Настройка защищенного соединения

Для обеспечения защиты сервера необходимо настроить работу сервера баз данных Rational DOORS через защищенные соединения.

Прежде чем начать

Убедитесь, что сервер запускается в защищенном режиме и принимает соединения от клиентов. Ниже приведен контрольный список для проверки конфигурации защищенного режима (только для сведения).

Запуск серверов UNIX

Об этой задаче

Для запуска серверов UNIX выполните следующие действия:

Процедура

  1. Запустите сценарий configure-festival.sh, отвечающий за настройку прав доступа для файлов из структуры каталогов и установку JRE.
  2. Запустите посредника с помощью файла broker.start.sh, расположенного в корневом каталоге установки Rational DOORS Web Access.
  3. Запустите сервер баз данных Rational DOORS, включив защиту сервера при помощи аргумента командной строки -serverSecurityEnable. Необходимо также определить хост и порт посредника в параметрах -serverSecurityBrokerHost BROKER_HOST и -serverSecurityBrokerPort PORT_NUMBER .

    Пример:

    doorsd -s $DOORSHOME/data -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable,

    где
    Оператор Аргумент Описание
    -s $DOORSHOME/data

    ($DOORSHOME задается в соответствии с инструкциями по установке стандартного Rational DOORS).

    Путь к файлам данных.

    -p 36700

    Номер порта для подключения к серверу.

    -serverhostname IBMEDSERV

    Имя сервера баз данных Rational DOORS.

    -secure ON

    При значении on защита включена.

    -serverSecurity BrokerHost BROKER_HOST

    Имя или IP-адрес сервера, на котором размещается посредник.

    -serverSecurity BrokerPort 61616(значение по умолчанию).

    Номер порта для подключения к посреднику.

    -serverSecurity Enable  

    Включает защиту сервера.

    Необязательные параметры ведения протоколов для сервера:
    Оператор Описание
    -L

    Уровень ведения протокола (например, -L 6).

    -l

    Каталог и имя файла протокола (например, -l /var/log/doorsd.log).

    Прим.: Все отсутствующие или набранные с ошибками параметры можно подставить из переменных среды или записей реестра (при наличии).
  4. Запустите сервер взаимодействия. Он находится в каталоге $DOORSHOME/bin.

    Пример:

    doors9 -interop -data 36700@IBMEDSERV –brokerHost MYBROKER –brokerPort BROKERPORT

    где
    Оператор Аргумент Описание
    -interop  

    Команда на запуск клиента как сервер взаимодействия.

    -data 36700@IBMEDSERV

    Номер порта и имя сервера баз данных Rational DOORS.

    -brokerHost MYBROKER

    Имя сервера, на котором размещается посредник.

    -brokerPort BROKERPORT

    Номер порта посредника.

    Необязательные параметры ведения протоколов для сервера взаимодействия:
    Оператор Описание
    -logLevel

    Уровень ведения протокола (например, -logLevel 6).

    -logfile

    Каталог и имя файла протокола (например, -logfile /var/log/interop.log).

Запуск сервера Windows

Об этой задаче

Для запуска серверов Windows выполните следующие действия:

Процедура

  1. Запустите посредника с помощью файла broker.start.bat, расположенного в корневом каталоге установки Rational DOORS Web Access.
  2. Перезапустите сервер баз данных Rational DOORS, включив защиту сервера при помощи аргумента командной строки -serverSecurityEnable. Необходимо также определить хост и порт посредника в параметрах -serverSecurityBrokerHost HOST и -serverSecurityBrokerPort PORT.

    Если сервер баз данных Rational DOORS работает в консольном режиме, команда должна иметь формат:

    doorsd.exe -debug -s "C:\example\data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable

    где
    Оператор Аргумент Описание
    -s "C:\example\data"

    Путь к файлам данных.

    -p 36700

    Номер порта для подключения к серверу.

    -serverhostname IBMEDSERV

    Имя сервера баз данных Rational DOORS.

    -secure ON

    Имя сервера баз данных Rational DOORS.

    -serverSecurity BrokerHost BROKER_HOST

    Имя или IP-адрес сервера, на котором размещается посредник.

    -serverSecurity BrokerPort 61616(значение по умолчанию).

    Номер порта для подключения к посреднику.

    -serverSecurity Enable  

    Включает защиту сервера.

    Можно также добавить необязательные параметры ведения протокола:
    Оператор Аргумент Описание
    -L 6

    Уровень протокола.

    -l /var/log/doorsd.l og

    Каталог и имя файла протокола.

    Прим.: Остановите и отключите службы сервера баз данных Rational DOORS.

    Если сервер баз данных Rational DOORS работает как служба Windows:

    После установки сервера сервер баз данных Rational DOORS регистрируется как служба Windows. По умолчанию защищенный режим и параметры защиты сервера отключены. Для того чтобы их включить:

    1. Остановите службы сервера баз данных Rational DOORS.
    2. Откройте окно Свойства служб сервера баз данных Rational DOORS.
    3. Укажите правильные параметры в поле Параметры запуска. Например, введите:

      -s "C:\example\data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable

      Дополнительная информация о параметрах приведена в таблице выше.

    4. Запустите службы.
      Прим.: Нажмите кнопку Пуск в окне Свойства. При закрытии окна параметры будут отклонены.
  3. Запустите сервер взаимодействия Rational DOORS. Это тот же двоичный файл, что и клиент Rational DOORS.

    Пример:

    doors.exe -interop -data 36700@IBMEDSERV –brokerHost MYBROKER –brokerPort BROKERPORT

    где
    Оператор Аргумент Описание
    -interop  

    Команда на запуск клиента как сервер взаимодействия.

    -data 36700@IBMEDSERV

    Номер порта и имя сервера баз данных Rational DOORS.

    -brokerHost MYBROKER

    Имя сервера, на котором размещается посредник.

    -brokerPort BROKERPORT

    Номер порта посредника.

    Можно также добавить необязательные параметры ведения протокола:
    Оператор Аргумент Описание
    -logLevel 8

    Уровень протокола.

    -l "C:\Interop.log"

    Каталог и имя файла протокола.

    Прим.: Если сервер баз данных Rational DOORS работает как служба Windows, то после перезапуска Windows необходимо перезапустить посредника и серверы взаимодействия. А при попытке остановить службы сервера баз данных Rational DOORS, когда посредник не работает, наступит тайм-аут Windows, и службы остановить не удастся.

Дополнительная информация о запуске сервера

Действия, описанные в разделах "Запуск сервера UNIX" и "Запуск сервера Windows", предусмотрены для метода идентификации по Имени пользователя и паролю. Это стандартный метод. Если он не подходит, необходимо запустить сервер взаимодействия и клиентов Rational DOORS с действующим сертификатом. Для этого существует аргумент -certName NAME.

Операторы -serverhostname и -secure служат для включения защищенного соединения. Дополнительная информация приведена в разделе "Предварительные действия".

Операторы включения защиты сервера являются опциями сервера. После включения защиты сервера из аргумента командной строки его значение запоминается на сервере и используется в последующих запусках (при отсутствии отдельного выключателя защиты сервера).

По умолчанию защита сервера выключена. После включения защита работает постоянно (см. предыдущее замечание).

Отключить защиту сервера можно с помощью оператора -serverSecurityDisable.

Запуск клиента

После запуска сервера баз данных Rational DOORS подключите к нему клиентов Rational DOORS и работайте в обычном порядке.

Если сервер Rational DOORS настроен на работу с Rational Directory Server, существующие пользователи должны быть зарегистрированы. Для этого запустите клиент Rational DOORS, войдите от имени администратора и запустите DXL perm signTdsUsers(). DXL необходимо запускать при каждом изменении сервера баз данных Rational DOORS.

Настройка пароля dbadmin

После запуска клиента Rational DOORS необходимо задать пароль dbadmin. Пароль необходимо указать с параметром -p switch, а при запуске dbadmin необходимо указывать параметр -P и -l.

Например, пароль можно задать при помощи команды в формате:

dbadmin.exe -d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb" -p NewPassword

После назначения пароля dbadmin определите каждый запрос при помощи команды в формате:

dbadmin.exe -d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb" -P NewPassword -l

Настройка доступа к модулям

Для защиты конфиденциальных данных необходимо настроить правильные права доступа к модулям.

При включенной защите сервера клиенты применяют обычные права доступа к информации из базы данных. Права доступа пользователя для работы с базой данных не зависят от модели защиты сервера.

Однако если защита клиента взломана, например если пользователь получает несанкционированный доступ к базе данных, то пользователь с правами доступа к модулю для Чтения будет иметь Неограниченный доступ к содержимому модуля.

Для того чтобы исключить такую возможность, все модули, в которых содержится конфиденциальная информация, должны быть защищены. Доступ к модулю можно разрешить только тем пользователям, кому необходимо работать с ним. Если пользователю доступ к модулю не требуется, не назначайте ему права доступа для Чтения. Он должен иметь права доступа Нет. В этом случае даже при получении несанкционированного доступа к базе данных пользователь не будет иметь возможности доступа к модулю.

Изменение способа идентификации

Способ идентификации для защиты сервера можно изменить при помощи dbadmin. При изменении способа перезапускать сервер баз данных Rational DOORS не нужно.

Например, чтобы задать метод с использованием ключей пользователя, введите:

dbadmin.exe -d 36700@IBMEDSERV -keyDB C:\path\to\certificate\db\client_authentication.kdb -certName DBM1 -P samplePassword -sssAuthenticationMode UserKeys

Допустимые параметры оператора -sssAuthenticationMode:

UserKeys
UsernamePassword
UsernamePasswordAndUserKeys

Комментарии