Utilisation d’une unité LAN comme console système

un système et permet d’attribuer les consoles d’exploitation en toute souplesse même si, dans certains cas, l’accès au système restera nécessaire (par exemple, pour charger un CD dans le lecteur de CD).

   L’authentification d’unité remplace l’accès physique comme mode principal de sécurisation d’une console en LAN. Les administrateurs peuvent créer jusqu’à  50 profils d’unité, qui sont nécessaires pour l’authentification des unités (la configuration sur la station de travail elle-même est également requise). Cela signifie qu’un site peut avoir jusqu’à  50 stations de travail LAN capables de devenir la console, bien qu’une seule unité à  la fois puisse agir comme la console. Pour utiliser la console sur une station de travail authentifiée, un utilisateur doit également fournir un profil et un mot de passe utilisateur d’outils de service ayant des privilèges de console.

   A partir de la V5R1, l’OS/400 est livré avec un profil d’unité par défaut, QCONSOLE. Je recommande de définir au moins un profil utilisateur supplémentaire pour les outils de service avec des droits identiques à  QSECOFR. Si vous utilisez Operations Console sur un LAN, je recommande également de créer un profil d’unité supplémentaire avec des droits identiques à  QCONSOLE. Ce faisant, on dispose au moins d’une sauvegarde en cas de défaillance de l’un de ces profils.

   Certaines GUI, comme Operations Console rattaché en utilisant un panneau d’exploitation à  distance de LAN ou de partition secondaire, nécessitent à  la fois des profils et des mots de passe d’unité d’outils de service.

   La V5R1 introduit également un journal de sécurité des outils de service. Ce journal contient des informations visualisables sur la manière dont les outils de service sont utilisés. Les enregistrements de journalisation et les événements horodateurs (timestamps) comme la création, la modification ou la suppression de profils ; l’octroi ou la révocation de privilèges ; et la création et le traitement de journaux. Ce journal est limité en taille et boucle quand il est plein.

   L’une des nouveautés de la V5R1 est également la possibilité d’appliquer la sécurité à  l’installation du système d’exploitation lui-même. Quand cette option de sécurité est en service, seuls les utilisateurs disposant de privilèges DST complets peuvent installer l’OS/400. (Si l’installation n’est pas sécurisée, n’importe quel utilisateur qui peut effectuer un IPL peut également effectuer une installation.) A l’heure actuelle, le journal de sécurité contient un nombre limité d’entrées et boucle quand il atteint cette limite.

   Pour plus de détails sur la sécurité des outils de service et la sécurité des profils d’unités, voir le document Tips and Tools for Securing Your iSeries (SC41-5300).