par Gary Guthrie et Wayne Madden
L'une des grandes qualités des AS/400 et iSeries est leur solide mécanisme de
sécurité. Ce système détermine les droits des utilisateurs sur les objets. Il
y a trois catégories de droits sur un objet :
- Le droit sur l'objet : les opérations qui peuvent
être exécutées sur un objet (décrits dans la figure 1a).
- Le droit sur les données : les opérations que
l'on peut réaliser sur le contenu d'un objet (figure 1b).
- Le droit sur les champs : les opérations effectuées
sur les champs de données (figure 1c).
Avec autant de possibilités, le système de sécurité s'avère relativement complexe.
Pour garantir un environnement de travail sûr, il est important de bien connaître
le processus des droits publics par défaut, ses risques et ses avantages.
Tout savoir sur les droits publics
Un droit public sur un objet est un droit par défaut accordé aux utilisateurs
qui n’ont pas besoin d’un accès spécifique ou privé sur l’objet. Ces utilisateurs
n’ont pas de droit spécifique attribué au niveau de leur profil utilisateur, ne
figurent pas sur une liste d’autorisation qui leur donnerait un droit spécifique
et ne font pas partie d’un profil de groupe qui possèderait un droit particulier.
Des droits publics sont définis à chaque fois que l’on crée un objet, soit en
restaurant un objet soit en utilisant l’une des nombreuses commandes de création
de type CrtXxx. Lorsqu’un objet est restauré, les droits publics précédemment
définis à cet objet lui seront attachés. Lorsqu’un objet est créé avec une commande
CrtXxx, le paramètre Aut (droit) lié à cette commande définit les droits publics
sur cet objet.
Un droit public sur un objet est un droit par défaut accordé aux utilisateurs
Les droits publics accordés aux utilisateurs se déclinent en plusieurs groupes
de droits standards définis dans chacune des valeurs suivantes : *All, *Change,
*Use, *Exclude.
Voici une description de chacune de ces valeurs :
– *All : L’utilisateur peut effectuer
toutes les opérations qu’il souhaite sur l’objet sauf celles réservées au propriétaire
ou celles contrôlées par une liste d’autorisation. L’utilisateur peut contrôler
l’existence de l’objet, il peut attribuer ou révoquer des droits sur l’objet,
le modifier et l’utiliser. Cependant, seul le propriétaire peut modifier la propriété
de l’objet.
– *Change : L’utilisateur peut
exécuter les opérations qu’il souhaite sauf celles réservées au propriétaire et
celles contrôlées par une liste d’autorisation. Il ne peut accéder ni au droit
relatif à l’existence de l’objet, ni au droit relatif à l’altération de l’objet,
ni au droit relatif à la référence de l’objet. Il peut effectuer les fonctions
de base sur l’objet mais il ne peut pas changer ses paramètres. Donc, ce droit
*Change est un droit opérationnel sur l’objet ainsi qu’un droit sur toutes les
données associées lorsque l’objet en possède.
– *Use : L’utilisateur peut exécuter
les opérations de base sur l’objet comme ouvrir un fichier, lire les données enregistrées
et exécuter un programme. Cependant s’il peut lire et ajouter des données il ne
peut ni les mettre à jour ni les supprimer. Il s’agit donc d’un droit opérationnel
sur l’objet, un droit de lecture des données, un droit d’ajout de données et un
droit d’exécution des données.
– *Exclude : Un utilisateur défini
est volontairement exclu de tout droit sur l’objet.
La figure 2a montre les droits particuliers sur les objets, droits définis ci-dessus.
La figure 2b montre les droits particuliers sur les données.
| Figure 1a Droits sur les objets | ||
| Droit | Description | Opérations autorisées |
| *ObjOpr | Opérations sur l’objet | – Examen de la description de l’objet – Utilisation de l’objet tel que décrit dans les droits sur les données |
| *ObjMgt | Gestion de l’objet | – Définition de sécurités sur l’objet – Déplacement ou renommage de l’objet – Toute opérations autorisées par *ObjAlter et *ObjRef |
| *ObjExist | Existence de l’objet | – Suppression de l’objet – Espace libre pour l’objet – Sauvegarde et restauration de l’objet – Transfert de la propriété de l’objet |
| *ObjAlter | Modification de l’objet | – Ajout, suppression, initialisation et réorganisation de membres de fichiers base de données – Modification et ajout d’attributs de fichiers base de données – Ajout et suppression de triggers – Modification d’attributs de packages SQL |
| *ObjRef | Référencement de l’objet | – Définition du parent d’une contrainte d’intégrité |
| *AutLMgt | Gestion des listes d’autorisations | – Ajout et suppression d’utilisateurs et de leurs droits des listes d’autorisations |
| Figure 1b Droits sur les données | ||
| Droit | Description | Opérations autorisées |
| *Read | Lecture | · Affichage du contenu de l’objet |
| *Add | Ajout | · Ajout d’entrées à l’objet |
| *Upd | Mise à jour | · Modification des entrées de l’objet |
| *Dlt | Suppression | · Suppression d’entrées de l’objet |
| *Execute | Exécution | · Exécution d’un programme, programme de service ou package SQL· Localisation de l’objet dans une bibliothèque ou un répertoire |
| Figure 1c Droits sur les champs | ||
| Droit | Description | Opérations autorisées |
| *Mgt | Gestion | · Définit les sécurités du champ |
| *Alter | Modification | · Modification des attributs du champ |
| *Ref | Référencement | · Indique que le champ fait partie d’une clé parente dans une contrainte d’intégrité |
| *Read | Lecture | · Accès au contenu du champ |
| *Add | Ajout | · Ajout d’entrées aux données |
| *Update | Modification | · Modification des entrées existantes du champ |
| Figure 2a Droits individuels sur les objets | |||||
| Ensemble de droits | Droits sur les données | ||||
*ObjOpr | *ObjMgt | *ObjExist | *ObjAlter | *ObjRef | |
| *All | X | X | X | X | X |
| *Change | X | ||||
| *Use | X | ||||
| *Exclude | |||||
| Figure 2b Droits individuels sur les données | |||||
| Ensemble de droits | Droits sur les données | ||||
*Read | *Add | *Upd | *Dlt | *Execute | |
| *All | X | X | X | X | X |
| *Change | X | X | X | X | X |
| *Use | X | X | X | ||
| *Exclude | |||||
Téléchargez cette ressource
Sécuriser votre système d’impression
Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Facturation électronique : les craintes des entreprises liées à la réforme
- Cyber-assurances, priorité ou faux remède pour les TPE et PME ?
- Success Stories : 3 histoires et 3 Intelligences Artificielles
- NIS2: cauchemar des décideurs européens pour la conformité
- Fossé entre exigences professionnelles et compétences
