i-sécurité : grand principe

Ce ne sont peut-être pas mes mots exacts, mais c’est bien mon sentiment. Chaque décision de sécurité que l’i prend, est fondée sur deux facteurs : ce que votre profil utilisateur autorisera et ce que l’objet concerné acceptera.

i-sécurité : grand principe

Rappelons le grand principe de l’i sécurité. Ce n’est pas simplement une chose mais plutôt une combinaison d’attributs. Chaque fois que je (ou un programme agissant en mon nom) demande l’accès à un objet, le système vérifie deux choses : qui je suis (profil utilisateur) et quel objet je veux manipuler (valeur d’autorisation objet) pour s’assurer que, d’après les deux critères,  j’ai le droit de faire ce que j’envisage. Il me donne alors un pointeur système que je peux utiliser pour manipuler librement le dit objet sans devoir revérifier avec le système, ce qui est très efficace et très intelligent du point de vue de la science informatique. Et aucun autre système moderne, même en remontant à l’IBM S/38, ne fait cela.

Et c’est la bonne nouvelle : l’i sécurité n’est pas simplement une chose. C’est un croisement, une combinaison de deux entités différentes et difficiles à concilier. Et dans ce croisement, nous trouvons un système de sécurité durable, protecteur, et suffisamment souple pour jouer son rôle dans pratiquement tous les scénarios informatiques imaginables.

Et la mauvaise nouvelle est . . .

La mauvaise nouvelle ? Peut-être qu’il n’y en a pas. Il n’y a pas de recette magique, pas de valeur par défaut (par exemple, *EXCLUDE) que vous pourriez juste appliquer systématiquement. Vous devez savoir quelque chose et vous devez appliquer les divers éléments en tenant compte des besoins réels de vos utilisateurs et de vos applications.

Comme Carol Woodbury l’a dit récemment, « la sécurité de l’i5/OS ne se veut pas déroutante, » et c’est bien vrai. Mais elle est complexe, avec beaucoup d’options. Bien qu’il faille beaucoup de temps pour apprendre tout ce qu’il faut savoir à son sujet, vous pouvez avoir une bonne idée du principe de fonctionnement assez rapidement. Dans mon prochain article, j’expliquerai d’autres fonctions intéressantes de la sécurité IBM i, y compris l’adoption de l’autorité, les listes d’autorisations, et les profils de groupes. Pour l’instant, soufflez un peu.