Comment travailler avec Function Usage ?

L’une des fonctions, on l’a vu, est la configuration dont les utilisateurs peuvent visualiser le joblog actif d’un utilisateur *ALLOBJ. Le nom enregistré de cette fonction est QIBM_ACCESS_ALLOBJ_JOBLOG.

Pour accéder au paramétrage de ces fonctions enregistrées, IBM a fourni les commandes CL Work with Function Usage (WRKFCNUSG), Change Function Usage (CHGFCNUSG), et Display Function Usage (DSPFCNUSG).

Voici comment travailler avec Function Usage

L’écran obtenu en utilisant la commande WRKFCNUSG FCNID(*ALL) vous permet d’afficher ou de changer les paramètres des diverses fonctions présentes. Notre tableau (voir Club Abonnés) vous donne la liste complète de toutes les fonctions disponibles dans l’IBM i OS 6.1. Si vous choisissez l’option 2 (Change usage) pour la fonction nommée QIBM_ACCESS_ALLOBJ_JOBLOG, vous recevez l’invite de commande Change Function Usage (CHGFCNUSG). Dans cet exemple, nous spécifions que les membres du groupe GRP_JOBLOG peuvent accéder au joblog d’un utilisateur *ALLOBJ, et que, par défaut, cet accès sera refusé aux autres utilisateurs. Nous spécifions aussi que si un utilisateur a l’autorité *ALLOBJ, celle-ci peut être utilisée pour donner accès au joblog des autres utilisateurs *ALLOBJ.

Pour en savoir plus sur la commande CHGFCNUSG, voir la référence à l’IBM i Information Center.

Quelles fonctions ont des options de configuration de Function Usage cachées spéciales ?

Le tableau contient une liste de catégories pour lesquelles vous pouvez fournir un accès personnalisé en jouant sur les valeurs de Function Usage. On y voit que vous pouvez configurer les contrôles concernant plusieurs fonctions :

•    Qui peut accéder au joblog actif d’un utilisateur *ALLOBJ ?
•    Qui peut exécuter une trace des communications (service) ?
•    Qui peut regarder n’importe quel job ?
•    Qui peut envoyer des fichiers en utilisant le client IBM i OS FTP ?
•    Qui peut télécharger un fichier en utilisant le serveur FTP ?
•    Qui peut exécuter RMTCMD.exe à partir de son PC vers ce système ?

REMARQUE : Le fait d’appliquer des contrôles sur FTP, ODBC, RMTCMD, et d’autres fonctions de communication TCP/IP, ne saurait être considéré comme une solution de sécurité complète pour ses fonctions, parce que beaucoup des restrictions sont placées dans le Windows Registry du client, où la restriction peut fort bien être supprimée. Une solution par programme point de sortie du réseau complète du commerce offre généralement davantage de protection et aussi, généralement, une liste de contrôle des accès au réseau.  Cependant, en l’absence d’une telle solution, il faut appliquer ces restrictions de réseau Function Usage.