Bonjour,
J'ai un répertoire IFS sur lequel j'ai positionné des droits via une liste d'autorisation et supprimé les droits *PUBLIC.
Lorsque l'on créé un sous-répertoire, la liste d'autorisation est bien héritée.
Mais lorsque l'on créé un fichier, la liste d'autorisation est à "*NONE" et seul le créateur a des droits.
Les fichiers sont créés par un logiciel tiers et pas par l'IBMi.
Or, j'ai besoin qu'une liste de personnes puissent accéder aux fichiers nouvellement créés de façon automatique.
Merci.
IFS - Liste d'autorisation
-
- Messages : 55
- Enregistré le : ven. 22 janv. 2021, 10:21:13
IFS - Liste d'autorisation
- Fichiers joints
-
- 2022-07-07_12h24_03.png (26.53 Kio) Vu 14187 fois
-
- 2022-07-07_12h23_30.png (24.49 Kio) Vu 14187 fois
Re: IFS - Liste d'autorisation
Bonjour Sébastien,
C'est assez compliqué avec l'IFS :
les répertoires héritent bien de la config de sécurité du répertoire au dessus
pas les fichiers (en tout cas pas toujours) !
De plus, pour les fichiers, cela dépend la commande/API de création ...
Certaines commandes admettent un paramètre pour fixer les droits publics, d'autres non.
Par exemple, un fichier créé par CPYTOIMPF ou par QSH touch n'ont pas les mêmes droits :
CPYTOIMPF : *PUBLIC *EXCLUDE
touch : *PUBLIC *RW
Particularité : le propriétaire n'a pas obligatoirement tous les droits, et il faut avoir les droits sur l'ensemble du chemin.
Autre test avec FTP : le fichier créé a tous les droits du répertoire + tous les droits pour le profil de création + la liste d'autorisation !
Je n'ai rien dans les docs IBM à ce sujet.
En synthèse :
- la liste d'autorisation ce n'est pas naturel pour l'IFS, c'est plutôt un fonctionnement POSIX
- par ailleurs, les autorités adoptées ne fonctionnent pas non plus (il faut passer par des API de swap de profil)
Quelques pistes :
- modifier l'application cliente si possible ?
- appliquer régulièrement les droits à l'ensemble des objets du répertoire
- intercepter les créations de fichiers pour mettre les droits (via le journal ?)
Sinon : quel besoin d'avoir la liste d'autorisation sur les fichiers eux-mêmes, puisque les répertoires doivent déjà permettre ou non l'accès ?
C'est assez compliqué avec l'IFS :
les répertoires héritent bien de la config de sécurité du répertoire au dessus
pas les fichiers (en tout cas pas toujours) !
De plus, pour les fichiers, cela dépend la commande/API de création ...
Certaines commandes admettent un paramètre pour fixer les droits publics, d'autres non.
Par exemple, un fichier créé par CPYTOIMPF ou par QSH touch n'ont pas les mêmes droits :
CPYTOIMPF : *PUBLIC *EXCLUDE
touch : *PUBLIC *RW
Particularité : le propriétaire n'a pas obligatoirement tous les droits, et il faut avoir les droits sur l'ensemble du chemin.
Autre test avec FTP : le fichier créé a tous les droits du répertoire + tous les droits pour le profil de création + la liste d'autorisation !
Je n'ai rien dans les docs IBM à ce sujet.
En synthèse :
- la liste d'autorisation ce n'est pas naturel pour l'IFS, c'est plutôt un fonctionnement POSIX
- par ailleurs, les autorités adoptées ne fonctionnent pas non plus (il faut passer par des API de swap de profil)
Quelques pistes :
- modifier l'application cliente si possible ?
- appliquer régulièrement les droits à l'ensemble des objets du répertoire
- intercepter les créations de fichiers pour mettre les droits (via le journal ?)
Sinon : quel besoin d'avoir la liste d'autorisation sur les fichiers eux-mêmes, puisque les répertoires doivent déjà permettre ou non l'accès ?
Nathanaël
-
- Messages : 55
- Enregistré le : ven. 22 janv. 2021, 10:21:13
Re: IFS - Liste d'autorisation
Merci pour cette réponse.
J'avais, effectivement, lu que selon le système qui génère le fichier, les droits n'étaient pas toujours positionnés de la même façon.
Mon soucis est qu'une personne de la liste d'autorisation souhaite supprimer le fichier or dans le cas ci-dessus, seul le créateur du fichier à ce droit.
Je suis d'accord avec les pistes, mais je préférais demander avant. Au cas où ...
J'avais, effectivement, lu que selon le système qui génère le fichier, les droits n'étaient pas toujours positionnés de la même façon.
Mon soucis est qu'une personne de la liste d'autorisation souhaite supprimer le fichier or dans le cas ci-dessus, seul le créateur du fichier à ce droit.
Je suis d'accord avec les pistes, mais je préférais demander avant. Au cas où ...
-
- Messages : 10
- Enregistré le : jeu. 27 sept. 2018, 09:53:21
- Localisation : Lyon
- Contact :
Re: IFS - Liste d'autorisation
Bonjour Sébastien,
Oui tu as touché un problème double la liste d'autorisation et IFS
La liste d'autorisation qui a des limitations , par exemple n'est pas utilisable en full, si tu regénère une table SQL , il te traduit les droits qui ne sont pas équivalent ...
Pour l'IFS 2 problèmes connus mais pas toujours maitrisés
Le jeux de caractères , combien de fois on se retrouve avec un fichier illisible
dans un monde merveilleux, il serait bon de tout mettre en unicode ...
je n'ai pas de solution miracle ...
Les droits
D'abord on ne maitrise pas l'héritage des droits en fonction de la nature de la création (SMB, FTP,, CPYxx, etc ...)
Ensuite, l'adoption de droit ne marche pas sur l'IFS , on ne peut pas dire mon programme de traitement va s'exécuter avec des droits SU !
On a eu ce problème chez un client, on l'a résolu par un programme d'exit qui réappliquait un template de droit en soumettant un batch sous un profil SU , (on ne pouvait pas changer l'applicatif ...).
Si ca t'intéresse je dois avoir un bout de code la dessus
Bonnes vacances
Oui tu as touché un problème double la liste d'autorisation et IFS
La liste d'autorisation qui a des limitations , par exemple n'est pas utilisable en full, si tu regénère une table SQL , il te traduit les droits qui ne sont pas équivalent ...
Pour l'IFS 2 problèmes connus mais pas toujours maitrisés
Le jeux de caractères , combien de fois on se retrouve avec un fichier illisible
dans un monde merveilleux, il serait bon de tout mettre en unicode ...
je n'ai pas de solution miracle ...
Les droits
D'abord on ne maitrise pas l'héritage des droits en fonction de la nature de la création (SMB, FTP,, CPYxx, etc ...)
Ensuite, l'adoption de droit ne marche pas sur l'IFS , on ne peut pas dire mon programme de traitement va s'exécuter avec des droits SU !
On a eu ce problème chez un client, on l'a résolu par un programme d'exit qui réappliquait un template de droit en soumettant un batch sous un profil SU , (on ne pouvait pas changer l'applicatif ...).
Si ca t'intéresse je dois avoir un bout de code la dessus
Bonnes vacances
-
- Messages : 55
- Enregistré le : ven. 22 janv. 2021, 10:21:13
Re: IFS - Liste d'autorisation
Bonjour Pierre-Louis,
Merci pour ta réponse.
Si tu retrouve ton "bout de code", je veux bien. Même si ce n'est pas très jolie, au moins cela mérite de fonctionner.
Merci pour ta réponse.
Si tu retrouve ton "bout de code", je veux bien. Même si ce n'est pas très jolie, au moins cela mérite de fonctionner.
Re: IFS - Liste d'autorisation
Bonjour,
En effet, la liste d'autorisation peut parfois présenter des limitations, notamment lorsqu'elle n'est pas utilisable en mode complet et qu'elle ne permet pas une traduction équivalente des droits lors de la régénération d'une table SQL
En effet, la liste d'autorisation peut parfois présenter des limitations, notamment lorsqu'elle n'est pas utilisable en mode complet et qu'elle ne permet pas une traduction équivalente des droits lors de la régénération d'une table SQL
Des kits d'espion camera de qualtié ici