Publié le 15/10/2019
Depuis quelques semaines, lorsque l’on applique le groupe de PTF HIPER sur les versions IBM i 7.2, 7.3 et 7.4, le process installe la PTF SI70819 sur le produit 5733-SC1 (Portable Utilities for i).
Or, cette PTF upgrade OpenSSL à la version 1.1.1c qui introduit une nouvelle règle de sécurité interdisant au profil QSECOFR d’utiliser les fonctions SSH.
Cette PTF est incluse dans les groupes HIPER à partir des niveaux suivants :
- V7R4 – SF99739 Level 7
- V7R3 – SF99729 Level 92
- V7R2 – SF99719 Level 155
La PTF 5733-SC1 SI70819 est appliquée.
Elle permet de passer à la version 1.1.1c de OpenSSL.
Pour vérifier la version du produit.
- QSH
- ssh -V
Cette PTF apporte de nouvelles fonctionnalités, mais elle restreint également l’accès au protocole SSH pour le profil QSECOFR.
Exemple, lorsque l’on tente d’ouvrir un teminal SSH depuis ACS.
La connexion pour QSECOFR est refusée (Access denied).
On constate dans la log du job server que le profil QSECOFR a été refusé alors pourtant que le password était bon.
- ROOT LOGIN REFUSED
- Failed password for QSECOFR
De la même manière, si l’on tente d’utiliser le gestionnaire des modules Open Source en se connectant avec le profil QSECOFR.
L’erreur MSGGEN003 (Auth fail) survient, signalant un problème d’authentification.
Pour autoriser à nouveau QSECOFR à utiliser les services SSH, il faut procéder de la manière suivante :
Editer le fichier de configuration SSH
EDTF '/QOpenSys/QIBM/UserData/SC1/OpenSSH/etc/sshd_config'
Chercher le paramètre « PermitRootLogin »
Retirer le caractère # qui précède ce paramètre.
Enregistrer le fichier (F3).
Arrêter le service SSH.
ENDTCPSVR SERVER(*SSHD)
Puis redémarrer le service SSH.
STRTCPSVR SERVER(*SSHD)
Désormais, on peut utiliser le terminal SSH.
Le profil QSECOFR a pu se connecter.
Le job server ne remonte plus d’erreur de connexion (Accepted password for QSECOFR).
L’utilisation du gestionnaire de modules Open Source est également opérationnelle pour QSECOFR.
La connexion est autorisée avec QSECOFR et le gestionnaire de modules Open Source est accessible.