On l’a vu, pour accéder à DST, SST, Operations Console, ou IBM Navigator for i, pour la gestion des partitions logiques et des unités de disques, il faut posséder un ID utilisateur des outils de service. Ces ID sont séparés (et différents) des profils utilisateur IBM i
L’ID utilisateur des outils de service IBMi
et sont créés au moyen de DST ou SST. Ils ont leur propre mot de passe et peuvent bénéficier de privilèges fonctionnels permettant à l’utilisateur d’effectuer certaines fonctions d’outils de service.
Le profil utilisateur QSECOFR et l’ID utilisateur des outils de service QSECOFR sont aussi des entités complètement différentes. D’où une confusion fréquente … et compréhensible. Par exemple, le fait de changer le mot de passe du profil utilisateur IBM i QSECOFR n’a pas le moindre effet sur le mot de passe de l’ID utilisateur des outils de service QSECOFR. La figure 1 et la figure 2 montrent les écrans SST que vous utilisez pour créer les ID utilisateur des outils de service et pour travailler avec.
IBM livre les ID utilisateur des outils de service par défaut suivants avec le système :
• QSECOFR
• QSRV
• 22222222
• 11111111
Les mots de passe pour les ID utilisateur des outils de service fournis par IBM QSECOFR, QSRV, et 22222222 sont initialement à leur valeur par défaut et expirés. Vous devez donc les changer avant de vous connecter. Vous pouvez remplacer les ID utilisateur 22222222 et QSRV, ou contourner un ID utilisateur QSECOFR expiré, en vous connectant au DST en utilisant l’ID utilisateur et mot de passe des outils de service QSECOFR.
Les ID utilisateur pour outils de service sont régis par deux stratégies de mots de passe. La stratégie par défaut utilise le cryptage Data Encryption Standard (DES) 56-bit 015-crackable tout en force brute, et aujourd’hui disparu. Ce cryptage est obligatoire si vous utilisez des clients System i Navigator pré-5.1 pour vous connecter aux fonctions de service. Cette stratégie de mots de passe par défaut présente les caractéristiques suivantes :
• Les ID utilisateur en majuscules ont une longueur maximale de 10 caractères.
• Les mots de passe sensibles à la casse (maj./min.) ont une longueur maximale de huit caractères.
A la création de l’ID utilisateur, le mot de passe doit avoir au moins un caractère. Après changement, le nouveau mot de passe doit comporter au moins six caractères.
• Les mots de passe pour ID utilisateur n’expirent pas dans le temps, mais un administrateur peut définir leur expiration. (Par défaut, les mots de passe ont expiré quand le profil est créé.)
• A l’exception de 11111111, les mots de passe initiaux pour les ID utilisateur des outils de service livrés par IBM sont, par défaut, les mêmes que le nom de l’ID utilisateur des outils de service et expirés.
• Par défaut, les mots de passe ne peuvent pas être répétés pour 18 mots de passe. Vous pouvez changer cet intervalle en choisissant l’Option 10 (Duplicate Password Control) sur le menu Work with Service Tools Security Data. La valeur peut aller de 0 à 32.
• Par défaut, les ID utilisateur sont désactivés après saisie de trois mots de passe erronés. Vous pouvez changer le nombre maximum de tentatives de connexion en choisissant l’Option 9 du menu Work with Service Tools Security Data. La valeur peut aller de 2 à 99.
L’autre stratégie de mots de passe, dite alternée, utilise le cryptage Secure Hash Algorithm (SHA), avec deux avantages : mot de passe bien plus long et beaucoup plus de caractères acceptés. Par conséquent, cette stratégie fournit des mots de passe bien plus puissants que la stratégie par défaut. Ses caractéristiques sont les suivantes :
• Les ID utilisateur en majuscules ont une longueur maximale de 10 caractères.
• Les mots de passe sensibles à la casse (maj./min.) de 128 caractères, doivent avoir au moins un caractère au moment de la création de l’ID utilisateur. Quand les mots de passe sont changés, ils doivent avoir au moins six caractères.
• Par défaut, les mots de passe pour les ID utilisateur expirent après 180 jours. Mais vous pouvez changer l’intervalle d’expiration par l’Option 8 (Password expiration interval in days) du menu Work with Service Tools Security Data. La valeur peut aller de 0 (*NOMAX) à 999 jours.
• Par défaut, les mots de passe ne peuvent pas être répétés pour 18 mots de passe. Vous pouvez changer cet intervalle en choisissant l’Option 10 (Duplicate Password Control) sur le menu Work with Service Tools Security Data. La valeur peut aller de 0 à 32.
• Par défaut, les ID utilisateur sont désactivés après saisie de trois mots de passe erronés. Vous pouvez changer le nombre maximum de tentatives de connexion en choisissant l’Option 9 du menu Work with Service Tools Security Data. La valeur peut aller de 2 à 99.
La stratégie alternée est bien plus intransigeante et, bien employée, fournit une protection par mot de passe bien plus efficace. Sachez toutefois qu’après avoir adopté la stratégie alternée, vous ne pourrez plus revenir à la stratégie par défaut ! Pour passer de la stratégie par défaut à l’alternée, utilisez DST pour effectuer les opérations suivantes :
1. Connectez-vous à DST avec votre ID utilisateur des outils de service.
2. Dans le menu Use Dedicated Service Tools (DST), choisissez l’Option 5 (Work with DST environment).
3. Dans le menu Work with DST Environment, choisissez l’Option 6 (Service tools security data).
4. Dans le menu Work with Service Tools Security Data, choisissez l’Option 6 (Password level).
5. Quand un message vous demande si vous voulez passer à la nouvelle stratégie de mots de passe, appuyez sur Entrée.
Téléchargez cette ressource
Sécuriser votre système d’impression
Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.