pause-café
destinée aux informaticiens sur plateforme IBM i.
Pause-café #29
Installation de la V5R20.
L'installation s'est déroulée correctement ,sauf :
- la mise à jour des fichiers systèmes
de références croisées.
Pour éviter cela lancez RCLSTG *DBXREF juste avant la phase d'installation.
- le fichier d'impression QPJOBLOG n'est plus placé
dans QEZJOBLOG mais dans l'OUTQ du travail
==> toutes les logs s'impriment automatiquement, sauf à utiliser CHGPRTF ...
sinon, la version semble stable sur une utilisation courante
en complément , voici les temps d'installation (hors SAVSYS) :
- Installation de la version elle même : 4Heures 1/2
- chargement des PTF (C2/260) : 2 heures
- application des PTF : 45 minutes
- RCLSTG *DBXREF (suite à l'installation des PTF) : 5 minutes.
reste à installer les group ptf.
(une nouvelle commande WRKPTFGRP les affiche ,plus besoin d'aller voir les DATAAREA.)
SF99502 | Data Base |
SF99169 | Java |
SF99098 | HTTP server |
SF99039 | Performance Tools |
la prochaine cumulative est prévue pour fin Janvier 2003.
- Pour Client Access, allez chercher le service pack SI06631, pour ne pas rencontrer de problèmes
- pour les NetworkStations ==> fin de support
- fin 2001 pour les séries 100 , 300 et 1000
- fin 2003 pour les séries 2200 et +
Quelques test réalisés sur cette version :
-
RPG IV et DS complexes
ou comment mettre une DS dans un DS
exemple : Dptr S * Dds_dep DS based(ptr) D depnom 25 D ca 13 2
Dregions DS qualified dim(50) D numero 3 0 D nom 25 D depart likeds(ds_dep) dim(9) D I s 10I 0 D J s 10I 0
/free for i = 1 to %elem(regions) ; for j = 1 to %elem(regions.depart) ; regions(i).depart(j).ca = i*j; endfor; endfor; *inlr = *on; /end-free
...................... en debug .............................. : EVAL regions : : REGIONS.NUMERO(1) = . : : REGIONS.NOM(1) = ' ' : : REGIONS.DEPART.DEPNOM(1,1) = ' ' : : REGIONS.DEPART.CA(1,1) = 00000000001.00 : : REGIONS.DEPART.DEPNOM(1,2) = ' ' : : REGIONS.DEPART.CA(1,2) = 00000000002.00 : : REGIONS.DEPART.DEPNOM(1,3) = ' ' : : REGIONS.DEPART.CA(1,3) = 00000000003.00 : :............................................................:
• Iseries Navigator
- Liste des OUTQ
AFP workbench viewer affiche maintenant les pages en miniatures :
Nous avions déja en V5R10, la gestion des sous-systèmes
et des pools mémoire. |
la V5R20 apporte l'équivalent du WRKSYSSTS (mode débutant)
en demandant les pools disques, nous voyons
ce qui permet de modifer le seuil d'alerte pour cet ASP :
- nouveautés réseau
gestion d'IP V6
définition de vos propres serveurs IP
EIM
la gestion du filtrage IP, affiche maintenant les règles par interface
et offre un nouvel éditeur de règles
- Pour ceux d'entre vous qui ont Performance tool, un plug-in est livré
Voici les graphes proposés
vous pouvez toujours imprimer des rapports
que vous visualiserez avec AFP workbench viewer
- et enfin, base de données
Intégration des nouveautés DB2/400 (statistiques à la colonne)
et surtout, l'assistant SQL dans le gestionnaire de scripts
insertion d'instructions SQL créés
en demandant la liste des expressions, vous verrez les fonctions SQL disponibles
exemple d'utilisation du LIKE : .
- pour terminer, gestion centralisée posséde un nouveau moniteur "fichiers" .
indiquez le fichier pour lequel analyser l'activité
- QHST
- un fichier OS/400 comme /qsys.lib/mabib.lib/fichier.file
- un fichier stream comme /monrépertoire/monfichier.txt
puis l'évenement à analyser
Etat : possède une seule valeur : modifié
Texte : analyse d'une chaîne insérée dans
le fichier (fichiers source et stream uniquement)
Taille : taille maxi
Sécurité sur ISERIE
ˇ Les risques
> dans l'environement 5250
ligne de commandes sur les menus [suivant le paramètre LMTCPB() sur le profil]
écrans restant "ouverts" [suivant val. systèmes QINACTITV et QINACTMSGQ ]
accčs aux applications protégées (menus non personalisés)
QUERY/400 :accčs aux données sensibles (fichiers ET spools)
écrasement de fichiers (Query avec sortie dans un fichier)> venant du réseau
Rexec et autres commandes entrantes FTP męmes problčmes qu'avec QUERY
passez des commandes avec "rcmd..."
FTP tiens compte du paramètre LMTCPB, Rmtcmd de Client Access NON !
clients FTP graphiques (DEL possible)
Accčs aux données avec HTTP (mauvaise configuration)
> venant des PC
le cache mot de passe sous windows 95/98 et client access V3R2M0
Operation navigator installé sur un poste utilisateur
Netserver (partages trop ouverts)
ODBC , MSQUERY (livré avec EXCEL) et autre produits du genre (Access ....)
il est simple de créer une nouvelle source de données
il est toujours simple d'être en mise à jour sur le fichier
l'ordre SQL est modifiable
ici, nous pouvons supprimer une table (un fichier physique)
ˇ Ce qu'il ne faut surtout pas faire
ˇ Profils utilisateurs OS/400Droits *ALLOBJ (sur les profils ou profils de groupe)
Laisser LMTCPB(*NO) ŕ tous le monde
Pgm en *OWNER avec ligne de commande
Travailler avec QSECOFRLaisser les mots de passe QSRV etc... au défaut (penser ŕ DST)
ˇ Droits
Objets Base de Données : droits ŕ *ALL
Netserver : partager QSYS.LIB en lecture/écriture
Serveur WEB : autoriser /* (pass ou équivalent)
ˇ Diverspolitique de mot de passe trop laxiste (1 ou 2c autorisés, jamais modifiés)
politique de mot de passe trop sévčre (mot de passe à 10c , différent des 32 précédents)profil banalisé connu de tous pour connexion automatique
ˇ Quelques suggestions
la politique du tout sécuritaire (dite méthode S.)
les pgm sont le point de passage obligé.Profils utilisateurs de classe *USER
Droits *EXCLUDE sur les objets
Compiler les Pgm en *OWNER
pour la mise en place : faire un RVKOBJAUT
utiliser CRTAUT sur les bibliothčques
CHGCMDDFT sur les commandes de compilation
Limiter les actions possibles du réseau avec l'administration d'applications (iseries navigator)
Limiter l'accčs QSECOFR aux unités autorisées (DSP01 + qq postes privilégiés)
Changer le mot de passe DST
Enlever les mots de passe QSRV etc...
une politique plus modérée
utiliser CRTAUT sur les bibliothčquespermettant une restitution des données aux utilisateurs
(Query / odbc et autres produits de restitution)
droits *USE sur les objets (*exclude sur certaines bibliothčques sensibles [paie, ...] )
compiler les pgm normalement
gérer les profils par groupe utilisateurs et donner ŕ certains groupes le droit *change en fonction des besoins applicatifs.
compiler en *OWNER les pgm CL utilisant certaines commandes (DLTF, CLRPFM, RMVM)
pour la mise en place :faire un GRTOBJAUT en REPLACE
faire une anayse des sources par FNDSTRPDM
(PRTCMDUSG, non disponible avec CLLE)
Limiter les actions possibles du réseau avec l'administration d'applications (iseries navigator)
Changer le mot de passe DST (sous DST)
Enlever les mots de passe QSRV, QSRVABS
ˇ Cas particuliers
les fichiers IFS
difficiles ŕ gérer, utilisez au maximum la notion d'héritage
(*INDIR sur la commande MKDIR)
pour revenir sur les droits existants, voyez les outils IFS écrits par IBM
(comme CHGOWNALL et CHGAUTALL)
les fichiers spools.
la rčgle est la suivante :
par défaut, tout le monde peut accčder et manipuler ses spoolsavec une OUTQ DSPDTA(*yes), toute personne ayant les droits de lecture sur l'outq peut consulter les spools des autres
(ce n'est pas la valeur par défaut)
le profil utilisateur possčde un attribut *SPLCTLl'OUTQ en possčde un paramètre OPRCTL
• avec OPRCTL(*yes), tout personne ayant les droits *SPLCTL (ou *JOBCTL)peut gérer les spools des autres.• avec OPRCTL(*NO), les droits de l'OUTQ sont alors considérés pour determiner qui peut manipuler les spools de l'OUTQ :> AUTCHK(*OWNER) il faut ętre le propriétaire de l'OUTQ> AUTCHK(*DTAAUT) il faut avoir les droits *CHANGE sur l'outq
Dans tous les cas, coupler ŕ cela une sécurité physique (est-il possible d'entrer dans la salle machine ?) et une adhésion des salariés (le fait de ne pas avoir le droit de faire une bétise est un confort).
Il faut :
Que la destruction de données soit impossible.
Ne protégér la consultation que des données réellement sensibles (les lister) , mais le faire bien.
Ne pas mettre une serrure trois points sur votre porte si vos fenętres sont en papier maché. ==> les PC sont probablement plus vulnérables.