Configuración de una conexión segura

Para poder habilitar la seguridad del servidor, es necesario configurar el servidor de base de datos de Rational DOORS para que utilice conexiones seguras.

Antes de empezar

Asegúrese de que es posible iniciar el servidor en modalidad segura y que puede aceptar conexiones de los clientes. A continuación se muestra una lista de comprobación para verificar la configuración de la modalidad segura (se trata únicamente de una guía general):

Inicio de servidores UNIX

Acerca de esta tarea

Haga lo siguiente para poder iniciar servidores UNIX:

Procedimiento

  1. Ejecute configure-festival.sh, que establece los permisos adecuados en los archivos en la estructura de directorios e instala el JRE.
  2. Inicie el intermediario ejecutando broker.start.sh, que se encuentra en el directorio raíz de la instalación de Rational DOORS Web Access.
  3. Inicie el servidor de base de datos de Rational DOORS, habilitando la seguridad del servidor con el argumento de línea de mandatos -serverSecurityEnable. También debe definir el puerto y el host del intermediario con los parámetros -serverSecurityBrokerHost BROKER_HOST y -serverSecurityBrokerPort PORT_NUMBER.

    Por ejemplo:

    doorsd -s $DOORSHOME/data -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable

    donde
    Conmutador Parámetro Descripción
    -s $DOORSHOME/data

    ($DOORSHOME se establece de acuerdo a las instrucciones de instalación estándar de Rational DOORS).

    Vía de acceso a los archivos de datos.

    -p 36700

    Número de puerto para conectarse al servidor.

    -serverhostname IBMEDSERV

    Nombre del servidor de base de datos de Rational DOORS.

    -secure ON

    Se debe establecer en ON para poder habilitar la seguridad.

    -serverSecurity BrokerHost BROKER_HOST

    Nombre de servidor o dirección IP del servidor que aloja al intermediario.

    -serverSecurity BrokerPort 61616(valor predeterminado).

    Número de puerto para conectarse con el intermediario.

    -serverSecurity Enable  

    Habilita la seguridad del servidor.

    Existe una serie de parámetros de creación del registro que son opcionales para el servidor:
    Conmutador Descripción
    -L

    Nivel de registro (por ejemplo, -L 6).

    -l

    Vía de acceso y nombre del archivo de registro (por ejemplo, -l /var/log/doorsd.log).

    Nota: Cualquier parámetro mal escrito o que falte se puede obtener a partir de las variables de entorno o a través de las entradas del registro si hay alguna.
  4. Inicie el servidor de interoperación. Está en al vía de acceso $DOORSHOME/bin.

    Por ejemplo:

    doors9 -interop -data 36700@IBMEDSERV –brokerHost MYBROKER –brokerPort BROKERPORT

    donde
    Conmutador Parámetro Descripción
    -interop  

    Mandato que inicia el cliente como un servidor de interoperatividad.

    -data 36700@IBMEDSERV

    Nombre y número de puerto del servidor de base de datos de Rational DOORS.

    -brokerHost MYBROKER

    Nombre del servidor que aloja al intermediario.

    -brokerPort BROKERPORT

    Número de puerto del intermediario.

    Existe una serie de parámetros de creación del registro que son opcionales para el servidor de interoperatividad:
    Conmutador Descripción
    -logLevel

    Nivel de registro (por ejemplo, -logLevel 6).

    -logfile

    Vía de acceso y nombre del archivo de registro (por ejemplo, -logfile /var/log/interop.log).

Inicio de servidores Windows

Acerca de esta tarea

Haga lo siguiente para poder iniciar servidores Windows:

Procedimiento

  1. Inicie el intermediario ejecutando broker.start.bat, que se encuentra en el directorio raíz de la instalación de Rational DOORS Web Access.
  2. Reinicie el servidor de base de datos de Rational DOORS, habilitando la seguridad del servidor con el argumento de línea de mandatos -serverSecurityEnable. También debe definir el puerto y el host del intermediario con los parámetros -serverSecurityBrokerHost HOST y -serverSecurityBrokerPort NUMBER.

    Si está ejecutando el servidor de base de datos de Rational DOORS en modalidad de consola, especifique un mandato con este formato:

    doorsd.exe -debug -s "C:\example\data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable

    donde
    Conmutador Parámetro Descripción
    -s "C:\example\data"

    Vía de acceso a los archivos de datos.

    -p 36700

    Número de puerto para conectarse al servidor.

    -serverhostname IBMEDSERV

    Nombre del servidor de base de datos de Rational DOORS.

    -secure ON

    Nombre del servidor de base de datos de Rational DOORS.

    -serverSecurity BrokerHost BROKER_HOST

    Nombre de servidor o dirección IP del servidor que aloja al intermediario.

    -serverSecurity BrokerPort 61616(valor predeterminado).

    Número de puerto para conectarse con el intermediario.

    -serverSecurity Enable  

    Habilita la seguridad del servidor.

    También puede añadir los siguientes parámetros opcionales para la creación del registro:
    Conmutador Parámetro Descripción
    -L 6

    Nivel de registro.

    -l /var/log/doorsd.l og

    Vía de acceso y nombre del archivo de registro.

    Nota: Asegúrese de detener e inhabilitar el servicio del servidor de base de datos de Rational DOORS.

    Si está ejecutando el servidor de base de datos de Rational DOORS desde los servicios de Windows:

    Después de haber instalado el servidor, el servidor de base de datos de Rational DOORS se registra como un servicio de Windows. De forma predeterminada, se inhabilitan las opciones de seguridad del servidor y la modalidad segura. Para poder habilitar estas opciones:

    1. Detenga el servicio del servidor de base de datos de Rational DOORS.
    2. Abra el recuadro de diálogo Propiedades del servicio del servidor de base de datos de Rational DOORS.
    3. Especifique los parámetros correctos en el campo de parámetros de inicio. Por ejemplo, especifique:

      -s "C:\example\data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable

      Si desea información sobre los parámetros, consulte la tabla anterior.

    4. Inicie el servicio.
      Nota: Utilice el botón Iniciar en el recuadro de diálogo Propiedades. Los parámetros se pierden al cerrar el recuadro de diálogo.
  3. Inicie el servidor de interoperatividad de Rational DOORS. Este servidor corresponde al mismo binario que el cliente de Rational DOORS.

    Por ejemplo:

    doors.exe -interop -data 36700@IBMEDSERV –brokerHost MYBROKER –brokerPort BROKERPORT

    donde
    Conmutador Parámetro Descripción
    -interop  

    Mandato que inicia el cliente como un servidor de interoperatividad.

    -data 36700@IBMEDSERV

    Nombre y número de puerto del servidor de base de datos de Rational DOORS.

    -brokerHost MYBROKER

    Nombre del servidor que aloja al intermediario.

    -brokerPort BROKERPORT

    Número de puerto del intermediario.

    También puede añadir los siguientes parámetros opcionales para la creación del registro:
    Conmutador Parámetro Descripción
    -logLevel 8

    Nivel de registro.

    -l "C:\Interop.log"

    Vía de acceso y nombre del archivo de registro.

    Nota: Si el servidor de base de datos de Rational DOORS está en ejecución como un servicio de Windows, después de reiniciar Windows, debe reiniciar el intermediario y el servidor o los servidores de interoperatividad. Además, si se intenta detener el servicio del servidor de base de datos de Rational DOORS cuando el intermediario no está en ejecución puede dar lugar a un tiempo de espera de Windows excedido y a la imposibilidad de la detención del servicio.

Información adicional sobre el inicio del servidor

Los pasos en "Inicio de servidores UNIX" e "Inicio de servidores Windows" son para el método de autenticación de servidor de Nombre de usuario y contraseña. Se trata el método de autenticación predeterminado. Si utiliza un método distinto, debe iniciar el servidor de interoperatividad y los clientes de Rational DOORS con un certificado válido. Esto se realiza mediante el argumento -certName NAME.

Los conmutadores -serverhostname y -secure habilitan una conexión segura. Este aspecto se documenta en la sección "Antes de empezar".

Los conmutadores que habilitan la seguridad del servidor son opciones del servidor. Una vez que la seguridad del servidor está habilitada con un argumento de línea de mandatos, el servidor recuerda su valor en posteriores ejecuciones (cuando no se proporcionan conmutadores de seguridad del servidor).

De forma predeterminada, la seguridad del servidor está inhabilitada. Una vez habilitada, es persistente (consulte la nota anterior).

Debe utilizar el conmutador -serverSecurityDisable para inhabilitar la seguridad del servidor.

Inicio del cliente

Después de iniciar el servidor de base de datos de Rational DOORS, conecte los clientes de Rational DOORS al servidor de base de datos de Rational DOORS y trabaje de forma habitual.

Si Rational DOORS está configurado para utilizar Rational Directory Server, los usuarios existentes deben estar firmados. Para ello, inicie el cliente de Rational DOORS, inicie una sesión como el administrador y ejecute el DXL perm signTdsUsers(). Necesita ejecutar el DXL una vez cada vez que cambie el servidor de base de datos de Rational DOORS.

Configuración de una contraseña para dbadmin

Después de iniciar el cliente de Rational DOORS, debe establecer una contraseña para dbadmin. Establézcala con el conmutador -p. Cuando ejecute dbadmin, deberá especificar la contraseña con el conmutador -P y el conmutador -l.

Por ejemplo, establezca la contraseña con un mandatos en este formato:

dbadmin.exe -d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb" -p NewPassword

Después de asignar la contraseña de dbadmin, especifique cada solicitud con un mandato con este formato:

dbadmin.exe -d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb" -P NewPassword -l

Configuración del acceso a módulos

Debe asegurarse de proteger los datos sensibles estableciendo los derechos de acceso adecuados a los módulos.

Cuando la seguridad del servidor está habilitada, los clientes aplican los derechos de acceso habituales a la información en la base de datos. El acceso a la base de datos es el mismo independientemente de si el sistema está utilizando la seguridad del servidor o el modelo de seguridad clásico de Rational DOORS.

Sin embargo, si se compromete la seguridad del cliente, por ejemplo, si un usuario logra un acceso no autorizado a la base de datos, en la medida que el usuario tenga acceso de Lectura al módulo tendrá acceso Completo al contenido del módulo.

Para protegerse de esta posibilidad, asegúrese de proteger los módulos que contienen datos sensibles. Únicamente permita el acceso al módulo a los usuarios que lo necesiten. Si un usuario no necesita acceder a un módulo, no establezca su acceso como de Lectura. Establezca su acceso en Ninguno. De esta forma, incluso si un usuario obtiene un acceso no autorizado a la base de datos, no podrá acceder al módulo.

Cambio del método de autenticación

El método de autenticación de la seguridad del servidor se puede cambiar con dbadmin. Cuando se cambia el método, no es necesario reiniciar el servidor de base de datos de Rational DOORS.

Por ejemplo, para establecer el método con claves de usuario, especifique:

dbadmin.exe -d 36700@IBMEDSERV -keyDB C:\path\to\certificate\db\client_authentication.kdb -certName DBM1 -P samplePassword -sssAuthenticationMode UserKeys

Estas son las opciones válidas para el conmutador -sssAuthenticationMode:

UserKeys
UsernamePassword
UsernamePasswordAndUserKeys

Comentarios