Différence entre versions

Version du 2 octobre 2020 à 09:45

Sommaire

1 Introduction
2 Droits d'accès

Introduction

Cette documentation explique la gestion des droits d'accès sur les objets MAPPING IBM-i. Cette documentation explique notamment les droits minimum nécessaire au bon fonctionnement de MAPPING

Droits d'accès

Traitements via le Robot MAPPING

Tous les traitements MAPPING (à l'exception de la commande MAPSNDMAIL) sont exécutés avec le profil système MAPPING. (profil créé et paramétré lors de l'installation de MAPPING IBM-i)

Cet utilisateur MAPPING doit avoir accès en exécution aux programmes de MAPPING.

Fonctionnement des droits sur les objets IBM-i

Pour cette documentation, nous allons prendre pour exemple le programme de génération de PDF via la commande MAPCPYSPLF. La commande MAPCPYSPLF exécute en fait 2 programmes : MAP_815UCS et MAP_XPS

Nous allons vérifier les autorisations données à ces objets lors de l'installation de MAPPING.

DSPOBJAUT OBJ(OPALE1017/MAPCPYSPLF) OBJTYPE(*PGM)

                         Droits  
  Utilisat    Groupe      sur objet 
  *PUBLIC                 *CHANGE   
  QPGMR                   *ALL

Nous voyons que pour le programme MAPCPYSPLF par défaut, l'utilisateur QPGMR a tous les droits *ALL et que tous les autres (autre que celui listé en dessous ( soit dans notre cas QPGMR)) ont les droits de modification *CHANGE

Quels impacts il y a sur les traitements du robot MAPPING

MAPPING a un robot (Sous système scannant des spooled files dans des OUTQs monitorées) qui permet l'automatisation des traitements. Chaque évènement arrivant dans une des OUTQs monitorés fait l'objet d'un traitement par l'intermédiaire de différents jobs. Ces jobs sont exécutés par l'utilisateur MAPPING (utilisateur créé à l'installation de MAPPING IBM-i)

Par conséquent, il faut s'assurer que l'utilisateur MAPPING ait bien les droits d'exécution aux objets MAPPING (Exemple du MAPCPYSPLF ci-dessus)

Exemple 1 : MAPPING en classe utilisateur *USER sans droits spéciaux

Prenons pour exemple l'utilisation du MAPCPYSPLF et avec le cas où l'utilisateur MAPPING ait pour classe utilisateur *USER.

Le fonctionnement des droits est comme cela :

l'utilisateur MAPPING a t'il les droits sur MAPCPYSPLF?

Pour répondre à cette question, exécutons la commande ci-dessous :

DSPOBJAUT OBJ(OPALE1017/MAPCPYSPLF) OBJTYPE(*PGM)

                         Droits  
  Utilisat    Groupe      sur objet 
  *PUBLIC                 *CHANGE   
  QPGMR                   *ALL

L'utilisateur MAPPING fait dans ce cas parti du *PUBLIC, de ce fait, il a le droit à *CHANGE

*CHANGE 
        Permet toutes les opérations sur l'objet, à l'exception de 
        celles réservées au propriétaire ou contrôlées par les droits 
        sur l'existence et sur la gestion de l'objet.

@@ Ligne 31 : / Ligne 31 : @@
 Par conséquent, il faut s'assurer que l'utilisateur MAPPING ait bien les droits d'exécution aux objets MAPPING (Exemple du MAPCPYSPLF ci-dessus)
-====Exemple 1 : MAPPING en classe utilisateur *USER====
+====Exemple 1 : MAPPING en classe utilisateur *USER sans droits spéciaux====
 Prenons pour exemple l'utilisation du MAPCPYSPLF et avec le cas où l'utilisateur MAPPING ait pour classe utilisateur *USER.
@@ Ligne 37 : / Ligne 37 : @@
 #l'utilisateur MAPPING a t'il les droits sur MAPCPYSPLF?
+Pour répondre à cette question, exécutons la commande ci-dessous :
   DSPOBJAUT OBJ(OPALE1017/'''MAPCPYSPLF''') OBJTYPE('''*PGM''')
@@ Ligne 43 : / Ligne 46 : @@
     <span style="color:#46FF33;background-color:black">*PUBLIC                 *CHANGE</span>
     <span style="color:#46FF33;background-color:black">QPGMR                   *ALL</span>
+L'utilisateur MAPPING fait dans ce cas parti du *PUBLIC, de ce fait, il a le droit à *CHANGE
+ *CHANGE
+         Permet toutes les opérations sur l'objet, à l'exception de
+         celles réservées au propriétaire ou contrôlées par les droits
+         sur l'existence et sur la gestion de l'objet.
 ===Cas particulier de l'envoi d'emails via la commande MAPSNDMAIL===