, , , , Analyser les certificats TLS par SQL

Si comme nous vous avez de nombreux certificats sur vos systèmes, le ménage peut s’avérer compliqué. En effet, au fur et à mesure des renouvellements, les nouveaux certificats sont installés, les nouvelles autorités également.

Mais les suppressions de certificats sont souvent remises à plus tard. Et l’on se retrouve avec un nombre importants de certificats pour lesquels il est préférable de contrôler la non utilisation avant suppression.

SQL va nous aider ici, avec le service qsys2.certificate_info (cf https://www.ibm.com/docs/en/i/7.6.0?topic=services-certificate-info-table-function) capable de nous donner la liste des certificats et leurs attributs.

qsys2.certificate_info

Permet d’obtenir facilement les principales informations sur les certificats et autorités de certification du magasin *SYSTEM :

La même vue dans DCM :

Et on remarque donc la nécessité du ménage (dans mon cas).

Premièrement, comment faire la distinction entre les certificats et les autorités de certifications ? En utilisant la colonne PRIVATE_KEY_STORAGE_LOCATION.

Autorité de certification

select CERTIFICATE_LABEL,
       VALIDITY_START,
       VALIDITY_END,
       DOMAIN_NAMES,
       SUBJECT_COMMON_NAME,
       SUBJECT_ORGANIZATION,
       ISSUER_COMMON_NAME,
       ISSUER_ORGANIZATION,
       PRIVATE_KEY_STORAGE_LOCATION 
  from table (
      qsys2.certificate_info(certificate_store_password => '*NOPWD')
    )
  where( PRIVATE_KEY_STORAGE_LOCATION <> 'SOFTWARE' or PRIVATE_KEY_STORAGE_LOCATION  is null)

Certificat

select CERTIFICATE_LABEL,
       VALIDITY_START,
       VALIDITY_END,
       DOMAIN_NAMES,
       SUBJECT_COMMON_NAME,
       SUBJECT_ORGANIZATION,
       ISSUER_COMMON_NAME,
       ISSUER_ORGANIZATION,
       PRIVATE_KEY_STORAGE_LOCATION 
  from table (
      qsys2.certificate_info(certificate_store_password => '*NOPWD')
    )
    where PRIVATE_KEY_STORAGE_LOCATION = 'SOFTWARE'

Validité

Le premier élément trivial : quels sont les certificats périmés :

select CERTIFICATE_LABEL,
       VALIDITY_START,
       VALIDITY_END,
       DOMAIN_NAMES,
       SUBJECT_COMMON_NAME,
       SUBJECT_ORGANIZATION,
       ISSUER_COMMON_NAME,
       ISSUER_ORGANIZATION,
       PRIVATE_KEY_STORAGE_LOCATION 
  from table (
      qsys2.certificate_info(certificate_store_password => '*NOPWD')
    )
  where validity_end <= current timestamp
  order by validity_end asc  ;

Lien

Les certificats sont émis (signés) par des autorités de certification, le lien entre les deux est donc un élément indispensable.

Nous pouvons donc maintenant répondre aux questions suivantes :

Pour chaque certificat client/serveur, quel est l’autorité de certification ?

Mais cela génère des doublons :

En effet, nous faisons le lien via le Common Name de l’autorité. Mais celui-ci n’est pas obligatoirement unique, et c’est bien le cas sur les autorités locales créées via les assistants de configuration IBM i.

Pour avoir un identifiant unique, il nous faut utiliser les identifiants de clés, qui elles sont distinctes :

Mais cette information est absente de la fonction table qsys2.certificate_info.

Nous donnerons une solution (pas si simple) lors d’un prochain article dédié.

Malgré tout, ce problème ne concerne « que » les certificats générés depuis une autorité locale, elle même créée via les assistants IBM i, les autorités publiques ayants des noms uniques.

Si l’on prend un certificat acheté via Gandi :

On obtient bien une information unique et exploitable.

Pour chaque autorité, quels sont les certificats émis ?

Par exemple :

Extrait du résultat :

Par extension, quelles sont les autorités inutilisées ?

Produit :

Et le ménage ?

Avec les requêtes précédentes, vous pouvez isoler les certificats et autorités périmés ou les autorités inutilisés (dans notre cas les autorités n’ayant pas généré de certificat). Et vous pouvez donc les supprimer de façon ciblée.

Attention : les autorités et certificats peuvent être utiles et utilisés en dehors des liens vus ici. Ces requêtes permettent donc d’aider à la décision, mais ce n’est pas un automatisme !

Pour aller plus loin

Nous pouvons inclure l’analyse des applications DCM : liens applications/certificats.

Et également utiliser les API RSE pour automatiser la suppression des certificats.

Et rendre nos requêtes récursives pour permettre de suivre une hiérarchie à plus d’un niveau

Voir l’idea soumise pour avoir le lien certificat -> autorité dans la vue qsys2.certificate_info : https://ibm-power-systems.ideas.ibm.com/ideas/IBMI-I-4628

/par
, , , , SQL : « dump » des enregistrements d’une table

Suite à des demandes multiples, je propose une implémentation de « DUMP » des enregistrements d’une table (plutôt d’un objet *FILE / PF-DTA, que ce soit un PF ou une table).

L’idée est d’obtenir u script SQL contenant les instructions INSERT permettant de reproduire les données dans une autre base.

A l’image de la commande mariadb-dump par exemple (https://mariadb.com/docs/server/clients-and-utilities/backup-restore-and-import-clients/mariadb-dump). C’est un moyen commun de faire des sauvegarde/restauration de la base pour ces technologies.

DMPSQL

Oui, je ne détaille pas ici le processus de mise à jour, c’est classique : téléchargement des images et clés sur ESS, PRUV pour les contrôle etc …

Le fichier SQLSAMPLE/EMPLOYEE est ici produit par :

CALL QSYS.CREATE_SQL_SAMPLE ('SQLSAMPLE')

Cette procédure vous permet de créer et recréer des bases de données à des fins d’exemple et de tests.

Contenu du fichier :

Il s’agit d’une table très classique, représentative de la plupart des données dans nos applications.

Exemple d’usage :

DMPSQL FILE(SQLSAMPLE/EMPLOYEE)
SQLSCRIPT('/home/NB/employee.sql')

Le résultat de notre commande :

Le fichier est en UTF-8 afin de permettre la gestion de l’ensemble des caractères usuels.

Le code est disponible ici : https://github.com/FrenchIBMi/Outils/tree/master/DMPSQL

Usage ?

Cela permettait de répondre à plusieurs demandes.

Premièrement, la réplication de données sans utiliser les commandes de sauvegarde/restauration. Ces dernières nécessitent des droits élevés, alors qu’ici nous ne faisons que manipuler de la donnée.

Deuxièmement, dans le cadre de traitement de journaux (initialement en vue d’une fonction de type CDC), pour permettre d’isoler un enregistrement que l’on souhaite répliquer (avec ou sans transformation) dans une autre table.

Vous trouverez certainement d’autres usages !

Limites

Le code est fourni « as is », pour démonstration.

Quelques limites d’usage actuellement

  • Types de colonnes non supportées actuellement : CLOB, BLOB, DATALINK, XML, GRAPHIC, VARGRAPHIC, {VAR}CHAR CCSID 65535
  • Pas plus de 16Mo par enregistrement
  • On ne gère pas les alias, partitions, IASP
  • 250 colonnes maximum
  • En cas de multi-membres, seul le premier membre est traité

On peut bien évidemment ajouter de nouvelles fonctionnalités !

N’hésitez pas à donner un feedback, améliorer le code

/par
, Détail sur l’adoption de droits sur les programmes

Vous connaissez les programmes en adoption de droit, ce sont des programmes qui s’exécutent avec le droit du propriétaire et non celui du job en cours.

C’est relativement clair sur les accès natifs, mais sur SQL et sur des instructions mixtes c’est pas toujours évident à comprendre

Voici un détail sur les fichiers, on peut agir sur 3 paramètres
un sur la commande de compile ou d’assemblage USRPRF()
2 qui peuvent être fixés par la commande compile ou par les options SQL
EXEC SQL
Set Option
..
UsrPrf = *USER,
DynUsrPrf = *USER,
..
;

On va donc essayer de voir les combinaisons possibles de ces 3 options

Voici notre protocole un programme sqlrpgle et une table en *exclude et la convention *SYS

**free
ctl-opt DFTACTGRP(*NO) ;
//
// CREATE TABLE GDATA/ATSTADOPT (CODE DEC (6 , 0) NOT NULL WITH
// DEFAULT, TEXT CHAR (30 ) NOT NULL WITH DEFAULT)
// droit public *exclude
//
dcl-f
ATSTADOPT
USAGE(*UPDATE:*OUTPUT) usropn
rename(ATSTADOPT:ATSTADOPF) ;
dcl-s sqldta char(100);
//
// Option SQL
//
EXEC SQL
Set Option
Naming = *Sys,
Commit = *None,
UsrPrf = *Owner, // ici
DynUsrPrf = *Owner, // ici
Datfmt = *iso,
CloSqlCsr = *EndMod;
// accès natif
// 2 instructions Lecture + Maj
open(e) atstadopt ;
if not %error() ;
read(e) atstadopt ;
if not %error() ;
dsply (%char(%status) + ‘ accès natif ok’) ;
code = 2 ;
update(e) ATSTADOPF ;
else ;
dsply (%char(%status) + ‘ accès natif ko’) ;
endif ;
else ;
dsply (%char(%status) + ‘ ouverture native ko’) ;
endif ;
//
// sql statique
//
exec sql
UPDATE ATSTADOPT SET CODE = 3 ;
if sqlcode <> 0;
dsply (%char(sqlcode) + ‘ SQL statique ko’) ;
else ;
dsply (%char(sqlcode) + ‘ SQL statique ok’) ;
endif ;
//
// sql dynamique
//
sqldta = ‘UPDATE ATSTADOPT SET CODE = 4’ ;
EXEC SQL EXECUTE IMMEDIATE :SQLDTA ;
if sqlcode <> 0;
dsply (%char(sqlcode) + ‘ SQL dynamique ko’) ;
else ;
dsply (%char(sqlcode) + ‘ SQL dynamique ok’) ;
endif ;
Return ;

Test 1

USRPRF(*user)
UsrPrf = *User,
DynUsrPrf = *User,

call atstadopt

Opération non autorisée sur fichier ATSTADOPT de *LIBL, membre, ou unité
*N.
DSPLY 1217 ouverture native ko
Non autorisé à l’objet ATSTADOPT de GDATA type *FILE.
Non autorisé à l’objet ATSTADOPT dans GDATA, de type *FILE.
DSPLY -551 SQL statique ko
Non autorisé à l’objet ATSTADOPT de GDATA type *FILE.
Non autorisé à l’objet ATSTADOPT dans GDATA, de type *FILE.
DSPLY -551 SQL dynamique ko

Test 2

USRPRF(*owner)
UsrPrf = *User,
DynUsrPrf = *User,

call atstadopt
DSPLY 0 accès natif ok
DSPLY 0 SQL statique ok
Non autorisé à l’objet ATSTADOPT de GDATA type *FILE.
Non autorisé à l’objet ATSTADOPT dans GDATA, de type *FILE.
DSPLY -551 SQL dynamique ko

Test 3

USRPRF(*owner)
UsrPrf = *OWNER,
DynUsrPrf = *OWNER,

call atstadopt
DSPLY 0 accès natif ok
DSPLY 0 SQL statique ok
DSPLY 0 SQL dynamique ok

Test 4

USRPRF(*USER)
UsrPrf = *OWNER,
DynUsrPrf = *USER,

call atstadopt
Opération non autorisée sur fichier ATSTADOPT de *LIBL, membre, ou unité
*N.
DSPLY 1217 ouverture native ko
Non autorisé à l’objet ATSTADOPT de GDATA type *FILE.
Non autorisé à l’objet ATSTADOPT dans GDATA, de type *FILE.
DSPLY -551 SQL statique ko
Non autorisé à l’objet ATSTADOPT de GDATA type *FILE.
Non autorisé à l’objet ATSTADOPT dans GDATA, de type *FILE.
DSPLY -551 SQL dynamique ko

Test 5

USRPRF(*USER)
UsrPrf = *OWNER,
DynUsrPrf = *OWNER,
call atstadopt

Opération non autorisée sur fichier ATSTADOPT de *LIBL, membre, ou unité
*N.
DSPLY 1217 ouverture native ko
Non autorisé à l’objet ATSTADOPT de GDATA type *FILE.
Non autorisé à l’objet ATSTADOPT dans GDATA, de type *FILE.
DSPLY -551 SQL statique ko
Non autorisé à l’objet ATSTADOPT de GDATA type *FILE.
Non autorisé à l’objet ATSTADOPT dans GDATA, de type *FILE.
DSPLY -551 SQL dynamique ko

Remarques

2 petites particularités sur

1) sur Usrprf SQL

*NAMING (la valeur par défaut)
Le profil utilisateur est déterminé par la convention d’appellation. S’il s’agit de la convention *SQL,
USRPRF(*OWNER) est utilisé. S’il s’agit de la convention *SYS, USRPRF(*USER) est utilisé.

2) Option SQL souvent inutile

Si vous n’êtes pas en adoption de droit sur le programme
UsrPrf et DynUsrPrf sont sans effet

Si le programme est en adoption de droit
UsrPrf = *OWNER est implicite
à l’inverse de DynUsrPrf qui doit être à *OWNER pour fonctionner

Une petite requête pour analyser une bibliothèque :

// liste des programmes avec les users d’exécution d’une bibliothèque
SELECT A.PROGRAM_SCHEMA,
a.PROGRAM_NAME,
a.PROGRAM_TYPE,
IFNULL(a.NAMING, ‘*NOSQL’) AS convention,
a.PROGRAM_OWNER,
b.user_profile AS user_program,
IFNULL(A.USER_PROFILE, ‘*NOSQL’) AS user_static,
IFNULL(A.DYNAMIC_USER_PROFILE, ‘*NOSQL’) AS usre_dynamic
FROM qsys2.sysprogramstat a
JOIN QSYS2.PROGRAM_INFO b
ON a.PROGRAM_SCHEMA = b.Program_library
AND a.PROGRAM_NAME = b.PROGRAM_NAME
where A.PROGRAM_SCHEMA = ‘votre bib’;

/par
, Débuter en java sur ibmi

le but n’est pas d’appendre à faire java sur ibmi

mais de savoir faire un programme basic sur IBMI et de l’appeler

on va faire hello World

Les exécutables de java se trouve ici /QOpenSys/QIBM/ProdData/JavaVM/
==>WRKLNK (‘/QOpenSys/QIBM/ProdData/JavaVM/’)

pour connaitre la version en cours sous QSH

==>java -version

pour faire votre premier développement vous allez créer un répertoire

==>crtdir (‘/home/votreuser/java’)

placez vous dans le répertoire CHGCURDIR ou CD

vous pouvez créer alors votre premier fichier

==> edtf FILE(‘java/HelloIBM.java’)
sortez enregistrent par F3

ca va créer un fichier
vous devrez change le ccsid pour passer en 1208

==>chgatr OBJ(‘java/HelloIBM.java’) ATR(*CCSID) VALUE(1208)

vous pouvez saisir votre code par l’éditeur de votre choix

exemple en 5250

edtf FILE(‘java/HelloIBM.java’)

et saisissez votre code

sous qsh , SSH ou QP2TERM

Compiler votre programme par javac

==>javac HelloIBM.java

Votre source est un point class, votre programme est un point java

pour lancer

Sous QSH
==>java HelloIBM

Sous 5250
==>QSH CMD(‘java HelloIBM’)

Sous qp2term
==>CALL PGM(QP2SHELL) PARM(‘/QOpenSys/usr/bin/java’ ‘HelloIBM’)

Conseil:

Bien évidemment utiliser un vrai éditeur, si vous avez des développements à faire

Ne mettez pas les sources avec les objets

Vous avez intérêt à ajouter votre répertoire dans le path

export CLASSPATH=/home/tonuser/java:/QIBM/ProdData/HTTP/Public/jt400/lib/jt400.jar:.

Bien sur les kevin connaissent tout ca par cœur

/par
, , V7R6 , date sur 6 positions en RPG

Vous avez un nouveau paramètre sur les commandes CRTBNDRPG ou CRTRPGMOD DATEYY( )

DATE WITH 2-DIGIT YEARS . . . . DATEYY( *ALLOW)

Ce paramètre n’est pas encore documenté dans l’aide mais vous comprenez , que c’est pour les dates sur 6 caractères

Rappel sur les dates à 6 , vous avez un point de bascule:
40 – 99 : Le siècle est supposé être « 19 »
00 – 39 : Le siècle est supposé être « 20 »

C’est dans 14 ans

Pour ce paramètre, DATEYY vous avez 3 valeurs possibles

DATEYY(*ALLOW) : autorise tous les formats de date, autrement dit, n’effectue aucune validation. DATEYY(WARN) : si une date est détectée, elle est considérée comme une année sur deux caractères, une erreur de compilation de niveau 10 est générée.
DATEYY(*NOALLOW) : si une date pourrait être détectée, la compilation est renvoyée avec une erreur de niveau 30. La valeur par défaut est « *ALLOW ».

il est conseillé de compiler avec *WARM, vous aurez une liste des problèmes potentiels

Ce message apparaitra

Msg id Sv Number Seq Message text
*RNF0201 10 5 002300 WARNING: A DATE WITH 2 DIGITS FOR THE YEAR ONLY SUPPORTS
THE YEARS 1940 TO 2039. REASON CODE: xxxxxx.

Rappel:
Pensez dans SQL à bien utiliser des formats sur 8 *ISO par exemple pour tous vos calculs

Exec SQL
Set Option
Datfmt = *iso ;

/par
, , Changer le groupe d’activation d’un programme

Vous voulez changer le groupe d’activation d’un programme. Contrairement à une idée reçue, on peut dans certains cas renommer le groupe d’activation d’un programme ILE

Si vous créez un programme

CRTPGM

Ou 

CRTBNDRPG

Vous allez indiquer le groupe d’activation d’exécution de votre programme

Vous ne pouvez pas changer le groupe d’activation par CHGPGM !

Mais vous pouvez le faire par la commande UPDPGM 

avant ==> DSPPGM AATSTRET

Attribut du groupe d’activation  . . . . . . . :   PLB1

UPDPGM PGM(AATSTRET) MODULE(*NONE) ACTGRP(PLB45)              
Valeurs des paramètres AUT et USRPRF ignorées.                
L’objet remplacé AATSTRET type *PGM a été déplacé dans QRPLOBJ.
Programme AATSTRET créé dans la bibliothèque GDATA.            
Programme AATSTRET mis à jour dans GDATA.   

après  ==>DSPPGM AATSTRET

Attribut du groupe d’activation  . . . . . . . :   PLB45                   

la seule limitation est que le groupe doit être nommé

Pour interdir ce changement à l’assemblage vous devez indiquer

CRTPGM …  ALWUPD(*NO) 

PS :    

Cette option n’existe pas sur le CRTBNDRPG donc modifiable par défaut 

Vous devez avoir le droit *change sur programme.

Rappel:

En batch on essaye d’avoir le premier programme qui crée le groupe d’activation et les programmes appelés s’exécuteront en *caller

Dans les autres cas, webservice, interactif, etc il peut être préférable d’avoir un groupe d’activation par programme

Pour analyser les groupes actifs, vous pouvez utiliser le service : QSYS2.ACTIVATION_GROUP_INFO

— Liste des groupes par Travail
SELECT A.JOB_NAME,
       count(*)
    FROM TABLE (
             QSYS2.ACTIVE_JOB_INFO()
         ) AS A
         LEFT JOIN TABLE (
                 QSYS2.ACTIVATION_GROUP_INFO(JOB_NAME => A.JOB_NAME)
             ) AS G
             ON 1 = 1
    group by A.JOB_NAME         
        ORDER BY count(*) desc
            ;

/par
Parlez REXX sur IBMi

REXX (Restructured Extended Executor) est un langage de script interprété créé par IBM, bien connu pour les « Roger » qui ont sévit sous OS2.
Il est conçu pour être facile à lire et facile à apprendre, tout en étant très puissant pour l’automatisation.

Sur IBMi, il est utilisé pour :
Automatiser des tâches système
Créer des utilitaires interactifs
Prototyper rapidement
Faire du traitement de texte et de données

Ces points forts sont :
Très rapide à écrire, idéal pour du scripting jetable
Permet d’appeler directement des commandes système sans compiler un programme
Peut servir de « colle » entre RPG, CL, SQL et PASE/QShell
Permet de faire des tests d’appels, des scripts de migration, des reprises de données.

Comment ca marche?

Vous devez créer un fichier source qui contiendra les scripts à exécuter

CRTSRCPF FILE(MALIB/QRXSRC) RCDLEN(112) TEXT(‘Sources REXX’)

Vous devez saisir vos scripts ici REXX01

/* REXX / / Boucle interactive jusqu’à ce que l’utilisateur tape ‘FIN’ */

DO FOREVER
SAY « Entrez une commande CL (ou FIN pour quitter) : »
PULL CMD
IF CMD = « FIN » THEN LEAVE
ADDRESS ‘COMMAND’ CMD
END

Ce scripte exécutera des commandes CLP, jusqu’à ce que saisissiez FIN

Pour exécuter ce script :

STRREXPRC SRCMBR(REXX01) SRCFILE(MALIB/QRXSRC)

Remarque :
Le rexx est de moins en moins utilisé mais, il peut encore être utilisé, en effet, il peut aider a du déploiement et de la mise au point, etc…

Pour en savoir plus :

https://en.wikipedia.org/wiki/Rexx

https://www.rexxla.org

Merci à Dilhan pour sa contribution

/par
, Retour d’expérience installation IBM i 7.6

En bons élèves, nous profitons de l’été pour faire nos devoirs de vacances. Entre autre, installation de la version 7.6 sur plusieurs de nos partitions.

D’abord une partition de test, bac à sable, puis nos partitions de production i(vous avez peut être vu une interruption de service sur nos sites web).

J’en profite pour faire un petit retour d’expérience sur ces installations.

Et pour finir ce préambule, je remercie l’équipe du support !

Une mise à jour comme les autres ?

Oui, je ne détaille pas ici le processus de mise à jour, c’est classique : téléchargement des images et clés sur ESS, PRUV pour les contrôle etc …

Quelques points d’attention

  • DST/SST
    • Le mot de passe de QSECOFR ne doit pas être celui par défaut (sinon il sera inutilisable)
    • Les profils 11111111 et 22222222 sont supprimés pendant l’installation
    • Bonne pratique : créer au moins un autre profil avec tous les droits pour DST, changer le mot de passe de QSECOFR. Les profils 11111111 et 22222222 ne devraient déjà plus être utilisés depuis longtemps
  • Java 11 64 bit non supporté

Ce qui nous a échappé

Deux sujets qui m’ont mobilisés !

Impossible de saisir le mot de passe de QSECOFR au démarrage

Après l’installation de la 7.6 sur la partition, et fort satisfait, je tentes de me loguer avec QSECOFR : informations d’authentification incorrectes !

Après vérification dans mon gestionnaire de mots de passe, nouvelle tentative : idem.

A la 3ème, profil désactivé …

Heureusement, j’ai toujours un profil clone de QSECOFR pour remédier à ces situations : je change le mot de passe de QSECOFR, et là cela fonctionne !

Le problème est connu et nécessite d’appliquer la PTF SJ05805 (cf https://www.ibm.com/mysupport/s/defect/aCIgJ0000000lGfWAI/dt438834?language=fr). Les mots de passe sont testés en CCSID 37 par le système au lieu du CCSID du travail (émulateur). C’est principalement le caractère « ! » qui pose problème.

Bonne pratique : changer le mot de passe de QSECOFR avant la migration pour un mot de passe simple (quitte à déroger aux règles le temps de l’installation).

Problème de connexion sur tous les serveurs hôtes en TLS

Après installation de la 7.6, impossible de se connecter en telnet sécurisé, ni aux autres services

Et effectivement, le mémo to user (cf https://www.ibm.com/docs/en/ssw_ibm_i_76/pdf/rzaq9.pdf) indique bien :

Dans DCM, allez dans le magasin *SYSTEM, puis gérer « Manage Applications Definitions », sélectionner l’application QIBM_QZBS_SVR_HOSTCNN et associez un certificat (en général le même pour l’ensemble des serveurs hôtes) :

Dès validation la connexion TLS fonctionne, pas besoin d’arrêter/redémarrer des services.

Ce fonctionnement est nécessaire pour la mise en œuvre du MFA, mais impact les services existants.

Tous les systèmes étant sécurisés depuis de nombreuses années, vous devriez être impacté …

En synthèse

A noter que l’ensemble des éléments est bien documenté, y compris les « détails » qui nous ont posés quelques soucis (exception du mot de passe non reconnu).

Une bonne préparation permet de réaliser une migration maitrisée, l’installation elle-même se déroule très bien et rapidement.

/par
, V7R6, la liste des commandes supprimées

APYJRNCHGX Appliquer modifs journal étend
CFGPMAGT Configure PM Agent
CFGPM400 Configure PM Agent
CHGDHCPSVR Change DHCP Server
CHGRTDA Change RouteD Attributes
CPYIGCSRT Copy DBCS Master Sort Table
MRGFORMD Fusionner description imprimé
STRAPF Démarrer APF
STRCGU Start CGU
STRRLU Démarrer Utilit maquette état
STRSDA Démarrer SDA
WRKPMRMTS Work With Remote Systems
WRKPMRPTO Work With Omissions
WRKPMSCH Work With Scheduled Jobs
WRKRTDCFG Work with RouteD Configuration

Remarque :

Sans surprise on retrouve bien SDA et RLU

/par
, , Les profils _NC en V7R6

En V7R6 vous avez de nouveaux profils qui apparaissent avec l’extention _NC

QPGMR_NC
QSECOFR_NC
QSYSOPR_NC
QUSER_NC

C’est des profils qui ne sont pas modifiables, et ils n’ont pas de mot de passe

Et certains services ibm démarrent avec ceux ci

Conclusions :
Attention, par exemple, si vous avez customisé QUSER ou QPGMR vous pouvez avoir des surprises après migration

/par