Pause-Café Volubis

pause-café

rendez-vous technique
Pause-Café est une réunion technique
destinée aux informaticiens sur plateforme IBM i.
Elle a lieu 3 à 4 fois par an : en Bretagne et sur internet.

Pause-café #29

Janvier 2003


Installation de la V5R20.

L'installation s'est déroulée correctement ,sauf :

  • la mise à jour des fichiers systèmes de références croisées.
    Pour éviter cela lancez RCLSTG *DBXREF juste avant la phase d'installation.

  • le fichier d'impression QPJOBLOG n'est plus placé dans QEZJOBLOG mais dans l'OUTQ du travail
    ==> toutes les logs s'impriment automatiquement, sauf à utiliser CHGPRTF ...

sinon, la version semble stable sur une utilisation courante


en complément , voici les temps d'installation (hors SAVSYS) :

  • Installation de la version elle même : 4Heures 1/2
  • chargement des PTF (C2/260) : 2 heures
  • application des PTF : 45 minutes
  • RCLSTG *DBXREF (suite à l'installation des PTF) : 5 minutes.

reste à installer les group ptf.

(une nouvelle commande WRKPTFGRP les affiche ,plus besoin d'aller voir les DATAAREA.)

SF99502 Data Base
SF99169 Java
SF99098 HTTP server
SF99039 Performance Tools
Voyez le détail à as400service.ibm.com

la prochaine cumulative est prévue pour fin Janvier 2003.

  • Pour Client Access, allez chercher le service pack SI06631, pour ne pas rencontrer de problèmes
  • pour les NetworkStations ==> fin de support
    • fin 2001 pour les séries 100 , 300 et 1000
    • fin 2003 pour les séries 2200 et +

    Quelques test réalisés sur cette version :

  • RPG IV et DS complexes
    ou comment mettre une DS dans un DS

exemple :
    Dptr              S               *
    Dds_dep           DS                  based(ptr)
    D depnom                        25
    D ca                            13  2

    Dregions          DS                  qualified dim(50)     D numero                         3  0     D nom                           25     D depart                              likeds(ds_dep) dim(9)
  D I               s             10I 0     D J               s             10I 0
      /free         for i = 1 to %elem(regions) ;             for j = 1 to %elem(regions.depart) ;               regions(i).depart(j).ca = i*j;             endfor;         endfor;         *inlr = *on;       /end-free
 ...................... en debug ..............................  : EVAL regions                                               :  : REGIONS.NUMERO(1) =    .                                   :  : REGIONS.NOM(1) = '                         '               :  : REGIONS.DEPART.DEPNOM(1,1) = '                         '   :  : REGIONS.DEPART.CA(1,1) = 00000000001.00                    :  : REGIONS.DEPART.DEPNOM(1,2) = '                         '   :  : REGIONS.DEPART.CA(1,2) = 00000000002.00                    :  : REGIONS.DEPART.DEPNOM(1,3) = '                         '   :  : REGIONS.DEPART.CA(1,3) = 00000000003.00                    :  :............................................................:


• Iseries Navigator

  • Liste des OUTQ


AFP workbench viewer affiche maintenant les pages en miniatures :



Nous avions déja en V5R10, la gestion des sous-systèmes et des pools mémoire.


la V5R20 apporte l'équivalent du WRKSYSSTS (mode débutant)

en demandant les pools disques, nous voyons

ce qui permet de modifer le seuil d'alerte pour cet ASP :

  • nouveautés réseau

    gestion d'IP V6

    définition de vos propres serveurs IP

    EIM

    la gestion du filtrage IP, affiche maintenant les règles par interface


    et offre un nouvel éditeur de règles

  • Pour ceux d'entre vous qui ont Performance tool, un plug-in est livré






    Voici les graphes proposés

    vous pouvez toujours imprimer des rapports

    que vous visualiserez avec AFP workbench viewer

  • et enfin, base de données

    Intégration des nouveautés DB2/400 (statistiques à la colonne)



    et surtout, l'assistant SQL dans le gestionnaire de scripts
    insertion d'instructions SQL créés









    en demandant la liste des expressions, vous verrez les fonctions SQL disponibles


    exemple d'utilisation du LIKE : .


  • pour terminer, gestion centralisée posséde un nouveau moniteur "fichiers" .

    indiquez le fichier pour lequel analyser l'activité
    • QHST
    • un fichier OS/400 comme /qsys.lib/mabib.lib/fichier.file
    • un fichier stream comme /monrépertoire/monfichier.txt



      puis l'évenement à analyser

Etat : possède une seule valeur : modifié
Texte : analyse d'une chaîne insérée dans le fichier (fichiers source et stream uniquement)
Taille : taille maxi


Sécurité sur ISERIE

ˇ                     Les risques

> dans l'environement 5250

ligne de commandes sur les menus [suivant le paramètre LMTCPB() sur le profil]

écrans restant "ouverts" [suivant val. systèmes QINACTITV et QINACTMSGQ ]

accčs aux applications protégées (menus non personalisés)

QUERY/400 :  

accčs aux données sensibles (fichiers ET spools)

écrasement de fichiers (Query avec sortie dans un fichier)

 

> venant du réseau


Rexec et autres commandes entrantes FTP    męmes problčmes qu'avec QUERY   
passez des commandes avec "rcmd..."   

FTP tiens compte du paramètre LMTCPB, Rmtcmd de Client Access NON !

clients FTP graphiques (DEL possible)


Accčs aux données avec HTTP (mauvaise configuration)

 

> venant des PC

le cache mot de passe sous windows 95/98 et client access V3R2M0

Operation navigator installé sur un poste utilisateur

Netserver (partages trop ouverts)

   ODBC , MSQUERY (livré avec EXCEL)   et autre produits du genre (Access ....)

il est simple de créer une nouvelle source de données


il est toujours simple d'être en mise à jour sur le fichier


l'ordre SQL est modifiable



ici, nous pouvons supprimer une table (un fichier physique)



 

ˇ                     Ce qu'il ne faut surtout pas faire

ˇ                     Profils utilisateurs OS/400

Droits *ALLOBJ (sur les profils ou profils de groupe)

Laisser LMTCPB(*NO) ŕ tous le monde

Pgm en *OWNER avec ligne de commande

Travailler avec QSECOFR

Laisser les mots de passe QSRV etc... au défaut (penser ŕ DST)

 

ˇ                     Droits

Objets Base de Données : droits ŕ *ALL

Netserver : partager QSYS.LIB en lecture/écriture

Serveur WEB : autoriser /* (pass ou équivalent)

 

ˇ                     Divers

politique de mot de passe trop laxiste (1 ou 2c autorisés, jamais modifiés)
politique de mot de passe trop sévčre (mot de passe à 10c , différent des 32 précédents)

profil banalisé connu de tous pour connexion automatique


ˇ                     Quelques suggestions

la politique du tout sécuritaire (dite méthode S.)

les pgm sont le point de passage obligé.

Profils utilisateurs de classe *USER
Droits *EXCLUDE sur les objets
Compiler les Pgm en *OWNER

pour la mise en place :   faire un RVKOBJAUT

                     utiliser CRTAUT sur les bibliothčques

                     CHGCMDDFT sur les commandes de compilation

Limiter les actions possibles du réseau avec l'administration d'applications (iseries navigator)
Limiter l'accčs QSECOFR aux unités autorisées (DSP01 + qq postes privilégiés)
Changer le mot de passe DST
Enlever les mots de passe QSRV etc...

une politique plus modérée

permettant une restitution des données aux utilisateurs
(Query / odbc et autres produits de restitution)
droits *USE sur les objets (*exclude sur certaines bibliothčques sensibles [paie, ...] )
compiler les pgm normalement
gérer les profils par groupe utilisateurs et donner ŕ certains groupes le droit *change en fonction des besoins applicatifs.
compiler en *OWNER les pgm CL utilisant certaines commandes (DLTF, CLRPFM, RMVM)
pour la mise en place :  
faire un GRTOBJAUT en REPLACE
                     utiliser CRTAUT sur les bibliothčques

                     faire une anayse des sources par FNDSTRPDM   
                                (PRTCMDUSG, non disponible avec CLLE)

Limiter les actions possibles du réseau avec l'administration d'applications (iseries navigator)

Changer le mot de passe DST (sous DST)

Enlever les mots de passe QSRV, QSRVABS

 

ˇ                     Cas particuliers

les fichiers IFS

difficiles ŕ gérer, utilisez au maximum la notion d'héritage
(*INDIR sur la commande MKDIR)
pour revenir sur les droits existants, voyez les outils IFS écrits par IBM
(comme CHGOWNALL et CHGAUTALL)

les fichiers spools.

la rčgle est la suivante :
par défaut, tout le monde peut accčder et manipuler ses spools
avec une OUTQ DSPDTA(*yes), toute personne ayant les droits de lecture sur l'outq peut consulter les spools des autres
(ce n'est pas la valeur par défaut)
le profil utilisateur possčde un attribut *SPLCTL
l'OUTQ en possčde un paramètre OPRCTL

• avec OPRCTL(*yes), tout personne ayant les droits *SPLCTL (ou *JOBCTL)peut gérer les spools des autres.
• avec OPRCTL(*NO), les droits de l'OUTQ sont alors considérés pour determiner qui peut manipuler les spools de l'OUTQ :
> AUTCHK(*OWNER) il faut ętre le propriétaire de l'OUTQ
> AUTCHK(*DTAAUT) il faut avoir les droits *CHANGE sur l'outq

 


 

Dans tous les cas, coupler ŕ cela une sécurité physique (est-il possible d'entrer dans la salle machine ?) et une adhésion des salariés (le fait de ne pas avoir le droit de faire une bétise est un confort).

            Il faut :

Que la destruction de données soit impossible.

Ne protégér la consultation que des données réellement sensibles (les lister) , mais le faire bien.

Ne pas mettre une serrure trois points sur votre porte si vos fenętres sont en papier maché.  ==> les PC sont probablement plus vulnérables.

 


Retourner au Début

 
Copyright © 1995,2003 VOLUBIS