Des socket SSL à partir de RPG ? Bien sûr c’est possible !
Les sockets permettent à un programme de communiquer sur un réseau TCP/IP. Toute donnée que vous écrivez dans un socket est fragmentée en paquets et envoyée sur votre réseau ou sur Internet vers l’ordinateur de destination, où elle est reconstituée et lue par un autre programme. Ce genre de communication est la substance même d’Internet : ce sont des milliards d’octets qui circulent de par le monde. Mais il y a un hic. Les octets envoyés sur Internet traversent des dizaines de réseaux, et les ordinateurs qui en font partie peuvent les voir. Pour qu’un envoi reste privé, il faut le crypter !Le standard de cryptage des communications TCP/IP est un protocole généralement connu sous le nom de SSL (Secure Sockets Layer). Cet article donne un aperçu de SSL et vous apprend à utiliser les API GSKIT (Global Secure ToolKit) fournies avec i5/OS pour écrire vos propres applications SSL en ILE RPG.
Lire l'article
L’essentiel de la supervision du réseau pour la PME, 1ère partie
On dit souvent que « Un peu de prévention vaut beaucoup de soins ». C’est particulièrement vrai en matière de supervision de réseau. Le fait de superviser vos serveurs, les applications qu’ils exécutent et vos unités de réseau, peut signaler des problèmes que vous corrigerez avant qu’ils ne touchent vos utilisateurs. En supervisant le réseau et en tenant son historique, vous pouvez tirer de ces données des informations exactes destinées aux utilisateurs, souvent prompts à exagérer la fréquence d’un problème particulier.Il est un autre aspect tout aussi important : en supervisant le réseau, vous savez exactement ce qui s’y passe, qui y accède et quand. Il y a donc deux types de supervision. Dans cet article, j’appelle le premier supervision de l’exploitation et le second supervision de la sécurité. Dans les grandes entreprises, il est fréquent que ces deux genres de supervision soient confiés à processus distincts confiés à l’équipe d’exploitation et à l’équipe de sécurité de l’information.
Mais les petites et moyennes entreprises (PME) tendent plutôt à appliquer un processus de supervision global, pour plusieurs raisons. Indépendamment du budget et des effectifs, les réseaux PME n’ont généralement pas besoin du même niveau de supervision que les grands comptes. Ils fonctionnent rarement à pleine capacité et sont beaucoup plus faciles à maintenir que ceux des grandes entreprises. Enfin, les réseaux PME ne sont pas aussi sophistiqués et n’ont pas besoin du même détail d’analyses et de courbes de tendances, que leurs grandes soeurs.
Dans cette série en deux parties, je recense les divers appareils et systèmes que vous devez superviser dans une PME pour la sécurité et l’exploitation. Dans la 1ère partie, j’indique les sources de supervision de données les plus courantes, y compris les journaux d’événements Windows, Syslog et SNMP ; et, dans la 2e partie, nous construirons l’ossature d’une solution de supervision de réseau au moyen d’outils gratuits ou peu coûteux.
L’essentiel du matériel dans un réseau PME
La plupart des réseaux PME (petites et moyennes entreprises) comportent quelques composantes physiques rudimentaires. Câbles physiques, commutateurs Ethernet intelligents, routeurs et autres, tout cela transporte les données qui contribuent à votre activité.La plupart des réseaux PME (petites et moyennes entreprises) comportent quelques composantes physiques rudimentaires. Câbles physiques, commutateurs Ethernet intelligents, routeurs et autres, tout cela transporte les données qui contribuent à votre activité.
Lire l'article
Un réseau PME « parfait »
Bienvenue au début d’une longue série d’articles traitant de la mise en place du « parfait » petit réseau PME (petites et moyennes entreprises). Nous partons du commencement: là où vous vous trouvez peut-être en ce moment, si vous créez une entreprise. Nous voulons vous présenter les composantes successives que vous devrez considérer pour votre infrastructure.Notre ambition n’est pas seulement de vous offrir une base de réseau parfaite mais aussi une solution élégante. A cette fin, au fur et à mesure que nous présenterons les éléments essentiels du réseau PME, nous proposerons des articles sur la manière de mettre ce réseau à votre service.
L’un des points importants pour bien équiper le réseau PME est de bien comprendre que les besoins de la PME sont très différents de ceux de la grande entreprise. En général, ce qui vaut pour celle-ci ne convient pas à la PME. Dans cette dernière, l’organisation de l’activité, la sophistication technique et les exigences de management sont très différentes. Pour compliquer les choses, il n’existe pas vraiment de PME type. Elles peuvent beaucoup varier entre elles en termes d’exigences de gestion et de capacités techniques. Donc, pour commencer cette série, essayons de parvenir à une définition générale des types de réseaux PME, en exposant les composantes et les caractéristiques de base. Les articles suivants utiliseront ces thèmes comme points de départ pour construire le parfait réseau PME.
Optimiser les performances de ODBC et OLE DB
ODBC et OLE DB sont des middlewares d’accès aux bases de données qui relient à l’iSeries des serveurs Windows, des applications Office et des applications d’accès à des bases de données maison. Beaucoup d’utilisateurs savent que ces éléments de middleware iSeries Access assurent la connectivité de base entre des applications Windows et l’iSeries. Mais les mêmes ignorent souvent que ODBC et OLE DB possèdent tous deux certains paramètres très influents sur la performance de vos applications ODBC et OLE DB.Dans cet article, je parle des paramètres courants qui peuvent affecter la performance du driver iSeries Access ODBC, et je couvre certaines des propriétés importantes qui affectent la performance du provider iSeries Access OLE DB. Vous pourrez ainsi tirer le maximum de ces deux technologies.
Lire l'article
10 outils d’évaluation de la sécurité du réseau à posséder absolument !
Les professionnels qui veulent évaluer la sécurité de leur réseau disposent de nombreux outils - littéralement, des milliers à la fois commerciaux et open-source. La difficulté est d’avoir le bon outil pour le bon travail, au bon moment, et de pouvoir lui faire confiance. Pour réduire l’éventail du choix, je décris mes dix outils gratuits favoris pour l’évaluation de la sécurité du réseau.L’évaluation de la sécurité du réseau passe par quatre phases fondamentales : reconnaissance, énumération, évaluation et exploitation. La phase de reconnaissance concerne la détection des appareils du réseau par un scanning en direct via ICMP (Internet Control Message Protocol) ou TCP. Pendant les phases d’énumération et d’évaluation, l’évaluateur de sécurité détermine si un service ou une application tourne sur un hôte particulier et analyse ses éventuelles faiblesses. Dans la phase d’exploitation, l’évaluateur utilise une ou plusieurs vulnérabilités pour obtenir un certain niveau d’accès privilégié à l’hôte et utilise cet accès pour mieux exploiter l’hôte ou pour élever le privilège sur l’hôte ou le réseau, ou le domaine.
Lire l'article
NAC : aspects techniques
Nul ne savait depuis quand l’appareil traînait dans la salle de conférence. Déguisé en magnétoscope, il ressemblait à un banal équipement obsolète et tout le monde l’ignorait. Jusqu’à ce qu’un visiteur demande s’il pouvait débrancher son câble Ethernet pour brancher son ordinateur portable.Les magnétoscopes n’ont pas de câbles Ethernet !
Le responsable de la sécurité informatique ouvrit aussitôt l’engin et découvrit le pot aux roses. À l’intérieur, un micro et un circuit imprimé avec une prise Ethernet qui, il y a quelques instants encore, était connectée à un port Ethernet de la salle de conférence. En définitive, le circuit imprimé n’était rien d’autre qu’un micro espion, rapportant à un serveur éloigné tous les propos de la salle de conférence. La piste s’arrêta là et il fut impossible de démasquer le coupable. De l’avis général, ce truc-là était présent depuis plusieurs mois.
Ce récit décrit un événement réel, mais – on le comprendra – la société concernée souhaite garder l’anonymat. Il illustre l’un des nombreux dangers que présente un port Ethernet non protégé. Il y en a beaucoup d’autres : des visiteurs qui se branchent pour scruter votre réseau ou pour utiliser abusivement la connexion Internet, des ordinateurs contaminés se connectant et infectant votre LAN, des appareils sans fil sauvages ouvrant votre réseau à l’intrusion à distance. Pourtant, à moins de verrouiller physiquement chaque port Ethernet, un administrateur de réseau était peu armé pour protéger cette ressource essentielle.
Heureusement une solution a pris la forme d’un nouvel ensemble technologique collectivement appelé NAC (Network Access Control). NAC vous aidera à sécuriser le port Ethernet omniprésent, de telle sorte que seuls les utilisateurs autorisés puissent se connecter, et qu’ils soient soumis à un minimum d’inspection en matière de logiciel malveillant, virus et failles de sécurité. NAC est utilisable dès à présent, mais pour bien le choisir, vous devez connaître les principes de base de son fonctionnement et l’étendue de ses options.
Boîte à outils System iNEWS : intéret de iSCSI pour l’installation d’un SAN
Je suis chargé de choisir et d’installer un SAN (storage area network) dans mon entreprise. Je suis confronté au choix entre la connectivité fiber channel traditionnelle et le procédé iSCSI plus récent. A en croire mon entourage, le principal intérêt de iSCSI est qu’un HBA (Host Bus Adapter) spécial n’est pas nécessaire sur le System […]
Lire l'article
La sécurité plus facile avec 802.11G
Nous aimons tous la commodité et l’agrément des LAN sans fil (WLAN, wireless LAN). Grâce à eux, nous restons connectés loin du bureau. Nous pouvons accéder à Internet aussi facilement dans un cybercafé ou à la maison qu’assis à notre bureau. Un point d’accès (AP, Access Point) sans fil d’entrée de gamme coûte moins de 75 dollars, un prix qui fait de cet appareil l’un des périphériques informatiques les plus vendus depuis l’iPod.
Et, pourquoi pas, vous pouvez littéralement brancher l’une de ces boîtes dans une prise électrique et dans votre réseau, et le tour est joué : vos portables équipés Wi- Fi se connecteront à votre réseau sans aucun fil. Mais, est-ce forcément une bonne chose ? Cette facilité est grosse d’un énorme risque pour vos réseaux de données. En effet, quand vous acceptez la configuration par défaut de beaucoup de ces AP peu coûteux, vous permettez à d’autres de se connecter à votre réseau ou d’en espionner le trafic tout aussi facilement. Heureusement, la plupart des AP sans fil comportent des fonctions faciles à configurer qui améliorent considérablement leur sécurité. En six opérations de base, vous pouvez sécuriser un petit WLAN doté d’un équipement 802.11g peu coûteux. Bien que 802.11g soit un standard IEEE, la plupart des fournisseurs proposent une myriade de fonctions fixes sur leurs produits AP sans fil. Les fonctions de sécurité restent tout de même homogènes, même si les fournisseurs baptisent différemment des fonctions semblables. Dans l’exemple de configuration présenté ici, j’utilise un Linksys WRT54G comme AP 802.11G. Le WRT54G est peu coûteux et très prisé pour le petit bureau, le domicile, et même le labo d’une grande société. Cet AP et ses congénères n’offrent bien sûr pas les mêmes prestations que les produits de classe entreprise, comme les gammes Proxim OriNOCO ou Cisco Systems Aironet. Cet article s’intéresse aux AP d’entrée de gamme basiques.
Durcir le SYSTEM I : Firewall Friendly VPN
La demande croissante d’e-business s’accompagne d’une forte exigence de sécurité. Virtual Private Network avec IP Security Architecture (IPsec VPN) y répond en fournissant le cryptage et l’authentification de bout en bout au niveau de la couche IP et en protégeant les données confidentielles qui empruntent des réseaux plus ou moins fiables.IPsec présente un double avantage : une large étendue de la couverture et une granularité agile pour la protection. Hélas, il existe des incompatibilités entre IPsec VPN et le NAT (Network Address Translation) que les pare-feu utilisent.
Ces incompatibilités doivent être résolues si l’on veut généraliser le déploiement d’IPsec VPN en e-business. La solution réside dans Firewall Friendly VPN. En V5R4, le System i peut être à la fois client et serveur pour une connexion VPN qui traverse NAT. Firewall Friendly VPN peut servir de multiples scénarios e-business tels que : fournir des relevés de comptes en ligne aux clients d’une banque, permettre à des agents d’assurance locaux de soumettre des demandes en toute sécurité par Internet, ou laisser les clients System i télécharger des documents à partir du serveur IBM RETAIN.
DNS
Récemment, mon réseau a souffert d’un problème intermittent de résolution de noms DNS. Franchement, traquer des bogues de résolution de noms n’est pas ce que je préfère. Et, malheureusement, mes compétences en dépannage DNS se sont rouillées au fil du temps. Il est vrai que DNS sait se faire oublier quand il fonctionne selon les normes: tout fonctionne : navigateur, client e-mail, serveur de courrier électronique, DC (domain controller). Comme je n’avais pas eu à dépanner DNS depuis des années, j’ai vu mon problème actuel comme une excellente occasion de rafraîchir mes compétences.Comme DNS est devenu la pierre angulaire d’un environnement AD (Active Directory) satisfaisant et parce que DNS est le liant des éléments d’Internet, il est essentiel de pouvoir détecter et résoudre rapidement les problèmes DNS du réseau. Voyons d’abord les subtilités du dépannage DNS en dehors de l’AD (Active Directory) puis voyons quelles complexités cet AD ajoute à l’ensemble.
Lire l'article
ROBOCOPY sur le réseau
Dans mon article précédent, je vous présentais l’un des utilitaires les plus utiles et puissants du Microsoft Windows Server 2003 Resource Kit. Cette fois, je vais creuser un peu plus Robocopy pour vous montrer quelques autres de ses facettes : en particulier en matière de réseau.En septembre dernier, je terminais avec un exemple consistant à copier des fichiers d’un share nommé \\marksws\myfiles vers un nommé \\centralserver\marksfiles. Cependant, en tenant compte des vicissitudes du travail en réseau, je voulais que Robocopy réessaie ces copies 13 fois au moins dans le cas d’une défaillance du réseau et qu’il attende 30 secondes entre les nouvelles tentatives successives. Cette commande se présentait ainsi :
robocopy \\marksws\myfiles \\centralserver \marksfiles /w:30 /r:13
Cette commande tient compte du fait que les réseaux manquent parfois de fiabilité. Mais j’aimerais aussi aborder un autre aspect de la pratique du réseau : la bande passante. Si le share myfiles est de bonne taille, je pourrais bien accaparer une bonne partie de la bande passante du réseau. Robocopy me permet d’améliorer son effet sur le réseau de trois manières : en me permettant de spécifier la plage de temps dans laquelle il s’exécutera, la méthode par laquelle il réessaiera les copies, et le temps pendant lequel il attendra pour envoyer le bloc de données suivant.
Il me faut plus de débit, 1ère partie
Quelles que soient la configuration et l’installation d’un système, il arrive que la charge de travail consomme toute la capacité de traitement, ralentisse le débit, et allonge le temps de réponse. De la même façon que votre activité a besoin de changement, votre système demande des améliorations de performances, et ce bien que vous ayez alloué le maximum de matériel. Cet article s’intéresse à quelques scénarios de ralentissement et indique comment atténuer leur effet.
Lire l'article
Sécuriser votre réseau sans fil
Des sociétés de toutes tailles utilisent aujourd’hui des réseaux sans fil. Dans les petites et moyennes entreprises (PME), leur faible coût et leur facilité de déploiement peuvent les rendre préférables aux réseaux câblés. Pour les grandes entreprises, les réseaux sans fil ont plusieurs usages : réunion d’employés munis de portables dans des salles, des halls d’hôtels, et même des cafétérias, connectés aux réseaux.Les mérites des réseaux sans fil induisent un fort besoin de sécurité. Des réseaux sans fil non protégés offrent aux pirates et à ceux qui veulent simplement se connecter gratuitement à Internet, un libre accès à votre intranet. Il n’est pas rare de voir des réseaux sans fil sauvages dans de grandes entreprises.
En effet, les groupes de travail ou les utilisateurs finaux ignorent parfois le règlement intérieur et installent des points d’accès (AP, Access Points) pour répondre à un besoin ponctuel. Mais, ce faisant, ils font courir un grand risque à tous Songez à cela : des adeptes du spam et du phishing particulièrement astucieux savent maintenant utiliser des réseaux sans fil non sécurisés pour envoyer des messages de courriel en masse. Ils circulent dans les zones urbaines et dans les quartiers d’affaires, à la recherche de réseaux sans fil vulnérables.
Quand ils en trouvent un, ils configurent leurs systèmes mobiles pour s’y connecter, obtenir une location DHCP avec une adresse IP valide, DNS, et une information de passerelle par défaut ; puis pour envoyer leurs messages. Si vous avez déjà utilisé un outil tel que NetStumbler ou les outils de gestion sans fil intégrés que l’on trouve sur la plupart des portables et des PDA, vous avez sûrement rencontré des réseaux sans fil non sécurisés dans votre voisinage, autour de votre bureau, voire dans votre propre entreprise.
Les propriétaires de réseaux non sécurisés courent de nombreux risques : perte de bande passante sur leur connexion Internet, infection virale, voire une responsabilité pénale ou civile si leurs réseaux sans fil non sécurisés servent à lancer des attaques contre autrui.
Voyons quelques étapes pratiques permettant de sécuriser vos réseaux sans fil, les méthodes d’automatisation du déploiement des paramètres de configuration, et les outils permettant de repérer la présence de réseaux sans fil non sécurisés et non autorisés.
Monter un accès Internet redondant à faible coût
Pour de plus en plus d’entreprises, l’accès internet devient un impératif de productivité et c’est une ressource de plus en plus souvent requise par les applications critiques telles que la messagerie ou l’accès aux pages Web de fournisseurs par exemple. C’est donc maintenant un besoin aussi fort que le téléphone ou l’électricité. Il faut donc s’assurer de la disponibilité de cette ressource et donc disposer de solution( s) de repli ou de secours en cas de défaillance de la connexion ou de son Fournisseur d’accès à Internet (FAI).Les solutions existent à ce jour mais sont le plus souvent onéreuses avec des contrats de disponibilité forte auprès de son FAI ou des solutions de secours sur RNIS. Mais aujourd’hui, il est possible en disposant de deux connexions ADSL de type standard, de les associer pour disposer d’une part d’une résilience aux pannes de l’une ou de l’autre, de d’autre part de disposer de la somme des deux bandes passantes tant pour les flux entrants, que pour les flux sortants. Mais si ce besoin de connexion des utilisateurs et des serveurs de l’entreprise vers la toile mondiale est important, il n’est pas forcément vital.
Un autre facteur est à prendre en compte lors de l’analyse de ce besoin, c’est la connexion des utilisateurs externes ou utilisateurs nomades vers les ressources de l’entreprise. Il s’agit généralement de publications de type Web. Bien sûr, la plupart des entreprises hébergent leurs sites web auprès de structures spécialisées, mais ce n’est pas toujours le cas et de nouvelles applications comme la messagerie mobile imposent presque systématiquement la présence d’une connexion depuis l’Internet vers le serveur de messagerie. C’est par exemple le cas avec les services d’Exchange Server 2003 qui permettent un accès Outlook Web Access (OWA) ou ActiveSync depuis le monde extérieur à l’entreprise. Dans ce cas, l’accès à ces services doit être sécurisé, mais il doit aussi offrir un haut niveau de disponibilité. Une coupure de la connexion entre ces serveurs et Internet aboutit à une indisponibilité du service de messagerie pour les utilisateurs mobiles. C’est dans ce cadre de publication, qu’il convient de mettre en place une solution de connexion à Internet redondante et donc fiable.
Lorsque l’on parle de redondance, le plus simple consiste à doubler les équipements, mais la gestion de la bascule entre l’équipement défaillant et l’équipement de secours reste le point à surveiller. La première base de la disponibilité de connexion à Internet, sans avoir recours à des contrats très onéreux, consiste bien sur à se doter de deux connexions à Internet.
Automatiser MBSA
Vous êtes un administrateur système chargé d’évaluer et de recueillir une grande variété de données de sécurité concernant les systèmes de votre réseau. Vous aimeriez bien scruter vos systèmes chaque fois qu’ils redémarrent puis présenter les résultats ainsi obtenus, sur un site Web où vous et vos collaborateurs pourriez les examiner (et, éventuellement, remédier aux vulnérabilités). Pour créer un programme de scanning automatisé du réseau, vous pouvez utiliser Microsoft Baseline Security Analyzer 1.2.1 conjointement à des exemples de scripts MBSA de Microsoft.
N’allez surtout pas compter sur le seul MBSA pour la sécurité de votre réseau : il n’est pas à la hauteur de cette responsabilité. Mais vous verrez qu’il est capable de quelques trucs étonnants et qu’il peut vous fournir des données très utiles pour sécuriser le réseau.Si vous voulez des informations plus élémentaires sur MBSA avant d’entreprendre ce projet, voyez l’encadré exclusif Web « MBSA Introduction » (www.itpro.fr Club abonnés)
Commençons par diviser notre projet en trois tâches :
1. Télécharger MBSA et l’installer sur chaque ordinateur cible manuellement ou par une méthode automatisée telle qu’un GPO (Group Policy Object) d’installation de logiciel. Télécharger des modèles de scripts MBSA.
2. Ecrire un script de démarrage qui exécute l’utilitaire ligne de commande MBSA (mbsacli. exe) à chaque redémarrage de l’ordinateur et qui sauvegarde les résultats du scanning dans un partage de réseau.
3. Exécuter une tâche planifiée quotidiennement qui utilise un modèle de script MBSA pour traiter les données sur le share du réseau et les transformer en rapports HTML visibles sur un serveur Web.
Chaque réseau étant différent, vous devrez adapter cet exemple à votre cas particulier. Ainsi, ces étapes supposent que les utilisateurs ne sont pas des administrateurs locaux et qu’ils ne peuvent donc pas exécuter les scripts sous leurs permissions utilisateur. Il en découle que la plus grande partie de l’installation et du scanning de MBSA se produit via les GPO AD (Active Directory) fonctionnant avec des privilèges élevés.
ENTERPRISE EXTENDER : l’avenir de SNA sur L’I5/OS
Des forces convergentes dans l’industrie informatique poussent les entreprises à faire passer tout leur trafic applicatif sur une infrastructure IP.
La nouvelle fonction Enterprise Extender, disponible dans l’i5/OS V5R4, fournit un standard permettant aux applications SNA de communiquer sur un réseau IP. La déclaration de planning de l’i5/OS V5R3 émise en avril 2005 évoque l’éventuel retrait des divers adaptateurs et protocoles de liaison de données capables de transporter le trafic SNA en mode natif. Cependant, l’Enterprise Extender protègera l’investissement que les entreprises ont consacré à leurs applications SNA au fil des ans.Dans cet article, nous décrivons l’architecture Enterprise Extender, analysons comment elle a été mise en oeuvre sur l’i5/OS, et expliquons divers aspects de sa configuration et de son utilisation sur le système i5. Nous présentons aussi divers scénarios auxquels les entreprises seront confrontées lors du passage de leur environnement SNA actuel à un qui utilise Enterprise Extender.
Imprimer dans CGI
Comme son nom l’indique, un navigateur Web est chargé de naviguer sur le Web et d’afficher les données sous forme graphique. Bien que l’on puisse imprimer des pages Web en utilisant le bouton Imprimer du navigateur, les fonctions d’impression (comme les en-têtes de pages pour chaque page imprimée) ne peuvent pas être homogènes sur l’ensemble des navigateurs parce que chaque navigateur et client peut avoir des imprimantes et des paramètres très différents : marges, pieds de pages, en-têtes, et autres. De plus, la taille de chaque page Web est variable selon le type d’entrée et de données. Par conséquent, si vous êtes amenés à imprimer la sortie d’un navigateur Web, il vaut mieux recourir à un rapport traditionnel créé par un job batch.Pour qu’un navigateur Web affiche la sortie imprimée, il faut d’abord convertir le fichier spool en format PDF. Il existe un outil permettant cette conversion, à www-92.ibm.com/en. On peut aussi utiliser à cet effet les outils CGIDEV2 ou MMAIL.
MMAIL facilite l’envoi électronique et la conversion des fichiers spool, des fichiers MIME, des fichiers stream (fichiers IFS), des fichiers save, et des membres de fichiers source. Elle possède aussi une commande (CVTSTMFPDF) pour convertir un fichier spool en PDF, HTML ou texte. Si vous envisagez d’imprimer à partir du navigateur client, vous devez convertir le fichier en format PDF.
Le répertoire de destination sur l’IFS doit être accessible à partir d’un navigateur Web. La configuration par défaut de l’outil CGIDEV2 permet au navigateur Web d’accéder au répertoire CGIDEV. Pour plus d’efficacité, je suggère de créer un sous-dossier dans le dossier CGIDEV ou un dossier IFS séparé, pour stocker les fichiers PDF. Utilisez la commande CHGAUT pour accorder l’autorité au dossier créé. *PUBLIC a besoin de l’autorité *RX. QTMHHTP1 et QTMHHTTP ont besoin de l’autorité *RWX et des autorités de données *OBJMGT, *OBJEXIST, *OBJALTER et *OBJREF.
Journal à distance
Dans les entrailles d’i5/OS se cache une technologie qui commence à susciter de l’intérêt. A en croire le volume de questions posées au lab Rochester d’IBM sur ce thème, on mesure une extrême sensibilisation au cours de la dernière année. Il s’agit du journal à distance, un petit aspect du support peu connu jusque-là.
Introduit voilà quelques années, le journal à distance est passé presque inaperçu pendant un certain temps. Mais, récemment, les projecteurs se sont braqués sur lui et il est le moyen privilégié de transporter efficacement les changements de données récents d’un iSeries sur un autre.Mon premier contact avec le journal à distance remonte à quelques années, quand la V4R2 de l’OS/400 était encore en chantier.
On m’a invité alors à rejoindre l’équipe de développement du journal IBM, à participer à la conception du journal à distance, et à l’amener sur le marché. Mes prédécesseurs d’alors voyaient le journal à distance comme un simple mécanisme de transport amélioré et très efficace grâce auquel nos Business Partners haute disponibilité pourraient construire les versions améliorées de leurs produits.
Ils n’ont pas pressenti que d’autres fournisseurs le considèreraient comme un moyen facile d’atteindre le marché de la haute disponibilité. Et peu d’entre eux ont perçu que ce serait aussi un moyen intéressant d’établir un environnement coffre-fort à distance. Pendant un temps, nous avons simplement cru fabriquer une meilleure tuyauterie pour les produits existants.
Les API Cryptographic Services
L’exposition d’informations personnelles sur des millions de personnes a fait les gros titres au cours de ces dernières semaines. Les sociétés responsables de ces ratés risquent de fortes amendes et aussi des poursuites en vertu des obligations contractuelles et des lois sur le secret. Dans beaucoup de ces cas, si des mesures cryptographiques avaient été prises pour protéger les données, l’incident se serait limité à un petit accroc.Les API Cryptographic Services de l’iSeries procurent aux programmeurs d’applications iSeries un outil cryptographique puissant qui leur permet de protéger la confidentialité des données, d’en assurer l’intégrité et d’authentifier les parties communicantes. Les API Cryptographic Services font partie du système d’exploitation de base et effectuent des fonctions cryptographiques dans le i5/OS Licensed Internal Code (LIC) ou, facultativement, sur un 2058 Cryptographic Accelerator. (Pour plus d’informations sur les fonctions cryptographiques que l’on trouve sur les API, du passé jusqu’aux Cryptographic Services courants, voir « Une brève histoire de la fonction cryptographique de l’iSeries »). Pour vous aider à démarrer avec les API Cryptographic Services, cet article donne une vue d’ensemble fonctionnelle, explique les paramètres Encrypt Data, présente un exemple de programme de cryptage C simple, explique l’utilisation des contextes d’algorithmes pour étendre les opérations sur des appels multiples et les contextes de clés pour améliorer la performance et protéger les clés, et examine les API de gestion de clés pour faciliter la gestion de clés cryptographiques. (Pour acquérir une compréhension de base de la fonction et de la terminologie cryptographique, lisez l’article « Cryptography concepts » présent dans l’encadré Pour en savoir plus.)
Lire l'articleLes plus consultés sur iTPro.fr
- Black Friday le 29 novembre : les cybercriminels en embuscade, prudence !
- DSI & directeurs financiers : une relation plus solide pour de meilleurs résultats
- Le support IT traditionnel pourrait disparaitre d’ici 2027
- L’IA et l’IA générative transforment la cybersécurité
- Top 6 de la sécurité des secrets
