Authentification d'utilisateur Windows et certificats TLS

Les certificats TLS (Transport layer security) assurent la communication chiffrée sécurisée entre le serveur Rational DOORS et le client Rational DOORS. Lorsque les utilisateurs se connectent à Rational DOORS par le biais de l'authentification d'utilisateur Windows, les certificats TLS sont utilisés.

Certificats TLS et fichiers de clés

Les certificats TLS assurent la communication entre le serveur Rational DOORS et le client Rational DOORS.

Le client envoie un certificat au serveur pour validation et le serveur envoie un certificat au client pour validation.

La validation s'effectue par le biais des fichiers de clés. Un fichier de clés du client valide le certificat du serveur et un fichier de clés du serveur valide le certificat du client.

Les certificats peuvent être organisés dans une structure arborescente, le certificat racine se trouvant au sommet. Tous les certificats dans l'arborescence héritent de la fiabilité du certificat racine. Les fichiers de clés peuvent valider chaque certificat individuellement, ou si le fichier de clés valide le certificat racine, chaque certificat est également validé.

Par défaut, Rational DOORS est installé avec les certificats TLS fournis par IBM® GSKIT, et deux fichiers de clés prêts à être utilisés.

Les fichiers de clés se trouvent dans le dossier certdb. Le fichier de clés du client est appelé client_authentication.kdb et le fichier de clés du serveur server_authentication.kdb.

Le fichier de clés client_authentication.kdb contient un certificat que le client peut envoyer au serveur appelé IBM_CL1, et le fichier de clés server_authentication.kdb contient un certificat appelé IBM_SV1 que le serveur peut envoyer au client. IBM_SV1 contient le nom de la machine sur laquelle s'exécute le serveur. Par défaut, il s'agit de IBMEDSERV.

Le fichier de clés du client contient également le certificat racine de l'arborescence qui contient le certificat du serveur, ce qui permet au fichier de clés du client de valider le certificat du serveur. Par exemple, client_authentication.kdb contient le certificat racine de l'arborescence qui contient IBM_SV1, et il l'utilise pour valider IBM_SV1. Le fichier de clés du serveur contient le certificat racine de l'arborescence qui contient le certificat du client, et l'utilise pour valider le certificat du client.

Si vous démarrez le serveur RationalDOORS sans modifier les paramètres par défaut, cette configuration de fichier de clés et de certificat du serveur est utilisée par défaut, et tous les clients Rational DOORS établissent des connexions sécurisées au serveur.

Vous pouvez modifier les paramètres par défaut et configurer le système en fonction de vos spécifications personnelles. Pour cela, exécutez les commutateurs de ligne de commande qui permettent de spécifier un fichier de clés, nom de certificat ou nom de serveur différent. Par exemple, vous pouvez remplacer IBM_SV1 par un nom de certificat différent ou IBMEDSERV par un nom de serveur différent.

Certificats sur carte à puce

Lorsque vous utilisez des cartes à puce, le certificat du client ne se trouve pas sur le client Rational DOORS lui-même. Il se trouve sur la carte à puce, tout comme le nom distinctif qui est associé à l'utilisateur. Le certificat qui se trouve sur la carte à puce est identifié par un label. L'utilisateur est identifié par un nom distinctif. Ce dernier est constitué de paires attribut=valeur, séparées par des virgules, par exemple :

CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

Feedback