Contrôler l’accès à  iSeries Navigator

Quand iSeries Navigator est apparu au
milieu des années 90, il a été installé
comme une grosse application. Les
clients lui reprochaient alors d’occuper
trop d’espace disque. IBM a ajouté
rapidement la possibilité d’installer des
composants séparés d’iSeries Navigator
afin de ne prendre que l’espace absolument
nécessaire pour un utilisateur
donné.
Les options d’installation multiples
avaient un effet secondaire intéressant
: les administrateurs pouvaient désormais
contrôler l’accès aux domaines
d’iSeries Navigator qu’ils
jugeaient trop puissants ou dangereux
entre les mains d’utilisateurs trop curieux.
En V5R2, les administrateurs
peuvent choisir entre 17 options Install
différentes. Ce sont

• iSeries Navigator Base Support
• Basic Operations
• Work Management
• Configuration and Service
• Network
• Security
• Users and Groups
• Database
• File Systems
• Backup
• Application Development
• Commands
• Packages and Products
• Monitors
• Logical Systems
• AFP Manager
• Application Administration

La première mesure de contrôle
d’accès consiste à  ne laisser les utilisateurs
installer que les composants dont
ils auront besoin. Parmi les 17 existants,
la plupart des administrateurs
trouveront un contrôle d’accès suffisant.
Mais faites-vous suffisamment
confiance à  vos utilisateurs pour qu’ils
n’installent que les composants indispensables
? Bien sûr que non.
Vous pourriez vous rendre auprès
de chaque PC et installer iSeries Navigator
vous-même. Mais il vaut mieux
créer des images CD avec les options
Install exactes que l’utilisateur doit
avoir.
Disons tout de suite que la seule
fourniture d’images CD personnalisées
n’est pas un mécanisme parfaitement
sûr. Les utilisateurs pourraient obtenir
leurs propres CD et installer euxmêmes
les composants, ou bien ils
pourraient aller dans Selective Setup et
installer eux-mêmes les composants.
Heureusement, il est possible de
contrôler cela. Pour empêcher les utilisateurs
d’installer des composants supplémentaires au moyen de Selective
Setup, un administrateur pourrait faire
de l’image par défaut sur l’iSeries *EXCLUDE,
enlevant ainsi le droit d’obtenir
même l’image install par défaut.
L’autre moyen consiste à  utiliser les
règles Windows. Un modèle qui contrôle
de nombreux aspects d’iSeries
Access peut être ajouté au PC ; puis, un
administrateur pourrait limiter les utilisateurs
dans leur possibilité d’installer
des composants sur leur PC, même
s’ils ont un CD. Et, même dans ce cas,
un utilisateur vicieux pourrait apporter
son propre portable et installer ce qu’il
veut. Le moyen de résoudre ce problème
consiste à  utiliser Application
Administration, que j’expliquerai dans
la section suivante.
Pour créer vos propres images CD,
choisissez d’abord votre iSeries favori.
(Je conseille un iSeries avec la dernière
release d’OS/400 et les tout derniers
correctifs installés.) Ensuite, associez
un lecteur de réseau de votre PC à  cet
iSeries. Vous passerez par le dossier
QIBM; par défaut, il est réglé sur
Shared, donc vous ne devriez avoir à 
faire aucune configuration supplémentaire
pour y parvenir.
Naviguez jusqu’au répertoire
\QIBM\ProdData\Access\WindowsInstall\Image, puis exécutez le fichier
Cwbinimg.bat. Cette opération démarrera
un wizard qui vous aidera à  créer
votre image. Une fois dans le wizard,
vous pouvez sélectionner quelles options
sont à  inclure dans votre image
CD, ainsi que l’endroit du stockage.
Ensuite, cliquez simplement sur Finish
et l’image sera créée. C’est très simple !
Après avoir créé votre image CD,
vous pouvez la transférer sur n’importe
quel lecteur en réseau ou graver
l’image sur un CD. Vous pouvez même
pousser plus loin et créer de multiples
images CD pour vos différents types
d’utilisateurs. Autorisez les testeurs à 
utiliser le lecteur partagé « testers »
avec leur image CD personnalisée, puis
autorisez les opérateurs à  utiliser le lecteur
partagé « operators » avec leurimage CD personnalisée, et ainsi de
suite.
L’un des risques de cette méthode
est que les utilisateurs peuvent accéder
au répertoire Install\Image sans posséder
de privilèges de sécurité spéciaux.
En utilisant « Permissions » dans iSeries
Navigator, vous pouvez n’accorder tel
dossier ou tel objet dans l’IFS qu’à  certains
utilisateurs.