OPALE - parametrage

Gestion des droits d'accès sur les objets MAPPING

De MappingDoc
Révision datée du 2 octobre 2020 à 13:04 par Jdieu (discussion | contributions) (Exemple 4)

Introduction

Cette documentation explique la gestion des droits d'accès sur les objets MAPPING IBM-i.
Cette documentation explique notamment les droits minimum nécessaire au bon fonctionnement du robot MAPPING

Quelques commandes AS400 à connaitre sur la gestions des droits

DSPOBJAUT : Permet d'afficher les autorisations sur les objets

DSPOBJAUT OBJ(OPALE1017/MAPCPYSPLF) OBJTYPE(*PGM)

--> Affiche les autorisation du programme MAPCPYSPLF de la bib OPALE1017

GRTOBJAUT : Permet de modifier les autorisations sur les objets

GRTOBJAUT OBJ(MAPCPYSPLF) OBJTYPE(*PGM) USER(QPGMR) AUT(*EXCLUDE)

--> Passe l'utililisateur QPGMR en *EXCLUDE sur l'objet programme MAPCPYSPLF de la bib OPALE1017

WRKUSRPRF : Permet de modifier les profils utilisateurs
WRKUSRPRF USRPRF(JDIEU) --> Permet de voir et modifier les attributs du profil utilisateur JDIEU


Traitements MAPPING

Pour garantir le bon fonctionnement de l'application MAPPING, il faut s'assurer que les utilisateurs exécutant les différents jobs de traitements aient bien accès aux ressources nécessaires. (commande, programme, etc) Il y a plusieurs façon d'invoquer des traitement dans MAPPING :

  • De manière interactive en ligne de commande
  • Avec l'utilisation de CL programmes
  • A l'aide du Robot MAPPING

De manière interactive en ligne de commande

Cette façon est souvent utilisée lors des tests manuels. L'utilisateur invoquant la commande est l'utilisateur avec lequel vous êtes connecté. Cet utilisateur devra alors avoir accès aux ressources.

Avec l'utilisation de CL programmes

Cette façon est parfois utilisée en production. Les commandes MAPPING sont alors inclus directement dans les programmes CL des clients générant notamment les spooled files. L'utilisateur exécutant les commandes MAPPING sera alors l'utilisateur soumettant le travail. (celui-ci dépend de la configuration des traitements du client)

Traitements via le Robot MAPPING

Il est tout à fait possible également d'utiliser le Robot MAPPING pour automatiser les traitements. L'utilisateur invoquant les commandes (à l'exception de la commande MAPSNDMAIL) sera alors l'utilisateur système MAPPING. (profil créé et paramétré lors de l'installation de MAPPING IBM-i)

Cet utilisateur devra alors avoir accès aux ressources.

Fonctionnement des droits sur les objets IBM-i

Valeurs par défaut à l'installation de MAPPING IBM-i

Lors de l'installation de MAPPING IBM-i, des valeurs de droits par défaut sont présentes sur les différents objets MAPPING. (programmes, commandes,etc) Pour les besoin de rédaction de cette présente documentation, nous allons prendre pour exemple le programme de génération de PDF via la commande MAPCPYSPLF. La commande MAPCPYSPLF exécute en fait 3 programmes : MAPCPYSPLF, MAP_815UCS et MAP_XPS

Nous allons vérifier les autorisations données par défaut à ces objets lors de l'installation de MAPPING.

DSPOBJAUT OBJ(OPALE1017/MAPCPYSPLF) OBJTYPE(*PGM)
                         Droits  
  Utilisat    Groupe      sur objet 
  *PUBLIC                 *CHANGE   
  QPGMR                   *ALL      

Nous voyons que pour le programme MAPCPYSPLF (et pour tous les autres) par défaut, l'utilisateur QPGMR a tous les droits *ALL et que tous les autres *PUBLIC ( soit les autres que celui listé en dessous ( soit dans notre cas QPGMR)) ont les droits de modifications *CHANGE

Quels impacts il y a sur les traitements du robot MAPPING

MAPPING a un robot (Sous système scannant des spooled files dans des OUTQs monitorées) qui permet l'automatisation des traitements. Chaque évènement arrivant dans une des OUTQs monitorés fait l'objet d'un traitement par l'intermédiaire de différents jobs. A l'exception de la commande MAPSNDMAIL, tous ces jobs sont exécutés par l'utilisateur système MAPPING (utilisateur créé à l'installation de MAPPING IBM-i)

Par conséquent, il faut s'assurer que l'utilisateur MAPPING ait bien les droits d'exécution sur les objets MAPPING (Exemple du MAPCPYSPLF ci-dessus)

Pour étayer cela, prenons les exemples ci-dessous :

Exemple 1

MAPPING en classe utilisateur *USER sans droits spéciaux avec *PUBLIC en *CHANGE et QPGMR en *ALL Prenons pour exemple l'exécution du programme MAPCPYSPLF avec le paramétrage droits/Autorisations suivant :

Utilisateur MAPPING :

  • Classe utilisateur : *USER
  • Droit spéciaux : *NONE

Programme MAPCPYSPLF :

  • PUBLIC *CHANGE

QPGMR *ALL

Le fonctionnement des droits fonctionne comme ci-après :

  1. est ce que l'utilisateur MAPPING a t'il les droits sur le programme MAPCPYSPLF?

Pour répondre à cette question, exécutons la commande ci-dessous :

DSPOBJAUT OBJ(OPALE1017/MAPCPYSPLF) OBJTYPE(*PGM)
                         Droits  
  Utilisat    Groupe      sur objet 
  *PUBLIC                 *CHANGE   
  QPGMR                   *ALL

L'utilisateur MAPPING fait dans ce cas parti du '*PUBLIC', de ce fait, il a le droit à '*CHANGE'

*CHANGE 
        Permet toutes les opérations sur l'objet, à l'exception de 
        celles réservées au propriétaire ou contrôlées par les droits 
        sur l'existence et sur la gestion de l'objet.

Cette autorisation lui permet donc d'exécuter la commande MAPCPYSPLF (et les 2 autres programmes associés qui ont les mêmes autorisations).

De ce fait la création du PDF ne posera pas de problème via le Robot.


Exemple 2

MAPPING en classe utilisateur *USER sans droits spéciaux avec *PUBLIC en *EXCLUDE et QPGMR en *ALL

Prenons pour exemple l'exécution du programme MAPCPYSPLF avec le paramétrage droits/Autorisations suivant :

Utilisateur MAPPING :

  • Classe utilisateur : *USER
  • Droit spéciaux : *NONE

Programme MAPCPYSPLF :

  • PUBLIC *EXCLUDE

QPGMR *ALL

Le fonctionnement des droits est comme cela :

  1. Est ce que l'utilisateur MAPPING a t'il les droits sur programme MAPCPYSPLF?

Pour répondre à cette question, exécutons la commande ci-dessous :

DSPOBJAUT OBJ(OPALE1017/MAPCPYSPLF) OBJTYPE(*PGM)
                         Droits  
  Utilisat    Groupe      sur objet 
  *PUBLIC                 *EXCLUDE   
  QPGMR                   *ALL

L'utilisateur MAPPING fait dans ce cas parti du '*PUBLIC', de ce fait, il a le droit à '*EXCLUDE'

     *EXCLUDE 
        Interdit toute opération sur l'objet.  
        sur l'existence et sur la gestion de l'objet.

On pourrait donc croire que le Robot ne puisse pas exécuter le programme MAPCPYSPLF, mais en fait il le pourra car dans le cas où l'utilisateur l'exécutant (dans le cas du Robot, l'utilisateur MAPPING) n'a pas les droits pour l'exécuter, le système IBM-i l'exécutera également avec les droits de son propriétaire. Le propriétaire des programmes MAPPING étant l'utilisateur QPGMR, alors son exécution se fera avec ses droits. Dans notre exemple avec les droits *ALL

Cette autorisation lui permet donc d'exécuter la commande MAPCPYSPLF (et les 2 autres programmes associés qui ont les mêmes autorisations).

De ce fait la création du PDF ne posera pas de problème via le Robot.


Exemple 3

MAPPING en classe utilisateur *USER sans droits spéciaux avec *PUBLIC en *EXCLUDE et QPGMR en *EXCLUDE

Prenons pour exemple l'exécution du programme MAPCPYSPLF avec le paramétrage droits/Autorisations suivant :

Utilisateur MAPPING :

  • Classe utilisateur : *USER
  • Droit spéciaux : *NONE

Programme MAPCPYSPLF :

  • PUBLIC *EXCLUDE

QPGMR *EXCLUDE

Le fonctionnement des droits est comme cela :

  1. Est ce que l'utilisateur MAPPING a t'il les droits sur programme MAPCPYSPLF?

Pour répondre à cette question, exécutons la commande ci-dessous :

DSPOBJAUT OBJ(OPALE1017/MAPCPYSPLF) OBJTYPE(*PGM)
                         Droits  
  Utilisat    Groupe      sur objet 
  *PUBLIC                 *EXCLUDE   
  QPGMR                   *EXCLUDE

L'utilisateur MAPPING fait dans ce cas parti du '*PUBLIC', de ce fait, il a le droit à '*EXCLUDE'

     *EXCLUDE 
        Interdit toute opération sur l'objet.  
        sur l'existence et sur la gestion de l'objet.

Tout comme dans l'exemple 2 ci-dessus, le système va essayer d'exécuter le programme MAPCPYSPLF avec l'utilisateur MAPPING. Celui-ci fait parti de *PUBLIC qui est en *EXCLUDE, de ce fait, il ne pourra pas l'exécuter. Ensuite le système va essayer de l'exécuter avec l'utilisateur propriétaire du programme à exécuter (MAPCPYSPLF) qui est QPGMR, mais celui-ci est également en *EXCLUDE

De ce fait la création du PDF sera impossible via le Robot. Un message d'erreur apparaitra dans les logs du robot MAPPING : Erreurs trouvées dans la commande


Exemple 4

Il est tout à fait possible de surcharger les autorisations vues précédemment (vu dans le DSPOBJAUT) en attribuant des droits spéciaux sur le profil MAPPING. La valeur permettant d'exécuter n'importe quel programme même si l'utilisateur n'a pas les droits dessus est la valeur *ALLOBJ

Si l'utilisateur MAPPING a ce droit spéciaux, alors peu importe ses droits sur les objets, il pourra les exécuter et il n'y aura plus de problème de droits avec le Robot. (De ce fait,avec les droits spéciaux *ALLOBJ, l'exécution de la commande MAPCPYSPLF de l'exemple 4 serait alors possible )

Remarque sur le passage d'un utilisateur en *ALLOBJ:
Avantage : Plus facile car on ne se pose plus de question sur la gestion des droits
Inconvénient : Donne accès à tous les objets sur système, ce qui peut être dangereux.

Cas particulier de l'envoi d'emails via la commande MAPSNDMAIL

Conclusion

Nous pouvons tirer plusieurs conclusion :

  1. Dans le cas d'utilisation du Robot, le profil utilisateur exécutant les traitement sera toujours (à l'exception de la commande MAPSNDMAIL) MAPPING
  2. Peu importe la classe utilisateur du profil exécutant le traitement
  3. Sans droit spéciaux, les droits d'un objet (programme, commande, etc) IBM-i sont affichés grâce la commande DSPOBJAUT ou modifiés à la commande 'GRTOBJAUT
  4. Le droit spécial *ALLOBJ donné à un utilisateur bypasse ces restrictions de droits et donne accès à l'exécution sur tous les objets