IFS - Liste d'autorisation

IBM i, configuration, commandes, ...
Répondre
SebastienB
Messages : 34
Enregistré le : ven. 22 janv. 2021, 10:21:13

IFS - Liste d'autorisation

Message par SebastienB »

Bonjour,

J'ai un répertoire IFS sur lequel j'ai positionné des droits via une liste d'autorisation et supprimé les droits *PUBLIC.
Lorsque l'on créé un sous-répertoire, la liste d'autorisation est bien héritée.

Mais lorsque l'on créé un fichier, la liste d'autorisation est à "*NONE" et seul le créateur a des droits.
Les fichiers sont créés par un logiciel tiers et pas par l'IBMi.

Or, j'ai besoin qu'une liste de personnes puissent accéder aux fichiers nouvellement créés de façon automatique.

Merci.
Fichiers joints
2022-07-07_12h24_03.png
2022-07-07_12h24_03.png (26.53 Kio) Vu 963 fois
2022-07-07_12h23_30.png
2022-07-07_12h23_30.png (24.49 Kio) Vu 963 fois

nbonnet
Messages : 152
Enregistré le : mar. 11 sept. 2018, 08:20:13
Localisation : Lyon

Re: IFS - Liste d'autorisation

Message par nbonnet »

Bonjour Sébastien,

C'est assez compliqué avec l'IFS :
les répertoires héritent bien de la config de sécurité du répertoire au dessus
pas les fichiers (en tout cas pas toujours) !

De plus, pour les fichiers, cela dépend la commande/API de création ...
Certaines commandes admettent un paramètre pour fixer les droits publics, d'autres non.

Par exemple, un fichier créé par CPYTOIMPF ou par QSH touch n'ont pas les mêmes droits :
CPYTOIMPF : *PUBLIC *EXCLUDE
touch : *PUBLIC *RW

Particularité : le propriétaire n'a pas obligatoirement tous les droits, et il faut avoir les droits sur l'ensemble du chemin.

Autre test avec FTP : le fichier créé a tous les droits du répertoire + tous les droits pour le profil de création + la liste d'autorisation !

Je n'ai rien dans les docs IBM à ce sujet.

En synthèse :
- la liste d'autorisation ce n'est pas naturel pour l'IFS, c'est plutôt un fonctionnement POSIX
- par ailleurs, les autorités adoptées ne fonctionnent pas non plus (il faut passer par des API de swap de profil)

Quelques pistes :
- modifier l'application cliente si possible ?
- appliquer régulièrement les droits à l'ensemble des objets du répertoire
- intercepter les créations de fichiers pour mettre les droits (via le journal ?)
Sinon : quel besoin d'avoir la liste d'autorisation sur les fichiers eux-mêmes, puisque les répertoires doivent déjà permettre ou non l'accès ?
Nathanaël

SebastienB
Messages : 34
Enregistré le : ven. 22 janv. 2021, 10:21:13

Re: IFS - Liste d'autorisation

Message par SebastienB »

Merci pour cette réponse.

J'avais, effectivement, lu que selon le système qui génère le fichier, les droits n'étaient pas toujours positionnés de la même façon. :shock:

Mon soucis est qu'une personne de la liste d'autorisation souhaite supprimer le fichier or dans le cas ci-dessus, seul le créateur du fichier à ce droit.

Je suis d'accord avec les pistes, mais je préférais demander avant. Au cas où ...

plberthoin
Messages : 9
Enregistré le : jeu. 27 sept. 2018, 09:53:21
Localisation : Lyon
Contact :

Re: IFS - Liste d'autorisation

Message par plberthoin »

Bonjour Sébastien,

Oui tu as touché un problème double la liste d'autorisation et IFS

La liste d'autorisation qui a des limitations , par exemple n'est pas utilisable en full, si tu regénère une table SQL , il te traduit les droits qui ne sont pas équivalent ...

Pour l'IFS 2 problèmes connus mais pas toujours maitrisés
Le jeux de caractères , combien de fois on se retrouve avec un fichier illisible
dans un monde merveilleux, il serait bon de tout mettre en unicode ...
je n'ai pas de solution miracle ...

Les droits
D'abord on ne maitrise pas l'héritage des droits en fonction de la nature de la création (SMB, FTP,, CPYxx, etc ...)
Ensuite, l'adoption de droit ne marche pas sur l'IFS , on ne peut pas dire mon programme de traitement va s'exécuter avec des droits SU !
On a eu ce problème chez un client, on l'a résolu par un programme d'exit qui réappliquait un template de droit en soumettant un batch sous un profil SU , (on ne pouvait pas changer l'applicatif ...).
Si ca t'intéresse je dois avoir un bout de code la dessus

Bonnes vacances

SebastienB
Messages : 34
Enregistré le : ven. 22 janv. 2021, 10:21:13

Re: IFS - Liste d'autorisation

Message par SebastienB »

Bonjour Pierre-Louis,

Merci pour ta réponse.
Si tu retrouve ton "bout de code", je veux bien. Même si ce n'est pas très jolie, au moins cela mérite de fonctionner.

Répondre