, , Liste des fonctions usage

Vous avez installé un nouveau système et il vous manque des fonctions usage dans navigator for i , attention il y a des fonctions qui ne sont pas administrables par cette interface mais uniquement en 5250 par la commande =>WRKFCNUSG, cela dépendra de la catégorie :

Pour gérer plus simplement les utilisateurs pour les fonctions non administrées dans navigator for i , (par exemple QIBM_DB_ZDA qui sert pour autoriser les accès ODBC) nous proposons un produit téléchargeable à cette adresse https://github.com/Plberthoin/PLB/blob/master/WRKUSRUSG/

Vous pouvez gérer le comportement globale de la fonction <F10> et les users en exception <F6>

Maintenant ,voici comment ajouter celles qui sont administrables et que vous ne voyez pas

Leur affichage dans Navigator for i peut dépendre des produits installés sur votre partition

Ouvrir l’onglet  

Ajouter des fonctions dans fonctions usage

Puis choisir dans les actions

sélectionnez l’enregistrement des fonctions

Quand vous revenez dans liste des fonctions, vous en avez maintenant beaucoup plus

On peut analyser les violations des fonctions usage, c’est les postes de type GR dans le journal d’audit.

Soit par un DSPJRN

Soit par une requête SQL

Liste des violations de Fonction Usage sur la journée précédente !

SELECT *

  FROM TABLE (

      SYSTOOLS.AUDIT_JOURNAL_GR (STARTING_TIMESTAMP => CURRENT DATE – 1 DAYS))

    WHERE FUNCTION_REGISTRATION_OPERATION = ‘USAGE FAILURE’

Conclusion :

L’utilisation de certaines de ces fonctions devient primordiale, et il faudra s’habituer à les utiliser .

Vous pouvez ajouter ou supprimer des fonctions liées à des applications installées sur votre partition dans navigator for i mais toutes ne sont pas gérées dans l’interface !

/par
, , , Informations sur les commandes

Avec la version TR1 de 7.5 et la TR7 de la 7.4

IBM met à dispo un service (COMMAND_INFO) qui va permettre d’avoir des informations sur les commandes de votre partition IBM i.

Voici 2 idées d’utilisation de cette vue QSYS2.COMMAND_INFO

Par exemple, pour connaitre les commandes qui sont permises en environnement restreint

SELECT *
FROM QSYS2.COMMAND_INFO
WHERE ALLOW_LIMITED_USER = ‘*YES’

Par exemple, pour savoir si un programme est utilisé dans une commande lorsqu’on fait une analyse d’impact avant une modification

SELECT COMMAND_NAME,
COMMAND_PROCESSING_PROGRAM_LIBRARY,
COMMAND_PROCESSING_PROGRAM
FROM QSYS2.COMMAND_INFO
WHERE COMMAND_LIBRARY = ‘GFTP’

Conclusion :

Cette vue fournit des informations intéressantes et faciles à croiser avec d’autres éléments sur toutes les commandes présentes sur vos systèmes.

/par
, Suivi des travaux par JOBQ

Avec la version TR1 de 7.5 TR1 et la TR7 de la 7.4

IBM met à dispo un service qui va permettre suivre les travaux soumis par JOBQ, cette information existait mais était plus compliquée d’utilisation et vous pourrez choisir les JOBQ que vous voulez suivre.

Voici la liste des services disponibles :

ADD_TRACKED_JOB_QUEUE, qui permet d’ajouter une JOBQ à superviser
CLEAR_TRACKED_JOB_QUEUE, qui permet de reseter les statistiques des JOBQ supervisées
REMOVE_TRACKED_JOB_QUEUE, qui permet de retirer une JOBQ à superviser
TRACKED_JOB_INFO, qui permet d’avoir des informations sur les travaux soumis dans cette JOBQ
TRACKED_JOB_QUEUES, qui permet de voir les JOBQ supervisées

Ci-dessous le lien de référence pour retrouver les informations essentielles

https://www.ibm.com/docs/en/i/7.4?topic=services-work-management

Principe

Vous ajoutez une JOBQ à superviser


CALL QSYS2.ADD_TRACKED_JOB_QUEUE(IASP_NAME => ‘*SYSBAS’,
JOB_QUEUE_LIBRARY => ‘SSHLIB’,
JOB_QUEUE => ‘SSHJOBQ’);

Vous pouvez voir les travaux qui sont placés par votre JOBQ

SELECT * FROM TABLE(QSYS2.TRACKED_JOB_INFO(JOB_QUEUE_LIBRARY_FILTER => ‘SSHLIB’,
JOB_QUEUE_FILTER => ‘SSHJOBQ’))
WHERE JOB_END_TIME IS NULL;

Vous pouvez avoir des informations sur les JOBQ supervisées

SELECT *
FROM QSYS2.TRACKED_JOB_QUEUES
ORDER BY IASP_NAME, JOB_QUEUE_LIBRARY, JOB_QUEUE_NAME;

Conclusion :

Ce service peut vous permettre d’avoir un suivi précis par JOBQ des jobs soumis, à l’inverse vous pourrez savoir si une JOBQ n’est pas utilisée

/par
, Navigator for Visualisation des Audits

Navigator for i évolue, petit rappel au passage l’ancien interface ne sera plus utilisable en 2023, ils vous faut donc passé au nouveau, en réalité pas de panique, il n’y a rien à faire l’application des PTFs fait l’installation automatiquement.

Je vais vous parler ici d’une fonction passée un peu inaperçue mais qui peut intéresser certain d’entre vous en effet elle permet de visualiser les postes d’audit sous forme de graphique !

Vous devez choisir l’option

Vous devez ensuite choisir les informations que vous voulez voir sur votre graphique

Vous pouvez choisir une vue détail

ou une vue graphique

Remarque :

C’est le deuxième outil qui se base sur les journaux d’audit, l’autre c’est IDS il faut être un expert en réseau pour en tirer partie

Celui la est très simple et il vous permet d’avoir rapidement affichage intéressant des informations de sécurités que vous voulez tracer

/par
, QTEMP et *LIBL

Vous connaissez tous les notions de cette bibliothèque :

Elle n’est pas sauvegardée à la fin d’un travail et chaque travail a sa QTEMP.

Elle est généralement dans votre liste de bibliothèque.

Maintenant imaginez que vous utilisez un logiciel et que vous voulez être sûr que QTEMP soit la première bibliothèque de votre liste :

Vous pouvez l’enlever et la remettre en entête mais attention, l’enlever revient à la supprimer. Si vous avez des données par exemple des fichiers à l’intérieur, ils seront donc perdus, je propose donc un petit programme qui pourra réaliser ça pour vous :

PGM                                                                   
/* MISE EN PLACE QTEMP EN TETE DE LISTE */                            
dcl &time *char 6                                                     
             DCL        VAR(&NBR) TYPE(*DEC) LEN(10)                  
             dcl &libl *char 2750                                     
             dcl  &req *char 512                                      
 /* Recherche si QTEMP est entete on ne fait rien                  */ 
             RTVJOBA    USRLIBL(&LIBL)                                
             IF COND(%sst(&libl 1 10) = 'QTEMP') THEN(DO)             
             goto fin                                                 
             ENDDO                                                    
 /* Recherche si QTEMP est pas en tete de liste                    */ 
             ELSE                                                     
             DSPOBJD    OBJ(QTEMP/*ALL) OBJTYPE(*ALL) +               
                          OUTPUT(*OUTFILE) OUTFILE(QTEMP/WRESULT)     
             MONMSG     MSGID(CPF2123) exec(do)                       
 /* si bibliothèque vide */                                           
             RMVLIBLE   LIB(QTEMP)                                    
             ADDLIBLE   LIB(QTEMP) POSITION(*FIRST)                   
             GOTO       CMDLBL(FIN)                                 
             ENDDO                                                  
 /* Si bibliothèque QTEMP remplie */                                 
             CRTLIB     LIB('W' *TCAT &TIME) TYPE(*TEST) TEXT('Bib +
                          sauvegarde qtemp')                        
             monmsg CPF2111 exec(do)                                
             CLRLIB     LIB('W' *TCAT &TIME)                        
             ENDDO                                                  
             CRTDUPOBJ  OBJ(*ALL) FROMLIB(QTEMP) OBJTYPE(*FILE) +   
                          TOLIB('W' *TCAT &TIME) DATA(*YES)         
   monmsg    CPF2130                                                
             rmvlible qtemp                                         
             addlible qtemp  *first                                 
             CRTDUPOBJ  OBJ(*ALL) FROMLIB('W' *TCAT &TIME) +        
                          OBJTYPE(*FILE) TOLIB(QTEMP) DATA(*YES)    
   monmsg    CPF2130                                                
             DLTLIB     LIB('W' *TCAT &TIME)                        
 /* fin du programme */                                             
 fin:
            SNDPGMMSG  MSGID(CPF9898) MSGF(QCPFMSG) +               
                         MSGDTA('Bibliothèque Qtemp placée en tête +
                         de liste') MSGTYPE(*COMP)                  
            ENDPGM

Voila, vous avez une exemple tout en CLP , qui permet de mettre QTEMP en tête de liste sans perdre les informations à l’intérieur.

Merci à Jean-Marie pour son aide.

/par
, Menu ATTN

C’est un menu que vous pouvez lancer à tout moment par la combinaison de touche <flèche> + <ATTN> + <Enter>

Si vous avez du mal au clavier vous pouvez dans ACS faire un clique droit !

Ce menu vous propose des actions voici un source qui vous permet de voir ces options

Le programme en CLP

pgm
dclf wrkattn
dcl &msg *char 100
dcl &txt *char 50
             RTVMSG     MSGID(CPX2313) MSGF(QCPFMSG) MSG(&MSG)
             DOUNTIL    COND(&IN03) /* do */
             RTVOBJD    OBJ(%SST(&MSG 1 10)) OBJTYPE(*CMD) TEXT(&txt)
             chgvar &cmd001  (%sst(&msg  1 10) *cat &txt)
             RTVOBJD    OBJ(%SST(&MSG 12 10)) OBJTYPE(*CMD) TEXT(&txt)
             chgvar &cmd002  (%sst(&msg 12 10)  *cat &txt)
             RTVOBJD    OBJ(%SST(&MSG 23 10)) OBJTYPE(*CMD) TEXT(&txt)
             chgvar &cmd003  (%sst(&msg 23 10) *cat &txt)
             RTVOBJD    OBJ(%SST(&MSG 34 10)) OBJTYPE(*CMD) TEXT(&txt)
             chgvar &cmd004  (%sst(&msg 34 10) *cat &txt)
             RTVOBJD    OBJ(%SST(&MSG 45 10)) OBJTYPE(*CMD) TEXT(&txt)
             chgvar &cmd005  (%sst(&msg 45 10) *cat &txt)
             RTVOBJD    OBJ(%SST(&MSG 56 10)) OBJTYPE(*CMD) TEXT(&txt)
             chgvar &cmd006  (%sst(&msg 56 10) *cat &txt)
             RTVOBJD    OBJ(%SST(&MSG 67 10)) OBJTYPE(*CMD) TEXT(&txt)
             chgvar &cmd007  (%sst(&msg 67 10) *cat &txt)
             RTVOBJD    OBJ(%SST(&MSG 78 10)) OBJTYPE(*CMD) TEXT(&txt)
             chgvar &cmd008  (%sst(&msg 78 10) *cat &txt)
             RTVOBJD    OBJ(%SST(&MSG 89 10)) OBJTYPE(*CMD) TEXT(&txt)
             monmsg cpf9801
             chgvar &cmd009  %sst(&msg 89 10)
             SNDRCVF    RCDFMT(FMT01)
             IF         COND(&IN03) THEN(LEAVE)
             enddo


endpgm

L’écran

     A*
     A                                      DSPSIZ(24 80 *DS3)
     A                                      CA03(03)
     A          R FMT01
     A*%%TS  SD  20221129  091353  QSECOFR     REL-V7R4M0  5770-WDS
     A                                  1 20'Liste des commandes ATTN'
     A                                      DSPATR(HI)
     A                                  3  2' 1'
     A            CMD001        61A  O  3  6
     A                                  4  2' 2'
     A            CMD002        61A  O  4  6
     A                                  5  2' 3'
     A            CMD003        61A  O  5  6
     A                                  6  2' 4'
     A            CMD004        61A  O  6  6
     A                                  7  2' 5'
     A            CMD005        61A  O  7  6
     A                                  8  2' 6'
     A            CMD006        61A  O  8  6
     A                                  9  2' 7'
     A            CMD007        61A  O  9  6
     A                                 10  2'80'
     A            CMD008        61A  O 10  6
     A                                 11  2'90'
     A            CMD009        61A  O 11  6
     A                                 22  4'F3=Exit'

Vous l’avez compris l’information se trouve dans le message CPX2313 .

Donc pour customiser votre menu ATTN, il vous suffit de faire un changement sur ce message, attention c’est pour tous les utilisateurs de votre système …

On rencontre parfois ces 2 customisations que je vous ai mis dans un programme CLP 

pgm
/*-------------------------------------*/
/* Customisation du menu ATTN          */
/* 2 on remplace DSPJOB par WRKJOB     */
/* 4 on remplace SNDMSG par SNDSMTPEMM */
/*-------------------------------------*/
dcl &msg *char 100
             RTVMSG     MSGID(CPX2313) MSGF(QCPFMSG) MSG(&MSG)
             chgvar         %SST(&MSG 12 10)  'WRKJOB'
             chgvar         %sst(&msg 34 10)  'SNDSMTPEMM'
             CHGMSGD    MSGID(CPX2313) MSGF(QCPFMSG) MSG(&MSG)
endpgm

Vous pourrez désormais gérer vos travaux et envoyer un mail (si tout est paramétré chez vous)

/par
, , Appel d’API en CL

Nous utilisons de plus en plus les services SQL pour de nombreuses actions : accès aux *DTAQ, *DTAARA, travaux etc …

Par exemple, pour accéder au contenu d’une variable d’environnement, la vue QSYS2.ENVIRONMENT_VARIABLE_INFO est très simple à utiliser :

Dans un programme RPG, il est très simple d’effectuer une lecture SQL.

Mais dans certains cas, nous préférerons utiliser les APIs système : pour la performance, ou dans le CL ! En CL, il est possible d’exécuter une instruction SQL, mais pas de récupérer un result sets (en tout cas pas simplement et avec une bonne performance).

L’appel d’API depuis le CL ne pose pas de soucis, principalement depuis les évolutions permettant de maitriser l’allocation mémoire des variables (variables autonomes, basées sur un pointeur, ou basée sur une autre variable – équivalent OVERLAY du RPG) :

Maintenant, lorsque l’on utilise des API, il est (souvent) nécessaire de passer par des pointeurs, de façon explicite ou non. Par exemple, c’est le cas pour QUSRJOBI même si l’on a pas déclaré de pointeur dans notre programme CL :

En réalité, lors d’un appel de programme ou procédure, les paramètres sont transmis par défaut par référence : concrètement on passe un pointeur sur le début de la valeur, mais pas la valeur elle-même !

Il faut commencer à interpréter les prototypes des API en fonction du langage d’appel …

Le système étant écrit en C, certaines API utilisent la définition C d’une chaine de caractères : un pointeur sur le premier caractère, la fin de la chaîne étant marquée par le premier octet null !

En RPG, nous avons la fonction %str() qui permet de gérer ceci :

En CL, pas de fonction équivalent pour gérer cela.

Prenons par exemple l’API getEnv() (en fait une fonction de la bibliothèque standard C) :

Il faut fournir en entrée le nom de la variable d’environnement, au format C String, c’est à dire à terminaison nulle.

De même, la valeur de retour est un pointeur sur le début de la valeur. La fin se situe au premier octet null rencontré …

Voici un exemple d’appel :

Nous déclarons simplement une variable de type CHAR(1) initialisée à x’00’ :

DCL VAR(&SPC_INIT) TYPE(*CHAR) LEN(1) VALUE(X'00')

Cela nous sert à créer la valeur pour l’appel : chaine à terminaison nulle contenant le nom de la variable d’environnement recherchée (ici CLASSPATH) :

CHGVAR &ENVVAR ( 'CLASSPATH' *CAT &SPC_INIT )

Pour décoder la valeur de retour, il nous faut parcourir la valeur reçue jusqu’à trouver la terminaison nulle. On utilise simplement %SCAN pour trouver la position et redécouper :

CHGVAR VAR(&POSNULL) VALUE(%SCAN(&SPC_INIT &ENVVARVAL) - 1 )
CHGVAR &FINALVAL %SUBSTRING(&ENVVARVAL 1 &POSNULL)

Au final, très peu de code à ajouter, mais nécessite une compréhension de la documentation des APIs, des types de données dans les différents langages, et des mécanismes de transmission de paramètres !


/par
, La valeur de sécurité QSECURITY

La valeur de sécurité QSECURITY

La valeur QSECURITY permet de connaître le niveau de sécurité appliqué au système.

Il y a 5 niveaux de sécurité, 10 – 20 – 30 – 40 – 50.

10 étant la sécurité la plus faible et 50 la plus élevé.

Pour connaître la valeur du niveau de sécurité de votre système, vous devez vous rendre dans les valeurs système en utilisant la commande WRKSYSVAL.

Au vu du nombre de valeurs de notre système, on va trier par sous-ensemble.

On va rentrer *SEC pour aller voir les valeurs système de sécurité.

On affiche ensuite la valeur système QSECURITY.

Sur la ligne rouge on peut voir le niveau de sécurité de notre système.

Dans le carré bleu, on peut voir les 5 niveaux de sécurité avec une courte description.

Depuis la version V7R5, le niveau de sécurité minimal est de 30.

Tableau des valeurs de QSECURITY depuis la V7R5

IBM recommande le niveau de sécurité 40 en raison des vulnérabilités trouvées au niveau 30.

La plupart des entreprises possédant un IBM i travaillent avec un niveau de sécurité 40.

Seuls les services financiers et quelques autres entreprises utilisent le niveau de sécurité 50 pour se conformer aux normes de défense américaine.

Voyons maintenant en détails, les 5 niveaux de sécurité :

Niveau 10 Pas de mot de passe requis, des profils sont créés à chaque fois qu’un utilisateur essaie de se connecter. Les utilisateurs créés ont accès à tout car l’autorité *ALLOBJ leur est attribuée automatiquement. Ce niveau n’est plus entretenu par IBM.

Niveau 20 → À ce niveau l’autorité *ALLOBJ est toujours attribuée à chaque utilisateur. En plus du niveau 10, un identifiant et un mot de passe sont nécessaires pour se connecter. Seul un profil *SECADM peut créer des nouveaux profils utilisateur. Ce niveau n’est plus admis depuis la V7R5.

Niveau 30 → En plus du niveau 20, ce niveau peut gérer les autorisations des utilisateurs au cas par cas. Les profils ayant l’autorité *ALLOBJ sont forcément créés avec la classe de sécurité *SECOFR, les autres n’ont pas cette autorité.

Niveau 40 → Protection de l’intégrité du système d’exploitation. Signature et sécurité des ressources. Le système empêche les tentatives d’appeler directement des programmes système non reconnus.

Niveau 50 → Protection renforcée de l’intégrité du système d’exploitation. Signature et sécurité des ressources. Avant de passer à ce niveau, la mise en place du journal d’audit est obligatoire. Ce niveau a été créé pour répondre à la norme C2 (Norme de département de défense Américain). Une meilleure protection des blocs de contrôle interne est appliquée.

/par
, , Droits et génération SQL script

Vous devez moderniser votre base de données, pour cela vous pouvez commencer par extraire le source de votre PF,
par exemple en passant par Générations d’instructions SQL dans ACS , ou en utilisant la procédure SQL de QSYS2 GENERATE_SQL Ou GENERATE_SQL_OBJECT ,


La plus part du temps on obtient un scripte SQL qui vous permettra de générer votre nouvelle table , ici un exemple ou on a enlevé les commentaires.

Que ce passe t’il au niveau des droits ?

Avant par DSPOBJAUT

par DROITS dans ACS

La liste d’autorisations

Premier effet vous pouvez avoir des différences sur les droits publics

exemple ici

Après

Vous vous retrouvez avec un droit USER DEF au lieu de *CHANGE et vous avez perdu le droit exécute, on est d’accord ca ne change rien sur une table, c’est juste un peu moins lisible quand on analyse au niveau du système

le plus gênant c’est la liste d’autorisation que vous perdez
et la cela peux changer complètement puisque vous perdez 1 voir 2 niveaux de recherches

Dans notre cas FORM06 se retrouve avec des droits *PUBLIC

Conclusion :


Après avoir modernisé vos tables, vous devez réappliquer vos droits le plus simple est de généré un objet de référence

une autre solution est de vous affranchir des listes d’autorisation qui ne sont pas générées dans SQL

/par