Délégation de controle

Par Kathy Ivens
En tant qu'administrateur de réseau, vous ne pouvez pas assumer toutes les tâches informatiques de l'entreprise - vous devez donc déléguer le contrôle administratif à  d'autres membres de l'équipe. Bien que vous puissiez simplement désigner un groupe d'administrateurs chargés d'effectuer certaines tâches, il est bien préférable d'utiliser le Delegation of Control Wizard de Windows 2000 ...

  Cet outil permet de configurer précisément trois aspects importants de la délégation : ceux à  qui vous allez donner des pouvoirs administratifs, les objets sur lesquels vous voulez qu'ils agissent, et les autorisations dont ils ont besoin pour mener à  bien leurs tâches administratives.

Retrouvez toutes les figures dans l'édition papier de cet article, Windows & .Net Magazine, n°1, janvier 2002

La forteresse de la salle informatique

par Dick Lewis
La sécurité complète des serveurs et des réseaux inclut la sécurité physique. En tant que professionnel de l'informatique, vous savez parfaitement combien coûte une perte de matériel et de données et êtes le mieux placé pour déterminer les risques et renforcer le dispositif de défense physique du data center contre ce genre d'attaque.

Le Traitement des données numériques définies à  l’exécution en RPG IV

par Mike Cravitz
Effectuer des calculs arithmétiques sur des données à  la compilation et sur des champs de type décimal zoné, entier et à  virgule flottante.
Dans « Traitement des données numériques définies à  l'exécution en RPG IV, 1re partie », je montrais comment traiter des données numériques contenues dans des champs caractères.

  Ici, je montre comment effectuer des opérations arithmétiques sur des champs packés à  la compilation (compile time), quand il faut stocker le résultat dans un champ packé à  l'exécution (runtime). J'explique également comment effectuer des calculs arithmétiques avec d'autres types de champs numériques à  l'exécution, y compris des champs en décimal zoné, entier et virgule flottante.

Actualités Windows NT / 2000 – Semaine 23 – 2002

Actualités du 3 au 9 juin 2002

Les nouveautés de la semaine 16 – Windows 2000 & .Net – 2002

Tous les nouveaux produits du 15 au 21 Avril 2002

Archivage, Reporting dans l’infrastructure

Help/Systems présente Robot/Trapper, utilitaire qui convertit les notifications d'événements SNMP en messages iSeries et permet aux utilisateurs de vérifier le statut des unités réseaux à intervalles réguliers.

Robot/Trapper fonctionne avec les réseaux existants, ne nécessite pas de matériel supplémentaire et peut surveiller n'importe quelle unité ayant une adresse IP.

News iSeries – Semaine 12 – 2002

Semaine du 18 au 24 mars 2002.

Au-delà  de la délégation à  l’A.D. du wizard de contrôle

par Siegfried Jagott
Comment déléguer les autorisations dans l'AD (Active Directory) de Windows 2000 ? D'après Microsoft, on peut utiliser le modèle de délégation et de sécurité de l'AD pour déléguer tous les droits dont on a besoin dans Win2K. La réponse générale de Microsoft à  la question est la suivante : « Utilisez simplement l'Active Directory Delegation of Control Wizard. Cependant, l'expérience de ma société montre que même si le wizard joue son rôle pour des procédures de base comme la création d'utilisateurs et la gestion de groupes, il est impuissant si l'on ambitionne de déléguer les autorisations d'AD de manière plus granulaire.

  Dans son article de septembre 2000, « The Active Directory Delegation of Control Wizard », Paula Sharick introduit la fonctionnalité du wizard. Cet article est amplement suffisant si vous commencez seulement à  déléguer le contrôle dans l'environnement Win2K. Mais imaginons que vous ayez l'intention de mettre en oeuvre un domaine à  l'échelle mondiale dans une très grande forêt d'AD (par exemple, une division contenant plus de 10.000 utilisateurs). Comment commencer?

  Chez Siemens Power Generation (PG), nous avons dû relever exactement ce défi. Chez nous, chaque division fonctionne comme une société autonome et a une équipe informatique dont les employés sont dispersés dans différents sites fonctionnant de manière indépendante. Nous voulions créer un domaine pour la division - au lieu de plus de 88 domaines avec plus de 400 trusts sur la planète (comme c'était le cas de la division dans son environnement Windows NT 4.0). Nous avions l'intention d'exploiter le domaine indépendamment de l'Active Directory Forest Root Service Provider (FRSP) de Siemens - le principal service informatique interne de la société qui gère toutes les configurations pour l'ensemble des forêts, comme les extensions de schéma. Mais nous avons vu d'emblée qu'il nous faudrait établir un département informatique similaire, responsable de la gestion générale des domaines, et agissant comme point de contact unique pour le domaine de nos divisions. Nous avons baptisé ce département Domain Central Service Provider (DCSP). Nous voulions aussi accorder aux administrateurs locaux de la division les autorisations leur permettant d'accomplir leur travail comme ils le faisaient sous NT 4.0

  En route, nous avons rencontré des problèmes et les avons résolus. A la fin, nous nous sommes trouvés face à  une nouvelle perspective quant au jeu d'autorisations de l'AD - une perspective bien plus profonde que celle qu'aucun article ou livre pourrait fournir. Donc, si vous décidez d'adapter les techniques de cet article à  votre implémentation d'AD, soyez extrêmement prudent. Certains des conseils fournis ici pourraient fort bien donner des résultats imprévisibles faute de tests approfondis préalables. Pour notre mise en oeuvre, nous avons utilisé la version d'AD qui accompagnait la release initiale de Win2K.

Linux sur iSeries

par Erwin Earley
La stratégie OS/400 d'IBM a longtemps consisté à  intégrer les nouvelles technologies. En livrant Linux sur iSeries, le Lab de Rochester ne fait que perpétuer cette tradition. La V5R1 permet aux systèmes iSeries d'exécuter le système d'exploitation Linux dans une ou plusieurs partitions logiques ...

... On obtient ainsi un superbe tandem : la possibilité d'accéder aux applications et aux utilitaires Open Source et la fiabilité et l'évolutivité légendaires de l'iSeries.

  Grâce à  la possibilité de ressources partagées du partitionnement logique (LPAR, logical partitioning) de l'iSeries, on peut établir un système d'exploitation Linux avec une configuration très modeste : un quart de processeur, 64 Mo de RAM, et 512 Mo d'espace disque. Nul besoin de dédier des ressources physiques (c'est-à -dire natives) à  la partition logique. A l'heure actuelle, l'OS/400 supporte une partition logique Linux d'un maximum de huit processeurs et 4 Go de mémoire - ces limitations sont d'ailleurs dictées par Linux et pas par le LPAR de l'iSeries.

  L'organisation Open Source de Linux utilise une arborescence de code source compilée pour générer des noyaux (kernels) destinés à  des plates-formes matérielles spécifiques. Linux sur iSeries est fondé sur le kernel Linux PPC (Power PC), mais IBM a apporté plusieurs modifications au kernel pour l'adapter au matériel iSeries et à  l'environnement LPAR. Ces modifications sont de type ouvert (open source) et seront au début disponibles au Linux Technology Center d'IBM (http://oss.software.ibm.com/develo-perworks/opensource/linux/projects/ppc). IBM offrira peut-être les modifications à  la communauté open-source Linux pour inclusion dans les arborescences de code source Linux distribuées officiellement.

  En apprenant comment IBM intègre Linux à  l'architecture iSeries, vous verrez que l'iSeries est une solide plate-forme pour Linux. L'analyse des possibilités LPAR de l'OS/400 révèle pourquoi l'iSeries est une plate-forme idéale pour regrouper (consolider) de multiples serveurs sur une seule machine. Fort de ces informations, vous serez à  même de sélectionner les applications Linux, comme les pare-feu et les serveurs de e-commerce, qui ajoutent de la valeur à  l'installation iSeries.

Suivre une réplication d’A.D.

par Mark Minasi
Dans " Get a Handle on AD Internals " ("Une plongée dans le schéma AD"), septembre 2001, et " Forcing AD Replication " ("Forcer la réplication de AD"), septembre 2001, j'expliquais comment utiliser repadmin.exe pour suivre et contrôler la réplication d'Active Directory (AD) et donnais quelques indications succinctes sur la manière dont l'AD se réplique. Voyons ici comment l'AD suit le trafic de réplication ...

Les ressources de sécurité sur le web

par Michael Otey
Les informations qui empruntent le Web ont deux mérites de taille : la rapidité et l'accessibilité mondiale. Le Web est donc le meilleur moyen pour diffuser des informations sur la sécurité. Pour sécuriser au maximum leurs réseaux, les administrateurs du monde entier doivent se tenir au courant des vulnérabilités, des menaces, et bien sûr des corrections.Voici les sites Web qui m'ont le plus impressionné pour des informations de sécurité sur Windows 2000, Windows NT et Internet.

Un réseau modèle

par Randy Franklin Smith
Dans l'article « D'autres fondamentaux NT pour l'administrateur soucieux de sécurité » de novembre 2001, j'expliquais les rôles des DC (Domain Controlers) de Windows NT et la logistique des relations de confiance que l'on peut établir entre des domaines NT. Pour concrétiser au mieux cette connaissance, ne créez pas de domaines ou de relations de confiance au petit bonheur la chance : organisez-les d'après un à  quatre modèles de domaines : domaine unique, confiance complète, domaine maître, ou domaine maître multiple (aussi appelé multimaître).

  Pour choisir un modèle, il faut tenir compte des points suivants : structure administrative du réseau, nombre d'utilisateurs et degré de sécurité visé. Si l'un des modèles de domaines les plus complexes est celui qui convient le mieux, n'hésitez pas à  l'adopter, par crainte de problèmes associés à  la réplication. Vous pouvez régler l'enregistrement (registry) de manière à  ce que la réplication entre les PDC et les BDC se fasse dans les temps, sans s'octroyer trop de bande passante du réseau.

Sécuriser les communications FTP en V5R1

par Carol Woodbury
Tout le monde sait bien qu'il y a risque d'espionnage quand des données ou des ID et mots de passe utilisateurs empruntent un réseau sans être cryptés. Le transfert de données via des opérations FTP (File Transfer Protocol) est l'un des plus exposés ...
L'implémentation serveur FTP de la V5R1 donne des moyens d'améliorer la sécurité de l'iSeries.

Tout le monde sait bien qu'il y a risque d'espionnage quand des données ou des ID et mots de passe utilisateurs empruntent un réseau sans être cryptés. Le transfert de données via des opérations FTP (File Transfer Protocol) est l'un des plus exposés. Bien entendu, toute solution capable de mieux sécuriser les mouvements de données FTP constitue un important progrès pour empêcher l'utilisation malveillante des données. La sécurisation de FTP répond à  ce souci de sécurité et cet article montre comment la mettre en place.

Les nouveautés de la semaine 23 – Windows 2000 & .Net – 2002

Tous les nouveaux produits du 3 au 9 Juin 2002

Trucs & Astuces : SMTP, Outlook, Windows

Exchange 2000 Server, IIS et le service SMTP -- Norton Antivirus et Outlook XP : EMail protection ? -- Taille du registre Windows 2000 : comment l'augmenter -- Problèmes d'installation de Windows 2000 sur un Compaq Presario -- Lecteurs amovibles et NT4 ...

Messenger Plus vous tient informé des événements

par Chuck Lundgren
Vous avez lancé votre sauvegarde et êtes parti en weekend. Tout devrait bien se passer, mais le fait de ne pas savoir si la sauvegarde s'est bien terminée vous préoccupe. Et si un utilisateur avait oublié de quitter un écran, laissant ainsi son application ouverte et ses fichiers verrouillés ? Et s'il n'y avait pas suffisamment de place sur le volume de bande pour tout sauvegarder ? ... MessengerPlus de Bytware offre un système iSeries complet qui supervise les messages ...

Vous avez lancé votre sauvegarde et êtes parti en weekend. Tout devrait bien se passer, mais le fait de ne pas savoir si la sauvegarde s'est bien terminée vous préoccupe. Et si un utilisateur avait oublié de quitter un écran, laissant ainsi son application ouverte et ses fichiers verrouillés ? Et s'il n'y avait pas suffisamment de place sur le volume de bande pour tout sauvegarder ? Et une coupure de courant ? Ou si l'un des innombrables problèmes susceptibles de troubler une sauvegarde s'était produit ? Bien sûr, vous pouvez toujours vous rendre au bureau ou vous connecter à  distance pour consulter les messages, mais ne vaudrait-il pas mieux que le système vous signale les éventuels problèmes par pager ou e-mail ?

MessengerPlus de Bytware fournit ce service. Il offre un système iSeries complet qui supervise les messages, réagit à  certains d'entre eux, et informe des destinataires de pagers ou de e-mail si des conditions précisées par l'utilisateur surviennent.

Un système iSeries normalement actif génère des milliers de messages chaque jour destinés à  plusieurs files d'attente. Il faut donc qu'un produit de messagerie soit capable d'éliminer par filtrage les messages non critiques dans certaines files d'attente, y compris QSYSOPR et QSYSMSG, pour se concentrer sur les problèmes système importants éventuels. MessengerPlus fait exactement cela parce qu'il peut filtrer des messages d'après un certain nombre de critères (par file d'attente, identification, type, ou texte demessage, ou encore niveau de gravité, nom du job, nom d'utilisateur, par exemple).

MessengerPlus peut également superviser les autres ressources du système, comme les journaux de jobs, le journal d'historique (QHST), les files d'attente de jobs, les files d'attente de sortie, les jobs actifs, et le journal d'audit de sécurité. Il peut également consulter les comptes-rendus d'état de configuration et d'état du système. MessengerPlus peut, par exemple, surveiller les jobs actifs et vous alerter si l'un d'eux utilise 90 % ou plus de la CPU, ou bien il peut superviser QHST pour détecter si un job donné a démarré ou s'est arrêté. Il peut aussi superviser des unités TCP/IP, comme des PC et des pare-feu, en leur envoyant des pings à  intervalles réguliers. Si une unité ne répond pas au ping, MessengerPlus peut vous en informer par page ou e-mail.

MessengerPlus permet même de créer des superviseurs personnalisés, d'après les besoins propres d'un site. Bytware propose également de nombreux moniteurs préconfigurés pour faciliter le démarrage. Ce sont, par exemple, des moniteurs préconfigurés qui détectent des sauvegardes ratées, des messages associés aux lecteurs de bandes et aux imprimantes, des messages concernant la sécurité, des coupures de courant et des jobs batch utilisant plus de 50 % de la CPU ou dépassant deux heures. MessengerPlus est aussi suffisamment souple pour que les utilisateurs puissent modifier les tâches de supervision préconfigurées.

Nouveau modèle, superbe vue

Par Carson Soule
Par définition, les modèles de conception sont des solutions appliquées à  des problèmes de programmation récurrents. Partant du principe que, application après application, on est confronté au même défi, on peut découvrir et réutiliser des modèles de bonnes solutions.Les modèles de conception tendent vers des solutions de module de programme ou de niveau de classe. En cela, ils sont distincts des modèles d'architecture, qui s'appliquent à  de plus vastes structures comme les programmes et modules applicatifs. Il existe un modèle de conception intéressant qui mérite aussi l'appellation de modèle d'architecture : le MVC (Model/View/Controller).

Les lacunes de 802.11 en matière de sécurité

par Shon Harris
Grâce au miracle de la communication sans fil, on peut envoyer des informations confidentielles sécurisées sur des ondes ouvertes et partagées. Dans son standard WLAN (wireless LAN) 802.11, l'IEEE a intégré des mécanismes de sécurité concernant la confidentialité, le contrôle d'accès et l'intégrité des données qui empruntent la voie des ondes. Mais la technologie est-elle aussi sûre qu'elle le prétend ?

  Des constatations récentes indiquent que le standard 802.11 présente de graves failles dans son système de sécurité, permettant à  des assaillants d'accéder, par de banales attaques, à  des informations confidentielles. Ces découvertes portent un sérieux coup aux affirmations de l'IEEE quant à  son standard et aux déclarations de nombreux fournisseurs à  propos de la sécurité des produits sans fil utilisant le standard 802.11. Pour comprendre les défauts du standard 802.11, il faut pénétrer dans les entrailles du protocole WEP (Wired Equivalent Privacy) et de son algorithme de cryptage RC4.

Le jardin enchanté de Linux

par Mel Beckman
Vint-cinq ans de recherche et développement consacrés à  l'iSeries ciblé base de données, intégré au matériel, orienté objet : tout cela pour se retrouver face à … un pingouin ? On croit rêver ! Que pèsent nos jobs et nos carrières professionnelles face à  un système d'exploitation coûtant moins de 50 euros dans une librairie ? Apparemment beaucoup.
IBM croit suffisamment en Linux pour l'offrir à  toute sa gamme de systèmes informatiques, des desktops aux mainframes. Pourquoi ? Un peu par popularité et un peu par politique, mais surtout par désir de synergie. En définitive, tout cela revient à  de nouvelles missions pour le matériel iSeries et à  de nouveaux moyens de mettre en valeur vos compétences actuelles.

Tirer des enseignements des déploiements d’Exchange 2000

par Tony Redmond
Il y a un an, avaient lieu les premières livraisons de Microsoft Exchange 2000. Pendant les 12 mois qui ont suivi, ceux qui ont déployé le nouveau produit ont appris beaucoup de choses : entre autres, que l'expérience acquise avec Exchange Server 5.5 ne garantit pas que nous comprendrons automatiquement Exchange 2000. Chaque jour, quelque chose de nouveau vient me rappeler la différence entre ces deux produits. (Ces changements sont un bon argument pour tester les nouveaux déploiements d'Exchange 2000 avant de les introduire dans l'environnement de production, comme l'explique l'encadré " Tester d'abord ".) Rien n'apprend autant que l'expérience d'un déploiement concret. Nous sommes désormais en mesure d'identifier les éléments les plus importants dans les déploiements d'Exchange 2000 réussis. Si vous avez attendu pour déployer Exchange 2000, vous pouvez bénéficier de cette expérience. Pour que l'organisation d'Exchange 2000 fonctionne en souplesse, il faut tenir compte des facteurs suivants : où placer les serveurs GC (Global Catalog), comment utiliser l'ADC (Active Directory Connector), comment les produits add-on travaillent avec Exchange 2000, quels clients Exchange vous employez, quelles fonctions de Windows 2000 affectent Exchange 2000, et si l'on peut regrouper ou non les serveurs Exchange.