En bons élèves, nous profitons de l’été pour faire nos devoirs de vacances. Entre autre, installation de la version 7.6 sur plusieurs de nos partitions.
D’abord une partition de test, bac à sable, puis nos partitions de production i(vous avez peut être vu une interruption de service sur nos sites web).
J’en profite pour faire un petit retour d’expérience sur ces installations.
Et pour finir ce préambule, je remercie l’équipe du support !
Une mise à jour comme les autres ?
Oui, je ne détaille pas ici le processus de mise à jour, c’est classique : téléchargement des images et clés sur ESS, PRUV pour les contrôle etc …
Quelques points d’attention
- DST/SST
- Le mot de passe de QSECOFR ne doit pas être celui par défaut (sinon il sera inutilisable)
- Les profils 11111111 et 22222222 sont supprimés pendant l’installation
- Bonne pratique : créer au moins un autre profil avec tous les droits pour DST, changer le mot de passe de QSECOFR. Les profils 11111111 et 22222222 ne devraient déjà plus être utilisés depuis longtemps
- Java 11 64 bit non supporté
- Anticiper les changement de configuration si vous l’utilisez
- Bonne pratique : installez en 7.5 un java 17 (cf https://www.ibm.com/support/pages/java-products-and-options-ibm-i)
Ce qui nous a échappé
Deux sujets qui m’ont mobilisés !
Impossible de saisir le mot de passe de QSECOFR au démarrage
Après l’installation de la 7.6 sur la partition, et fort satisfait, je tentes de me loguer avec QSECOFR : informations d’authentification incorrectes !
Après vérification dans mon gestionnaire de mots de passe, nouvelle tentative : idem.
A la 3ème, profil désactivé …
Heureusement, j’ai toujours un profil clone de QSECOFR pour remédier à ces situations : je change le mot de passe de QSECOFR, et là cela fonctionne !
Le problème est connu et nécessite d’appliquer la PTF SJ05805 (cf https://www.ibm.com/mysupport/s/defect/aCIgJ0000000lGfWAI/dt438834?language=fr). Les mots de passe sont testés en CCSID 37 par le système au lieu du CCSID du travail (émulateur). C’est principalement le caractère « ! » qui pose problème.
Bonne pratique : changer le mot de passe de QSECOFR avant la migration pour un mot de passe simple (quitte à déroger aux règles le temps de l’installation).
Problème de connexion sur tous les serveurs hôtes en TLS
Après installation de la 7.6, impossible de se connecter en telnet sécurisé, ni aux autres services
Et effectivement, le mémo to user (cf https://www.ibm.com/docs/en/ssw_ibm_i_76/pdf/rzaq9.pdf) indique bien :
Dans DCM, allez dans le magasin *SYSTEM, puis gérer « Manage Applications Definitions », sélectionner l’application QIBM_QZBS_SVR_HOSTCNN et associez un certificat (en général le même pour l’ensemble des serveurs hôtes) :
Dès validation la connexion TLS fonctionne, pas besoin d’arrêter/redémarrer des services.
Ce fonctionnement est nécessaire pour la mise en œuvre du MFA, mais impact les services existants.
Tous les systèmes étant sécurisés depuis de nombreuses années, vous devriez être impacté …
En synthèse
A noter que l’ensemble des éléments est bien documenté, y compris les « détails » qui nous ont posés quelques soucis (exception du mot de passe non reconnu).
Une bonne préparation permet de réaliser une migration maitrisée, l’installation elle-même se déroule très bien et rapidement.
