par Jan Jorgensen - Mis en ligne le 26/08/02
Pour sauvegarder dans les meilleures conditions des informations
utilisateur sensibles, on dispose,
depuis la V4R1, de listes de validation
(type d'objet *VLD). A l'instar des espaces utilisateur, les
listes de validation ne peuvent être atteintes
qu'au moyen d'API ...
Pour sauvegarder dans l e s
meilleures conditions des informations
utilisateur sensibles, on dispose,
depuis la V4R1, de listes de validation
(type d'objet *VLD). Chaque entrée
d'une liste de validation est constituée
(1) d'un identificateur crypté lors de
son stockage et (2) de données correspondantes
en format libre. Pour valider
une entrée, l'utilisateur doit fournir les
deux éléments : l'identificateur d'entrée
correct et les données, qui sont
cryptées.
A l'instar des espaces utilisateur, les
listes de validation ne peuvent être atteintes
qu'au moyen d'API. En fait, il
n'existe que deux commandes OS/400
pour traiter les listes de validation :
CRTVLDL (Create Validation List) et
DLTVLDL (Delete Validation List). A
l'aide des API de listes de validation spéciales, on peut ajouter, modifier,
supprimer, trouver, et valider des entrées.
L'un des modes d'utilisation des
listes de validation consiste à stocker
un nom et un mot de passe utilisateur
à l'aide d'un navigateur Web. Dans ce
cas, l'identificateur d'entrée serait le
nom de l'utilisateur, et les données à
crypter seraient son mot de passe.
Quant au champ de données en format
libre, il contiendrait d'éventuels renseignements
supplémentaires sur l'utilisateur
à stocker.
Carsten Flensburg a publié le programme
de service CBX003, qui peut
effectuer toutes les tâches communes
à une liste de validation. Depuis lors,
Carsten a ajouté la fonction « find first
and find next validation list entry »
(trouver la première entrée de liste de validation et trouver la suivante) au
programme de service, pour lui permettre
d’extraire le contenu d’une liste
de validation.
J’ai écrit une interface au programme
de service de Carsten. Mais au
lieu de le faire en DDS et RPG, j’ai décidé
de créer une interface plus moderne
en HTML, JavaScript, Cascading
Style Sheets (CSS) et CGI-RPG. Mon
programme est assorti des conditions
préalables suivantes :
• L’AS/400 doit être configuré comme
un serveur HTTP avec l’autorisation
d’exécuter des programmes CGI.
• Vous devez savoir comment faire FTP
sur votre serveur Web.
• La liste de validation WEBPWD doit
exister sur l’AS/400.
Pour la créer, utilisez la commande
suivante :
CRTVLDL VLDL(CGIDATA/WEBPWD)
TEXT(‘www passwords')
Mon interface permet d’effectuer
les actions suivantes sur une liste de validation
via votre navigateur Web :
• Add
• Change
• Delete
• Verify
• Retrieve
• List
Retrieve : On peut supprimer cette
option. La valeur système QRETSVRSEC
détermine si l’information d’authentification
décryptable associée
aux profils utilisateur ou aux entrées
de liste de validation (*VLDL) peut
être conservée sur le système hôte.
Cela n’inclut pas le mot de passe du
profil utilisateur AS/400.
List : Cette action permettra, en
option, d’obtenir la liste des mots de
passe présents dans les listes de
validation.
Quand vous lancez le document index.
htm dans votre navigateur, vous
pouvez choisir entre ces options. Voir
« Comment installer le code source
HTML et RPG-CGI » qui explique le
processus d’installation.
Dans la figure 1, l’option Add est
sélectionnée. Après que vous ayez entré
les données requises et cliqué sur
Submit, une fonction JavaScript appelée
CheckInput est invoquée pour vérifier
l’entrée avant que le navigateur ne
soumette les données HTML au serveur
HTTP. En cas d’erreur, une alerte
indique sa nature.
Si tout se passe bien, le programme
CGI-RPG PA9001 est appelé
via le tag
Téléchargez cette ressource
Préparer l’entreprise aux technologies interconnectées
Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.
