Personnalisez l'accès aux fonctions sensibles et aux opérations système.
Les configurations cachées pour la sécurité et l’administration de l’IBM i
Notre merveilleux IBM i cache dans ses entrailles de vrais trésors : des options de configuration cachées qui vous permettent de resserrer et de personnaliser davantage votre contrôle. La plupart d’entre nous ignorent cette richesse pourtant à portée de main. Plus exactement, à portée d’un clic ou d’une commande CL.
Les configurations cachées pour la sécurité et l’administration de l’IBM i
Certes, IBM n’a pas essayé de cacher ces trésors, mais n’a pas non plus, me semble-t-il, fait de gros efforts pour nous les faire connaître. Ces options de configuration « cachées » permettent de personnaliser l’accès à plusieurs fonctions concernant la sécurité, le système et le réseau, par une simple interface de commande CL ou par Navigator for i (Navigator tout simplement).
Les commandes CL Work with Function Usage (WRKFCNUSG), Change Function Usage (CHGFCNUSG), et Display Function Usage (DSPFCNUSG), sont les interfaces de commande vers ces options de configuration cachées. Navigator donne accès à ces options de configuration par une application peu connue que nous verrons.
Qu’est-ce que « Function Usage »?
Les opérations système et les commandes Sensitive Control Language sont en principe réservées à un certain groupe d’utilisateurs, par une combinaison d’autorités objet (êtes-vous autorisé à utiliser la commande ?) et d’autorités spéciales (avez-vous les autorités spéciales—par exemple, *SECADM, *JOBCTL—requises pour exécuter cette commande ou cette fonction ?).
Function Usage est une couche cachée supplémentaire placée sur certaines opérations sensibles. Ainsi, pour créer un profil utilisateur, un utilisateur doit être autorisé à employer la commande Create User Profile (CRTUSRPRF), après quoi la commande CRTUSRPRF vérifie si l’utilisateur exécutant la commande possède l’autorité spéciale Security Administrator (*SECADM). Si oui, le profil peut être créé. Dans ce cas, aucune autre option de configuration Function Usage cachée supplémentaire n’est impliquée.
Cependant, quand un utilisateur veut examiner le joblog actif d’un utilisateur *ALLOBJ (par exemple, QSECOFR), il doit remplir trois conditions : être autorisé à se servir de la commande DSPJOBLOG, posséder l’autorité spéciale Job Control (*JOBCTL), et aussi l’autorité *ALLOBJ. Ce sont les règles par défaut du système. Mais, en changeant les options de configuration cachées de Function Usage, vous pouvez changer les règles pour que tout détenteur de l’autorité spéciale *JOBCTL puisse consulter le joblog actif de l’utilisateur *ALLOBJ.
Comme ces options de configuration sont cachées dans Function Usage, la plupart d’entre nous finissent par donner l’autorité *ALLOBJ au personnel d’exploitation. C’est, semble-t-il, le seul moyen pour qu’ils puissent examiner le joblog actif d’un utilisateur *ALLOBJ quand le job a échoué. Ils doivent pouvoir régler le problème en examinant le joblog actif. Mais nous pouvons changer les règles en changeant le Function Usage.
Téléchargez cette ressource
Travail à distance – Guide IT et Métiers
Le travail à distance met à l'épreuve la maturité numérique des entreprises en termes de Cybersécurité, d'espace de travail, de bien-être des collaborateurs, de communication et gestion de projet à distance. Découvrez, dans ce nouveau Guide Kyocera, quels leviers activer prioritairement pour mettre en place des solutions de travail à domicile efficaces, pérennes et sécurisées.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- AI Speech double toutes vos vidéos !
- Finance : l’IA générative plébiscitée pour les décisions stratégiques
- Cybersécurité : les comportements à risque des collaborateurs
- Prédictions 2025 : voici comment l’intelligence artificielle va redéfinir la sécurité de 3 façons
- Top 5 des technologies à suivre en 2025 et au-delà !