| 
Les grandes nouveautés de la V4 sont liées au serveur WEB et à la sécurité 1/ ICS, serveur WEB. le serveur WEB (HTTP) de l'AS/400 est renommé ICS : Internet Connection Server, il est toujours gratuit Il est livré avec un programme HTML.CGI d'administration, ce qui permet la configuration à partir d'un navigateur. + pour le démarrer STRTCPSVR SERVER(*HTTP) HTTPSVR(*ADMIN) + pour le contacter http://votre-adresse:2001 |
|
il intègre de nouvelles directives et un nouvel objet
*VLDL permettant de stocker une liste d'utilisateurs
autorisés ainsi qu'une clé associée (mot de passe)
il ne s'agit PAS d'utilisateurs au sens OS/400 mais
plutôt d'utilisateurs Internet.
ATTENTION: la doc (en anglais) indique que les directives doivent être
encadrées de { et } et les adresses IP peuvent être référencées
par user@adresse
ce cours garde la syntaxe anglaise !
mais, en france il faut remplacer { par é
} par è
@ par à
|
|
dans les directives HTTP nous allons pouvoir écrire :
ici mesdocuments-sec est le nom de la directive de protection
(comme on écrirait un nom de sous programme)
puis on associe cette directive à un ou plusieurs répertoires
Protection mesdocuments-sec {
ServerID s44r7480
PasswFile qgpl/motdepas
AuthType Basic
Mask All@*
Userid webdoc
}
.../...
Protect /mesdocuments/* mesdocuments-sec
pass /mesdocuments/* /html/doc/*
|
|
on peut aussi saisir en ligne :
Protect /mesdocuments/* {
ServerID s44r7480
PasswFile qgpl/motdepas
...
}
ServerID : nom du serveur dans la fenêtre d'authentification
passwdFile : %%SYSTEM%% indique qu'on doit saisir un profil OS/400
un-nom fait référence à un objet *VLDL
il existe deux cdes CRTVLDL et DLTVLDL, plus des APIs
une liste de validation contient une série de noms
avec un mot de passe associé, encrypté.
|
|
AuthType : pour l'instant Basic est la seule valeur admise Mask : à gauche du @ indique All ou un groupe d'utilisateurs à droite * ou une série d'adresses IP UserID : indique sous quel profil OS/400 le job va s'exécuter. un nom = nom du profil OS/400 %%SYSTEM%% = le profil par défaut du serveur (QTMHHTTP) %%CLIENT%% = le profil saisie dans la fenêtre d'authentification. |
|
Exemple avec un groupe d'utilisateurs
il faut créer un fichier des groupes (ASCII dans IFS)
grp1 : user1,user2,user3
grp2 : user4,user5,user6 ............................
: :
puis on associe écrit : seules les adresses IP :
: 10.2 et 10.3 sont :
Protection mesdocuments-sec { : autorisées. :
ServerID s44r7480 : :
PasswFile qgpl/motdepas : pour une adresse 10.3 :
GroupFile /web/grp/ficgroupe.GRP : l'utilisateur doit :
AuthType Basic : faire partie du groupe :
Mask grp1@10.3.*,grp2@10.2.*<---: grp1, pour 10.2 du :
Userid qpgmr : groupe grp2. :
} : :
:..........................:
.../...
Protect /mesdocuments/* mesdocuments-sec
pass /mesdocuments/* /html/doc/*
|
|
exemple réel : Protection acluser é PasswdFile %%SYSTEM%% ACLOverride Off Mask ALLà10.3.*.* AuthType BASIC ServerID ACLUSER UserID %%CLIENT%% è Protect /html/ACL/acl_user/* acluser ici il faut saisir un profil système QSECOFR, QPGMR ou un profil "maison" avec le mot de passe associé pour avoir accès au répertoire : /html/ACL/acl_user le profil de référence sera le profil saisi. |
|
Protection aclvldl é PasswdFile QSYS/ACL ACLOverride Off Mask ALLà10.3.*.* AuthType BASIC ServerID ACLVLDL UserID QUSER è Protect /html/ACL/acl_vldl/* aclvldl on a créé une liste de validation par CRTVLDL VLDL(QSYS/ACL) puis à l'aide de l'API QSYADVLE on a ajouté - clé: user1 donnée: pwd1 - clé: user2 donnée: pwd2 ici il faut saisir user1 ou user2 avec la donéée associée en tant que mot de passe associé pour avoir accès au répertoire /html/ACL/acl_vldl le profil de référence sera QUSER (attention il faut le droit *USE sur QUSER pour pouvoir démarrer le serveur HTTP) |
|
2/5769 NC1 : ICSS serveur WEB facturable (on parle de 2000 Fr) intégrant la technologie SSL (Secure Socket Layer) version 3. le dialogue sur le WEB est alors crypté (le serveur est déclaré certifié) et interdit le "snuffing" = écoute de la ligne. 3/ Un dispositif à base de serveur de fichier intégré (ex FSIOP) et de logiciel (5769 FW1) permet de monter un FIREWALL sur AS/400. Rappel sur la notion de FIREWALL : il s'agit d'une machine dite "BASTION", car elle est la seule exposée aux risques de l'internet (ce qui explique le FSIOP) sur cette machine on installe un PROXY (soft effectuant les requêtes sur le WEB sous son adresse IP pour le compte de ses clients) ==> sécurité en sortie. plus un filtrage IP indiquant quelles adresses IP peuvent entrer et pour quelle application (port TCP) ==> sécurité en entrée. |
|
4/ de nouveaux outils TCP/IP, mais déja disponibles via PTF pour le support de la NetworkStation : - BOOTP = attribution d'une adresse IP fonction de l'adresse carte(MAC) - TFTP = Trivial FTP, Plus léger que FTP peut fonctionner sans mot de passe - REXEC = Remote EXEC, l'AS/400 serveur de commande TCP/IP de nouveaux points d'exit sont associés à ces outils Et enfin on annonce des modèles pour faire du commerce en ligne NET.COMMERCE, pour en savoir plus visitez le site http://www.internet.ibm.com/commercepoint/net.commerce |
