Sécurité

L' interface utilisateur 3270 améliorée ( 3270UIaméliorée) authentifie l'identité de l'utilisateur à l'aide de l'interface SAF (System Authorization Facility). Tous les échecs d'authentification ou d'autorisation sont consignés dans le fichier journal, de même que l'ensemble des demandes d'action.

Fonction d'autorisation système

Cette opération inclut toujours une vérification de l'existence de l'ID utilisateur SAF et de sa validité. L'interface utilisateur 3270 améliorée exécute également un certain nombre de vérifications d'autorisation SAF pour vérifier si l'utilisateur possède les droits pour effectuer les activités suivantes :
  • Connectez-vous à cette instance de l' interface utilisateur 3270 améliorée
  • Activités d'utilisateur final
    • Affichage des données pour un groupe d'attributs spécifique (table) sur un système géré particulier
    • Transmission d'une demande d'action à un système géré spécifique
    • Modification des préférences de mise à jour automatique
    • Saisie d'une commande dans la ligne de commande
    • Création et modification d'un nom de membre de profil identique à l'ID de l'utilisateur
    • Utiliser un serveur Tivoli Enterprise Monitoring Server concentrateur spécifique
  • Activités d'administration
    • Répertorier les utilisateurs de l' interface utilisateur 3270 améliorée , et éventuellement mettre fin à la session d'un utilisateur
    • Enregistrement d'un membre de fichier.
    • Démarrage ou arrêt de la fonction de trace de l'interface utilisateur
    • Démarrage ou arrêt de la fonction de trace interne
    • Modification (Save As) de tout membre d'ensemble de données partitionnées avec un ID utilisateur différent de celui de l'utilisateur actuel.
    • Configuration de l'historique à court terme
Les droits des utilisateur et la quantité de sécurité imposée sont affectés par les administrateurs de site. L'autorisation s'effectue comme suit :
  • Si aucune classe de sécurité SAF n'est fournie (la valeur de RTE_SECURITY_CLASS est manquante ou vide), les utilisateurs peuvent se connecter à l' 3270UI, accéder aux données via des requêtes, mais ils ne peuvent pas émettre de commandes Action.
  • Si une classe de sécurité SAF est fournie, mais qu'elle n'est pas définie et active dans SAF, personne ne peut se connecter à l' 3270UI.
  • Si une classe de sécurité SAF est fournie et qu'elle est définie et active dans SAF, mais qu'aucun profil de connexion n'est défini, personne ne peut se connecter à l' 3270UI.
  • Si un utilisateur peut se connecter et qu'une autre classe de sécurité que la classe de connexion est utilisée pour les requêtes ou les commandes Action (mais n'est pas activée ou si les ressources ne sont pas définies dans cette classe de sécurité), tous les utilisateurs peuvent afficher des données pour n'importe quel système géré et exécuter d'autres commandes et activités. Cependant, toutes les commandes Action sont refusées.
  • Si un nom de classe de sécurité est configuré, des profils de ressource doivent être définis pour contrôler la connexion, l'accès aux données et les commandes Action. Les utilisateurs doivent alors être autorisés à accéder à ces profils.

Activation de la génération de passticket e3270UI

Les requêtes d'affichage ou d'effacement de la mémoire émanant de l'interface améliorée 3270 nécessitent une connexion sécurisée de l'interface améliorée 3270 vers l'agent de surveillance OMEGAMON on z/OS. L'interface améliorée 3270 génère alors un passticket (un mot de passe à usage unique seulement) et l'envoie à l'agent de surveillance OMEGAMON on z/OS dans la requête de données. L'agent de surveillance peut ainsi authentifier la requête qui émane de l'utilisateur enregistré dans l'interface améliorée 3270.

La classe de sécurité PTKTDATA doit être activée afin qu'un passticket puisse être généré. Pour activer la classe PTKTDATA et le traitement SETROPTS RACLIST, exécutez la commande suivante :
SETROPTS CLASSACT(PTKTDATA) RACLIST(PTKTDATA) GENERIC(PTKTDATA)
La classe clé passticket permet à l'administrateur de la sécurité d'associer une clé confidentielle de connexion sécurisée RACF à une application mainframe particulière utilisant RACF pour l'authentification d'utilisateur. Tous les profils contenant des informations de passticket sont définis dans la classe PTKTDATA.

Configuration des profils de ressource de sécurité

Voir Activer la sécurité pour l'interface utilisateur OMEGAMON enhanced 3270 pour plus d'informations sur le fonctionnement de la sécurité et la configuration des profils de ressources de sécurité.

A partir de l'interface utilisateur 3270 améliorée d'OMEGAMON PTF UA83356 du correctif APAR OA51564, vous pouvez utiliser l'Editeur de situation et l'Editeur d'objet pour la gestion de situations et de groupes. Toutefois, les nouvelles fonctions Editeur de situation et Editeur d'objet qui sont introduites dans cette PTF sont désactivées par défaut en raison d'un impact possible sur les performances de certaines situations. Les profils de sécurité suivants doivent être définis pour ces éditeurs.
  • KOBUI.ADMIN.SITEDITOR
  • KOBUI.ADMIN.OBJECTEDITOR
  • O4SRV.**
Utilisez des combinaisons de droits d'accès read, update ou none pour les profils afin de contrôler l'accès aux éditeurs.
  • Pour visualiser les éditeurs, les utilisateurs doivent avoir un droit d'accès read ou update dans les profils d'éditeur correspondants (KOBUI.ADMIN.SITEDITOR pour l'éditeur de situation et KOBUI.ADMIN.OBJECTEDITOR pour l'éditeur d'objet). Les utilisateurs ayant le droit d'accès none dans les profils ne peuvent pas accéder aux éditeurs.
  • Pour sauvegarder les mises à jour dans les éditeurs, les utilisateurs doivent avoir le droit d'accès read ou update dans le profil O4SRV.**, ainsi que le droit d'accès read ou update dans les profils d'éditeur correspondants. Les utilisateurs ayant le droit d'accès none dans le profil O4SRV.** ne peuvent pas sauvegarder les modifications dans les éditeurs.

Data Facility Storage Management System (DFSMS)

Les activités suivantes sont sécurisées séparément par le système DFSMS (Data Facility Storage Management System) :
  • Affichage d'une liste de membres pour un fichier.
  • Exploration du contenu d'un membre de fichier.
  • Enregistrement d'un membre de fichier.

Expérience Utilisateur

Quand des utilisateurs ne sont pas autorisés à exécuter une activité, le système les empêche d'exécuter l'activité indépendamment de la méthode utilisée, qu'il s'agisse par exemple d'un élément de menu, d'une ligne de commande ou d'une touche de fonction.

Lorsque les utilisateurs tentent d'exécuter une activité qui leur est interdite, un message identique au suivant s'affiche sur leur écran :
Figure 1 : Message Security system denied request.
Message de demande de refus du système de sécurité indiquant que le système de sécurité a refusé la demande: trace de l'interface utilisateur
L'administrateur peut vérifier le fichier journal SYSPRINT pour voir des détails supplémentaires sur la demande refusée. Par exemple, pour le message ci-dessus, une entrée identique à la suivante peut se trouver dans le fichier journal SYSPRINT :
USER2 KOBUICS2I SAF R15=00000008 CLASS($KOBTEST) RESOURCE( KOBUI.ADMIN.TRACE.UI.BASIC ) RC=00000008 RSN=00000000