Log4j a fait beaucoup parlé de lui en décembre 2021. Notamment à propos du navigateur Heritage pour i.
IBM a publié l’article : « Security Bulletin : Security Bulletin: IBM i components are affected by CVE-2021-4104 (log4j version 1.x).
Dans ce document, il y a une section intitulée « Workarounds and Mitigations", dans laquelle on retrouve :
« IBM Navigator for i - heritage version utilise log4j v1.x et ne peut pas être mis à jour vers log4j v2.x ou être retiré. Les clients peuvent contrer le CVE en cessant d'utiliser la version de base d'IBM Navigator pour i. »
Si vous rencontrez également ce problème, vous pourrez retrouver la marche à suivre pour basculer vers la version fonctionnelle de Navigator pour i.
Log4j est désormais obsolète. Mais, il reste important de comprendre le fonctionnement de Nav4i. Voici comment IBM le défini :
« L'utilisation des fonctions permet de mettre en place des contrôles de sécurité granulaires aux utilisateurs tels que tous les objets, le contrôle des tâches ou les services.
Cet article passe en revue tous les identifiants d'utilisation de fonction disponibles et leur objectif. »
Pour avoir une meilleure idée de ce dont il s'agit, l'image ci-dessous pourra vous aider :
Ce que vous voyez peut vous rappeler iSeries Navigator for i, l'arborescence avait exactement la même apparence.
Comme le Heritage Navigator for i est lancé par défaut, la case à cocher de la colonne "Accès par défaut" donnera à un utilisateur sans autorité supplémentaire la possibilité de se connecter au Heritage Navigator for i et de consulter tous les profils d'utilisateurs présents sur le système.
Par défaut, toutes les cases de la colonne "Default Access" sont cochées. De fait, la plupart des Administrateurs Système ont procédé à des ajustements dans cette partie pour n’y donner l’accès qu’aux utilisateurs ayant l’autorité *ALLOBJ.
Vous pourriez penser que Nav4i possèdent les mêmes fonctions d’utilisation que Heritage Navigation for i. Je ne voudrais pas gâcher la surprise, mais ce n’est pas le cas…
Pour le nouveau Nav4i, IBM a implémenté de nouvelles fonctions. Pour savoir comment elles s'appellent, jetez un coup d'œil à l'image ci-dessous, où vous pouvez voir comment les gérer :
En sélectionnant l'option "Function Usage", le service QSYS2.FUNCTION_INFO de Db2 for i est exécuté, vous montrant :
Tous les ID de fonction avec "NAV" dans leur nom sont les nouvelles fonctions mises à disposition pour contrôler la disponibilité des fonctions dans le nouveau Nav4i. En utilisant la fonction de filtrage comme indiqué ci-dessous, vous constaterez que les chiffres correspondent :
Enfin, pas exactement. Le nombre d'icônes à gauche est plus élevé, mais si vous laissez celle du haut et les deux dernières en dehors, le nombre est de 11. Le nombre affiché est de 12. La différence est faite par l'ID de la fonction : "QIBM_NAV_ALL_FUNCTION" avec la description : "UTILISATION DU NAVIGATEUR IBM POUR LES FONCTIONS i". Ce qui est logique puisque cette ID de fonction vous permet de contrôler ce que les autres utilisateurs voient. Lorsque vous passez la souris sur une ligne après l'avoir sélectionnée, l'option "Modifier" apparaît :
En la sélectionnant, votre écran ressemblera à ceci :
En tant qu'administrateur système, c’est à vous à accorder aux bons utilisateurs l'accès à ce dont ils ont besoin pour faire leur travail.
Je ne pense pas qu'il soit nécessaire d'expliquer comment supprimer l'autorité par défaut pour les utilisateurs sans autorité *ALLOBJ.
Si votre application est fournie avec un utilisateur *ALLOBJ, il pourrait être opportun de supprimer l’autorité pour les utilisateurs avec *ALLOBJ.
La question est donc toujours de savoir à qui accorder l’accès et à qui le refuser. Comme toujours, ça dépend.
Tant que vous ne vous retirez pas de l’ID produit « QIBM_NAV_ALL_FUNCTION », vous aurez toujours la possibilité de vous corriger en cas d’erreur en utilisant l'émulation 5250 avec la commande : "WRKFCNUSG FCNID(QIBM_NAV_ALL_FUNCTION)".
Après avoir refusé l'accès à une fonction à un utilisateur, celui-ci peut encore survoler l'icône et voir toutes les options disponibles, mais lorsqu'il en sélectionne une, la fenêtre ci-dessous s'affiche :
Après avoir passé en revue toutes les ID de produit et avoir configuré l'accès au nouveau Nav4i selon vos besoins. Vous êtes prêt à utiliser le nouveau Nav4i et vous aurez bientôt oublié l'ancien Navigator pour i. Pourquoi ? Eh bien, parce que le nouveau Nav4i est tellement mieux. Oui, c'est aussi simple que cela.