, , Rechercher dans l’IFS de votre IBMi

Il peut vous arriver de vouloir rechercher une chaine de caractères dans votre IFS voici comment vous pouvez faire en utilisant SQL service .

1) Recherche d’un nom fichier sur une chaine

SELECT cast(substr(PATH_NAME , 1 , 132) as char(132)) as PATH_NAME
FROM TABLE(IFS_OBJECT_STATISTICS(
START_PATH_NAME => ‘/HOME/PLB’ ,
OBJECT_TYPE_LIST => ‘*ALLSTMF’))
where ucase(PATH_NAME) like (‘%PRO%’)

Ici, recherche PRO dans le nom du fichier du répertoire /HOME/PLB

2) Recherche d’une chaine dans les fichiers

Création d’un fichier résultat !

CREATE OR REPLACE TABLE RETURN_TABLE
(STMF_NAME char(100),
LINE_NUMBER decimal(5 , 0),
LINE varchar(132))

Recherche de la chaine dans tous les fichiers

begin
for
SELECT PATH_NAME as IFS_PATH_NAME
FROM TABLE(IFS_OBJECT_STATISTICS(
START_PATH_NAME => ‘/HOME/PLB’ ,
OBJECT_TYPE_LIST => ‘*ALLSTMF’))
do
INSERT INTO RETURN_TABLE
SELECT IFS_PATH_NAME ,
LINE_NUMBER ,
cast(substr(LINE , 1 , 132) as char(132))
FROM TABLE(IFS_READ(
PATH_NAME => IFS_PATH_NAME))
WHERE UPPER(LINE) like ‘%’ concat ‘PRO’ concat ‘%’ ;

end for;
end

Ici, recherche PRO dans les fichiers du répertoire /HOME/PLB

Attention

Ces recherches sont très consommatrices elles doivent être soumises en batch

Conclusions :


Ça peut vous aidez dans vos recherches, mais attention au nombre de fichiers à scanner.
Si vous êtes amené à faire régulièrement ce type de recherche, préférer la mise en œuvre de OMNIFIND

Si vous voulez l’exemple en fonction table il est ici :

https://github.com/Plberthoin/PLB/tree/master/GTOOLS/SQL

, 5 choses savoir sur les includes

Un include ou un /copy dans un programme permet de copier avant la compile des lignes de sources dans votre programme ou module.
C’est pour normaliser des parties de code qu’on utilise souvent dans une application, souvent des déclarations
exemple :
DS pour les données programme (SDS)
DS pour les données fichier (INFDS)
Découpage d’un paramétrage applicatif d’une *lda ou autre
etc…

1) Utilisation en CLP

C’est pas forcément le langage où en trouve le plus, mais ça peut avoir du sens si on utilise par exemple une routine d’erreur générale
pgm
DCL….
include erreur1
// votre code
include erreur2
ENDPGM

Vous pouvez préciser le fichier ou le répertoire ou se trouve vos includes

Sur les commandes CRTCLMOD ou CRTBNDCL c’est les paramètres INCFILE ou INCDIR

Vous pouvez indiquer dans votre source le fichier ou la bibliothèque , il est bien sur déconseillé de harcoder la bibliothèque, la gestion de la liste de bibliothèque étant préférable.

2) Utilisation en RPG

on peut utiliser des /copy ou des /include
la syntaxe est la même
libraryname/filename,membername
filename,membername
membername

Encore une fois il est fortement déconseillé d’utiliser la bibliothèque,

d/COPY QSYSINC/QRPGLESRC,ECHKPWD1
ou
d/INCLUDE QSYSINC/QRPGLESRC,ECHKPWD1

en free, elle doivent quand même être codé comme une carte …

on peut faire des includes d’includes par exemple on l’utilise dans l’ILE
sourceA
include prototype1
include prototype2

sourceB
include SourceA

C’est souvent utilisé pour le prototypage de fonction et procédure

Vous pouvez indiquer dans une carte h ou dans ctl-opt en free

COPYNEST( n )
Indique le nombre maximal d’imbrications, n étant une valeur
comprise entre 1 et 2048. Si le mot clé COPYNEST n’est pas
spécifié, 32 est utilisée comme valeur maximale.

Je n’ai jamais vu plus de 5 niveaux …

3) Utilisation dans un SQLRPGLE

Comporte une petite subtilité entre les /copy et les /include sur les variables HOSTs

Paramètre de compile , RPGPOPT de la commande du CRTSQLRPGI

  • NONE
    Le compilateur n’est pas appelé pour le prétraitement.
  • LVL1
    Le compilateur est appelé pour le prétraitement pour développer / COPY et gérer les directives de compilation conditionnelle à l’exception de la directive / INCLUDE.
  • LVL2
    Le compilateur est appelé pour le prétraitement pour développer / COPY et / INCLUDE et gérer les directives de compilation conditionnelle.

Le conseil est de forcer le paramètre à *LVL2 pour que même les include soit résolus avant la pré-compilations SQL

4) Les copies conditionnées

Pour éviter les inclusions en double suite à plusieurs inclusions venant de plusieurs endroits

Il y a un macro langage qui permet d’indiquer des instructions dans votre sources RPG

A) dans le source à inclure
source1

les instructions ici
à la fin
/define prototype

B) dans le programme ou on veut l’inclusion

/if not defined( prototype )
/include prototype
/endif

ou

/if defined( prototype )
/eof
/endif

5) Conversion RPGIII vers RPGIV

Pour convertir du RPG3 vers RPGIV ,vous avez une commande IBM qui s’appelle CVTRPGSRC, voici comment traiter les includes.

Il y a 2 méthodes possibles :

A) En précisant le paramètre EXPCPY à *YES de la commande CVTRPGSRC ce qui incluera le /copy dans le programme après l’avoir converti

B) Vous devrez commencer par convertir les /copy de votre application
Attention au nom de fichier que vous devrez éventuellement changer en QRPGLESRC par exemple dans les sources

Conclusion

Il peut être intéressant d’utiliser les includes, mais ça nécessite un minimum d’organisation, exemple pour les prototypages ILE

RDI permet de voir directement les includes à partir du source que vous éditez …

, 5 Choses (expertes) sur la gestion des mots de passe

1) Crypter le mot de passe

Voici quelques informations complémentaires sur la gestion de vos mots de passe qui sont un peu plus compliquer à mettre en œuvre mais qui peuvent vous éviter des problèmes et vous faciliter la gestion .


Par défaut les mots de passe circulent en clair sur votre réseau et avec TRCCNN sur L’IBMi ou en utilisant un outil réseau par exemple, wireshark vous pouvez voir le mot passe.
La solution est donc de passer en SSL.
Voici les étapes à réaliser :

  • Vous devez créer un certificat autosigné en utilisant DCM

  • Indiquer les applications qui seront protégées par ce service

  • Indiquer sur le client que la connexion se fait en TLS

  • La première connexion vous demandera d’accepter d’échanger avec le site distant est par la suite tous vos échanges seront cryptés

2) Supprimer les mots de passe


La volonté est de plus pour éviter la prolifération des mots de passe d’aller vers du SSO, ce qui simplifierait la gestion des mots de passe utilisateurs.
Sur l’IBMi la solution à mettre en œuvre c’est Kerberos qui s’appuiera sur votre AD Windows, pour en savoir plus regardez ici https://blog.devensys.com/kerberos-principe-de-fonctionnement/
Vous devrez alors gérer un annuaire sur votre IBMi qui s’appelle EIM pour en savoir plus, regardez ici https://www.ibm.com/support/knowledgecenter/en/ssw_ibm_i_74/rzalv/rzalvmst.htm
dans cette annuaire vous aurez toutes les correspondances entre vos logins IBM i et Windows, vous pouvez également utiliser kerberos pour sécuriser vos accès entre partitions IBMi, FTP par exemple .

3) Mise en place d’un programme de validation

Si les règles de contrôle de mot de passe ne suffisent pas vous pouvez indiquer un programme complémentaire.
Si vous êtes en niveau de mot de passe 1 ou 0 valeur système QPWDLVL, vous pouvez indiquer un programme dans la valeurs système QPWDVLDPGM voici un exemple

PGM (&NEWPWD &OLDPWD &sts &usrprf)
DCLPRCOPT USRPRF(OWNER) / Programme de controle de mot de passe / / Il est déclaré par la valeur système QPWDVLDPGM / / PWDLVL Doit être à Zéro ou à 1 / DCL VAR(&NEWPWD) TYPE(CHAR) LEN(10)
DCL VAR(&OLDPWD) TYPE(*CHAR) LEN(10)
dcl &sts *char 1 /* résultat du controle / / 0 ok / / 1 pas ok / DCL VAR(&USRPRF) TYPE(CHAR) LEN(10)
/* Renvoyer ‘0’ si ok dans tous les cas */
chgvar &sts ‘0’
endpgm

Si le niveau de mot de passe est 2 ou 3, vous devrez utiliser un programme exit QIBM_QSY_CHK_PASSWRD , ou QIBM_QSY_VLD_PASSWRD vous pouvez ajouter votre programme par WRKREGINF puis option 8.

d/INCLUDE QSYSINC/QRPGLESRC,ECHKPWD1
dcl-s old ucs2(128) based(oldPtr) ;
dcl-s new ucs2(128) based(newPtr) ;
dcl-s old2 ucs2(128) based(oldPtr) ;
dcl-s new2 ucs2(128) based(newPtr) ;

dcl-pi *N ;
P_Buffer char(1024) ;
P_status char(1) ;
end-pi ;

ECHQCPI00 = P_Buffer;

oldPtr = %addr( P_Buffer ) + ECHOTOP ;
newPtr = %addr( P_Buffer ) + ECHOTNP ;
old2 = %subst( old : 1 : ECHLOOP * 2 ) ;
new2 = %subst( new : 1 : ECHLONP * 2 ) ;
// Votre contrôle
// si ok on renvoit ‘0’ si Ko on renvoit KO
P_status = ‘0’ ;
*inlr = *on ;

attention les mots de passe sont en UCS2, et le mot de passe old est toujours à *NOPWD

Le programme ne se déclenchera que si les règles de contrôle de mot de passe sont vérifiés avant

Ces programmes devront être compiler en adoption de droit par rapport à QSECOFR

4) Mettre en place un rendu de mot de passe automatique


Il peut être important de faciliter le rendu de mot de passe, un peu comme sur internet avec le bouton mot de passe oublié.
le principe est le suivant :
il faudra avoir un fichier qui comporte à minima l’utilisateur IBMi et le mail pour faire le lien

vous devrez avoir un programme en CLLE par exemple
/* 1 récupération du mail* /

call pgm(rtvmail &usr &mail )

/* 2 calcul du mot de passe */

chgvar &PWD …….

/* 3 modification du mot de passe * /

CHGUSRPRF USRPRF(&USR ) PASSWORD(&PWD ) + PWDEXP(YES) STATUS(ENABLED)

/*6 envoi du nouveau mot de passe */
CHGVAR VAR(&NOTE) VALUE(‘Votre nouveau mot de passe +
est, ‘ *BCAT &PWD *BCAT ‘, vous devrez le +
changer à la première utilisation’)
SNDSMTPEMM RCP((&MAIL)) SUBJECT(‘Mot de passe perdu’) +
NOTE(&NOTE)

/* 5 log de l’information */
SNDMSG MSG(‘Mot de passe pour l »utilisateur’ *BCAT +
&USR *BCAT ‘réinitialiser par’ *BCAT +
&USRE) TOMSGQ(*HSTLOG)

Ce programmes devra être compiler en adoption de droit par rapport à QSECOFR

Attention,
vous pouvez en fonction de votre organisation, envoyer un mail au responsable , etc…
vous pouvez lancer ce programme par un autre utilisateur qui fera la demande
vous pouvez, et c’est le mieux, faire une page web sur votre IBMi, PHP, NODEJS, Autres qui fera cette demande
Il est conseillé malgré tout de bien suivre ces opérations de rendu de mot de passe

5) Auditer les violations de mot de passe


Vous pouvez tracer les erreurs de mot de passe, pour faire ça sur l’IBMi, vous devez mettre en place l’audit
C’est la valeurs système QAUDLVL vous devez au moins indiquer *AUTFAIL
C’est les codes PW qui vont indiquer une erreur de mot de passe
Vous pouvez avoir un suivi en analysant les postes de journaux exemple
DSPJRN JRN(QAUDJRN) JRNCDE((T)) ENTTYP(PW)
Vous pouvez être proactif en mettant en place une solution IDS
En utilisant un programme d’exit de journal par exemple :

RCVJRNE JRN(QAUDJRN) EXITPGM(VOTREBIB/VOTREPGM) RCVRNG(*CURCHAIN) +
FROMENTLRG(poste de début) +
JRNCDE((T)) ENTTYP(‘PW’)

Attention à soumettre votre traitement pour pouvoir l’arrêter proprement

Conclusions

Une bonne politique de mots de passe est une des pierres angulaires de la stratégie de sécurité

, 5 Choses (avancées) sur la gestion des mots de passe

Voici quelques informations, un peu plus sensibles sur la gestion des mots de passe.

1) Mot de passe SST


Pour accéder aux outils de maintenance système (SST), vous devez avoir un profil créé (CRTSSTUSR) et votre profil IBMi devra avoir le droit *SERVICE
vous pouvez ensuite lancer une session SST par STRSST

2) Mot de passe iNetServer


iNetServer gère son propre contrôle de mot de passe identique pour accéder à vos partages.
vous avez sans doute déjà reçu des messages CPIB682 qui indiquent que l’utilisateur est désactivé pour NetServer
pour le réactiver vous pouvez passer par Navigator For i ou utiliser l’API QZLSCHSI
exemple ici

https://www.ibm.com/support/pages/node/684479

3) Contrôler un mot de passe


Par la commande CHKPWD sur le profil en cours , monmsg CPF2300 à traiter
Par API QSYGETPH, plus d’information, sur le site https://www.ibm.com/support/knowledgecenter/ssw_ibm_i_74/apis/QSYGETPH.htm
exemple
PGM PARM(&userid &passwrd &STS)
/* Paramètres*/

DCL VAR(&USERID) TYPE(CHAR) LEN(10) /* input */

DCL VAR(&PASSWRD) TYPE(CHAR) LEN(10) /* input */
DCL &STS *CHAR 01 /* output */

/* Variables de travail / DCL VAR(&ERRORCODE) TYPE(CHAR) LEN(272)
DCL VAR(&MSGID) TYPE(CHAR) STG(DEFINED) LEN(7) DEFVAR(&ERRORCODE 9)
DCL VAR(&HANDLE) TYPE(CHAR) LEN(12)

/* Récupère le handle */

CHGVAR VAR(&ERRORCODE) VALUE(X’0110′) CALL QSYGETPH (&USERID &PASSWRD &HANDLE &ERRORCODE X’0000000A’ X’FFFFFFFF’) /* test message d’erreur */
If (&MSGID *ne ‘ ‘) THEN(Do)
CHGVAR VAR(&STS) VALUE(‘1’)
SNDPGMMSG MSGID(CPF9897) MSGF(*LIBL/QCPFMSG) +
MSGDTA(&MSGID *BCAT ‘Erreur contrôle de +
mot de passe’) MSGTYPE(ESCAPE) ENDDO ELSE CMD(DO) CHGVAR &STS VALUE(‘0’) SNDPGMMSG MSGID(CPF9897) MSGF(LIBL/QCPFMSG) +
MSGDTA(‘Mot de passe correct pour le +
profil ‘ !! &USERID) MSGTYPE(*COMP)
ENDDO
ENDPGM

4) Supprimer le mot de passe

Certains utilisateurs ne servent pas à se connecter et il peut être important de leurs enlever celui c’est le cas des profils de QSRV et QSRVBAS par exemple !
pour réaliser cette opération vous devez faire un chgusrprf en indiquant le paramètre PASSWORD(*NONE)

5) Rendre un mot de passe utilisateur sans être *SECADM


Par défaut un utilisateur ne peut modifier que son mot de passe. Pour qu’un utilisateur puisse rendre un mot de passe, on peut faire un programme en adoption de droit par rapport à un profil qui lui a *SECADM.
exemple
commande
CMD PROMPT(‘Changement PWD Utilisateur’)
PARM KWD(USRPRF) TYPE(NAME) LEN(10) MIN(1) + PROMPT(‘Profil utilisateur’)

programme

PGM PARM(&USR)

DCLPRCOPT USRPRF(OWNER)
/* paramètres */
dcl &usr *char 10
/* variables de travail */
dcl &usre *char 10
CHKOBJ OBJ(&USR) OBJTYPE(*USRPRF)
monmsg cpf9801 exec(do)
SNDUSRMSG MSG(‘Profil,’ *BCAT &USR BCAT ‘inexistant’) + MSGTYPE(INFO)
RETURN
enddo
RTVJOBA USER(&USrE)
CHGUSRPRF USRPRF(&USR ) PASSWORD(&USR ) +
PWDEXP(YES) STATUS(ENABLED)
monmsg cpf0000 exec(do)
SNDMSG MSG(‘Modification de passe impossible pour +
l »utilisateur’ *BCAT &USR *BCAT ‘demandée +
par’ BCAT &USRE) TOMSGQ(HSTLOG)
RETURN
enddo
SNDMSG MSG(‘Mot de passe pour l »utilisateur’ *BCAT +
&USR *BCAT ‘réinitialisé par’ BCAT + &USRE) TOMSGQ(HSTLOG)
endpgm

, 5 Choses (basiques) sur la gestion des mots de passe

Voici quelques informations concernant la gestion des mot de passe sur IBM i

1) Le niveau de mot de passe

Vous pouvez indiquer un niveau de mot de passe par la valeur Système QPWDLVL

1 et 2, vous avez un mot de passe sur 10 sans diférentiation de CAST
3 et 4, vous avez un mot de passe à 128 sensible à la cast.

le passage au niveau 3 ou 4 impose un IPL pas de gros risque pensez juste si vous avez des mires customizée à ajuster la taille de la zone PWD.
ce qu’il est conseillé, c’est de modifier le sous système CHGSBSD … SGNDSPF(*QDSIGNON) avant l’ipl et de faire vos modifications après en changeant à nouveau la valeur après avoir mis à niveau le fichier ècran.

2) Régle de validation des mots de passe

les principales valeurs systèmes

QPWDCHGBLK *SEC Bloquer la modification du mot de passe
QPWDEXPITV *SEC Durée de validité d’un mot de passe
QPWDEXPWRN *SEC Avertissement d’expiration de mot de passe
QPWDLMTAJC *SEC Limiter chiffres adjacents dans un mot de passe
QPWDLMTCHR *SEC Limiter certains caractères dans un mot de passe
QPWDLMTREP *SEC Limiter nb caractères identiques dans mot de pass
QPWDMAXLEN *SEC Longueur maximale du mot de passe
QPWDMINLEN *SEC Longueur minimale du mot de passe
QPWDPOSDIF *SEC Limiter positions des caractères dans mot de pass
QPWDRQDDGT *SEC Chiffre obligatoire dans un mot de passe
QPWDRQDDIF *SEC Mot de passe différent des précédents

QPWDRULES *SEC Règles mot de passe
les valeurs possibles sont :
*PWDSYSVAL prendre les valeurs sysval QPWD
*ALLCRTCHG règle de composition de mot de passe appliquées au chgusrprf et crtusrprf
*CHRLMTAJC
*CHRLMTREP
*DGTLMTAJC
*DGTLMTFST
*DGTLMTLST
*DGTMAXn
*DGTMINn
*LMTSAMPOS
*LMTPRFNAME
*LTRLMTAJC
*LTRLMTFST
*LTRLMTLST
*LTRMAXn
*LTRMINn
*MAXLENnnn
*MINLENnn
*MIXCASEn
*REQANY3
*SPCCHRLMTAJC
*SPCCHRLMTFST
*SPCCHRLMTLST
*SPCCHRMAXn
*SPCCHRMINn
plus d’informations ici
https://www.ibm.com/support/knowledgecenter/en/ssw_ibm_i_72/rzarl/rzarlpwdrules.htm

3) Comment modifier un mot de passe ?

il y a 3 méthodes pour modifier un mot de passe
-la commande chgpwd
-l’API QSYCHGPW
-la commande chgusrprf (elle nécessite le droit *SECADM)

4) La validité d’un mot de passe et les actions associées

La durée de validité d’un mot de passe est exprimé en jours dans le paramètre du profil PWDEXPITV, par défaut on peut indiquer *SYSVAL il se baser alors sur la valeur système QPWDEXPITV
la règle d’usage est fixée par la valeurs système QMAXSIGN qui indique le nombre de tentatives
QMAXSGNACN indique l’action à réaliser en cas de débordement on peut désactiver le profil ou le profil est l’écran associé

5) Pour connaitre les profils désactivés

Voici une requête

select AUTHORIZATION_NAME as Profil_IBMi,
PREVIOUS_SIGNON as derniere_signature,
STATUS as status,
PASSWORD_CHANGE_DATE as date_changement,
DATE_PASSWORD_EXPIRES as date_expiration,
USER_DEFAULT_PASSWORD as PWD_egal_USRPRF,
LAST_USED_TIMESTAMP AS derniere_utilisation
from QSYS2.USER_INFO
where status = ‘*DISABLED’

Conclusion

Il est important d’avoir une bonne gestion des mots de passe sur votre ibm i.
La stratégie doit être adaptée au niveau requis par l’activité de l’entreprise
Elle doit être le plus possible globale au niveau des logins utilisés pour les différentes applications
Il n’y a pas de solution miracle ….