Dlt


*Execute

*All
X


X


X


X


X

*Change
X


X


X


X


X

*Use
X


X






X

*Exclude













Téléchargez cette ressource

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Villes, intercommunalités, métropoles, départements et régions sont particulièrement exposés aux risques de cybersécurité. Ce livre blanc Stormshield présente les défis cyber que rencontrent les collectivités, les solutions et perspectives pour qu’elles puissent assurer leur mission d’utilité publique, en toute sécurité.

Tech - Par iTPro.fr - Publié le 24 juin 2010

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT