En plus de la sécurité de base, on peut utiliser la sécurité au niveau programme.
Seuls les programmes validés par le service informatique pourront être utilisés sur l’AS/400.
Des programmes EASYCOM non habilités pourront se connecter à l’AS/400 par EASYCOM, mais ne pourront faire aucune opération (ouverture de fichier, appel de programme ou autre).
Un programme habilité devra envoyer à EASYCOM un mot de passe spécial. Un programme AS/400 réalisé par le service informatique renvoie une information pour savoir si le mot de passe est accepté. Ce mot de passe peut par exemple correspondre à la codification du programme EASYCOM.
Activer le contrôle :
Si l'entrée 'Lock Easycom host' est positionnée à *YES dans le CFGEAC, aucun fichier ne peut être ouvert, aucun programme ne peut être appelé, aucune commande ne peut être envoyée à l'AS/400 par EASYCOM, jusqu'à ce qu'une application PC le débloque en lui envoyant un mot de passe.
Sous WinDev, il s’agit de l’option UNLOCK des Infos étendues de la connexion. Par exemple :
<EASYCOM>UNLOCK=HELLO</EASYCOM>
Cette option nécessite l'écriture d'un script nommé EACP003. Ce script doit se trouver dans la *LIBL du job EASYCOM.
Attention, si vous activez l'option et que ce script n'existe pas, EASYCOM restera bloqué et aucun job ne pourra être créé.
Voici le squelette de ce script :
PGM PARM(&PASSW &RESULT)
DCL VAR(&PASSW) TYPE(*CHAR) LEN(100)
DCL VAR(&RESULT) TYPE(*CHAR) LEN(10)
…
/* IF PASSW HAS THE RIGHT VALUE */
CHGVAR VAR(&RESULT) VALUES('*YES')
…
/* IF PASSW DOES NOT HAVE THE RIGHT VALUE */
CHGVAR VAR(&RESULT) VALUES('*NO')
Il reçoit un unique paramètre en entrée (le mot de passe applicatif, &PASSW qui n'est pas le mot de passe du profil) et retourne le paramètre &RESULT.
Une valeur à *YES autorise le démarrage du job et la poursuite des traitements.
Une valeur à *NO bloque le job.
2. Sécurité par restriction - EACTCP003
Il est également possible de restreindre l’utilisation d'EASYCOM à un groupe d’utilisateurs et/ou à un groupe de PC. Pour ce faire, il faut écrire un programme de validation nommé EACTCP003 dans la bibliothèque d’EASYCOM.
Si un programme EACTCP003 se trouve dans la liste de bibliothèques d’EASYCOMD, il sera appelé à chaque tentative de connexion d’une application cliente, sauf si EASYCOM est configuré pour utiliser les Prestarts Jobs (dans ce cas voir EACTCP002).
Ce programme peut laisser le client soumettre le job selon les règles habituelles en affectant *YES à la variable &JOBNAME, il peut refuser la connexion en retournant *NO dans la variable &JOBNAME ou bien soumettre lui même le job et ses propriétés et retourner son nom dans la variable &JOBNAME.
Squelette du programme :
PGM PARM(&TPPGM &TPLIB &USER &EAC_PARM1 + &EAC_PARM2 &RMT_ADR &JOBNAME)
DCL VAR(&TPPGM) TYPE(*CHAR) LEN(10)
DCL VAR(&TPLIB) TYPE(*CHAR) LEN(10)
DCL VAR(&USER) TYPE(*CHAR) LEN(10)
DCL VAR(&EAC_PARM1) TYPE(*CHAR) LEN(30)
DCL VAR(&EAC_PARM2) TYPE(*CHAR) LEN(30)
DCL VAR(&RMT_ADR) TYPE(*CHAR) LEN(50)
DCL VAR(&JOBNAME) TYPE(*CHAR) LEN(10)
Paramètres :
TPPGM : Target Program Name
TPLIB : Bibliothèque contenant le programme TPPGM
Nom et bibliothèque du programme serveur qui sera exécuté, "EASYCOM" par défaut.
USER : Nom de l'utilisateur
Nom de l'utilisateur de la nouvelle connexion cliente (peut être utilisé pour restreindre les accès à un groupe d'utilisateurs).
EAC_PARM1 :Paramètre 1 du programme TPPGM
Paramètre à transmettre si vous effectuez vous-même le SBMJOB.
EAC_PARM2 :Paramètre 2 du programme TPPGM
Paramètre à transmettre si vous effectuez vous-même le SBMJOB.
RMT_ADR : Adresse TCP/IP de l'appelant
Adresse TCP/IP de l'appelant (peut désigner un ensemble de stations de travail).
JOBNAME : Nom du job pour SBMJOB
Nom du job situé dans le sous-système EASYCOM , par défaut c'est le nom du poste client.
Si le JOBNAME a la valeur *NO, le job EASYCOM ne sera pas démarré.
Si le JOBNAME a la valeur *YES, le job EASYCOM sera pris en compte, mais il devra être démarré par le programme EACTCP003.
Exemple
EACTCP003 peut vérifier les droits de l'utilisateur et de son adresse TCP/IP, et effectuer les opérations suivantes :
Accorder l'exécution :
EACTCP003, laisser la variable &JOBNAME inchangée , ou remplacer par un autre nom de job, ensuite quitter normalement.
Refuser l'exécution :
Dans le programme EACTCP003, modifier la valeur du &JOBNAME à ‘*NO’, et quitter normalement.
CHGVAR VAR(&JOBNAME) VALUE('*NO')
Exécuter le programme cible
Dans EACTCP003, lancer le programme cible à l'aide d'un SBMJOB et modifier la valeur de la variable &JOBNAME à ‘*YES’.
CHGVAR VAR(&JOBNAME) VALUE('*YES')
SBMJOB CMD (CALL PGM(&TPLIB/&TPPGM)+
PARM (&EAC_PARM1&EAC_PARM2))
JOBD(&TPLIB/EACJOBD) +
USER(&USER) RTGDTA(*JOBD)
EACTCP002 fonctionne de la même manière que EACTCP003 lorsque les Prestarts Jobs sont activés.
Puisque le job est déjà initialisé, EACTCP002 ne crée pas directement le job mais permet d'autoriser ou de refuser son démarrage ou de faire des contrôles ou des traitements avant l'initialisation.
Si les Prestarts Jobs sont activés dans la configuration EASYCOM serveur et si un programme nommé EACPJINI se trouve dans la liste de bibliothèques du job , ce programme est appelé à chaque démarrage de Prestart Job.
Il permet notamment de définir des propriétés pour le job, ou bien de préparer l’environnement, mais à ce moment l'utilisateur connecté n'est pas connu. L’avantage est de pouvoir réduire le temps de connexion.
Démarrage du travail client - EACSTART
Si un programme nommé EACSTART se trouve dans la liste de bibliothèques (LIBLE) du job, ce programme est appelé à chaque soumission de job par le programme EASYCOM .
Il est notamment utile pour définir des propriétés ou faire des opérations de maintenance.
A ce moment l’utilisateur est connu et le job est initialisé, ce programme peut modifier des attributs ou paramètres mais ne peut pas annuler le job.
Utiliser plutôt EACTCP003 pour contrôler les droits de l’utilisateur et éventuellement annuler le job.
Il s’agit de l’Exit Program associé à l’activation du Single Sign On en mode easycom. Il n’est pas appelé en mode EIM.
Lorsque le Single Sign On est configuré et activé (voir CFGEACEIM) et si le programme EACSSO001 se trouve dans la liste des bibliothèques du job, ce programme s’exécute sur différents événements :
• avant de mémoriser une signature (connexion simple ou session Windows)
• au moment de l'enregistrement (connexion simple ou session Windows)
• puis à chaque demande de connexion.
Paramètres
Le programme est appelé par EASYCOM en lui passant différents paramètres et retourne
&OP - Opération : événement à l'origine de l'appel du programme
*BEFORE et *WINBEFORE
Avant de mémoriser la signature simple ou de session, le programme peut :
• modifier le nom d'utilisateur et/ou le mot de passe
• autoriser ou refuser la mémorisation
*SIGNON et *WINSIGNON
Mémorisation de la signature, le programme :
• ne peut plus modifier l'utilisateur ou le mot de passe,
• il peut autoriser ou refuser la mémorisation
*REQUEST
Demande de connexion, le programme :
• ne peut plus modifier l'utilisateur ou le mot de passe,
• peut effacer la mémorisation et forcer l'utilisateur à se signer de nouveau.
&RC - Retour
*OK : accepter la signature
*DENY : pour refuser la signature
*EXPIRED : la durée de validité de la signature est dépassée
*OUTHOURS : la demande est en dehors des heures autorisées,
*CHG : changement d'utilisateur
&USER / &USERLEN - nom et longueur de l'utilisateur
&PWD / &PWDLEN - mot de passe et longueur
&SOTIME - Heure au format HHMMSS
&SODATE - Date au format CYYMMDD
&IDADR - adresse IP du client
&STATION - station de travail (différent de &computer si on utilise TSE)
&COMPUTER - nom de l'ordinateur.
&LOGDOMAIN - domaine Windows
&LOGUSER - utilisateur Windows
Les variables en gras (sauf &OP) peuvent être modifiées par le programme :
&RC (autoriser ou refuser la signature ou la connexion, changer d'utilisateur, expiration ou hors horaires autorisés), &USER et &PWD pour un changement d'utilisateur.
Consulter le fichier EACSSO001 de la bibliothèque EASYCOM pour un exemple et des spécifications plus détaillées.