Politique de sécurité et IBM i

DB2 : gestion des droits

Commencons par un peu de théorie :

La gestion de la sécurité s'appuie sur la notion de profil utilisateur (objet *USRPRF dans QSYS)

Un profil est rattaché à une des Classes d'utilisateur

• *USER : sans droits particuliers
• *SYSOPR : de type opérateur (droit de sauvegarde et de gestion des travaux)
• *PGMR : developpeur (droit de gestion des travaux)
• *SECADM : droits de création des utilisateurs
• *SECOFR : tous les droits, pour cet utilisateur les droits sur les objets ne sont pas vérifiés
  

Chaque classe engendre des droits spéciaux

• Droits spéciaux (la classe d'utilisateur ne représentant qu'un assemblage par défaut)

• *ALLOBJ : droits sur TOUS les objets (type QSECOFR)
• *AUDIT : droit de paramétrer l'audit système
• *IOSYSCFG : droit de gérer la configuration (lignes, paramétrage IP, etc...)
• *JOBCTL : droit de contrôler les travaux des autres et les OUTQ avec OPRCTL(*YES)
• *SAVSYS : droit de sauvegarde global
• *SECADM : droit de gérer les utilisateurs
• *SPLCTL : droit absolu de gestion des spools
• *SERVICE : droit d'accès aux commandes de la maintenance
  

La gestion des droits par objet est la base de la sécurité sur un IBM i

tout objet possède des droits publics (indiquant les droits par défaut pour un utilisateur "lambda" indiqué par *PUBLIC)
et des droits nominatifs ou privés.

les droits sont révisables par EDTOBJAUT en indiquant le type d'objet

• *EXCLUDE marque une absence de droit
• *USE donne un droit de consultation
• *CHANGE le droit de modification du contenu (fichier BD particulièrement)
• *ALL donne tous les droits (destruction incluse)

F11 permet de voir le détail.

                        Droits sur un objet (EDTOBJAUT)
      Objet  . . . . . . . :   MATABLE         Type d'objet . . . . :   *FILE
          Bibliothèque . . . :     BDVIN          Propriétaire . . . . :   PROPRIO


                                                                                              
Objet protégé par la liste d'autorisation . . . . . . . . . .    AUTL1   

                 Droits       ------Objet------     |     ------Données-------
    Utilisat    sur objet  Opér Gest Exist Modif ref  Lect  Ajt  MàJ  Supp Exec
    PROPRIO     *ALL        X    X     X     X    X |   X     X    X    X   X 
    PRFGRP      *CHANGE     X                       |   X     X    X    X     
    PRFUTL      USER DEF    X                       |   X          X          
    *PUBLIC     *USE        X                       |   X                     
     (1)         (2)        !<------ (3) ----->!    !   <------- (4) -------->!            

      

(1) Utilisateur

   *PUBLIC définit les droits de tous les utilisateurs non spécifiquement désignés 
             et ne figurant pas sur la liste d'autorisation protégeant l'objet.

   *GROUP indique le groupe auquel vous appartenez   

(2) Types de droits standards

	 correspond en fait à un ensemble de droits élémentaires ou USER DEF

    *USE    : *OBJOPER + *READ|*EXECUTE
    *CHANGE : *OBJOPER + *READ|*ADD|*UPDATE|*DELETE|*EXECUTE
    *ALL    : *OBJOPER|*OBJMGT|*OBJEXIST|*OBJALTER 
              + *READ|*ADD|*UPDATE|*DELETE|*EXECUTE
    *EXCLUDE: aucun

(3) Droits sur l'objet
           
       Opér (*OBJOPER)
            Droits d'intervention sur l'objet : Permet d'utiliser un objet
            et de consulter ses attributs dans les limites des droits sur
            les données détenus par l'utilisateur.
       Gest (*OBJMGT)
            Droits sur la gestion des objets : permet de définir le niveau
            de sécurité d'un objet, de le déplacer ou de le rebaptiser.
            Permet également d'ajouter des membres à un objet, si ce dernier
            est un fichier base de données.
       Exist (*OBJEXIST)
            Droits sur l'existence des objets : Permet de contrôler
            l'existence et la propriété d'un objet.
       Modif (*OBJALTER)
            Les droits de modification des attributs permettent de modifier les
            attributs d'un objet (par exemple, l'ajout ou le retrait de
            déclenchements [trigger] pour un fichier base de données).
       Réf (*OBJREF)
            Les droits de référence permettent d'indiquer que l'objet constitue
            le premier niveau [parent] d'une contrainte référentielle.


  (4) Droits sur les données 

       Lect (*READ)
            Droit de lecture : Permet d'accéder au contenu d'un objet.
       Ajt  (*ADD)
            Droit d'ajout : Permet d'ajouter des données à un objet.
       MàJ  (*UPDATE)
            Droit de mise à jour : Permet de modifier les données d'un objet.
       Sup  (*DELETE)
            Droit de suppression : Permet de supprimer les données d'un objet.
       Exécut (*EXECUTE)
            Les droits d'exécution permettent de lancer un programme ou
             d'effectuer une recherche dans une bibliothèque (ou un répertoire).
 

Ils peuvent aussi être indiqués en syntaxe SQL :

ACCORDER DES DROITS

         I ---ALL------(tous les droits)---I
         I ---ALTER----(*OBJALTER)---------I
         I ---DELETE---(*OBJOPR + *DELETE)-I
GRANT ---I ---INDEX----(*OBJALTER)---------I-------->
         I ---INSERT---(*OBJOPR + *ADD)----I
         I ---SELECT---(*OBJOPR + *READ)---I
         I ---UPDATE---(*OBJOPR + *UPD)----I
                     I--(col1,col2*)----I
         I ---REFERENCE(*OBJREF)-----------I
 
 ----- ON nom(de table ou de vue)------------------->

 ----- TO -nomprofil------(1 nom de profil)--------->
          I-PUBLIC----I   (*PUBLIC)
 -------------------------------------------------.
          I---WITH GRANT AUTORITY(*OBJMGT)---I
            (donne le droit de gérer les droits)

* pour le droit UPDATE on peut restreindre le droit de mise à jour à certaines colonnes

RETIRER DES DROITS

          I ---ALL------(tous les droits)---I
          I ---ALTER----(*OBJALTER)---------I
          I ---DELETE---(*OBJOPR + *DELETE)-I
REVOKE ---I ---INDEX----(*OBJMGT)-----------I-------->
          I ---INSERT---(*OBJOPR + *ADD)----I
          I ---SELECT---(*OBJOPR + *READ)---I
          I ---UPDATE---(*OBJOPR + *UPD)----I
          I ---REFERENCE(*OBJREF)-----------I
 
 ----- ON nom(de table ou de vue)------------------->

 ----- TO -nomprofil------(1 nom de profil)-------.
          I-PUBLIC----I   (*PUBLIC)

Là encore, vous pouvez utiliser Navigator for i

• Pour la base de données :
  • Bibliothèques (Schéma)
    
    
    Remarquez le paramètre CRTAUT (Nouveaux Objets= Droits à attribuer aux objets créés)
    
    
  • Aux tables
    
    
    
    Cette fois nous pouvons même descendre au niveau colonne (mais est-ce bien raisonnable ?)
    
    
    En effet DB2 gère les droits à la colonne (UPDATE uniquement)
• ou ACS
  • Droits sur les tables
    
  • Droits à la colonne
    
    
    
• Rappel : Droits sur les logiques et les vues
  • Historiquement, les droits sur les données sont indiqués au niveau du physique
    .    (lecture, ajout, mise à jour, suppression).
    
    Les fichiers physiques, aussi bien que les fichiers logiques possèdent  des droits sur l'objet (particulièrement le droit opération)
    donnant  la possibilité de manipuler le fichier.  
    
    En donnant des droits sur les données au niveau du fichier physique  sans donner le droit d'opération, 
    on peut ainsi "obliger"  un utilisateur  à voir les données à travers un logique (pour lequel le droit d'opération est présent).
    
    
  • Les droits sur les logiques changent en V3R10 :
    
    A/ les droits sur les données peuvent être indiqués aussi sur les fichiers  logiques (par défaut *ALL)
    
      Pour pouvoir ajouter par le biais d'un logique, il faudra :
    
    1/ le droit d'opération sur le fichier logique
    2/ le droit d'ajout sur le fichier logique ET sur le fichier physique.
    
    B/ Les sélections peuvent être vérifiées à travers les vues SQL.
    
      Une vue SQL permet de mémoriser un SELECT contenant une clause WHERE
      (ce qui est l'équivalent d'un logique avec sélection, MAIS sans clé)
    
      Il sera possible d'ajouter 'WITH CHECK OPTION', indiquant que le WHERE
        doit être vérifié aussi lors d'ajouts , modifications :
    
    CREATE VIEW .... AS SELECT * FROM FICPERS WHERE SOC = 01  WITH CHECK OPTION.

    protection des données

     

    Pour protéger certaines colonnes, vous pouvez :

  • Gérer les droits à la colonne
    • pas facile à maintenir
    • ne gère que les problématiques de mise à jour
  • Faire des vues ou des logiques masquant certaines colonnes
    • Enlever le droit d'opération sur la table ou le PF, oblige un accès en passant par les logiques
    • un utilisateur avec *ALLOBJ peut toujours attaquer directement le PF
  • Crypter la donnée
    • soit en utilisant les fonctions de cryptage
      • ENCRYPT_RC2(data, pwd, hint)
      • ENCRYPT_TDES(data, pwd, hint)
      • ENCRYPT_AES(data, pwd, hint)
        
        Encrypte les données fournies en premier argument en utilisant le deuxième  comme clé, selon l'algorithme choisi.    le mot de passe peut être fixé aussi par SET ENCRYPTION PASSWORD, avant.
        
         la zone réceptrice doit être CHAR FOR BIT DATA , BINARY ou BLOB.
        
             l'astuce (facultative) est un "pense-bête" mémorisé avec la donnée.
        
        
        • GETHINT() permet de récupérer l'astuce
        • DECRYPT_BIT() décrypte une donnée cryptée et retourne du VARCHAR /BIT DATA
        • DECRYPT_BINARY() décrypte une donnée cryptée et retourne du BINARY
        • DECRYPT_CHAR() décrypte une donnée cryptée et retourne du VARCHAR simple
        • DECRYPT_DB() décrypte une donnée cryptée et retourne du Double Byte (Unicode)
          
    • soit en utilisant l'attribut FIELDPROC
      • il s'agit s'associer un programme à une colonne, le pgm est appelé :
        • Lors du CREATE TABLE, pour vérification
        • lors de chaque écriture pour crypter la donnée
        • lors de chaque lecture, charge à lui de décrypter (ou non) suivant des règles métier
          • Attention : l'algorithme de cryptage est à votre charge (voyez les API de cryptographie ?)
  • RCAC

    • L' option 47 de 5770SS1 (non facturable) est disponible depuis la version 7.2 : RCAC
      

       

Row and Column Access Control

Il s'agit de pouvoir indiquer des « droits » à la colonne ou à la ligne qui s'appliquent y compris aux personnes ayant les droits d'administrateur


Ces deux nouvelles options sont accessibles via System i Navigator ou Navigator for i (version Web).

• Elles sont aussi désormais intégrées à l'option Schémas d'ACS, que nous utiliserons pour ce cours


Pour administrer ces deux droits particluiers (à la colonne et à la ligne), vous devez être autorisé à la fonction QIBM_DB_SECADM (même QSECOFR)

Pour donner ces droits à la fonction : WRKFCNUSG


Option 2 pour modifier




Indiquez

*USED face à Droits spécial *ALLOBJ pour que toute personne de type QSECOFR puisse manipuler ces notions

*ALLOWED face à Droits par défaut pour que TOUT LE MONDE puisse manipuler ces notions (déconseillé !)


sinon indiquez un profil à ajouter (Utilisateur) et *ALLOWED (Utilisation) pour autoriser un profil ou un groupe

OU utilisez Administration d'applications sous Navigator for i



Pour retrouver les utilisateurs autorisés :


SELECT function_id, user_name, usage, user_type FROM function_usage WHERE function_id='QIBM_DB_SECADM' ORDER BY user_name

•CREATE MASK indique si une colonne est retournée tel que ou totalement/partiellement masquée ('xxx-xxx-xxx-1234' pour un n° de CB)

• CREATE [or REPLACE] MASK tel_MASK ON bdvin1/producteurs  FOR COLUMN pr_tel RETURN   CASE     WHEN SESSION_USER = 'QSECOFR'                                                                                          THEN PR_TEL     WHEN SESSION_USER = 'CM'                                                THEN left(pr_tel , 3) concat 'XXXXXXXXXXXXX'     ELSE NULL END ENABLE

• Quelques registres et variables globales utiles :
  • SYSTEM_USER : utilisateur du job (QUSER pour QZDASOINIT, par ex.)
  • USER ou SESSION_USER : utilisateur en cours (celui connecté)
  • CURRENT_USER : utilisateur de référence (utilisateur en cours ou utilisateur adopté)
  • CLIENT_HOST : nom du client connecté
  • CLIENT_IPADDR : adresse ip connectée
  • ROUTINE_SPECIFIC_NAME : nom du programme ou de la procédure
  • ROUTINE_SCHEMA : nom de la bibliothèque
  • ROUTINE_TYPE : P pour procédure, F pour fonction
• Fonction
  • VERIFY_GROUP_FOR_USER(utilisateur, groupe1, groupe2, ...)
    • utilisateur : SESSION_USER | USER | CURRENT_USER
    • groupen : liste des groupes à analyser
    • retourne
      • 0 : l'utilisateur n'appartient à aucun groupe
      • 1: l'utilisateur appartient à un des groupes
• Vous pouvez utiliser des sous-requêtes, comme :
  

  WHEN CURRENT DATE IN (SELECT C.DATEREF FROM CALENDRIER C WHERE C.OUVRABLE = 'O')

  WHEN SESSION_USER = ( SELECT U . USERNAME FROM USEROK U WHERE U . USERNAME = SESSION_USER AND ( U . INFO_AUT = '1' OR U . INFO_AUT = '2' ) .... )

• Vous ne pouvez pas utiliser dans votre logique SQL
  • la table elle même
  • une des fonctions suivante, portant sur la table elle même
    • RRN | RID
    • HASHED_VALUE
    • DATAPARTITIONNAME | DATAPARTITIONNUM
    • DBPARTITIONNAME | DBPARTITIONNUM
  • une table temporaire
    • Declare global temporary table
    • une table de QTEMP
  • Des variables ou des marqueurs de paramètre (?)
  • une fonction (UDF)
    • NOT SECURED (voir plus loin dans ce cours)
    • NOT Deterministic (ne retournant pas toujours la même chose)
    • avec des actions externes (accès à de la base de données, par ex.)
  •  Une fonction OLAP
  • ROW CHANGE TIMESTAMP ou ROW CHANGE TOKEN
  • une séquence
  • un Alias de membre
  • un fichier avec un trigger à la lecture
  • un logique multi-format
  • une table partionnée
  • une table éloignée (DRDA)
    
    
  • une vue contenant l'un des éléments ci-dessus...

Sous ACS


Puis

• ALTER TABLE bdvin1/producteurs   ACTIVATE COLUMN ACCESS CONTROL

Définition de la table, vue par ACS

Attention vous devez avoir les droits QIBM_DB_SECADM (même QSECOFR !)
sinon vous recevrez SQL0552

la restriction étant posée, vous pouvez la modifer, la supprimer et en retrouver le source, toujours par ACS

Les restrictions RCAC s'appliquent dans tous les contextes :

DSPPFM du fichier sous QSECOFR ->

DSPPFM sous le profil CM                ->

Bien sûr la valeur retournée doit être compatible avec le type de la colonne (sinon vous recevez SQL0678)

ICI avec la colonne CAV_PRIX qui est numérique

•1er test refusé : la valeur de remplacement est caractère (xxxxxxxxxx)



•2eme test accepté : la valeur de remplacement est 0

Un MASK n'empêche pas les insertions (par contre vous ne retrouvez pas forcement la donnée telle que vous l'avez insérée, mais masquée)

Le problème se pose éventuellement lors des mises à jour :

Exemple , le pgm suivant lit et modifie le producteur 1 en RPG ( fichier qui possède un MASK sur PR_TEL)

lors de l'Update RPG, il met à jour la ligne suivant les données qu'il a lui même reçu.

Suite à un CALL par CM (c'est QSECOFR qui regarde le contenu de la table) :

Y compris un Update RPG avec la fonction %fields

résultat identique

La documentation conseille dans ce cas : de faire un trigger, qui rétablisse l'ancienne valeur IF substr(new.PR_TEL, 4, 13) = 'XXXXXXXXXXXXX' THEN   new.PR_TEL = old.PR_TEL; ... /... de faire une contrainte qui refuse la valeur produite par le MASK CHECK substr(PR_TEL, 4, 13) <> 'XXXXXXXXXXXXX'   Ou mieux, faites une contrainte qui utilise la nouvelle clause  ON UPDATE VIOLATION CHECK substr(PR_TEL, 4, 13) <> 'XXXXXXXXXXXXX'   ON UPDATE VIOLATION PRESERVE PR_TEL L'ancienne valeur sera alors replacée automatiquement, sans message d'erreur

En effet, la 7.2 apporte cette nouvelle clause VIOLATION sur les Check constraint

ON INSERT VIOLATION SET column-name = DEFAULT
 L'erreur n'est pas signalée, la valeur par défaut est insérée

ON UPDATE VIOLATION PRESERVE column-name
 L'erreur n'est pas signalée, la valeur précédente est conservée


Exemple


Vu par ACS



suite à deux INSERT, dont l'un ne renseignant pas la colonne Verifok, nous avons bien les valeurs attendues


select * from VERIF



Mais suite à cet INSERT qui aurait du être refusé


Nous voyons


Enfin, suite à cet UPDATE, lui aussi invalide


Nous voyons toujours


 NB : aucun message dans la LOG pour signaler les "remplacement" de valeur

Seul un UPDATE SQL (toujours réalisé par CM) , ne met à jour que certains champs (donc ne touche pas aux autres)
et permet d'éviter la création d'une contrainte.

Résultat :

Enfin, les données sont masquées, juste avant l'affichage, c'est à dire après jointure et GROUP BY

par exemple, le SELECT suivant, qui donne le nombre de clients par indicatif téléphonique

SELECT LEFT(PR_TEL, 5) , count(*) as nombre    FROM producteurs GROUP BY LEFT(PR_TEL, 5)

Affiche :

si la colonne n'est pas masquée	si la colonne est masquée
05 55 3 05 56 7 05 58 4	05 xx 3 05 xx 7 05 xx 4

•CREATE PERMISSION indique la(les) règles(s) qui font qu'une ligne peut être vue

Toute ligne ne correspondant pas à la règle n'est pas retournée :

Exemple CM ne doit pas voir l'appellation 13 :

CREATE [or REPLACE] PERMISSION VINS_ROW_ACCESS ON bdvin1/vins FOR ROWS  WHERE      SESSION_USER <> 'CM'          OR (SESSION_USER = 'CM'                   and (appel_code <> 13 or appel_code IS NULL)                ) ENFORCED FOR ALL ACCESS ENABLE

rappelez vous, on indique ce qui peut être vu (une affirmation, donc)

Sous ACS

la restriction étant posée, vous pouvez toujours la modifier, retrouver le source et la supprimer, avec ACS

On aurait aussi pu faire deux permissions

CREATE PERMISSION VINS_ROW_ACCESS1 ON bdvin1/vins FOR ROWS  WHERE      SESSION_USER <> 'CM' ENFORCED FOR ALL ACCESS ENABLE ; -------------------------------------------------------------------------------------- CREATE PERMISSION VINS_ROW_ACCESS2 ON bdvin1/vins FOR ROWS  WHERE      SESSION_USER = 'CM'                   and (appel_code <> 13 or appel_code IS NULL) ENFORCED FOR ALL ACCESS ENABLE ;

un peu moins performant en temps de réponse...

Puis

ALTER TABLE bdvin1/vins   ACTIVATE ROW ACCESS CONTROL

Le système ajoute alors une permission implicite QIBM_DEFAULT_nomdetable_schema où la permission est si 0=1, donc toujours fausse.

seules les permissions explicites autorisent des lignes à être vues (en bref tout ce qui n'est pas autorisé est interdit)

Donc, Attention, si vous enlever la permission sans désactiver ROW ACCESS CONTROL  plus aucune ligne ne peut être extraite (le fichier apparaît toujours comme vide !)

Avec notre PERMISSION "VINS_ROW_ACCESS":

SELECT COUNT(*) from VINS , sous QSECOFR affiche 25.221

SELECT Count(*) from VINS WHERE appel_code = 13 indique un nombre de 811 vins pour cette appellation


SELECT COUNT(*) from VINS , sous CM affiche 24.410

 

Une PERMISSION, peut empêcher une insertion ou une mise à jour, qui ne respecte pas la règle

Exemple avec APPEL_CODE à 13 (vous recevez SQ20471)

Administration :

pour modifier : ALTER MASK | PERMISSION le-nom

pour retirer : DROP MASK | PERMISSION le-nom

 • tant que vous n'avez pas activé les droits par ALTER TABLE, les MASK et les PERMISSIONS sont inopérants

 • activer les droits, avant d'avoir défini MASK ou PERMISSION rend l'accès à cette table compliqué (tout est masqué)

• Les Triggers et les fonctions utilisées dans un MASK ou une permission ont accès à la donnée brute (non masquée.)

C'est pourquoi les ordres de création et le nouvel ordre ALTER TRIGGER ont été modifiés.


ALTER TRIGGER, nouveau en 7.2, permet de modifier certains paramètres d'un TRIGGER :



SECURED            ce trigger est sécurisé (compatible) avec les droits RCAC

NOT SECURED   ce trigger n'est pas compatible avec les droits RCAC (le défaut)

Il est impossible de modifier cet attribut quand des droits RCAC sont actifs



ENABLE, le trigger est actif (dft)

DISABLE, le trigger n'est plus actif


il est impossible de créer un trigger NOT SECURED quand des droits RCAC sont actifs



Détail du message SQ20470



par contre, cet ordre fonctionne


Lors d'un insert, le trigger est lancé sans problème
->

Les mêmes paramètres sont proposés sur les assistants de création :

Navigator for I	ACS

La version 1.3 de Omnifind (5733OMF) est la seule compatible RCAC

Vous trouverez sur les procédures

• SYSPROC.SYSTS_CREATE (création d'un index omnifind)
• SYSPROC.SYSTS_ALTER (modification d'un index existant)
  
  
• ROW_COLUMN_ACCESS
  
  
  • NOT_SECURED (dft)
    L'index de recherche n'est pas considéré comme sécurisé pour les contrôles RCAC
    
    
  • SECURED
    L'index de recherche est considéré comme sécurisé pour les contrôles RCAC
    
    Ce dernier point est obligatoire pour construire un index Omnifind sur une table possédant des droits RCAC

Administration

La mise en place ou le retrait des droits RCAC :

• impose une allocation exclusive de la table
• provoque un enregistrement AX dans le journal d'AUDIT.

  et des enregistrements dans le journal de la table, de code D, type :

• M1 : CREATE MASK
• M2 : DROP MASK
• M3 : ALTER MASK
• P1 : CREATE PERMISSION
  
• P2 : DROP PERMISSION
• P3 : ALTER PERMISSION
  
  
  Les droits RCAC sont visibles (mais non modifiables) par EDTOBJAUT/DSPOBJAUT
  
  
  
  L'API Retrieve Database File Description (QDBRTVFD) a été modifiée
   (nouveau format FILD0500 pour retrouver les informations RCAC)
  
  
  

Sinon, pour voir la liste des droits RCAC, regarder SYSCONTROLS et SYSCONTROLSDEP

• SysControls de QSYS2

Par exemple :

SELECT RCAC_NAME , cast(RULETEXT as char(2000) ) FROM QSYS2.SYSCONTROLS
  WHERE RCAC_SCHEMA = 'BDVIN1'


• SYSCONTROLSDEP affiche les éléments dépendants, par exemple :

SyscontrolsDep contient :

• Impact sur les requêtes SQL :

   Autant les masques ne s'appliquent que lors de l'affichage (n'ont donc pas d'impact sur les jointures, par exemple)

  Autant les permissions sont plus déterminantes :

la jointure n'a lieu qu'avec les lignes autorisées.

 

INSERT into cible (SELECT * from SOURCE)

• vous subissez les MASK
• vous ne copiez que les lignes autorisées par les permissions
• les lignes copiées doivent être valides dans la table cible (si elle même possède des droits RCAC)
• SQE fait une jointure, le cas échéant : si le droit RCAC référence une autre table (cas d'utilisation de notre table USEROK)
  
  ici, sous VISUAL Explain, mais aussi dans les moniteurs SQL
  
  
  Il signale qu'il y a des droits RCAC
  
  il peut recommander des index
  
  
  

Commandes système :

• les droits RCAC sont stockés dans la table elle même, ils sont donc :
  • sauvegardés par SAVLIB, SAVOBJ
  • déplacés par MOVOBJ
    
  • dupliqués (par défaut) par CRTDUPOBJ
    
    
    
• CRTDUPOBJ et CPYLIB
  
  Quand les Data sont dupliquées, elles le sont à l'identiques (en clair) , les droits RCAC étant aussi dupliqués
  
  Mais, il y a un nouveau paramètre ACCCTL
  
  
  
  • *ALL, les droits RCAC sont dupliqués
  • *ROW, les permissions sont dupliqués
  • *COL , les masques sont dupliqués
  • *NONE, rien n'est dupliqué
    
    
• CPYF
  
  Seules les données étant copiées (pas les droits RCAC), ne sont dupliquées que les lignes autorisées, et éventuellement masquées.
  • la copie peut donc être partielle (aussi pour CPYTOIMPF)
• comme pour un INSERT de SELECT

• Réplication manuelle de fichiers, ou ETL :
  
  Le problème est le même que CPYF, il faut donc explicitement autoriser l'utilisateur OU subir les effets de RCAC !
  
  
  
• Attention aux droits
  
  Les données dans le journal et dans une MQT sont en clair (la réplication basée sur la fonction journal se passera bien)
   mais il faut limiter le droit de lire le récepteur, et le droit de lire explicitement une MQT, sinon vous aurez une faille de sécurité !
  
  

Enfin attention

• une table avec des droits RCAC ne peux pas être sauvegardée pour version précédente.
  
• une table avec des droits RCAC, restaurée sur un système ne possédant pas l'option 47 ne peux plus être ouverte.
  

 

Pour plus de détails et plus d'exemples, voyez ce redbook chez IBM.

Copyright © 2020 VOLUBIS