Easi Blog

De nieuwe Navigator for i

Geschreven door Rudi van Helvoirt | Mar 10, 2022 5:00:00 AM

De log4j-kwestie was in december 2021 overal in het nieuws; een van de slachtoffers was de Heritage Navigator for i, zoals die nu heet. IBM publiceerde een document met de titel: Beveiligingsbulletin: IBM i componenten worden getroffen door CVE-2021-4104 (log4j versie 1.x) In dit document vind je een hoofdstuk genaamd "Workarounds and Mitigations", waarin je het volgende leest:

IBM Navigator for i - Heritage Version gebruikt log4j v1.x en kan niet worden bijgewerkt naar log4j v2.x of uit gebruik worden genomen.  Klanten kunnen de CVE (kwetsbaarheid) beperken door het gebruik van de Heritage Version van IBM Navigator for i stop te zetten. 

In dit document vind je instructies over wat er moet gebeuren om de Heritage Version van Navigator for i stop te zetten; vanwege log4j is het tijd deze met pensioen te sturen. De koning is dood, dus lang leve de nieuwe koning, maar voordat je de nieuwe Navigator for i (Nav4i) gaat gebruiken, kun je het beste eerst even kijken naar het functiegebruik van Nav4i. Hieronder een definitie van de website van IBM:

Function Usage (functiegebruik) biedt de mogelijkheid om gedetailleerde beveiligingscontroles in te voeren in plaats van gebruikers

krachtige speciale bevoegdheden te verlenen, zoals all object, job control of service. In dit artikel bekijken we alle beschikbare functiegebruik-ID's en hun doel. 

Bekijk de onderstaande afbeelding om een beter idee te krijgen van wat het is:

Wat je ziet doet je misschien denken aan de iSeries Navigator for i, want die boomstructuur zag er precies hetzelfde uit. Omdat de Heritage Navigator for i automatisch startte, gaf het selectievakje bij de kolom "Default Access" (Standaard toegang) een gebruiker zonder extra bevoegdheid de mogelijkheid zich aan te melden bij de Heritage Navigator for i en alle gebruikersprofielen op het systeem te bekijken.

Standaard zijn alle vakjes voor "Default Access" aangevinkt; daarom hebben de meeste systeembeheerders een en ander aangepast en verlenen ze alleen toegang aan gebruikers met *ALLOBJ-bevoegdheid.

Toen iSeries Navigator for i werd vervangen door IBM Systems Director Navigator for i, de voorloper van de Heritage Navigator for i, zou je denken dat de nieuwe Nav4i dezelfde Usage Functions (gebruiksfuncties) zou hebben. Het spijt me om je teleur te stellen, maar dat is niet het geval. Voor de nieuwe Nav4i begon IBM met nieuwe functies. Om erachter te komen wat hun namen zijn, moet je de afbeelding hieronder eens bekijken, waar je ziet hoe je ze kunt beheren:

 

Bij het selecteren van de optie “Function Usage” wordt de Db2 for i service QSYS2.FUNCTION_INFO uitgevoerd (zie onderstaande illustratie):

Alle functie-ID's met “NAV” in hun naam zijn de nieuwe functies die zijn toegevoegd om de beschikbaarheid van functies binnen de nieuwe Nav4i te beheren. Bij gebruik van de filterfunctie, zoals hieronder weergegeven, zie je dat de nummers overeenkomen:

Of tenminste, dat ze grotendeels overeenkomen. Het aantal pictogrammen aan de linkerkant is groter, maar als je de bovenste en de laatste twee eruit haalt, is het aantal 11. Het aantal dat wordt weergegeven is 12. Het verschil is de functie-ID: “QIBM_NAV_ALL_FUNCTION” met de omschrijving: “USE OF IBM NAVIGATOR FOR i FUNCTIONS”. Wat logisch is, omdat die functie-ID je controle geeft over wat andere gebruikers zien. Wanneer je over een regel heen en weer beweegt nadat je deze hebt geselecteerd, verschijnt de optie "Change" (wijzigen):

Als je deze selecteert, ziet je scherm er als volgt uit:

Als systeembeheerder is het uw taak om de juiste gebruikers toegang te verlenen tot wat ze nodig hebben om hun werk te doen. Ik hoef denk ik niet uit te leggen waarom het nodig is om de standaardbevoegdheid te verwijderen voor gebruikers zonder *ALLOBJ-bevoegdheid. Zelfs het verwijderen van die bevoegdheid voor gebruikers met *ALLOBJ kan een goed idee zijn, als in jouw applicatie sprake is van een gebruiker met *ALLOBJ die wordt gebruikt door de applicatiebeheerder. Dus wie geef je en wie weiger je de toegang, dat is altijd de vraag. Het antwoord luidt altijd hetzelfde... Dat hangt ervan af.

Het is goed om te weten dat zolang je jezelf niet verwijdert uit de Product ID “QIBM_NAV_ALL_FUNCTION”, je de optie hebt om jezelf te corrigeren. Als je per ongeluk jezelf buitensluit, kun je dat nog altijd corrigeren met 5250-emulatie met het commando: “WRKFCNUSG FCNID(QIBM_NAV_ALL_FUNCTION)”.      

Nadat je een gebruiker de toegang tot een functie-ID hebt geweigerd, kan hij nog steeds met de muis over het pictogram bewegen en alle beschikbare opties zien, maar als hij of zij één van die opties selecteert, verschijnt het onderstaande venster:

Nadat je alle product-ID's hebt doorlopen en de toegang voor het nieuwe Nav4i volgens je wensen hebt ingesteld, Ben je klaar om te gaan beginnen met de nieuwe Nav4i. Al gauw zul je de Heritage Navigator for i helemaal vergeten zijn. Waarom? Omdat de nieuwe Nav4i zoveel beter is. Ja, zo simpel is dat!