, , , , , , , Open api avec IWS 3.0 – partie 2

Suite de notre premier article sur IWS 3.0, cf https://www.gaia.fr/open-api-avec-iws-3-0/

IWS (Integrated Web Services) 3.0

En novembre 2025, IBM a introduit la version 3.0 de IWS. La version précédente était 2.6, elle-même remplaçant la 1.5.

Les principales nouveautés :

  • Stack technique basée sur Jakarta EE au lieu de Java EE
  • Integration de openapi

openapi

Par défaut, l’interface openapi est disponible à cette URL : http[s]://{system}:{port}/openapi/ui/

Où :

  • system : votre partition
  • port : correspondant à l’instance IWS pour laquelle vous souhiatez afficher les services

openapi est un standard de facto dans la conception des APIs REST : OpenAPI Initiative – The OpenAPI Initiative provides an open source, technical community, within which industry participants may easily contribute to building a vendor-neutral, portable and an open specification for providing technical metadata for REST APIs – the “OpenAPI Specification” (OAS).

C’est en réalité l’évolution du Swagger qui permet de décrire les web services et leurs interfaces. L’interface produit désormais une page, personnalisable, epxosant la description des services, et permettant leur test !

Modifications de l’interface

Lors de la création d’une instance IWS :

Les propriétés openapi ne sont pas affichables ou modifiables par l’interface, mais pas fichier de configuration et commande shell.

Remarque : seuls les services démarrés apparraissent dans l’interface openapi.

Tester un service REST

Puis indiquez vos valeurs de paramètres :

Des options sont disponibles pour les situations plus avancées (authentification basique etc …)

Modifications des commandes shell

Depuis la documentation IBM, création d’un fichier :

#server.iws.gen.httpport=52000  
#server.iws.gen.httpsport=52499  
#server.iws.gen.adminport=52005  
#server.iws.gen.contextroot=/api   
#server.iws.gen.defaultkeystore=*NONE  
#server.iws.gen.defaultkeystorepassword= 
#server.iws.gen.verifyhostname=false   
#server.iws.gen.trace=none   

# Following are OpenAPI properties - IWS 3.0 only properties
server.iws.openapi.enable=true
server.iws.openapi.docpath=/openapi
server.iws.openapi.contactemail=nathanael.bonnet@gaia.fr
server.iws.openapi.contactname=Nathanael
server.iws.openapi.contacturl=http://www.gaia.fr/contact
server.iws.openapi.description=Description : test NB pour IWS 3.0
server.iws.openapi.licensename=License Gaia 2.0 
server.iws.openapi.licenseurl=https://www.gaia.fr/license
server.iws.openapi.summary=Summary : test NB pour openAPI
server.iws.openapi.termsofservice=https://www.gaia.fr/terms
server.iws.openapi.title=Titres : APIs for IWS 3.0
server.iws.openapi.version=9.8.7
server.iws.openapi.excludelist=ConvertTemp_rest

Vous pouvez ensuite demander la mise à jour des propriétés de l’instance :

qsh
cd /qibm/proddata/os/webservices/bin
setWebServicesServerProperties.sh -server 'vsc_sndbox' -propertiesFile '/www/vsc_sndbox/conf/server.properties'

Affiche :

IWS00106I - Command completed successfully.  Restart of web service or server may be required for changes to take affect.

Après redémarrage de votre instance, accès à http[s]//…./openapi/ui :

Remarque : il est aujourd’hui impossible de générer un fichier de configuration pour un serveur existant.

Les différentes propriétés :

server.xml

La commande sss.sh met à jour les propriétés openapi dans le fichier \www\instance\wlp\usr\servers\instance\server.xml

Migration des instances en version 2.6

Vous pouvez migrer une instance par la commande /qibm/proddata/os/webservices/bin/

stopWebServicesServer.sh -server 'demo26'

updateWebServicesServer.sh -server 'demo26' -version '*CURRENT'

startWebServicesServer.sh -server 'demo26'

Si IWS 3.0 est disponible sur votre système (version et group PTF à partir de 7.4), l’instance est migrée, ainsi que les différents services.

Le serveur doit être préalablement arrêté.

Exemple de sortie de la commande updateWebServicesServer.sh :

Vous pouvez également demander la migration de services, principalement dans le cas où le serveur a été migré avec des services en erreur :

updateWebServices.sh -server 'demo26' -serviceList 'ConvertTemp_Soap' -printErrorDetails

Références

Introducing IWS 3.0

Enhancements to setWebServicesServerProperties.sh Qshell command

/par
, Envoyer des objets d’une partition à une autre

Vous devez envoyer des objets d’une machine à une autre, par exemple mise en production d’un programme ou d’un ensembles d’objets ayants un lien entre eux

Vous avez la possibité graphique par ACS « système de fichier » de copier et coller

Mais si vous voulez faire du batch pour envoyer la nuit

par exemple :
refresh base de test dans la nuit ou mise en production d’un ensemble d’objets suite à modification

Vous devrez plutôt faire du FTP (Développement à faire n’est pas en batch par défaut ) , vous trouverez des exemples sur internet

ou mieux utiliser les commande SAVRSTXXX que vous connaissez tous

C’est le logiciel Object CONNECT

Mais souvent ca ne fonctionne pas bien, il y a du paramétrage a faire

Il est utilisable avec une configuration IP depuis la V7R5 ou V7R4 par PTF
Vous devrez configurer un certificat sur votre serveur et l’échanger avec votre partition cliente

Ce n’est pas le sujet ici

Sinon vous pouvez passer en SNA (c’est moins sécuriser , à utiliser sur du lan ou du lan interne à votre POWER)

Vous devrez créer une configuration SNA basé sur *HPRIP

Vous retrouverez ici la procédure de création de la configuration nécessaire

https://github.com/Plberthoin/exemples/tree/master/CRTCFGSNA

Remarque :


Attention l’IBMi garantie la comptabilité ascendante des objets
pour une compatibilité descendante , vous devez compiler l’objet dans la version voulue sur le système source,
pas plus de 2 versions d’écart c’est le paramètre TGTRLS() de vos commandes de génération

SNA, n’est pas le sens de l’histoire, mais la simplicité justifie parfois l’entorse
Vous n’avez pas besoin d’être inscrit à la directory SNA pour utiliser les commande SAVRSTxx
vous n’avez pas à démarrer SNADS

liens à connaitre :

Setting up your system to use ObjectConnect – IBM Documentation

Transferring objects with ObjectConnect and Enterprise Extender – BlogFaq400

Configuration of Objectconnect

/par
Les DSPF et VSCode

Un des derniers manque dans Vscode, c’est la gestion des écrans 5250 ou DSPF, vous avez screen designer dans RDI et SDA en natif 5250.

Même si on sait que l’interface « noir et vert » n’est pas l’avenir, beaucoup de sociétés ont des centaines d’écrans à maintenir
et on ne pourra pas tout modifier d’un coup.

Avec l’abandon de SDA en V7R6 et la perte de vitesse de RDI au profit de VSCode, il est donc important de voir ce qui s’y passe

Nous avons remarqué 2 projets qui peuvent vous aider.

Le premier « Display file DDS edit » de Christian Larsen

https://marketplace.visualstudio.com/items?itemName=ChristianLarsen.dspf-edit

Il permet de gérer les mots clés à mettre dans vos écrans, il est simple et efficace et avec La vue preview vous pouvez voir la présentation

Le deuxième « DSPF Designer » de Christian Jesús Ballestero

https://marketplace.visualstudio.com/items?itemName=Balrocj.dspf-designer

Ce projet très ambitieux, il permet d’éditer un écran en mode drag and drop.
il est intuitif et très facile d’utilisation.
il est très prometteur , pour l’instant, il ne gère pas les REFFLD et les sous fichiers (pas de surprise c’est dans la doc)

Remarque, l’application n’est pas certifiée

Conclusion :

Ca bouge , n’hésitez pas à télécharger et tester, il y aura certainement d’autres projets qui apparaitront

/par
, , , , , , , Enumération typée en RPG

Enumération typée

Depuis décembre 2025, le compilateur RPG permet la déclaration d’une énumération typée, ainsi que de variables de même type que l’énumération.

Prérequis

Avoir les PTFs :

7.5:

  • ILE RPG compiler: 5770WDS SJ08375

7.6:

  • ILE RPG compiler: 5770WDS SJ08384
  • ILE RPG compiler, TGTRLS(V7R5M0): 5770WDS SJ08394

Syntaxe

Par exemple :

Il faut indiquer le type précis de l’énumération, ici CHAR(3). Les valeurs des constantes énumérées doivent correspondre au type.

DFT indique une valeur par défaut : 1 et 1 seule, facultatif.

Il est impossible de définir une énumération comme une autre énumération :

Par contre, vous pouvez définir des variables comme une énumération typée :

Quelques règles

  • une valeur par défaut supportée par énumération
  • initialisation des variables ou zone de DS par une valeur de l’énumération :
    • dcl-s myCall1 like(CALL_TYPE) inz(CALL_TYPE.DISPLAY) : OK
    • dcl-s myCall2 like(CALL_TYPE) inz('DSP') : Erreur, même si la valeur existe dans l’énumération
  • si inz est indiqué sans valeur, la valeur par défaut de l’énumération est utilisée
  • de même pour l’affectation d’une nouvelle valeur, doit se faire via l’énumération, quelque soit le type de valeur :
    • myCall1 = CALL_TYPE.UPDATE : OK
    • myCall1 = 'UPD' oumyCall1 = ('U' + 'PD') : Erreur
  • Les fonctions %hival et %loval fonctionnent
  • Contrairement à*hival et*loval

En tant que tableau ou liste

Il est possible d’utiliser une énumération partout où un tableau est utilisable, sauf avec :

  • SORTA
  • %elem
  • %lookup
  • %subarr

Par exemple en tant que liste :

Domaine de validité

Seules les valeur de l’énumération sont utilisables, toute autre valeur provoque une erreur de compilation.

Toutefois, il est possible de contourner ce fonctionnement.

Pour les variables de type numérique, les calculs sont autorisés :

En passant avec un pointeur :

En paramètre de procédure

Cela permet d’indiquer explicitement les valeurs autorisés pour les paramètres définis comme une énumération :

  • la valeur de retour est définie parlike(ERROR) et ne pourra avoir que les valeurs définies
  • le paramètre p_callType est défini parlike(CALL_TYPE) pour lequel les valeurs sont également définies

C’est beaucoup plus pertinent qu’un commentaire, le compilateur effetuant le contrôle.

Précompilateur SQL

Les valeurs énumérées sont reconnues en tant que constantes, et les variables définies depuis une énumération sont utilisables :

Par contre, l’affectation d’une valeur non énumérée est possible :

L’utilisation en tant que liste de valeurs dans un IN SQL n’est pas supportée :

option de compilation CCSID(*EXACT)

Si votre énumération est définie en CHAR ou VARCHAR et contient des valeurs non définies par des constantes hexadécimales, c’est à dire la plupart des cas, vous devez indiquer ctl-opt ccsid(*exact).

C’est une obligation afin que le compilateur ne fasse pas de supposition incorrecte sur le CCSID des littéraux pour comparaison avec les variables de vos programmes. Aucune conversion implicite n’est effectuée et cela évote les incohérences que l’on peut avoir, particulièrement avec des fichiers source dans l’IFS, généralement encodés en UTF-8.

Références

https://www.ibm.com/docs/en/i/7.6.0?topic=enumerations-typed

https://www.ibm.com/support/pages/rpg-cafe

https://ibm.biz/rpgcafe_fall_2025_fld_like_enum

https://www.ibm.com/docs/en/i/7.6.0?topic=keyword-ccsidexact

/par
Test Basic IA et RPGLE

On attend beaucoup de BOB, mais que font les autres IA aujourd’hui, par exemple sur du RPGLE sur IBMi

j’ai décider de faire un petit challenge Gemini, Coplilot, ChatGPT, Grok

J’ai volontairement fait 3 erreurs dans mon code
w_bool non déclaré
endif manquant
fin de programme manquante

*free ctl-opt DFTACTGRP(NO) ;
dcl-s texte char(10 ) ;
dcl-s bool ind ;
// ecriture
if w_bool ;
texte = 'Texte' ;
dsply ('texte ' + texte) ;

Je n’ai pas fourni de contexte
je n’ai pas fourni le résultat de compilation
je n’ai aucun abonnement, j’ai utilisé une version grand public pour les 3 IA

Voici mon prompt, il est volontairement très basic

« Ce programme ne compile pas, SVP, peux tu m’indiquer ou est le probléme « 

*free ctl-opt DFTACTGRP(NO) ;
dcl-s texte char(10 ) ;
dcl-s bool ind ;
// ecriture
if w_bool ;
texte = ‘Texte’ ;
dsply (‘texte ‘ + texte) ;

Je n’ai pas mis l’analyse que les IA ont rendues qui étaient pertinentes dans les 3 cas

Voici le résultat quelles ont produit

Gemini

Il a ajouter un return

*free ctl-opt DFTACTGRP(NO);

dcl-s texte char(10);
dcl-s bool ind;

// Initialisation (pour le test)
bool = *on;

if bool; // Utilisation du bon nom de variable
texte = 'Texte';
dsply ('texte ' + texte);
endif; // Ne pas oublier de fermer le IF
*inlr = *on;
return;

Chatgpt 

*free ctl-opt dftactgrp(no);

dcl-s texte char(10);
dcl-s bool ind inz(*on);

// écriture
if bool;
texte = 'Texte';
dsply ('texte ' + texte);
endif;

*inlr = *on;

Copilot

*free ctl-opt dftactgrp(no);

dcl-s texte char(10);
dcl-s bool ind;

// ecriture
if bool;
texte = 'Texte';
dsply ('texte ' + texte);
endif;

*inlr = *on;
return;

Grok

un %char sur le texte qui ne sert à rien 

**free
ctl-opt                      
  dftactgrp(*no) ;             
dcl-s texte   char(10) ;       
dcl-s bool    ind    ;         
// Initialisation
bool = *on ;                   // ← Ajout nécessaire !
// Ecriture                   
if bool ;                     
  texte = 'Texte' ;            
  dsply ('texte  ' + %char(texte)) ;
endif ;
*inlr = *on ;

Conclusion :

Les 4 IA ont produit un code qui compile, et une analyse pertinente
Avec de IA entrainées et spécialisées, on doit pouvoir faire des choses étonnantes

/par
, , C’est quoi ce BOM ?

BOM signifie Byte Order Mark
👉 en français : marque d’ordre des octets

C’est une séquence d’octets placée au tout début d’un fichier texte pour indiquer :

l’encodage du fichier

parfois l’ordre des octets (endianness)

📌 À quoi sert un BOM ?
1️⃣ Identifier l’encodage

Quand un logiciel ouvre un fichier, le BOM lui dit :

« Ce fichier est en UTF-8 / UTF-16 / UTF-32 »

Sans BOM, certains outils devinent l’encodage… et se trompent.

2️⃣ Indiquer l’ordre des octets (UTF-16 / UTF-32)

Pour les encodages multi-octets :

Little Endian

Big Endian

Le BOM permet de savoir dans quel ordre lire les octets.

Sur L’IBMi on l’utilisera pour échanger un fichier UTF8 avec un autre système que le réclame, ou à l’inverse il faudra l’enlever sur un fichier recu !

Voici 2 procédures pour vous aider et une requête

Une requête pour afficher le BOM sur un fichier IFS

WITH FICHIER AS (
    SELECT DATA
    FROM TABLE (
        QSYS2.IFS_READ_BINARY('/tmp/test.txt')
    )
)
SELECT
    HEX(SUBSTR(DATA, 1, 4))      AS BOM_HEXA,
    CASE
        WHEN SUBSTR(DATA, 1, 3) = X'EFBBBF'
            THEN 'UTF-8 avec BOM'
        WHEN SUBSTR(DATA, 1, 2) = X'FFFE'
            THEN 'UTF-16 Little Endian'
        WHEN SUBSTR(DATA, 1, 2) = X'FEFF'
            THEN 'UTF-16 Big Endian'
        WHEN SUBSTR(DATA, 1, 4) = X'FFFE0000'
            THEN 'UTF-32 Little Endian'
        WHEN SUBSTR(DATA, 1, 4) = X'0000FEFF'
            THEN 'UTF-32 Big Endian'
        ELSE
            'Aucun BOM détecté (UTF-8 sans BOM probable)'
    END AS ENCODAGE_DETECTE
FROM FICHIER;

Une procédure pour ajouter un BOM sur un fichier à envoyer

CREATE OR REPLACE PROCEDURE AJOUTER_BOM (
IN p_path VARCHAR(1024) CCSID 1208,
IN p_bom VARCHAR(10)
)
LANGUAGE SQL
BEGIN
DECLARE v_data BLOB(10M);
DECLARE v_new_data BLOB(10M);
DECLARE v_bom BLOB(4);-- Déterminer le BOM à ajouter
SET v_bom =
    CASE UPPER(p_bom)
        WHEN 'UTF8'     THEN X'EFBBBF'
        WHEN 'UTF16LE'  THEN X'FFFE'
        WHEN 'UTF16BE'  THEN X'FEFF'
        ELSE NULL
    END;

IF v_bom IS NULL THEN
    SIGNAL SQLSTATE '38001'
        SET MESSAGE_TEXT = 'BOM non reconnu (UTF8, UTF16LE, UTF16BE)';
END IF;

-- Lire le fichier
SELECT DATA
  INTO v_data
  FROM TABLE (
    QSYS2.IFS_READ_BINARY(p_path)
  );

-- Vérifier si le BOM est déjà présent
IF SUBSTR(v_data, 1, LENGTH(v_bom)) <> v_bom THEN
    SET v_new_data = v_bom || v_data;

    -- Réécriture du fichier avec BOM
    CALL QSYS2.IFS_WRITE_BINARY(
        PATH_NAME => p_path,
        DATA      => v_new_data,
        REPLACE   => 1
    );
END IF;
END;

Une procédure pour enlever le BOM

CREATE OR REPLACE PROCEDURE SUPPRIMER_BOM (
IN p_path VARCHAR(1024) CCSID 1208,
IN p_bom VARCHAR(10)
)
LANGUAGE SQL
BEGIN
DECLARE v_data BLOB(10M);
DECLARE v_bom BLOB(4);
DECLARE v_len INTEGER;-- Déterminer le BOM à supprimer
SET v_bom =
    CASE UPPER(p_bom)
        WHEN 'UTF8'     THEN X'EFBBBF'
        WHEN 'UTF16LE'  THEN X'FFFE'
        WHEN 'UTF16BE'  THEN X'FEFF'
        WHEN 'UTF32LE'  THEN X'FFFE0000'
        WHEN 'UTF32BE'  THEN X'0000FEFF'
        ELSE NULL
    END;

IF v_bom IS NULL THEN
    SIGNAL SQLSTATE '38001'
        SET MESSAGE_TEXT =
          'BOM non reconnu (UTF8, UTF16LE, UTF16BE, UTF32LE, UTF32BE)';
END IF;

SET v_len = LENGTH(v_bom);

-- Lire le fichier
SELECT DATA
  INTO v_data
  FROM TABLE (
    QSYS2.IFS_READ_BINARY(p_path)
  );

-- Vérifier et supprimer le BOM demandé
IF SUBSTR(v_data, 1, v_len) = v_bom THEN
    SET v_data = SUBSTR(v_data, v_len + 1);

    -- Réécrire le fichier sans BOM
    CALL QSYS2.IFS_WRITE_BINARY(
        PATH_NAME => p_path,
        DATA      => v_data,
        REPLACE   => 1
    );
END IF;
END;

Conclusion

Sur IBMi ca ne sert à rien le CCSID donne cette information

Pour en savoir plus Indicateur d’ordre des octets — Wikipédia

/par
, , , , , , , Open api avec IWS 3.0

En novembre 2025, IBM a fait évoluer IWS de la version 2.6 à la version 3.0

Outre le passage à Jakarta EE au lieu de Java EE, la principale nouveauté concerne l’intégration de d’open api.

Création d’une instance

La version de l’instance est affichée :

Open api

Une fois l’instance créée, vous avez désormais accès à l’interface open api :

http[s]://instance:port/openapi/ui

L’interface présente l’ensemble des services déployés dans le serveur, avec les routes (opérations).

Vous avez également la possibilité de tester les services en direct :

L’outil affiche les syntaxes curl correspondantes !

Evidemment, seuls les services REST sont affichés dans l’interface openapi.

Vous pouvez personnaliser certains attributs openapi via la commande setWebServicesServerProperties et un fichier de configuration à fournir.

Migration des instances

Toutjours par script shell (dans /QIBM/ProdData/OS/WebServices/bin), vous pouvez migrer vos instances IWS 2.6 en 3.0 :

updateWebServicesServer.sh -server instance -version *CURRENT

Lors de l’opération :

  • Les serveur est migré en 3.0
  • Les services sont convertis

en cas d’erreur, vous pouvez lancer la conversion de services par updateWebServices.sh.

Dans nos différents tests, nous n’avons pas observé de modification de comportement des services migrés.

Par contre, nous observons, pour l’instant, des erreurs de conversion pour les services SOAP.

Voir la documentation : https://www.ibm.com/support/pages/node/7248102

/par
, , Comprendre l’impact du CCSID de votre source

Vous avez vos sources coté IBMi qui sont le plus souvent stockés dans des fichiers sources QRPGLESRC et le CCSID est à 1147 (je reviens pas sur les dangers du 65635)

Vous décidez de placer, vos sources dans l’IFS et vous décidez d’adopter un (CCSID UTF-8 recommandé) ,voir Windows 1252.

C’est le sens de l’histoire pour giter par exemple

Le CCSID du source a un impact sur les constantes de votre programme RPGLE, à la compilation on va voir un exemple :

Les constantes étant basées sur le CCSID du source par défaut

Voici un programme 

**free                                                                 
ctl-opt dftactgrp(*no)                                                 
  //    ccsid(*exact)    // << clé : figer au CCSID de                   
  ;                                                                    
dcl-c titre 'Tarif semaine dès 4 jours ?  ' ;   // Constante           
dcl-s mots char(06) dim(3) ctdata perrcd(1);    // tableau chargé à la 
dcl-ds ds_texte    ;                            // tableau de constante
      *N Char(06) Inz('école' ) ;       //                             
      *N Char(06) Inz('garçon') ;       //                             
      *N Char(06) Inz('café ' ) ;       //                             
      texte   char(06) dim(3) pos(1) ;                                 
end-ds;                                                                
dcl-s i     int(10);                                                   
// Affichage Résultat                                                  
dsply ('Constante : ' + titre);                                        
for i = 1 to %elem(texte) ;                                            
  dsply ('Texte    : ' + texte(i));                                    
endfor; 
for i = 1 to %elem(mots);                     
  dsply (' CTDATA   : ' + mots(i));           
endfor;                                       
*inlr = *on;                                  
** CTDATA mots (3 lignes, codées avec accents)
école                                         
garçon                                        
café

Coté IBMi

Avec un ccsid 1147

CRTBNDRPG PGM(GDATA/SRCCCSID)
SRCFILE(GDATA/QRPGLESRC)

Vous obtenez ceci

Coté IFS

Avec un ccsid UTF-8

CRTBNDRPG PGM(GDATA/SRCCCSID)      

          SRCSTMF(‘SRCCCSID.RPGLE’)

Vous obtenez ceci

Vous perdez les caractères spéciaux

Vous avez une option de compile TGTCCSID qui fixe le CCSID à utiliser

donc on ajoute l’option

CRTBNDRPG PGM(GDATA/SRCCCSID)      

          SRCSTMF(‘SRCCCSID.RPGLE’)

          TGTCCSID(1147)    

L’affichage est correct

Conclusion :

Vous pouvez également utiliser *JOB dans la valeur de TGTCCSID(), à ce moment la vous aurez le même comportement dans les 2 cas si votre job est en 1147.

On expliquera ccsid(*exact) dans un autre post

t

/par
, , , , , , , Fonction d’usage QIBM_NAV_SECURITY_EIM

Si vous êtes utilisateur de SSO (Single Sign On) sur l’IBM i, alors vous utilisez l’EIM (Enterprise Identity Mapping).

Pour rappel (en très simplifié), le SSO vous permet de propager votre authentification Windows jusqu’à l’IBM i de sorte que n’avez pas besoin de saisir votre profil/mot de passe : une association entre vos comptes Windows et IBM i est réalisée et prise en compte automatiquement.

Pour gérer ces associations, vous pouvez utiliser IBM Navigator for i :

A partir de là vous avez accès à toute la gestion de l’annuaire (nécessite une authentification).

Bien entendu, ces fonctions sont critiques d’un point de vue de la sécurité : une modification de la configuration peut empêcher toute connexion, ou au contraire permettre une connexion avec un profil IBM i élevé !

IBM a donc délivré une nouvelle fonction d’usage QIBM_NAV_SECURITY_EIM (EIM related security) à cet effet : limiter l’accès aux fonctions EIM via Navigator for i.

La valeur par défaut est *ALLOWED pour tous -> vous devriez la passer à *DENIED !

Dès lors, si vous tentez d’accéder aux fonctions EIM, vous obtenez :

Plus de détails sur les Group PTF :

https://www.ibm.com/support/pages/node/6520030#Q22025

https://www.ibm.com/support/pages/node/6485853

Vous voulez automatiser la gestion de votre SSO pour l’IBM i, contactez nous : https://www.gaia.fr/produits/

/par
, , , , , , , Sécurité du plan Cache SQL

Si vous avez assisté à l’événement Securiti 2025 organisé par i.gayte.it, nous avions présenté une fonctionnalité SQL permettant de limiter l’accès aux informations du plan cache SQL.

Vous trouverez par ailleurs le replay de l’événement ici : Sécurit.i 2025 : Replays – I.Gayte.it

En effet, ce dernier contient de nombreuses informations nécessaires à l’adaptation du moteur SQL. Mais il contient aussi les données utilisées dans vos requêtes : constantes littérales, valeurs de comparaisons …

Bien entendu, certaines valeurs sont à protéger, y compris des utilisateurs ayant les droits de consulter le plan cache.

SYSPROC.SET_COLUMN_ATTRIBUTE

Cette procédure permet de cacher les informations pour certaines colonnes de certaines tables : https://www.ibm.com/docs/en/i/7.6.0?topic=services-set-column-attribute-procedure

Pour ceci :

L’attribut est visible dans le catalogue DB2 : QSYS2.SYSCOLUMNS2, colonne SECURE => 0 ou 1

Désormais, lorsque vous accédez au cache :

Cela fonctionne, mais à moitié !

Correctif

IBM a publié un correctif : https://www.ibm.com/support/pages/security-bulletin-ibm-i-affected-obtaining-information-without-proper-authority-cve-2025-36371

Toutes les versions depuis la 7.2 sont touchées : mettez à jour !

Merci à l’équipe du lab de Rochester qui a résolu ce problème rapidement. Il semble toutefois que personne ne l’avait remonté préalablement !

Désormais on obtient bien :

L’IBM i propose de nombreuses fonctionnalités sous-utilisées, n’hésitez pas à nous faire part de vos questions.

/par