Publié le 08/04/2025

Avril et mai sont traditionnellement des mois de grandes annonces chez IBM et cette année ne déroge pas à la règle. La firme d’Armonk dévoile la nouvelle version IBM i 7.6. Supportée uniquement sur les modèles Power10, puis sur les futurs Power11 lorsqu’ils seront disponibles. Elle sera commercialisée à partir du 18 avril, soit un peu moins de trois ans après la sortie de la version 7.5.

Cet article aborde les principales nouveautés de la version IBM i 7.6, mais il traitera également des nouveautés de la version 7.5, introduites avec le Technology Refresh 6 (TR6).

Quant à la version 7.4, on ne sait pas encore s’il y aura un nouveau Technology Refresh. Sa fin de commercialisation devrait être annoncée d’ici quelques mois.

Soulignons dès à présent que, pour cette nouvelle version IBM i, Rochester a concentré ses efforts sur la sécurité. Cela n’est pas vraiment une surprise pour ceux qui suivent avec attention l’écosystème, et particulièrement les enquêtes annuelles de Fortra sur le marché de l’IBM i.

La cybersécurité est la principale préoccupation des directions des systèmes d’information depuis près de 10 ans.

Les principales nouveautés de cette version 7.6 sont donc en lien direct avec la sécurité, avec pour annonce majeure, le support de la MFA (Multi-Factor Authentication).

• IBM i 7.6
  • Annonce 7.6
  • Détails sur IBM Support
• IBM i 7.5 TR6
  • Annonce 7.5 TR6
  • Détails sur IBM Support

SOMMAIRE

• 1 – Rappels et matrices
  • 1.1 – Rappels sur les Technology Refreshes
  • 1.2 – Matrice versions IBM i par modèle de serveur
  • 1.3 – Matrice de support version IBM i par génération de processeur
  • 1.4 – Versions IBM i
• 2 – Operating System
  • 2.1 – Support de la version 7.6
  • 2.2 – Nouveaux profils utilisateurs non modifiables
  • 2.3 – Agrégations Ethernet modifiables sans interruption de service
  • 2.4 – IPL bloqué en DST si mot de passe QSECOFR par défaut
  • 2.5 – Année de référence
  • 2.6 – Modification de valeurs systèmes
  • 2.7 – Administrations Web et ARE intégrées dans Navigator for i
  • 2.8 – Nouvelles JVM disponibles
  • 2.9 – Fin de support ou retrait de logiciels
  • 2.10 – Date d’application des groupes de PTF
  • 2.11 – Affichage du nom du travail
  • 2.12 – Modification de la gestion des utilisateurs SST/DST
  • 2.13 – Amélioration FlashCopy sur iASP
  • 2.14 – Amélioration de la commande UPDSYSINF
• 3 – Sécurité
  • 3.1 – Chiffrement de l’ASP système
  • 3.2 – Fonction d’usage IOSYSCFG
  • 3.3 – Support de la MFA (Multi-Factor Authentication)
  • 3.4 – Point d’exit d’authentification unique
  • 3.5 – Configuration des Host Servers
  • 3.6 – Support TLS avec le debugger IBM i
  • 3.7 – Améliorations du DCM (Digital Certificate Manager)
  • 3.8 – Fonction d’usage permettant d’interdire l’exécution d’un travail sans authentification
• 4 – Base de données et développement d’applications
  • 4.1 – Améliorations du data-change-table-reference
  • 4.2 – Améliorations du SQL Query Engine
  • 4.3 – Db2 for i Services / IBM i Services
  • 4.4 – Code for IBM i / Db2 for IBM i
  • 4.5 – Source Orbit
• 5 – Navigator for i
  • 5.1 – Support MFA
  • 5.2 – Gestion de la clé MFA
  • 5.3 – Désactivation des ports host servers non sécurisés
  • 5.4 – Administration des serveurs HTTP et des serveurs d’application
  • 5.5 – Amélioration de la gestion des utilisateurs
  • 5.6 – Affichage des informations sur les licences et sur le firmware
• 6 – Access Client Solutions
  • 6.1 – Séparateurs sur affichage des valeurs numériques
  • 6.2 – Affichage des valeurs binaires
  • 6.3 – Affichage reformaté des valeurs JSON
  • 6.4 – Amélioration de l’Index Advisor
• 7.0 – Divers
  • 7.1 – Statistiques Fibre Channel et ASP
  • 7.2 – Performances ObjectConnect
  • 7.3 – IBM Content Manager OnDemand for i
  • 7.4 – BRMS
  • 7.5 – PowerHA SystemMirror for i
  • 7.6 – Db2 Mirror for i
  • 7.7 – Devices NVMe

1 – Rappels et matrices

1.1 – Rappels sur les Technology Refreshes

Chronologie des Technology Refreshes des dernières versions IBM i. La notion de Technology Refresh est apparue en 2010 avec la version IBM i 7.1.

Nomenclature des Technology Refreshes
7.1 : MF990XX (XX = 01 à 11)
7.2 : MF991XX (XX = 01 à 09)
7.3 : MF992XX (XX = 01 à 13)
7.4 : MF993XX / MJ993YY (XX = 01 à 10 / YY = 11)
7.5 : MF994XX / MJ994YY (XX = 01 à 04 / YY = 05 à 06)
7.6 : MJ995XX (XX = aucun à ce jour)

La version 7.5 disponible depuis mai 2022, propose son 6ème niveau de Technology Refresh :

• TR1 (02/12/2022)
• TR2 (05/05/2023)
• TR3 (17/11/2023)
• TR4 (14/06/2024)
• TR5 (22/11/2024)
• TR6 (18/04/2025)

---

1.2 – Matrice versions IBM i par modèle de serveur

La version IBM i 7.6 est supportée sur les modèles suivants :

• Power S1012
• Power S1014
• Power S1022s
• Power L1022
• Power S1022
• Power S1024
• Power L1024
• Power E1080

---

1.3 – Matrice de support version IBM i par génération de processeur

Au moment de sa sortie, seuls les serveurs Power10 supportent cette nouvelle version.

---

1.4 – Versions IBM i

La 7.6 est la 26ème version IBM i (en incluant les différentes appellations (OS/400 – i5/OS – IBM i).

2 – Operating System

2.1 – Support de la version 7.6

• Dans un premier temps, seuls les serveurs de technologie processeur Power10 supportent la version 7.6, il s’agit des modèles Scale-Out (S1012, S1014, L1022, S1022s, S1022, L1024 et S1024) et du modèle Scale-Up High-End E1080.

• Le firmware 1060 (ML1060 et MH1060) est nécessaire pour le support de la version. Le minimum est donc le ML1060_064_053 sur les Scale-Out (excepté pour le S1012 avec ML1060_053_053), et le MH1060_048_048 sur le modèle High-End.

• Les modèles POWER9 ne supportent pas la version 7.6.

• Le disque load-source nécessite 2 GB d’espace supplémentaire pour le microcode, mais la taille minimale reste identique à celle de la 7.5, à savoir 35 ou 70 GB vus par l’Operating System suivant le formatage et la technologie de disque.

• Le driver D910 destiné au support des matériels Dell n’est plus supporté sans une clé spécifique fournie par IBM aux sociétés disposant d’un stockage Dell acheté avant le 01/11/2024. L’utilisation de ce type de driver sans clé, ne permettra plus de passer le DST ou de démarrer un iASP. De plus, IBM indique qu’il n’y aucune garantie que ce driver continuera de fonctionner dans un futur proche.

---

2.2 – Nouveaux profils utilisateurs non modifiables (7.6)

Quatre nouveaux profils utilisateurs font leur apparition en 7.6. Il s’agit de :

• QPGMR_NC
• QSECOFR_NC
• QSYSOPR_NC
• QUSER_NC

Ces profils ont les caractéristiques suivantes :

• ils ne sont pas modifiables (NC = Non-Changeable)
• ils bénéficient des mêmes droits que leur homologue
• ils sont livrés sans mot de passe
• ils ne peuvent pas être ajoutés en restrictif sur les fonctions d’usage
• ils ne peuvent pas utiliser la MFA (Multi-Factor Authentication)

IBM introduit ces nouveaux profils pour garantir le bon fonctionnement des services les utilisant. L’impossibilité de modifier les comptes utilisateur permet de garantir l’intégrité de l’exécution des travaux systèmes concernés.

Pour le moment, seuls certains services s’exécutent avec ces nouveaux comptes, mais au fur et à mesure des Technology Refresh et des nouvelles versions, de plus en plus de services les utiliseront.

---

2.3 – Agrégations Ethernet modifiables sans interruption de service (7.6)

Les agrégations Ethernet LACP (Link Aggregation Control Protocol – 802.3ad) permettent de sécuriser les accès réseau et d’augmenter la bande passante en multipliant les ports Ethernet. Toutefois, en cas de panne d’un port ou d’ajout d’un nouveau port dans l’agrégat, il était nécessaire d’arrêter l’interface TCP/IP pour effectuer la manipulation, ce qui entrainait une interruption de service. Désormais, le paramètre AGGRSCL (Aggregated resource list) sera modifiable sans arrêt de la ligne et donc de l’interface TCP/IP.

La modification de ce paramètre, par ajout, suppression ou modification d’un port, peut désormais s’effectuer sans interruption de service.

---

2.4 – IPL bloqué en DST si mot de passe QSECOFR par défaut (7.6)

Durant un IPL normal, le système se bloque sur le DST si le mot de passe du profil QSECOFR (DST/SST) n’a pas été modifié. Tant que ce dernier dispose du mot de passe par défaut, l’IPL normal ne pourra pas se poursuivre.

---

2.5 – Année de référence (7.6)

Introduite en 7.5, la variable d’environnement QIBM_QBASEYEAR permettant de modifier l’année de référence sur les commandes utilisant un paramètre TYPE(*DATE), devait être intégrée de base dans la version suivante, donc en 7.6. Cette mesure est repoussée à la version suivante. Ainsi, en 7.6, la date de référence est toujours 1940.

Toutefois, une différence importante dans le comportement de la gestion des dates avec des années sur 2 caractères est introduite en 7.6.

En effet, en 7.6, les dates avec des années à 2 chiffres sont interprétées en fonction de l’année de base du travail lorsque la commande a été compilée.

Prenons pour exemple une commande utilisant le paramètre suivant :

PARM KWD(DATE1) TYPE(*DATE) DFT(310342)

• Si l’année de base du travail est 1940 au moment de la compilation de la commande, les littéraux de date avec des années à 2 chiffres sont supposés représenter une date dans les années 1940 à 2039, donc la valeur par défaut du paramètre est le 31/03/1942.
• Si l’année de base du travail est 1970 au moment de la compilation de la commande, les littéraux de date avec des années à 2 chiffres sont supposés représenter une date dans les années 1970 à 2069, donc la valeur par défaut du paramètre est le 31/03/2042.

Cette variable d’environnement, qu’elle soit au niveau *JOB ou au niveau *SYSTEM, n’a aucune incidence sur les dates dans les programmes RPG ou COBOL ainsi que dans la base de données Db2 for i, elle ne concerne que les commandes CL avec des années codées sur 2 caractères (JJMMAA).

---

2.6 – Modification de valeurs systèmes (7.6)

Plusieurs valeurs systèmes sont modifiées en 7.6 pour les nouvelles installations (from scratch). Cela ne concerne pas les changements de version.

Valeur système	Description du changement
QCFGMSGQ	*IOSYSCFG ou QIBM_IOSYSCFG_VIEW nécessaire pour visualiser la valeur
QPWDLVL	Le niveau 0 est remplacé par le niveau 3
QPWDRULES	La valeur *PWDSYSVAL est remplacée par les valeurs suivantes : – *ALLCRTCHG – *LMTPRFNAME – *MINLEN15 – *REQANY3
QSSLCSL	*IOSYSCFG ou QIBM_IOSYSCFG_VIEW nécessaire pour visualiser la valeur
QSSLCSLCTL	*IOSYSCFG ou QIBM_IOSYSCFG_VIEW nécessaire pour visualiser la valeur
QSSLPCL	*IOSYSCFG ou QIBM_IOSYSCFG_VIEW nécessaire pour visualiser la valeur

---

2.7 – Administrations Web et ARE intégrées dans Navigator for i (7.5 / 7.6)

Désormais, l’accès à l’administration des serveurs HTTP et des serveurs d’application (IWA, IWS et WAS) se fera par Navigator for i.

L’accès historique par le lien http://server:2001/HTTPAdmin (ou https://server:2010/HTTPAdmin en sécurisé) sera désactivé prochainement par PTF. Seul l’accès par Navigator for i sera disponible à terme.

De même, Administration Runtime Expert (ARE) migre dans Navigator for i. La Console ARE est disponible dès la sortie de la version 7.6, en revanche le Template ARE ne sera migré que dans un futur Technology Refresh. Dans un premier temps, le produit 5733-ARE est encore nécessaire pour le Template.

---

2.8 – Nouvelles JVM disponibles (7.6)

Deux nouvelles versions de Java sont proposées en 7.6. Il s’agit, comme toujours avec IBM, de versions LTS (Long Term Support) :

• Java SE 21 64-bit (5770-JV1 option 21)
• Java SE 25 64-bit (5770-JV1 option 22)

Note : La version Java 11 n’est pas supportée en 7.6.

---

2.9 – Fin de support ou retrait de logiciels (7.6)

De nombreux produits ou fonctionnalités sont non supportés en 7.6 et sont retirés de cette version.

Backup Recovery and Media Services (5770-BR1)
Le produit historique BRMS dans sa version non expirante (5770-BR1) n’est pas supporté en 7.6. Seule l’édition en mode souscription (5770-BR2) est supportée sur cette version.

---

Options de l’Operating System (5770-SS1)
Graphical Data Display Manager (GDDM) (5770-SS1 option 14) est retiré en 7.6.

OptiConnect (5770-SS1 option 23) est retiré en 7.6.

---

Java 11 64-bit (5770-JV1)
La version 11 de Java (5770-JV1 option 19) n’est pas supportée en 7.6.

---

Universal Manageability Enablement (5770-UME)
Le produit Universal Manageability Enablement CIM Server (5770-UME) n’étant plus requis pour Electronic Service Agent 7.6, est retiré.

---

Db2 Web Query for i (5733-WQX)
Le produit Db2 Web Query for i n’est pas supporté en 7.6.

---

Facsimile Support for i (5798-FAX)
Le produit Facsimile Support for i (5798-FAX) est retiré de la version 7.6.

---

Options de Performance Tools for i (5770-PT1)
Les options 9 (Performance Graphics) et 10 (Performance Advisor) du produit Performance Tools for i (5770-PT1), désormais incluses dans Navigator for i, sont retirées de la 7.6.

---

Communication Utilities for System i (5761-CM1)
Le produit Communication Utilities for System i (5761-CM1) est retiré de la version 7.6.

---

Business Graphics Utility (5761-DS2)
Le produit Business Graphics Utility (5761-DS2) est retiré de la version 7.6.

---

System/38 Utilities (5761-DB1)
Le produit System/38 Utilities (5761-DB1) est retiré de la version 7.6.

---

Application Management ToolSet for i (5770-AMT)
Le produit Application Management ToolSet for i (5770-AMT), qui permettait de disposer des fonctions SEU et PDM sans avoir WDS (compilateurs) est retiré de la version 7.6.

---

IBM CICS Transaction Server for i (5770-DFH)
Le produit IBM CICS Transaction Server for i (5770-DFH) est retiré de la version 7.6.

---

IBM Web Enablement for i5/OS (5722-WE2)
Le produit IBM Web Enablement for i5/OS (5722-WE2) est retiré de la version 7.6.

---

IBM i Access for Web (5770-XH2)
Le produit IBM i Access for Web (5770-XH2) est retiré de la version 7.6.

---

IBM XML Toolkit for i (5733-XT2)
Le produit IBM XML Toolkit for i (5733-XT2) est retiré de la version 7.6.

---

Autres fonctions et commandes retirées ou non supportées en 7.6

Les commandes suivantes ont été retirées de la version 7.6, elles ne sont donc plus utilisables :

• Start Report Layout Utility (STRRLU)
• Start Screen Design Aid (STRSDA)
• Start Advanced printer Function (STRAPF)
• Merge Form Description (MRGFORMD)
• Start Character Generator Utility (STRCGU)
• Copy DBCS Master Sort Table (CPYIGCSRT)
• Merge Form Description (MRGFORMD)

Les commandes suivantes ne sont plus supportées mais elles sont toujours présentes en version 7.6 :

• Start Data File Utility (STRDFU)
• Create DFU Display File (CRTDFUDSPF)
• Compare Physical File Member (CMPPFM)
• Merge Source (MRGSRC)

---

2.10 – Date d’application des groupes de PTF (7.6)

Désormais, la commande DSPPTFGRP affiche la date d’application du groupe de PTF.

---

2.11 – Affichage du nom du travail (7.6)

En 7.6, la touche de fonction F11 sur un travail (WRKJOB) permet de facilement copier le nom d’un travail pour le copier dans d’autres commandes.

---

2.12 – Modification de la gestion des utilisateurs SST/DST (7.6)

Les options de gestion des utilisateurs SST/DST ont été modifiées.

---

2.13 – Amélioration FlashCopy sur iASP (7.6)

Avec la démocratisation de l’utilisation du stockage externe, la fonction IBM FlashCopy (snap shot) est régulièrement utilisée pour copier un ASP ou un ASP indépendant, afin d’effectuer des sauvegardes sans interruption ou pour réaliser des tests applicatifs.

Toutefois, les FlashCopy répétés sur un ASP indépendant (iASP) peuvent parfois entraîner une augmentation de l’utilisation du stockage temporaire, au point qu’un IPL soit nécessaire pour le récupérer.

La version IBM i 7.6 a été améliorée pour ralentir la croissance du stockage temporaire due aux flashages répétés, allongeant ainsi l’intervalle requis entre les IPL.

---

2.14 – Amélioration de la commande UPDSYSINF (7.6)

La commande UPDSYSINF prend désormais en charge les informations de WorkLoad Capping Group (*WLCGRP). Ces informations sont générées par la commande RTVSYSINF dans le user space QIZAWLCSP.

3 – Sécurité

Grâce à l’intégration de fonctionnalités de sécurité avancées, la version IBM i 7.6 réduit la dépendance aux outils et solutions de sécurité tiers. Cela se traduit par une réduction des coûts (TCO) et une gestion simplifiée.

3.1 – Chiffrement de l’ASP système (7.6)

Jusqu’à présent, seuls les ASP utilisateurs de type secondaire (ASP 2 à 32) ou indépendant (ASP 33 à 254) pouvaient être chiffrés. Désormais, l’ASP système (ASP 1) pourra également être chiffré.

Pour cela, l’option 45 (Encrypted ASP Enablement) de l’Operating System (5770-SS1) doit être installée. La durée du chiffrement dépend de la quantité et du type de données à chiffrer. Cette opération peut perturber les performances durant son exécution.

Il est possible de revenir en arrière en lançant le déchiffrement de l’ASP.

---

3.2 – Fonction d’usage IOSYSCFG (7.6)

Cette fonction d’usage permet de fournir des droits d’affichage et de consultation sur de très nombreuses fonctions et commandes du système, sans avoir la possibilité de modifier le contenu.

En effet, jusqu’à présent, si un administrateur souhaitait laisser le droit de visualisation de certaines commandes (WRKDEVD, NETSTAT, CFGTCP, WRKSYSVAL et des dizaines d’autres), il devait accorder le droit spécial *IOSYSCFG à l’utilisateur, mais cela laissait la possibilité d’effectuer des modifications sur les commandes et les services concernés.

Désormais, cette nouvelle fonction d’usage QIBM_IOSYSCFG_VIEW accorde les droits de visualisation sans pour autant fournir les droits de modification.

Pour cela, il suffit d’autoriser un user (ex : TESTUSER) à l’utilisation de cette fonction d’usage et il pourra accéder à toutes les commandes qui nécessitent le droit *IOSYSCFG, mais il n’aura pas la possibilité d’altérer les paramètres.

---

3.3 – Support de la MFA (Multi-Factor Authentication) (7.6)

Ce point représente probablement la principale nouveauté de la version 7.6. Le support de la MFA (Multi-Factor Authentication) était attendu par de nombreuses entreprises pour sécuriser l’accès aux environnements IBM i.

Le principe utilisé par IBM s’appuie sur le protocole TOTP (Time-based One-Time Password que l’on peut traduire en français par « Mot de passe à usage unique basé sur le temps »).

Le TOTP permet la génération d’une séquence de caractères valable seulement pendant un intervalle de temps limité (quelques minutes) afin d’utiliser un mécanisme de double authentification.

Pour faire simple, un utilisateur configuré avec un accès nécessitant un facteur additionnel, donc qui utilise le TOTP, va définir une clé que seul lui connait. Elle sera stockée dans son profil et il l’ajoutera dans un logiciel d’authentification sur son PC et/ou son téléphone par exemple.

De très nombreux logiciels gratuits sont compatibles avec la reconnaissance TOTP :

• Google Authenticator
• Microsoft Authenticator
• FreeOTP
• WinAuth
• KeePassXC
• …

Le TOTP, qui s’appuie sur le temps universel (UTC), fournit des codes à 6 chiffres à usage unique basés sur la clé définie par l’utilisateur, toutes les 30 à 60 secondes. Ce code est valable quelques minutes.

Etant donné que le TOTP s’appuie sur le temps universel (UTC), peu importe le fuseau horaire du serveur ou du client TOTP (sur PC, téléphone ou autre). Le code sera le même sur votre téléphone dans le fuseau américain à New-York et sur le serveur situé dans un fuseau Europe / Paris par exemple.

Les prérequis pour la mise en œuvre de la MFA utilisant le TOTP sont :

• Niveau de mot de passe QPWDLVL à 4.
• Niveau de sécurité QSECURITY à 40 ou 50.
• Activation du facteur additionnel de connexion.

Lorsque la MFA est activée, les principales interfaces de connexion à l’IBM i affichent un nouveau paramètre, nommé le facteur additionnel ou supplémentaire, faisant 64 caractères.

Fenêtre ACS

Connexion 5250 et console 5250

Navigator for i

Digital Certificate Manager for i (DCM)

D’autres interfaces ne tiennent pas encore compte du facteur additionnel mais cela arrivera bientôt par PTF (Serveur HTTP BRMS, serveur HTTP PowerHA …).

Une fois ces prérequis activés, il faut configurer les profils qui doivent utiliser la MFA. Cela s’effectue en plusieurs étapes :

• 1 – Configuration de la MFA effectuée par un administrateur, il prévient ensuite l’utilisateur qu’il peut configurer sa clé TOTP.
• 2 – L’utilisateur créé la clé TOTP à l’aide la commande CHGTOTPKEY ou de Navigator for i (QR Code) et l’intègre sur son application cliente TOTP (PC et/ou téléphone)
• 3 – L’utilisateur conserve précieusement sa clé de récupération (Recovery key) de 64 caractères, fournie par le système. Elle lui permettra de se connecter sans le code TOTP en cas d’impossibilité d’en obtenir un (désynchronisation de l’horloge par exemple).
• 4 – L’utilisateur teste le code TOTP à l’aide de son client TOTP et il prévient l’administrateur que tout est OK.
• 5 – L’administrateur peut désormais configurer le profil pour forcer la connexion avec une double authentification pour l’utilisateur. Ce dernier devra désormais utiliser de la MFA pour se connecter.

Le protocole TOTP est stocké dans le profil utilisateur, de nouveaux paramètres permettent de le configurer :

• Méthode d’authentification (AUTHMTH)
• Interval optionnel TOTP (TOTPOPTITV)

A noter que le SST/DST peut également être configuré pour supporter la MFA. Il est totalement indépendant de la MFA de l’Operating System, il peut donc être activé sans nécessiter que la MFA le soit sur l’OS.

Les options de gestion des profils SST/DST intègrent la notion de TOTP.

On retrouve l’équivalent des nouveaux paramètres du CHGUSRPRF, liés au TOTP, dans la gestion des utilisateurs SST/DST.

Plusieurs commandes relatives aux utilisateurs SST/DST ont été modifiées ou créées pour la prise en compte du TOTP :

• Change Service Tools User ID (CHGSSTUSR)
• Change SST TOTP Key (CHGSSTKEY) ==> new
• Change SST Security Attributes (CHGSSTSECA)
• Create Service Tools User ID (CRTSSTUSR)
• Delete Service Tools User ID (DLTSSTUSR)
• Display Service Tools User ID (DSPSSTUSR)
• Display SST Security Attrs (DSPSSTSECA)

---

3.4 – Point d’exit d’authentification unique (7.6)

La mise en oeuvre de la MFA intégrée à l’IBM i peut être incompatible avec les solutions de MFA externes existantes utilisées par les entreprises.

Le nouveau point d’exit QIBM_QSY_AUTH permet l’intégration des solutions de MFA externes. Il est appelé lorsque le profil est configuré pour utiliser de la MFA personnalisée avec le paramètre AUTHMTH(*REGFAC).

---

3.5 – Configuration des Host Servers (7.6)

Jusqu’à présent il n’existait pas de méthode simple pour désactiver les ports des host servers non sécurisés lorsqu’ils n’étaient pas utilisés. La version 7.6 apporte une nouvelle commande CFGHOSTSVR qui permet de résoudre cette problématique.

Chaque port peut-être configuré individuellement dans l’état suivant :

• activé (*ALL)
• désactivé (*SECURE)
• autorisé uniquement sur la loopback (*SECLOOP)

La commande DSPHOSTSVR permet d’afficher l’état en cours.

---

3.6 – Support TLS avec le debugger IBM i (7.6)

Le débogueur IBM i peut désormais disposer de connexions sécurisées en TLS (Transport Layer Security), au niveau serveur (TLS 1.3 sur le port 4027 as-debug-s) et au niveau client.

---

3.7 – Améliorations du DCM (Digital Certificate Manager) (7.5 / 7.6)

Nombreuses améliorations du DCM :

• Support de la MFA
• Communication avec les host servers en TLS sur le réseau interne
• Possibilité d’afficher le mot de passe par l’icone afficher/cacher (eye-icon)
• Amélioration de l’affichage de la hiérarchie des certificats
• Affichage des détails de chaque certificat parent de la chaine de certificats
• L’exportation d’un certificat client/server au format PKCS12 avec clé privée a été améliorée pour autoriser le certificat seul, sans inclure la clé privée
• Nouveaux boutons de sélection et de filtre pour les actions d’ajout et de suppression d’attribution des certificats. Ajouts et suppressions groupés.

---

3.8 – Fonction d’usage permettant d’interdire l’exécution d’un travail sans authentification (7.6)

Nouvelle fonction d’usage QIBM_RUN_UNDER_USER_NO_AUTH permettant l’interdire l’exécution d’un travail s’il n’y a pas authentification préalable.

Suite à l’introduction de l’authentification MFA/TOTP, il serait contraire au principe de cette technologie, de laisser un utilisateur exécuter un travail avec un autre compte, uniquement en disposant des droits d’accès à ce profil, sans qu’il y ait authentification TOTP préalable.

Jusqu’à présent, si un utilisateur avait le droit sur un autre profil, il pouvait soumettre un travail avec cet autre utilisateur. Afin de respecter la notion de MFA sur un compte configuré en accès TOTP, la fonction d’usage QIBM_RUN_UNDER_USER_NO_AUTH permet d’interdire cette utilisation, contraire aux principes de la MFA.

Exemple, un utilisateur TEST1 soumet un travail avec l’utilisateur TESTRUN pour lequel il a le droit d’utilisation et aucune restriction sur la nouvelle fonction d’usage.

Si TESTRUN est configuré en MFA, cette soumission est toujours autorisée, mais elle est éthiquement inappropriée.

La fonction d’usage QIBM_RUN_UNDER_USER_NO_AUTH va permettre de solutionner cette problématique. Pour cela, on indique une interdiction de l’utilisation du profil TESTRUN sur des exécutions non authentifiées.

Cette fois, l’exécution n’est plus autorisée, même si le profil TEST1 dispose de droits d’utilisation sur TESTRUN.

Cette utilisation de la fonction d’usage est recommandée sur tous les profils configurés en TOTP, mais elle ne se limite pas à ces derniers et fonctionne également pour des profils n’ayant pas d’accès TOTP. Elle restreint toute exécution avec les profils intégrés à la liste, y compris aux utilisateurs ayant le droit spécial *ALLOBJ (Ex : QSECOFR).

4 – Base de données et développement d’applications

4.1 – Améliorations du data-change-table-reference (7.6)

Le data-change-table-reference a été étendu pour supporter les instructions SQL UPDATE et DELETE.

• Pour UPDATE : support de OLD TABLE, NEW TABLE et FINAL TABLE.
• Pour DELETE : support de OLD TABLE.

Exemple UPDATE avec OLD TABLE

Exemple UPDATE avec FINAL TABLE

---

4.2 – Améliorations du SQL Query Engine (7.6)

Nombreuses améliorations du « moteur » SQL de Db2 for i :

• Aperçu plus approfondi de l’optimisation et de l’exécution des requêtes
  • Informations d’attente des verrouillages ajoutées à Database Monitor (DBMON) et Visual Explain (VE)
  • Affichage plus cohérent des informations de requête dans ACS SQL Performance Center
  • Nouveaux détails pour les requêtes et les objets associés dans Visual Explain
• Pérennisation du moteur SQE
  • Valeur de hachage QRO élargie à 64 bits, éliminant pratiquement toute collision de hachage lors de la recherche de plans mis en cache, même avec des caches de plans très volumineux
• Traitement adaptatif amélioré
  • Le traitement adaptatif des requêtes (AQP) a été amélioré pour détecter si une table de hachage temporaire est trop petite pour les données traitées. AQP peut augmenter dynamiquement la taille de la table de hachage temporaire pour les exécutions ultérieures de la requête afin d’améliorer les performances.
• Accès plus rapide aux données pour les requêtes avec des prédicats complexes
  • Une nouvelle méthode d’accès aux données permet une utilisation plus efficace des index multi-clés pour certaines requêtes qui ont des prédicats complexes sur les clés d’index.

---

4.3 – Db2 for i Services / IBM i Services (7.5 / 7.6)

Les services SQL IBM i, introduits il y a une douzaine d’années déjà, sont devenus incontournables. Leur utilisation facilitent l’accès aux ressources systèmes (sécurité, hardware, journalisation, base de données, performances, communications, accès à l’IFS, gestion des travaux …).

Ils évoluent et s’enrichissent avec chaque nouvelle version et/ou Technology Refresh. La version 7.6 ne fait pas exception dans ce domaine.

Nouvelles fonctions SQL Services

• ADD_ISCSI_TARGET (7.5 / 7.6) : Procédure permettant de créer des cibles iSCSI.
• AUTHORITY_COLLECTION_IFS (7.5 / 7.6) : Vue permettant d’obtenir des détails plus faciles à consommer sur les droits IFS.
• CHANGE_IOP (7.5 / 7.6) : Procédure initialisant les opérations sur les IOP, alternative à l’utilisation du Hardware Service Manager (HSM).
• CHANGE_ISCSI_TARGET (7.5 / 7.6) : Procédure permettant de modifier des cibleds iSCSI.
• CHANGE_TOTP_KEY (7.6) : Fonction table permettant de créer et d’enregistrer une clé TOTP ou de la supprimer.
• CHECK_TOTP (7.6) : Fonction scalaire permettant de valider le code TOTP.
• ISCSI_INFO (7.5 / 7.6) : Vue retournant la configuration iSCSI.
• PROGRAM_RESOLVED_IMPORTS (7.6) : Fonction table qui renvoie les importations d’un programme ILE ou d’un programme de service qui sont résolues par l’exportation d’un ou plusieurs programmes de services.
• REMOVE_ISCSI_TARGET (7.5 / 7.6) : Procédure permettant de supprimer des cibles iSCSI.
• VERIFY_NAME (7.5 / 7.6) : Fonction scalaire permettant de vérifier la validité d’un nom système ou d’un nom SQL.

Fonctions SQL Services améliorées

• ACTIVE_JOB_INFO (7.5 / 7.6)
• DUMP_PLAN_CACHE (7.5 / 7.6)
• SECURITY_INFO (7.6)
• SERVER_SBS_ROUTING (7.6)
• SET_SERVER_SBS_ROUTING (7.6)
• SYSDISKSTAT (7.5 / 7.6)
• USER_INFO (7.6)
• USER_INFO_BASIC (7.6)

Nouvelles fonctions SYSTOOLS

• DELETE_OLD_JOURNAL_RECEIVERS (7.5 / 7.6) : Cette procédure supprime les récepteurs de journaux détachés selon des critères de filtrage.
• IFS_PATH (7.5 / 7.6) : Fonction scalaire permettant de décomposer un chemin ou un objet IFS en éléments spécifiques.
• SQLSTATE_INFO (7.5 / 7.6) : Nouvelle table renvoyant des informations sur les valeurs SQLSTATE utilisées par Db2 for i et les codes SQLCODE correspondants.

Fonctions SYSTOOLS améliorées

• AUDIT_JOURNAL_XX (AD / CP / DS / GR / NA / PW / SM / VP) (7.6)
• GROUP_PTF_DETAILS (7.5 / 7.6)
• POWER_SCHEDULE_INFO (7.5 / 7.6)

---

4.4 – Code for IBM i / Db2 for IBM i (7.5 / 7.6)

Le projet Code for IBM i permet aux développeurs d’exploiter des méthodologies et des techniques de développement modernes pour répondre aux besoins évolutifs de développement sur IBM i. Code for IBM i est un plugin dans VS Code. Ce dernier est devenu, depuis quelques années, un outil très populaire chez les développeurs en raison de la disponibilité de nombreuses extensions.

Ces dernières sont développées en Open Source, par la communauté IBM i, en partenariat avec le support IBM.

Afin d’améliorer encore la productivité des développeurs, les améliorations suivantes ont été mises en œuvre :

Code for IBM i

• Compilation des DDS (PF, LF et DSPF) à partir des dépôts Git locaux.
• Prise en charge du débogage par lots et du Service Exit Point (SEP).
• Amélioration sur le support des CCSID DBCS (Double-Byte Character Set)
• Gestion améliorée du certificat pour le débogueur.
• Possibilité de formater rapidement des sources au format free RPGLE.
• Support des références RPGLE au format fixe.
• Accès à la définition des RPGLE aux formats fixe et mixte.
• Accès à l’implémentation pour les procédures d’exportation à partir des références.
• Nouvelles traductions en norvégien, allemand et polonais.

Db2 for IBM i

• Vérification syntaxique intégrée.
• Support du survol pour les références rapides.
• Support des signatures pour les procédures et fonctions.
• Intégration aux plateformes d’IA pour les questions en langage naturel
• Ensembles de résultats actualisables
• Run All/Selected/From

---

4.5 – Source Orbit (7.5 / 7.6)

Source Orbit est un outil de gestion des dépendances, disponible sous forme d’extension dans VS Code. Il permet d’améliorer la compréhension du code source en :

• analysant le code source pour créer un arbre des dépendances
• listant les objets affectés par le code
• …

Les nouveautés suivantes ont été apportées :

• Support complet des formats RPGLE fixe, mixte et free.
• Support des dépôts Git et du système de fichier QSYS.

5 – Navigator for i

5.1 – Support MFA (7.6)

Navigator for i prend de plus en plus d’importance à chaque évolution de version ou de Technology Refresh, il devenu incontournable et constitue le point d’accès central de l’administration IBM i. IBM ayant fait du renforcement de la sécurité, son axe principal pour cette nouvelle version, il était important que Navigator for i soit intégré aux process de MFA/TOTP.

La connexion à Navigator for i supporte la MFA avec l’intégration du paramètre de facteur additionnel.

L’ajout de nœud / node dans Navigator for i supporte également le facteur additionnel.

---

5.2 – Gestion de la clé MFA (7.6)

Chaque utilisateur peut gérer sa clé MFA (Multi-Factor Authentication) à l’aide de Navigator for i. Cette option est accessible pour n’importe quel utilisateur.

L’assistant de l’interface graphique permet de créer, modifier ou supprimer sa clé MFA et génère un QR-Code dans permettant de facilement l’intégrer sur un téléphone ou une tablette par exemple.

---

5.3 – Désactivation des ports host servers non-sécurisés (7.6)

Navigator for i permet de désactiver les ports des host servers non sécurisés. Cela correspond à la commande CFGHOSTSVR.

---

5.4 – Administration serveurs HTTP et des serveurs d’application (7.5 / 7.6)

Désormais, l’administration des serveurs HTTP et serveurs d’application (IWS, IWA et WAS) s’effectuera directement dans Navigator for i. Il ne sera plus nécessaire d’utiliser l’accès http://serveur:2001/HTTPAdmin ou https://serveur:2010/HTTPAdmin.

L’ancienne interface sera retirée par des PTF lors d’un prochain Technology Refresh.

---

5.5 – Amélioration de la gestion des utilisateurs (7.5 / 7.6)

L’interface de gestion des utilisateurs dans Navigator for i a été améliorée pour prendre en compte la MFA et ajoute quelques options comme :

• Copie sur le système
• Désactivation sur le système (sur un ou plusieurs systèmes)
• Activer les utilisateurs pour l’authentification MFA
• Utilisateurs sans authentification MFA
• Activer les utilisateurs pour l’authentification du programme d’exit
• définir l’utilisation de la fonction d’usage sur refusé
• …

---

5.6 – Affichage des informations sur les licences et sur le firmware (7.5 / 7.6)

La page d’accueil sur l’état du système inclue désormais une alerte sur les dates d’expiration avec le nombre de jours restant, ainsi que les informations relatives au firmware avec les niveaux en cours et les niveaux disponibles.

6 – Access Client Solutions

Access Client Solutions 1.1.9.8 apportera des nouveautés telles que celles présentées ci-dessous.

6.1 – Séparateurs sur affichage des valeurs numériques (7.5 / 7.6)

ACS 1.1.9.8 permettra d’utiliser des séparateurs sur l’affichage des valeurs numériques afin d’améliorer la lisibilité de ces dernières. Les séparateurs utilisés dépendront de la locale configurée (EN_US, FR_FR …).

L’option est disponible dans l’onglet « Résultats » de « Edition/Préférences » ou par un clic droit sur une colonne en choisissant valeurs au format numérique.

---

6.2 – Affichage des valeurs binaires (7.5 / 7.6)

Cette nouvelle mouture de Client Access Solutions permet d’afficher le contenu d’une valeur binaire de type BLOB, BINARY ou VARBINARY.

Ex : si la valeur est une image, un clic droit sur la valeur et utilisation de l’option « Afficher les données de la colonne » permet d’afficher l’image réelle.

---

6.3 – Affichage reformaté des valeurs JSON (7.5 / 7.6)

Avec la même option qu’au point précédent, les valeurs JSON sont affichées de manière plus lisible.

---

6.4 – Amélioration de l’Index Advisor (7.5 / 7.6)

L’Index Advisor ou outil de conseil à la gestion des index est amélioré afin d’offrir de nouvelles options sur l’utilisation des index.

L’assistant explique la raison de la non utilisation de certains index.

7 – Divers

7.1 – Statistiques Fibre Channel et ASP (7.6)

Les services de collectes pourront désormais récupérer les statistiques des adaptateurs Fibre Channel, qu’ils soient physiques ou virtuels.

Cela permettra d’analyser en détails les performances sur les cartes Fibre Channel connectées au stockage externe IBM (FlashSystems, SVC, DS8000, Storwize …), aux bandothèques (TS4300, TS4500 …) et aux VTL (Data Domain …) et particulièrement sur les adaptateurs virtualisés et partagés entre plusieurs partitions par des Virtual I/O Servers.

QAPMFCN : Fibre Channel Native
QAPMFCV : Fibre Channel Virtual

---

Les services de collecte peuvent désormais également collecter les données de performances par ASP dans le fichier QAPMSMASP.

---

7.2 – Performances ObjectConnect (7.6)

Les performances d’ObjectConnect dépendent de la bande passante disponible sur le réseau. De nouvelles options sont ajoutées pour modifier les attributs ObjectConnect (CHGOBJCA) afin de pouvoir configurer les tailles des buffers d’envoi et de réception.

---

7.3 – IBM Content Manager OnDemand for i (7.4 / 7.5 / 7.6)

De nombreuses améliorations sont apportées au produit IBM Content Manager OnDemand for i (CMOD – 5770-RD1), elles sont également disponibles dans les versions IBM 7.4 et 7.5 :

• Support de la MFA sur les applications OnDemand Client et Administrateur.
• La valeur du CCSID de base sur les fichiers base de données, lors de la création d’une nouvelle instance, passe en UTF-8.
• Le paramètre Nom de l’application SSL (SSLAPPL) peut être spécifié lors de la création d’une instance, en revanche, le paramètre fichier de clé SSL (SSLKEYF) ne peut plus être spécifié.
• Une nouvelle valeur de paramètre *DIR3 est autorisée dans la commande de démarrage du moniteur (STRMONOND) afin de traiter les fichiers de flux portant les extensions suivantes : .afp, .lin, .line, .txt et .pdf.
• Un nouveau paramètre STASHFILE a été ajouté aux commandes de suppression d’un rapport, de récupération d’un document et d’interrogation d’un document.
• Dans la commande de démarrage du moniteur (STRMONOND), la valeur par défaut du paramètre intervalle de vérification est réduite de 90 à 30 secondes.
• Un nouveau paramètre de nom de tâche (JOBNAME) est disponible pour toutes les commandes Content Manager OnDemand for i disposant d’un paramètre SBMJOB (Soumettre par lot).
• Des améliorations supplémentaires ont été apportées à plusieurs commandes, améliorant ainsi la convivialité et l’administration du système.
• Meilleure intégration dans Navigator for i.

---

7.4 – BRMS (7.5 / 7.6)

Pour rappel, seule la version par souscription (5770-BR2) est supportée en 7.6, la version historique avec licences perpétuelles (5770-BR1) n’est pas compatible avec la 7.6.

La version commercialisée sous forme de souscription à les caractéristiques suivantes :

• Toutes les options sont intégrées dans le produit de base (Base, Network et Advanced)
• La facturation s’effectue sous forme de mensualités.
• Les souscriptions sont disponibles pour une, deux, trois, quatre ou cinq années.
• Les clés fournies sont temporaires et périment à la fin de la durée de la souscription. Un renouvellement d’abonnement de 1 à 5 ans doit être souscrit pour disposer de nouvelles clés de licence.
• La maintenance logicielle est incluse dans le prix de la souscription.
• Interface graphique intégrée au produit 5770-BR2.
• Les nouvelles fonctionnalités ne sont intégrées que dans le produit 5770-BR2.
• A partir du 01/10/2025, seule la version 5770-BR2 disposera d’un support complet intégrant la correction des nouveaux bugs détectés.

Les nouveautés BRMS sont :

• Amélioration des Services SQL d’administration de BRMS.
• Modification de sécurité sur la commande SETUSRBRM avec le paramètre USAGE(*REMOVE).
• L’interface graphique fournit des informations sur l’état de santé des sauvegardes.
• Cohérence des commandes de sauvegarde : ajout d’une valeur spéciale pour le paramètre DTACPR dans toutes les commandes de sauvegarde.
• Améliorations des commandes SETFCNBRM et DSPFCNBRM pour afficher et activer les fonctions BRMS.

---

7.5 – PowerHA SystemMirror for i (7.5 / 7.6)

IBM PowerHA SystemMirror for i 7.6 étend son intégration à PowerVS (Power Virtual Server). Auparavant, PowerHA SystemMirror pour i était disponible dans PowerVS avec des technologies telles que Global Replication Services (GRS) et des technologies agnostiques au stockage, comme Geographic Mirroring.

Désormais, PowerHA SystemMirror for i prend en charge l’intégration de plusieurs technologies de réplication et de commutation IASP dans PowerVS, notamment la commutation de volume IASP (LUN-level switching) et les FlashCopy d’IASP.

LUN-level switching avec PowerVS

La commutation de volumes permet de basculer un ensemble de volumes entre systèmes. Cette technologie est utilisée entre deux nœuds d’un cluster IBM i résidant dans le même espace de travail PowerVS (même Data Center). Elle est souvent combinée à des technologies telles que GRS pour permettre la Haute Disponibilité locale au sein d’un centre de données, ainsi que la réplication vers un emplacement distant avec GRS afin de protéger le centre de données contre les pannes.

FlashCopy IASP avec PowerVS

PowerHA permet désormais d’utiliser le FlashCopy d’un ASP indépendant dans PowerVS, simplifiant ainsi le transfert des sauvegardes ou des tests vers un autre nœud. L’intégration de FlashCopy offre des fonctionnalités d’automatisation et d’intégration similaires à celles de FlashCopy sur site, notamment la possibilité de la combiner avec les technologies GRS ou de mise en miroir géographique pour les environnements cloud et hybrides.

---

7.6 – Db2 Mirror for i (7.5 / 7.6)

L’interface de Db2 Mirror for i a été intégralement relookée afin de répondre aux attentes d’une interface utilisateur moderne.

---

7.7 – Devices NVMe (7.6)

• Amélioration de la protection par mot de passe d’un device NVMe. Depuis la 7.5 TR1, il était possible d’ajouter une protection par mot de passe sur un device NVMe. La gestion s’effectuait par des Services SQL ou des macros SST, mais cela n’était pas pratique. Désormais, la 7.6 intègre ces fonctions dans la gestion des disques (Work with Disk Units) dans les interfaces de SST et de DST.

• Amélioration des performances des NVMe. Elles étaient excellentes, mais elles sont encore meilleures en 7.6 grâce à une modification de l’architecture I/O de bas niveau. Certaines charges de travail s’exécutant sur des drives NVMe pourraient constater une amélioration des performances.

• Hot Spare NVMe