Les variables seront remplacés par les valeurs correspondantes
Vous devrez lui indiquer un nom
Les paramètres à remplir sont intuitifs , par exemple tous les messages avec réponse
.
Vous indiquerez ici votre commande de traitement
.
Programme exemple ALERTALL
le plus souvent, on aura qu’un seul moniteur ou plusieurs qui supervisent la même file généralement QSYSOPR et on aura des alertes adaptées en fonction des identifiants de messages les messages sont données à titre d’exemple
PGM PARM(&MON &EVENTTYPE &DATE &TIME +
&MSGID &MSGSEV &MSGTYPE &MSGCOUNT &MSGTEXT +
&FRMJOBNAME &FRMJOBNUMBER &FRMPROGRAM &FRMUSER +
&OWNER &VAL &TVAL &TDUR &INTVL &RVAL &RDUR)
/* Déclaration des paramètres généraux */
DCL VAR(&MON) TYPE(*CHAR) LEN(20) /* Nom du moniteur */
DCL VAR(&EVENTTYPE) TYPE(*CHAR) LEN(10) /* Type d’événement (TRIGGER, RESET, etc.) */
DCL VAR(&DATE) TYPE(*CHAR) LEN(10) /* Date (format système) */
DCL VAR(&TIME) TYPE(*CHAR) LEN(6) /* Heure HHMMSS */
/* Variables spécifiques aux moniteurs de messages */
DCL VAR(&MSGID) TYPE(*CHAR) LEN(7) /* Identifiant du message */
DCL VAR(&MSGSEV) TYPE(*CHAR) LEN(2) /* Gravité */
DCL VAR(&MSGTYPE) TYPE(*CHAR) LEN(10) /* Type de message */
DCL VAR(&MSGCOUNT) TYPE(*CHAR) LEN(5) /* Nombre de messages */
DCL VAR(&MSGTEXT) TYPE(*CHAR) LEN(256) /* Texte du message */
DCL VAR(&FRMJOBNAME) TYPE(*CHAR) LEN(10) /* Nom du job émetteur */
DCL VAR(&FRMJOBNUMBER) TYPE(*CHAR) LEN(6) /* Numéro du job */
DCL VAR(&FRMPROGRAM) TYPE(*CHAR) LEN(10) /* Programme origine */
DCL VAR(&FRMUSER) TYPE(*CHAR) LEN(10) /* Utilisateur origine */
/* Variables spécifiques aux moniteurs systèmes */
DCL VAR(&OWNER) TYPE(*CHAR) LEN(10) /* Propriétaire du moniteur */
DCL VAR(&VAL) TYPE(*CHAR) LEN(20) /* Valeur mesurée */
DCL VAR(&TVAL) TYPE(*CHAR) LEN(20) /* Seuil déclencheur */
DCL VAR(&TDUR) TYPE(*CHAR) LEN(10) /* Durée de dépassement */
DCL VAR(&INTVL) TYPE(*CHAR) LEN(10) /* Intervalle de mesure */
DCL VAR(&RVAL) TYPE(*CHAR) LEN(20) /* Valeur de reset */
DCL VAR(&RDUR) TYPE(*CHAR) LEN(10) /* Durée de reset */
/* choix du traitement en fonction du message */
SELECT
/* Objet verrouillé */
WHEN COND(&MSGID *EQ ‘CPF3202’) DO
SUBR SUBR(T_CPF3202)
ENDDO
/* Fichier Plein */
WHEN COND(&MSGID *EQ ‘CPF5272’) DO
SUBR SUBR(T_CPF5272)
ENDDO
/*objet non trouvé */
WHEN COND(&MON *EQ ‘CPF9801’) DO
SUBR SUBR(T_CPF9801)
ENDDO
OTHERWISE DO
/* traitement par défaut */
/* Envoi d’un message à l’opérateur système */
SNDMSG MSG(‘ALERTE : Moniteur ‘ *CAT &MON *BCAT +
‘MSGID=’ *CAT &MSGID *BCAT +
‘VAL=’ *CAT &VAL *BCAT ‘TVAL=’ *CAT &TVAL) +
TOUSR(*SYSOPR)
ENDDO
RETURN
/* Sous programme traitement CPF3202 */
SUBR SUBR(T_CPF3202)
/* Traitement ici */
SUBRRTN
/* Sous programme traitement CPF5272 */
SUBR SUBR(T_CPF5272)
/* Traitement ici */
SUBRRTN
/* Sous programme traitement CPF9801 */
SUBR SUBR(T_CPF9801)
/* Traitement ici */
SUBRRTN
ENDPGM
Vous pouvez gérer leurs status de moniteurs
Arrêt / redémarrage des moniteurs
CALL PGM(QSYSDIR/QNAVMNSRV) PARM(‘*START’)
CALL PGM(QSYSDIR/QNAVMNSRV) PARM(‘*STOP’)
ils sont démarrés par défaut à l’IPL à l’identique des ce qui tournait avant l’arrêt
Conclusion :
C’est une solution simple si vous n’avez pas de solution de supervision
Mais il est conseillé de centralisé toute votre supervision en un point unique par exemple un Centreon / Nagios
Plutôt que de multiplier les solution hétéroclites, qui complexifie la vision globale
Remarque :
Comme solution IBMi, vous pouvez également utiliser les WATCHERs pour réaliser la même chose
https://www.gaia.fr/wp-content/uploads/2017/02/team3.png600600Pierre-Louis BERTHOIN/wp-content/uploads/2017/05/logogaia.pngPierre-Louis BERTHOIN2025-09-28 10:54:342025-09-28 10:54:34Moniteur dans Navigator for i
Vous êtes nombreux à vous poser des questions, voici quelques précisions, pour envisager une migration maitrisée
Première modification importante BRMS n’est plus édité par IBM, mais par la société Fortra, il change de nom de produit 5770BR1 devient 5770BR2 , https://www.fortra.com/fr
A partir du premier octobre 2025 BRMS (5770BR1) n’est plus supporté par IBM, si voulez du support vous devrez passer sur BR2 qui n’est pas commercialisé par IBM. Il est édité par la société Fortra et vous devrez prendre une souscription facturable par processeur au près de cette éditeur
Attention : BR1 et BR2 sont incompatibles sur une même partition, mais ils pourront continuer à communiquer au sein d’un même Power pour la durée de votre migration, qui doit être le plus réduite possible, a cause des nouveautés qui arrivent
Avant de migrer sauvegarder la bibliothèque QUSRBRM qui contient vos fichiers de paramétrages
Vous devrez faire attention à tout ce que vous avez customisé, attention particulièrement aux fonctions usage et programmes d’exit et aux jobs planifiés etc …
Pour éviter les problèmes ,vous devrez suivre rigoureusement la procédures de migration proposé par FORTRA
Premier octobre 2025 BRMS (5770BR1) n’est plus supporté par IBM sauf bug connus Premier janvier 2026, le support de (5770BR1) deviendra limité aux incidents ou défauts connus. Plus aucune nouvelle fonctionnalité ni correctif ne sera proposé.
Conclusion : Pas de panique ca ne s’arrête pas d’un coup, mais vous devrez envisager une migration pour bénéficier du nouvel interface graphique et des évolutions futures
Merci à Benoit THEVENET pour l’alerte
Voici un complément sur mes informations erronées ou incomplètes , merci à celui qui m’a remonté ces précisons
Je me permets de te contacter au sujet du post que tu as fait sur BRMS. Je suis désolé mais je vais te contredire sur plusieurs points en raison d’informations erronées.
1) Lorsque tu indiques que BRMS n’est plus édité par IBM, malheureusement cela n’est pas exact. IBM a externalisé le développement de BRMS, il y a près de … 10 ans déjà. Cela n’est donc pas une nouveauté. Mais Fortra ne commercialise pas BRMS, la seule société commercialisant BRMS est IBM. IBM est donc toujours l’unique éditeur du produit. De plus ce sont eux qui fournissent le cahier des charges des développements à Fortra.
Pour information, c’est également le cas pour PowerHA qui est également développé par Fortra et cela se passe dans les locaux d’IBM Rochester avec les anciens déveoppeurs d’IBM. RDi et une partie des développements de Db2 sont également externalisés.
2) Seul IBM fourni une licence BRMS sur le produit 5770-BR2. Fortra ne peut pas le faire. L’acquisition des licences s’effectue obligatoirement chez IBM.
3) BRMS ne change pas de nom, il se nomme toujours … BRMS. C’est le code produit qui change, mais encore une fois, cela n’est absolument pas une nouveauté car cela date de mars 2024.
4) A partir du 1er octobre 2024, contrairement à ce que tu indiques, BRMS (5770-BR1) sera toujours supporté par IBM. C’est le support de nouveaux problèmes qui ne sera plus dans le scope du support IBM. En clair, l’assistance au paramétrage et à la configuration de l’ancienne version de BRMS (5770-BR1) et la correction des défauts connus seront toujours effectués par le support IBM.
6) La bibliothèque QUSRBRM n’est pas désinstallée lors du retrait de BRMS (5770-BR1), au contraire elle reste sur le système afin de migrer sur la nouvelle version 5770-BR2.
7) Il n’y a aucune spécificité sur BRMS au 1er janvier 2026, quelle que soit la version.
Les principales nouveautés ne sont pas là car il s’agit plutôt d’un produit qui désormais est commercialisé en mode souscription, qui intègre toutes les options historiques et qui est facturé au core et non plus au système.
Si comme nous vous avez de nombreux certificats sur vos systèmes, le ménage peut s’avérer compliqué. En effet, au fur et à mesure des renouvellements, les nouveaux certificats sont installés, les nouvelles autorités également.
Mais les suppressions de certificats sont souvent remises à plus tard. Et l’on se retrouve avec un nombre importants de certificats pour lesquels il est préférable de contrôler la non utilisation avant suppression.
Permet d’obtenir facilement les principales informations sur les certificats et autorités de certification du magasin *SYSTEM :
La même vue dans DCM :
Et on remarque donc la nécessité du ménage (dans mon cas).
Premièrement, comment faire la distinction entre les certificats et les autorités de certifications ? En utilisant la colonne PRIVATE_KEY_STORAGE_LOCATION.
Autorité de certification
select CERTIFICATE_LABEL, VALIDITY_START, VALIDITY_END, DOMAIN_NAMES, SUBJECT_COMMON_NAME, SUBJECT_ORGANIZATION, ISSUER_COMMON_NAME, ISSUER_ORGANIZATION, PRIVATE_KEY_STORAGE_LOCATION from table ( qsys2.certificate_info(certificate_store_password => '*NOPWD') ) where( PRIVATE_KEY_STORAGE_LOCATION <> 'SOFTWARE' or PRIVATE_KEY_STORAGE_LOCATION is null)
Le premier élément trivial : quels sont les certificats périmés :
select CERTIFICATE_LABEL, VALIDITY_START, VALIDITY_END, DOMAIN_NAMES, SUBJECT_COMMON_NAME, SUBJECT_ORGANIZATION, ISSUER_COMMON_NAME, ISSUER_ORGANIZATION, PRIVATE_KEY_STORAGE_LOCATION from table ( qsys2.certificate_info(certificate_store_password => '*NOPWD') ) where validity_end <= current timestamp order by validity_end asc ;
Lien
Les certificats sont émis (signés) par des autorités de certification, le lien entre les deux est donc un élément indispensable.
Nous pouvons donc maintenant répondre aux questions suivantes :
Pour chaque certificat client/serveur, quel est l’autorité de certification ?
Mais cela génère des doublons :
En effet, nous faisons le lien via le Common Name de l’autorité. Mais celui-ci n’est pas obligatoirement unique, et c’est bien le cas sur les autorités locales créées via les assistants de configuration IBM i.
Pour avoir un identifiant unique, il nous faut utiliser les identifiants de clés, qui elles sont distinctes :
Mais cette information est absente de la fonction table qsys2.certificate_info.
Nous donnerons une solution (pas si simple) lors d’un prochain article dédié.
Malgré tout, ce problème ne concerne « que » les certificats générés depuis une autorité locale, elle même créée via les assistants IBM i, les autorités publiques ayants des noms uniques.
Si l’on prend un certificat acheté via Gandi :
On obtient bien une information unique et exploitable.
Pour chaque autorité, quels sont les certificats émis ?
Par exemple :
Extrait du résultat :
Par extension, quelles sont les autorités inutilisées ?
Produit :
Et le ménage ?
Avec les requêtes précédentes, vous pouvez isoler les certificats et autorités périmés ou les autorités inutilisés (dans notre cas les autorités n’ayant pas généré de certificat). Et vous pouvez donc les supprimer de façon ciblée.
Attention : les autorités et certificats peuvent être utiles et utilisés en dehors des liens vus ici. Ces requêtes permettent donc d’aider à la décision, mais ce n’est pas un automatisme !
Pour aller plus loin
Nous pouvons inclure l’analyse des applications DCM : liens applications/certificats.
Et également utiliser les API RSE pour automatiser la suppression des certificats.
Et rendre nos requêtes récursives pour permettre de suivre une hiérarchie à plus d’un niveau
https://www.gaia.fr/wp-content/uploads/2017/02/team1.png600600Nathanaël Bonnet/wp-content/uploads/2017/05/logogaia.pngNathanaël Bonnet2025-09-09 09:55:002025-09-08 12:08:31Analyser les certificats TLS par SQL
Suite à des demandes multiples, je propose une implémentation de « DUMP » des enregistrements d’une table (plutôt d’un objet *FILE / PF-DTA, que ce soit un PF ou une table).
L’idée est d’obtenir u script SQL contenant les instructions INSERT permettant de reproduire les données dans une autre base.
Premièrement, la réplication de données sans utiliser les commandes de sauvegarde/restauration. Ces dernières nécessitent des droits élevés, alors qu’ici nous ne faisons que manipuler de la donnée.
Deuxièmement, dans le cadre de traitement de journaux (initialement en vue d’une fonction de type CDC), pour permettre d’isoler un enregistrement que l’on souhaite répliquer (avec ou sans transformation) dans une autre table.
Vous trouverez certainement d’autres usages !
Limites
Le code est fourni « as is », pour démonstration.
Quelques limites d’usage actuellement
Types de colonnes non supportées actuellement : CLOB, BLOB, DATALINK, XML, GRAPHIC, VARGRAPHIC, {VAR}CHAR CCSID 65535
Pas plus de 16Mo par enregistrement
On ne gère pas les alias, partitions, IASP
250 colonnes maximum
En cas de multi-membres, seul le premier membre est traité
On peut bien évidemment ajouter de nouvelles fonctionnalités !
N’hésitez pas à donner un feedback, améliorer le code
En bons élèves, nous profitons de l’été pour faire nos devoirs de vacances. Entre autre, installation de la version 7.6 sur plusieurs de nos partitions.
D’abord une partition de test, bac à sable, puis nos partitions de production i(vous avez peut être vu une interruption de service sur nos sites web).
J’en profite pour faire un petit retour d’expérience sur ces installations.
Et pour finir ce préambule, je remercie l’équipe du support !
Une mise à jour comme les autres ?
Oui, je ne détaille pas ici le processus de mise à jour, c’est classique : téléchargement des images et clés sur ESS, PRUV pour les contrôle etc …
Quelques points d’attention
DST/SST
Le mot de passe de QSECOFR ne doit pas être celui par défaut (sinon il sera inutilisable)
Les profils 11111111 et 22222222 sont supprimés pendant l’installation
Bonne pratique : créer au moins un autre profil avec tous les droits pour DST, changer le mot de passe de QSECOFR. Les profils 11111111 et 22222222 ne devraient déjà plus être utilisés depuis longtemps
Java 11 64 bit non supporté
Anticiper les changement de configuration si vous l’utilisez
Impossible de saisir le mot de passe de QSECOFR au démarrage
Après l’installation de la 7.6 sur la partition, et fort satisfait, je tentes de me loguer avec QSECOFR : informations d’authentification incorrectes !
Après vérification dans mon gestionnaire de mots de passe, nouvelle tentative : idem.
A la 3ème, profil désactivé …
Heureusement, j’ai toujours un profil clone de QSECOFR pour remédier à ces situations : je change le mot de passe de QSECOFR, et là cela fonctionne !
Bonne pratique : changer le mot de passe de QSECOFR avant la migration pour un mot de passe simple (quitte à déroger aux règles le temps de l’installation).
Problème de connexion sur tous les serveurs hôtes en TLS
Après installation de la 7.6, impossible de se connecter en telnet sécurisé, ni aux autres services
Dans DCM, allez dans le magasin *SYSTEM, puis gérer « Manage Applications Definitions », sélectionner l’application QIBM_QZBS_SVR_HOSTCNN et associez un certificat (en général le même pour l’ensemble des serveurs hôtes) :
Dès validation la connexion TLS fonctionne, pas besoin d’arrêter/redémarrer des services.
Ce fonctionnement est nécessaire pour la mise en œuvre du MFA, mais impact les services existants.
Tous les systèmes étant sécurisés depuis de nombreuses années, vous devriez être impacté …
En synthèse
A noter que l’ensemble des éléments est bien documenté, y compris les « détails » qui nous ont posés quelques soucis (exception du mot de passe non reconnu).
Une bonne préparation permet de réaliser une migration maitrisée, l’installation elle-même se déroule très bien et rapidement.
https://www.gaia.fr/wp-content/uploads/2017/02/team1.png600600Nathanaël Bonnet/wp-content/uploads/2017/05/logogaia.pngNathanaël Bonnet2025-08-05 09:55:002025-07-30 17:59:29Retour d’expérience installation IBM i 7.6
https://www.gaia.fr/wp-content/uploads/2017/02/team3.png600600Pierre-Louis BERTHOIN/wp-content/uploads/2017/05/logogaia.pngPierre-Louis BERTHOIN2025-08-04 10:53:552025-08-04 10:53:56V7R6, la liste des commandes supprimées
Je vais essayer de vous expliquer le routage des travaux interactifs.
Un travail interactif est routé vers un sous système par rapport au nom de son unité.
Vous l’indiquez dans la commande ADDWSE Vous avez 2 paramètres WRKSTN() nom écran ou nom générique WRKSTNTYPE type d’écran
l’ordre c’est nom nom générique type
Par contre ce n’est pas dynamique un écran affecté ne sera pas réaffecté dynamiquement, si par exemple votre sous système spécifique est démarré après QINTER.
Il peut être important pour des questions d’administration d’avoir les travaux dans le bon système.
On peut donc ajouter un programme SDA (sélection dynamique à l’arrivée), parce que le critère de nom n’est pas forcément suffisant , ou que suite à un redémarrage, on veut replacer le travail dans le bon sous système, ou tout autre raison.
C’est dans les données de routage qu’il va falloir agir, par défaut PGM(QCMD), mais vous pouvez indiquer un programme à vous. Ce programme ne reçoit pas de paramètre extérieur et il va par rapport à un algorithme que vous aurez déterminé transférer le travail vers une JOBQ, c’est la commande TFRJOB qui permet de transférer Le plus souvent on utilise comme critère l’utilisateur ou le nom de l’unité, mais on peut ajouter beaucoup d’autres critéres
Voici un exemple très simple et relativement classique, à mettre sur QINTER qui est souvent le sous système par défaut puisqu’il a une entrée par type
/*------------------------------------------------------------------*/
/* Ce programme est utilisé dans un sous système interactif */
/* dans les données de routage il va rerouter une jobq */
/* ADDRTGE ... PGM(MALIB/REROOT) */
/* Ce programme doit être en adoption de droit par rapport QSECOFR */
/*------------------------------------------------------------------*/
PGM
dcl &user *char 10 /* Utilisateur en cours */
dcl &grp *char 10 /* Groupe de l'utilisateur */
dcl &unit *char 10 /* nom de l'unité */
dcl &status *char 2
/* information pour adresse ip */
dcl var(&IPV4ADDR) type(*char) len(15)
DCL VAR(&JOBI) TYPE(*CHAR) LEN(700) VALUE(' ')
DCL VAR(&JOBILEN) TYPE(*DEC) LEN(4 0) VALUE(700)
DCL VAR(&FMTNAME) TYPE(*CHAR) LEN(8) VALUE(JOBI0600)
DCL VAR(&QUALJN) TYPE(*CHAR) LEN(26) VALUE('*')
DCL VAR(&INJOB) TYPE(*CHAR) LEN(16) VALUE(' ')
/*-------------------------------------------------*/
/* Extraction des informations de routage */
/* ici Utilisateur, groupe et nom unité */
/*-------------------------------------------------*/
RTVJOBA USER(&USER) job(&unit)
RTVUSRPRF GRPPRF(&GRP)
/* Call QUSRJOBI to retrieve job information */
CALL PGM(QSYS/QUSRJOBI) PARM(&JOBI &JOBILEN &FMTNAME +
&QUALJN &INJOB)
/* Extract data from the output of QUSRJOBI */
CHGVAR VAR(&IPV4ADDR) VALUE(%SST(&JOBI 308 15))
/*-------------------------------------------------*/
/* Règles de routage sur utilisateur et groupe */
/*-------------------------------------------------*/
if cond(&GRP = 'COMPTA') then(do)
TFRJOB JOBQ(COMPTA)
enddo
/*-------------------------------------------------*/
/* Règles de routage sur unité */
/* reroutage de l'unité de secours dans QCTL */
/* Pour faire des operations en mode restreint */
/*-------------------------------------------------*/
if cond(&UNIT = 'SECOURS') then(do)
TFRJOB JOBQ(QCTL)
enddo
/*-------------------------------------------------*/
/* Règles de routage sur nom d'ecran */
/* AAAAAAxxxxx vers JOBQ AAAAAAJOBQ */
/* AAAAAA racine de l'ecran */
/* xxxx numéro */
/*-------------------------------------------------*/
chgvar &status 'OK'
CHKOBJ OBJ((%SST(&UNIT 1 6) *TCAT 'JOBQ')) +
OBJTYPE(*JOBQ)
monmsg cpf9800 exec(do)
chgvar &status 'KO'
enddo
/* si JOBQ existe */
if cond(&status = 'OK') then(do)
TFRJOB JOBQ((%SST(&UNIT 1 6) *TCAT 'JOBQ'))
enddo
/*-------------------------------------------------*/
/* Règles de routage sur adresse ip */
/* Ici controle adresse ip avec refus si pas reseau*/
/* 172 */
/*-------------------------------------------------*/
if cond(%sst(&IPV4ADDR 1 3) *ne '172') +
then(do)
SNDMSG MSG('Tentative de connexion refusée,' *BCAT +
&IPV4ADDR *BCAT ', sur adresse IP' *BCAT +
&UNIT) TOMSGQ(*HSTLOG)
ENDJOB JOB(*)
enddo
/*-------------------------------------------------*/
/* Les autres ne sont pas reroutés */
/*-------------------------------------------------*/
endpgm
Dans notre exemple, on a ajouté un contrôle sur l’adresse IP avec un blocage si pas le réseau attendu
Remarques :
La limite c’est votre imagination, vous devez bien réfléchir et cibler votre besoin , vous pouvez par exemple ajouter du paramétrage
Vous pouvez également utiliser le programme d’exit (QIBM_QTG_DEVINIT) , mais plus compliqué à mettre en œuvre
Vous devez vous assurer que le programme utilisé pour SDA ne plante pas
Les unités peuvent être créer automatiquement c’est la valeur système QAUTOVRT
Si vous choisissez de l’utiliser, préférez un nombre (exemple : 500 ) plutôt que *NOMAX et tous les 6 mois faites un coup de ménage sur les unités inutilisées
===> DSPOBJD OBJ(ALL) OBJTYPE(DEVD)
Vous pouvez les identifier facilement :
Par défaut les unités s’appellent QPADEVxxxx , ne pas hésiter à les supprimer 2 fois par an
https://www.gaia.fr/wp-content/uploads/2017/02/team3.png600600Pierre-Louis BERTHOIN/wp-content/uploads/2017/05/logogaia.pngPierre-Louis BERTHOIN2025-07-23 14:06:242025-07-27 11:28:07Routage des travaux interactifs
https://www.gaia.fr/wp-content/uploads/2025/02/DT-1-e1739799848306.png205175Damien Trijasson/wp-content/uploads/2017/05/logogaia.pngDamien Trijasson2025-06-30 15:42:392025-06-30 15:52:34Sécurité : Utilisation des classes java toolbox vs job technique OS
Vous êtes de plus en plus confronter à la mise en place de sécurité sur des services (ODBC, FTP, etc..) il existe 2 solutions sur l’ibmi qui vont vous aider dans votre démarche
Les fonctions usage et les exit programmes
Vous avez des interfaces 5250 pour les administrer, mais aussi maintenant Navigator for i WRKFCNUSG et WRKREGINF Vous avez également des services SQL QSYS2.SQL_CHECK_FUNCTION_USAGE(), QSYS2.FUNCTION_USAGE, QSYS2.FUNCTION_INFO QSYS2.EXIT_POINT_INFO,QSYS2.EXIT_PROGRAM_INFO
Rapidement voici une petite comparaison
D’abord un essai de comparaison entre les principales valeurs
Accès / Fonctionnalité
Fonction d’usage (Function Usage ID)
Programme d’exit (Exit Point)
Description / Concerne
Accès base de données (ODBC, JDBC…)
QIBM_DB_OPEN
QIBM_QZDA_INIT, QIBM_QZDA_NDB1
Autorise/refuse l’ouverture de base de données (SQL, ODBC, etc.)
SQL Server Mode (QSQSRVR)
QIBM_DB_QSQSRVR
N/A
Contrôle l’accès aux jobs QSQSRVR (SQL server mode)
DDM/DRDA
QIBM_DB_DDMDRDA
QIBM_QDDMDRDASERVER, QIBM_QDDSQLDRDA
Accès aux bases via DDM / DRDA
ODBC Spécifique
N/A
QIBM_QZDA_SQL1, QIBM_QZDA_INIT
Appels SQL via ODBC / DRDA
JDBC
N/A
QIBM_QZDA_SQL1, QIBM_QZDA_INIT
JDBC via Toolbox ou Native JDBC
FTP
QIBM_FTP_SERVER
QIBM_QTMF_SVR_LOGON, QIBM_QTMF_SVR_EXIT
Contrôle l’accès FTP
Telnet
QIBM_TELNET_SERVER
QIBM_QTV_TELNET
Contrôle l’accès Telnet
Remote Command (RUNRMTCMD)
QIBM_NETWORK_SERVER
QIBM_QZRC_RMT
Exécution de commandes distantes
Client Access (iSeries Access, ACS…)
QIBM_ACCESS3270, QIBM_DB_OPEN
QIBM_QZDA_* (exits ODBC), QIBM_QZRC_RMT
Accès via IBM i Access clients (ODBC, FTP, etc.)
Fonctions d’usage (Function Usage) : Elles permettent d’activer ou de restreindre une fonctionnalité par utilisateur (sans programmation). Elles ont un mode par défaut ouvert ou fermé Vous devez ensuite gérer les exceptions à cette règle C’est en œuvre par défaut sur votre système C’est dynamique vous pouvez par exemple avoir un scripte qui modifie le paramétrage pour les heures HNO C’est compliquer pour tracer les refus
Exit Programs (Programmes d’exit) : Permettent une personnalisation des contrôles d’accès . Vous pouvez indiquer des critères d’actions, de ressources, de temporalité exemple, Michel à droit à uniquement le bibliothèque compta en HNO Vous maitrisez entièrement la logique de contrôle Vous pouvez auditer ou loguer avant d’interdire par exemple Vous pouvez impacter les performances de votre système avec un mauvais programme, voir même bloquer sur un plantage Ce n’est pas en œuvre par défaut sur votre système Ce n’est pas dynamique vous devrez arrêter le service concerné pour une prise en compte Simple pour tracer les refus, c’est votre programme
Conclusion J’espère que ca vous aidera à faire votre choix dans tous les cas c’est absolument indispensable aujourd’hui de se préoccuper de ces problèmes à minima des accès ODBC
Toujours d’actualité un service qui n’est pas utilisé doit être arrêter
Quand vous passez de FTP à SFTP vous ne bénéficier plus de ces 2 options
