Publié le 15/10/2019
Depuis quelques semaines, lorsque l’on applique le groupe de PTF HIPER sur les versions IBM i 7.2, 7.3 et 7.4, le process installe la PTF SI70819 sur le produit 5733-SC1 (Portable Utilities for i).
Or, cette PTF upgrade OpenSSL à la version 1.1.1c qui introduit une nouvelle règle de sécurité interdisant au profil QSECOFR d’utiliser les fonctions SSH.
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/11/PTF-SI70819.jpg?resize=474%2C65&ssl=1)
Cette PTF est incluse dans les groupes HIPER à partir des niveaux suivants :
- V7R4 – SF99739 Level 7
- V7R3 – SF99729 Level 92
- V7R2 – SF99719 Level 155
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Article-16-000.jpg?resize=474%2C310&ssl=1)
La PTF 5733-SC1 SI70819 est appliquée.
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Article-16-020.jpg?resize=474%2C257&ssl=1)
Elle permet de passer à la version 1.1.1c de OpenSSL.
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Article-16-021.jpg?resize=474%2C257&ssl=1)
Pour vérifier la version du produit.
- QSH
- ssh -V
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Article-16-022.jpg?resize=474%2C257&ssl=1)
Cette PTF apporte de nouvelles fonctionnalités, mais elle restreint également l’accès au protocole SSH pour le profil QSECOFR.
Exemple, lorsque l’on tente d’ouvrir un teminal SSH depuis ACS.
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Article-16-001-1.jpg?resize=474%2C256&ssl=1)
La connexion pour QSECOFR est refusée (Access denied).
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Article-16-002.jpg?resize=474%2C297&ssl=1)
On constate dans la log du job server que le profil QSECOFR a été refusé alors pourtant que le password était bon.
- ROOT LOGIN REFUSED
- Failed password for QSECOFR
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Article-16-003.jpg?resize=474%2C257&ssl=1)
De la même manière, si l’on tente d’utiliser le gestionnaire des modules Open Source en se connectant avec le profil QSECOFR.
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Article-16-004-1.jpg?resize=474%2C256&ssl=1)
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Article-16-006.jpg?resize=474%2C258&ssl=1)
L’erreur MSGGEN003 (Auth fail) survient, signalant un problème d’authentification.
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Article-16-007.jpg?resize=474%2C99&ssl=1)
Pour autoriser à nouveau QSECOFR à utiliser les services SSH, il faut procéder de la manière suivante :
Editer le fichier de configuration SSH
EDTF '/QOpenSys/QIBM/UserData/SC1/OpenSSH/etc/sshd_config'
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Article-16-008.jpg?resize=474%2C257&ssl=1)
Chercher le paramètre “PermitRootLogin”
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Article-16-009.jpg?resize=474%2C257&ssl=1)
Retirer le caractère # qui précède ce paramètre.
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Article-16-010.jpg?resize=474%2C257&ssl=1)
Enregistrer le fichier (F3).
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Article-16-011.jpg?resize=474%2C257&ssl=1)
Arrêter le service SSH.
ENDTCPSVR SERVER(*SSHD)
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Article-16-012.jpg?resize=474%2C257&ssl=1)
Puis redémarrer le service SSH.
STRTCPSVR SERVER(*SSHD)
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Article-16-013.jpg?resize=474%2C257&ssl=1)
Désormais, on peut utiliser le terminal SSH.
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Article-16-001-1.jpg?resize=474%2C256&ssl=1)
Le profil QSECOFR a pu se connecter.
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Article-16-015-1.jpg?resize=474%2C297&ssl=1)
Le job server ne remonte plus d’erreur de connexion (Accepted password for QSECOFR).
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Article-16-016.jpg?resize=474%2C257&ssl=1)
L’utilisation du gestionnaire de modules Open Source est également opérationnelle pour QSECOFR.
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Article-16-004-1.jpg?resize=474%2C256&ssl=1)
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Article-16-018.jpg?resize=474%2C259&ssl=1)
La connexion est autorisée avec QSECOFR et le gestionnaire de modules Open Source est accessible.
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Article-16-019.jpg?resize=474%2C474&ssl=1)
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Ligne.png?resize=474%2C12&ssl=1)
![](https://i0.wp.com/poweribmi.fr/wp-content/uploads/2019/10/Ligne.png?resize=474%2C12&ssl=1)