Pause-Café Volubis

pause-café

rendez-vous technique
Pause-Café est une réunion technique
destinée aux informaticiens sur plateforme IBM i.
Elle a lieu 3 fois par an : en général en Bretagne et sur Paris.

Pause-café #89

Mai 2022
le 17 mai avec Common France, 19 mai avec les clubs Pays de Loire et Bretagne

Access Client Solutions

Version 1.1.9.0 du 6/04/2022

Généralités

Cette version apporte principalement des améliorations au niveau de l'exécution de scripts SQL et de la gestion des systèmes dans des groupes (optionnels).

Gestion des systèmes

Vous avez maintenant la possibilité de définir des groupes de systèmes (catégories) :

Lorsque vous cliquez sur l'icone "Groups", vous pouvez créer de nouveaux groupes de systèmes

Une fois les groupes créés vous pouvez déplacer vos systèmes existants dans les groupes

Sélection et déplacement possible de plusieurs système

Bien sûr : création de nouveaux systèmes dans un groupe, renommage ou suppression d'un groupe.

 

Au redémarrage de ACS, l'ordre des groupes peut être modifié (ordre alphabétique) :

Lors dela sélection d'un système dans la liste déroulante, tous les systèmes sont affichés et les groupes n'apparaissent pas.

Il faut cliquer sur la flèche pour faire apparaitre le sélecteur de groupes :

A noter que la gestion des groupes n'est pas disponible pour la configuration des sessions 5250 et imprimantes.

 

2 nouvelles propriétés à modifier dans le fichier AcsConfig.properties permettent de paramètrer les noms des interfaces "Hardware Management Interface 1" et "Hardware Management Interface 2" :

  • com.ibm.iaccess.HMI1 et com.ibm.iaccess.HMI2

Par exemple :

 

Enfin, vous pouvez désormais personnaliser les informations à afficher dans la vue des systèmes

 

Exécution de script SQL

La seconde grande nouveauté est l'amélioration de l'exécution de scripts SQL qui supporte désormais les onglets :

Chaque création ou ouverture de script se fait dans un onglet. Il faut enregistrer un nouveau script pour pouvoir donner un nom à l'onglet (nom du fichier)

Tous les onglets sont relatifs à une seule et même connexion : toutes les requêtes s'effectuent dans le même travail (donc la même configuration JDBC).

Vous pouvez :

  • Déplacer un onglet
  • Soit en le sélectionnant par un click gauche et le déplacant. Lâcher le bouton de la souris une fois à sa position.
  • Soit click droit puis une des options permettant de positionner au début ou à la fin

A la fermeture de la fenêtre, si un ou plusieurs scripts ne sont pas enregistrés, l'outil vous demande onglet par onglet. 

Si vous souhaitez exécuter les scripts dans plusieurs jobs distincts, il faut ouvrir plusieurs fenêtres d'exécution de scripts SQL.

 

L'ouverture et l'enregistrement depuis/vers l'IFS sont également améliorés avec une boîte de dialogue permettant le filtre/sélection des éléments à afficher

Version 1.1.8.8

Version 1.1.9.0

 

Enfin, plus d'exemples sont fournis.

 

Autres évolutions

  • La gestion des modules Open Source est désormais disponible dans l'interface principale
  • Vous pouvez désactiver le panneau de description
  • La nouvelle version de "Navigator for i" est prise en charge par défaut, il n'est plus nécessaire d'indiquer la propriété com.ibm.iaccess.NewNavigator=true dans le fichier AcsConfig.properties

DCM - Digital Certificate Manager

Nouvelle interface

Prérequis et généralités

  • IBM i 7.5
  • IBM i 7.4
    • SI71936
    • PTF nécessaires pour TLSv1.3 et TLS1.2
      • SI71547, SI72543, MF66742, MF67525 and all requisites
      • SF99662: 740 IBM HTTP Server for i PTF - Group Level: 3 or newer
      • SF99665: 740 Java - PTF Group Level: 6 or newer
  • IBM i 7.3
    • SI72421
    • PTF nécessaires pour TLSv1.3 et TLS1.2
      • SF99867: 730 TCP/IP PTF Group Level: 5
      • SF99722: 730 IBM HTTP Server for i PTF Group Level: 24
        • For GUI System Value QSSLPCL and QSSLCSL support, not for HTTP Server use of TLS 1.3
      • SF99725: 730 Java PTF Group Level: 17
        • Plus these 4 Java PTFs:
        • SI72654 and SI72653 - JVA-RUN JDK 80-64 Native JSSE TLSv1.3
        • SI72652 and SI72651 - JVA-RUN JDK 70-64 Native JSSE TLSv1.2 ChaCha20Poly1305

Attention : modifie les ciphers par défaut si QSSLCSLCTL est à *OPSYS !

Cf https://www.ibm.com/docs/en/i/7.4?topic=settings-cipher-suite-configuration

Accès

Directement par son URL : http://partition:2001/dcm

Ou bien par Navigator for i!

Avec la nouvelle version, on accède par défaut uniquement à la nouvelle version :

Il est possible de configurer un nouveau signet pour continuer d'accèder à l'ancienne interface.

URL : http://neptune:2001/QIBM/ICSS/Cert/Admin/qycucm1.ndm/main0

Avec l'ancienne version de Navigator for i :

Avec Access Client Solutions : à vous d'indiquer l'URL !

Dans tous les cas les deux interfaces sont accessibles.

Avantage

Plus fluide, plus rapide, plus ergonomique que l'ancienne version.

Maintenant :

De nouvelles fonctions :

  • Visualisez tous les certificats du magasin, filtrez-les et triez-les pour une identification rapide
  • Capacités de survol pour fournir une aide instantanée sur les champs, les boutons, les tâches
  • Identification visuelle des certificats qui expirent ou ont déjà expirés
  • Travailler avec plusieurs magasins de certificats en même temps
  • Capacité de navigation IFS
  • Charger et télécharger des certificats vers/depuis votre poste de travail (répertoire dédié dans l'IFS)

Des fonctions supprimées :

  • Certificat utilisateur (associé à un *USRPRF)
  • Certificat permettant de signer un objet pour un autre IBM i

Pour le reste : on retrouve les mêmes fonctions disponibles, réorganisées

Connexion :

Filtre et tri :

Coloration (expiration) :

Actions et attributs :

Gestion des applications :

Nouveautés

Nouvelles API (7.4 avec PTF + 7.5)

 

Nouveau service SQL : QSYS2.CERTIFICAT_INFO (UDTF)

Permet d’obtenir très facilement les informations sur les certificats

Et d’automatiser vos remontées d’alertes, renouvellement automatique, intégration de sonde dans votre exploitation …

 

Si vous n'êtes pas à jour ?

https://github.com/FrenchIBMi/Outils/tree/master/API%20securite

 

DCM-tools

Jesse Gorzinski nous fournit maintenant, en Open Source, des commandes (shell) de manipulation des certificats gérés dans DCM 

Le dépôt Git : https://github.com/ThePrez/DCM-tools

Par SSH, QSH ou QP2TERM :

Vous disposez maintenant des commandes :

  • dcmimport
  • dcmexport
  • dcmexportcert
  • dcmassign
  • dcmrenew
  • dcmview
  • dcmremovecert
  • dcmrenamecert
  • dcmchangepwd

Références et extras

Navigator for i

Rappels

IBM a « stabilisé » les outils suivants en V6R1 :

  • IBM i Navigator
  • Client Access

=> Pas de nouvelles fonctionnalités importantes

Les outils déjà disponibles en mode web depuis l’IBM i ne sont pas toujours pratiques ou ergonomiques :

  • Navigator for i : lent ! De nombreux utilisateurs préfèrent le client lourd …
  • DCM : objectivement peu ergonomique …

IBM poursuit donc se refonte des outils d’administration et d’accès à l’IBM i après ACS.

Versions historiques

iSeries Navigator 1995

 

Sur l'IBM i, depuis 2007, première refonte en 2013

 

IBM Navigator for i - mobile

Pour activer l'accès mobile, il est nécessaire de paramètrer une instance: https://www.ibm.com/support/pages/ibm-i-access-mobile

Prérequis

Pour la nouvelle version :

La liste des PTF : https://www.ibm.com/support/pages/node/6486565?myns=ibmi&mynp=OCSWG60&mync=E&cm_sp=ibmi-_-OCSWG60-_-E

La liste des produits sous licence nécessaires : https://www.ibm.com/support/pages/node/6485477 

Principe de fonctionnement

L'architecture technique du produit est également largement simplifiée pour permettre une meilleure réactivité.

  • On utilisera toujours Java avec un serveur Liberty
  • Mais le reste de la pile est simplifié avec Angular, PrimeNG (Angular UI Component Library) et l'utilisation des Services SQL
  • Certaines fonctions ont été repensées dans l'interface (EIM qui est un vrai supplice aujourd'hui ...), d'autres qui n'étaient pas disponibles sur l'interface actuelle (tableau de bord multi-systèmes ?). Les fonctions arriveront progressivement dans l'interface :
    • Advanced Job Scheduler, PowerHA, BRMS, et AFP form functions

Le produit s’appuie sur les services SQL.

Versions IBM i

Vous êtes en 7.2 ou inférieur : pas de support prévu, il faut migrer vers 7.4 / 7.5.

Log4j : des vulnérabilités avec l'ancienne version. IBM ne portera pas les correctifs, car une partie du code Open Source utilisé n'est plus disponible. Pour vous mettre en confirmité avec les exigences de sécurité : migration vers la nouvelle version.

 

Références : 

Security Bulletin: IBM i components are vulnerable to data access due to CVE-2022-22481 : https://www.ibm.com/support/pages/node/6583553?myns=ibmi&mynp=OCSWG60&mync=E&cm_sp=ibmi-_-OCSWG60-_-E

Security Bulletin: IBM i components are affected by CVE-2021-4104 (log4j version 1.x) : https://www.ibm.com/support/pages/node/6539162

 

Accès

URL :

  • http://partition:2001 ou http://partition:2002/Navigator
  • https://partition:2010 ou https://partition:2003/Navigator

=> Les dernières PTFs provoquent une redirection ves la nouvelle interface.  

 

Depuis Access Client Solutions :

Par défaut, Access Client Solutions envoie vers l'ancienne interface. Cette dernière étant routée vers la nouvelle.

Si vous avez un niveau de PTF plus ancien, vous serez donc sur l'ancienne interface. Vous pouvez modifier le fichier de configuration de ACS pour demander à aller par défaut sur la nouvelle interface (c'est une configuration globale, qui s'applique à tous les systèmes paramétrés) :

Dans le fichier AcsConfig.properties, ajouter la propriété : com.ibm.iaccess.NewNavigator=true

Pour configurer les deux interfaces, voir les informations précédentes pour ACS.

Continuer à accèder à la version historique

Si vous avez besoin de continuer d'utiliser la version historique, il faut lancer manuellement le travail ADMIN2 :

soit en mode commande : STRTCPSVR SERVER(*IAS) INSTANCE(ADMIN2)

soit en mode graphique : 

Utilisation

Même principe de navigation que pour l'ancienne version :

Connexion

Saisir le profil / mot de passe : un premier écran est proposé

Contenant des métriques de base sur la partition. Cet écran d'accueil permet de gèrer plus systèmes (on voit cela juste après).

Un double click permet d'entrer dans la gestion du noeud (partition).

La partie de gauche est un menu, dont les options détaillées apparaissent par survol avec la souris :

Il suffit de cliquer sur une option pour aller sur l'écran correspondant.

Pour la plupart des écrans, il est possible d'exporter les informations affichées en CSV :

Les autres actions sont contextuelles.

Comme avec la version historique, il est possible de définir des favoris, rapides à retrouver :

Les favoris sont définis par utilisateur.

Vous pouvez leur donner un nom et un libellé spécifique :

Pour la langue de Molière, la description n'admet pas de caractères nationaux, alors que le nom d'affichage le permet ...

Vous retrouvez ensuite dans le gestionnaire de favoris pour un accès rapide :

 

Nous retrouvons également une possibilité de créer des signets personnalisés, permettant de renvoyer vers les autres interfaces d'administration :

Les interfaces standards sont fournies, vous pouvez ajouter vos liens (ici par exemple l'ancien Navigator for i) :

A la création du signet, les informations suivantes sont demandées :

 

Enfin, des informations sur la maintenance :

Permettant de gèrer les connexions (sécurisées ou non), les valeurs de seuils pour les graphiques ... ainsi que l'emplacement des logs et le niveau de log attendu.

 

Gestion de plusieurs systèmes

Il est possible de configurer plus systèmes depuis l'écran d'accueil, et d'administrer ces systèmes depuis un unique système.

Les partitions peuvent être de différents niveaux de version (6.1, 7.1, 7.2, 7.3, 7.4, 7.5), MAIS certaines informations nécessitent les services SQL correspondant. Les partitions de version inférieure (ou TR inférieure) ne permettront pas toutes les options.

 

Par exemple, lors de l'ajout d'un système en V6R1 (pas de services SQL) :

 

Le travail ADMIN1 fournit l'interface graphique :

  • il est nécessaire sur la partition de gestion
  • il n'est pas nécessaire sur les systèmes gérés

 

Ajout d'un système dans la liste :

Ajout d'un nouveau noeud (plusieurs options identiques dans l'interface) :

Saisir les informations 

Il est possible d'obtenir ce message :

Regardons les propriétés de connexion :

Les options 2 et 3 permettent de fournir des profils/mots de passe différents par système (bonne pratique !) et éventuellement de les mémoriser.

Cette dernière option nécessite que la Master Key 1 soit renseignée sur votre système, elle sert ici à encoder le fichier de stockage des mots de passe. Si la clé maître n'est pas renseignée, vous obtenez, au moment du changement de ce paramètre :

Et également sur l'écran d'accueil avec plusieurs systèmes configurés :

Le changement de méthode d'authentification est pris en compte à la prochaine connexion :  

La connexion à un autre système propose alors :

Le système apparait alors dans la liste :

Il est possible de passer de la vue liste en vue tableau de bord :

Services SQL

L'outil est presque entièrement basé sur les services SQL pour IBM i. 

Sur la plupart des écrans, vous pouvez obtenir l'instruction SQL correspondant aux informations affichés (ici les messages de *SYSOPR) :

L'outil propose d'exécuter directement la requête dans l'exécution de script de ACS, disponible dans le menu Outils :

Les prochaines demandes provoquent l'ouverture de ACS, le script étant pré-chargé.

 

Lorsque plusieurs systèmes sont configurés, il est possible d'obtenir les mêmes informations pour l'un des systèmes configurés :

 

L'entête se met à jour pour indiquer que l'on agit sur la partition AS400 ici.

Graphiques personnalisés

Un nouvelle fonction intéressante : des graphiques personnalisées, sur la base de métriques disponibles, ou de vos propres métriques !

Très peu de métriques fournies :

Il est possible

  • d'agréger des informations pour une partition
  • ou pour plusieurs partitions

Des métriques supplémentaires ? C'est à vous de les fournir via une requête SQL !

Puis créer un graphique en utilisant ces métriques :

Sécurité - administration d'applications - fonctions d'usage

Comme dans tous les outils, les droits de l'utilisateur connecté s'appliquent.

De plus, l'ancienne version utilise l'administration d'applications pour limiter ou autoriser certaines fonctions :

 

En réalité, cela utiliser les fonctions d'usage (WRKFCNUSG) :

 

Mais avec le temps, il existe de nombreuses fonctions, avec des règles de nommage hétérogènes, ce qui rend l'administration délicate !

La nouvelle interface conserve ce principe et se base également sur les fonctions d'usage, mais de nouvelles : QIBM_NAV*

 

De plus, une nouvelle valeur QIBM_NAV_ALL_FUNCTION est fournie.

Jusqu'à mai 2022, la valeur par défaut était *ALLOWED, désormais *DENIED. De fait, seul QSECOFR ou les profils avec le droit spécial *ALLOBJ sont autorisés à l'interface.

 

Voir https://www.ibm.com/support/pages/node/6485853

Attention :

  • Toutes les personnalisations sont à reprendre
  • Par défaut, les utilisateurs ne sont plus autorisés

 

Exemple de personnalisation d'une fonction :

 

Si vous n'êtes pas autorisés à une fonction, cette dernière reste affichée dans l'interface, mais l'utilisation produit une erreur :

 

Couverture fonctionnelle

La liste des fonctions disponibles : https://www.ibm.com/support/pages/node/6556200

La liste des fonctions bientôt disponibles : https://www.ibm.com/support/pages/node/6485241

Ce n'est pas très clair pour BRMS, Advanced Job Scheduler er Power HA ...

 

Pour finir, attention à certaines fonctions : par exemple la recherche ne retrouve pas toutes les fonctions disponibles !

Références