Para poder habilitar la seguridad del servidor, es necesario configurar el servidor de base de datos de Rational DOORS para que utilice conexiones seguras.
Antes de empezar
Asegúrese de que es posible iniciar el servidor en modalidad segura y que puede aceptar conexiones de los clientes.
A continuación se muestra una lista de comprobación para verificar la configuración de la modalidad segura (se trata únicamente de una guía general):
- Asegúrese de que la base de datos de claves de certificado está actualizada.
Asegúrese de que no hay certificados caducados.
Si está utilizando una base de datos de almacén de claves diferente, utilice el parámetro -keydb para especificarla al iniciar los clientes y los servidores de base de datos de Rational DOORS.
Nota: El almacén de certificados de ejemplo suministrado con Rational DOORS 9.4 ahora ha caducado.
- Asegúrese de que el servidor se inicia con el nombre de host de servidor correcto.
Si lo ejecuta desde la línea de mandatos, establezca el parámetro -serverhostname, de lo contrario se define en la variable de entorno SERVERHOSTNAME (o una entrada del registro).
Este nombre de host debe corresponder al nombre de host que ejecuta el servidor de base de datos de Rational DOORS.
- Asegúrese de que se ha reiniciado el servidor con la modalidad segura habilitada.
Desde la línea de mandatos, se habilita con la opción -secure ON.
En Windows, si no la especifica en la línea de mandatos, la define una opción de registro segura.
Tenga en cuenta que el valor del registro de forma predeterminada se establece en OFF.
Si no utiliza los parámetros de línea de mandatos, debe establecer esta opción en ON.
Esta clave se puede encontrar en esta vía de acceso:
\HKEY_LOCAL_MACHINE\SOFTWARE\Telelogic\DOORS_Server\9.4\Config
Si está trabajando en un entorno Windows de 64 bits, la clave está en esta vía de acceso:
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Telelogic\DOORS_Server
\9.4\Config
- Asegúrese de que los clientes y el servidor de interoperatividad se inician con el nombre de host correcto.
Debe ser el mismo el nombre de host que el nombre del host del servidor de base de datos de Rational DOORS (consulte lo anterior).
Por ejemplo, si el nombre de host del servidor de bases de datos de Rational DOORS es IBMEDSERV, el cliente debe utilizar IBMEDSERV en la línea de mandatos (-data 36700@IBMEDSERV) y en el entorno del cliente este nombre de host debe apuntar al mismo host el el que se ejecuta el servidor de bases de datos de Rational DOORS. Puede modificar el archivo de hosts del sistema operativo para que apunte al host de IBMEDSERV. Para resumir, los puntos importantes son:
- El servidor de base de datos de Rational DOORS debe iniciarse con el nombre de host de servidor adecuado (por ejemplo, IBMEDSERV), y en el entorno del servidor este nombre de host se tiene que resolver al propio servidor.
- El cliente de Rational DOORS se debe conectar al servidor mediante el mismo nombre de host de servidor (por ejemplo, especificando el parámetro -data 36700@IBMEDSERV en el atajo) y de nuevo este nombre de host en el entorno del cliente se ha de resolver a la dirección IP del servidor.
Inicio del cliente
Después de iniciar el servidor de base de datos de Rational DOORS, conecte los clientes de Rational DOORS al servidor de base de datos de Rational DOORS y trabaje de forma habitual.
Si Rational DOORS está configurado para utilizar Rational
Directory Server, los usuarios existentes deben estar firmados.
Para ello, inicie el cliente de Rational DOORS, inicie una sesión como el administrador y ejecute el DXL perm signTdsUsers().
Necesita ejecutar el DXL una vez cada vez que cambie el servidor de base de datos de Rational DOORS.
Configuración de una contraseña para dbadmin
Después de iniciar el cliente de Rational DOORS, debe establecer una contraseña para dbadmin.
Establézcala con el conmutador -p. Cuando ejecute dbadmin, deberá especificar la contraseña con el conmutador -P y el conmutador -l.
Por ejemplo, establezca la contraseña con un mandatos en este formato:
dbadmin.exe -d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb"
-p NewPassword
Después de asignar la contraseña de dbadmin, especifique cada solicitud con un mandato con este formato:
dbadmin.exe
-d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb" -P NewPassword -l
Configuración del acceso a módulos
Debe asegurarse de proteger los datos sensibles estableciendo los derechos de acceso adecuados a los módulos.
Cuando la seguridad del servidor está habilitada, los clientes aplican los derechos de acceso habituales a la información en la base de datos.
El acceso a la base de datos es el mismo independientemente de si el sistema está utilizando la seguridad del servidor o el modelo de seguridad clásico de Rational DOORS.
Sin embargo, si se compromete la seguridad del cliente, por ejemplo, si un usuario logra un acceso no autorizado a la base de datos, en la medida que el usuario tenga acceso de Lectura al módulo tendrá acceso Completo al contenido del módulo.
Para protegerse de esta posibilidad, asegúrese de proteger los módulos que contienen datos sensibles.
Únicamente permita el acceso al módulo a los usuarios que lo necesiten.
Si un usuario no necesita acceder a un módulo, no establezca su acceso como de Lectura.
Establezca su acceso en Ninguno.
De esta forma, incluso si un usuario obtiene un acceso no autorizado a la base de datos, no podrá acceder al módulo.
Cambio del método de autenticación
El método de autenticación de la seguridad del servidor se puede cambiar con dbadmin.
Cuando se cambia el método, no es necesario reiniciar el servidor de base de datos de Rational DOORS.
Por ejemplo, para establecer el método con claves de usuario, especifique:
dbadmin.exe -d 36700@IBMEDSERV
-keyDB C:\path\to\certificate\db\client_authentication.kdb -certName
DBM1 -P samplePassword -sssAuthenticationMode UserKeys
Estas son las opciones válidas para el conmutador -sssAuthenticationMode:
UserKeys
UsernamePassword
UsernamePasswordAndUserKeys