Configuration d'une connexion sécurisée

Pour activer la sécurité serveur, vous devez configurer le serveur de base de données Rational DOORS de sorte à utiliser les connexions sécurisées.

Avant de commencer

Vérifiez que le serveur peut démarrer en mode sécurisé et accepter les connexions des clients. Voici une liste de contrôle permettant de vérifier la configuration du mode sécurisé (pour information uniquement) :

Démarrage des serveurs UNIX

Pourquoi et quand exécuter cette tâche

Pour démarrer les serveurs UNIX :

Procédure

  1. Exécutez configure-festival.sh qui définit les droits d'accès appropriés sur les fichiers dans la structure de répertoires et installe l'environnement JRE.
  2. Démarrez le courtier en exécutant broker.start.sh, dans le répertoire principal de l'installation de Rational DOORS Web Access.
  3. Démarrez le serveur de base de données Rational DOORS en activant la sécurité serveur avec l'argument de ligne de commande -serverSecurityEnable. Vous devez également définir l'hôte et le port du courtier à l'aide des paramètres -serverSecurityBrokerHost BROKER_HOST et -serverSecurityBrokerPort PORT_NUMBER. doorsd -s $DOORSHOME/data -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable
    où :
    Commutateur Paramètre Description
    -s $DOORSHOME/data

    ($DOORSHOME est défini selon les instructions d'installation Rational DOORS standard).

    Chemin d'accès aux fichiers de données.

    -p 36700

    Numéro du port de connexion au serveur.

    -serverhostname IBMEDSERV

    Nom du serveur de base de données Rational DOORS.

    -secure ON

    Doit être défini sur On pour que la sécurité soit activée.

    -serverSecurity BrokerHost BROKER_HOST

    Nom du serveur ou adresse IP du serveur hébergeant le courtier.

    -serverSecurity BrokerPort 61616 (par défaut).

    Numéro du port de connexion au courtier.

    -serverSecurity Enable  

    Active la sécurité du serveur.

    Il existe des paramètres de journalisation par défaut pour le serveur :
    Commutateur Description
    -L

    Niveau de journalisation (par exemple, -L 6).

    -l

    Chemin et nom du fichier journal (par exemple, -l /var/log/doorsd.log).

    Remarque : Les paramètres manquants ou erronés peuvent être remplis via les variables d'environnement ou, le cas échéant, par les entrées de registre.
  4. Démarrez le serveur d'interopérabilité. La commande du serveur d'interopérabilité se trouve dans $DOORSHOME/bin. doors9 -interop -data 36700@IBMEDSERV –brokerHost MYBROKER –brokerPort BROKERPORT
    où :
    Commutateur Paramètre Description
    -interop  

    Commande permettant de démarrer le client en tant que serveur d'interopérabilité.

    -data 36700@IBMEDSERV

    Numéro de port et nom du serveur de base de données Rational DOORS.

    -brokerHost MYBROKER

    Nom du serveur hébergeant le courtier.

    -brokerPort BROKERPORT

    Numéro de port du courtier.

    Il existe des paramètres de journalisation facultatifs pour le serveur d'interopérabilité :
    Commutateur Description
    -logLevel

    Niveau de journalisation (par exemple, -logLevel 6).

    -logfile

    Chemin et nom du fichier journal (par exemple, -logfile /var/log/interop.log).

Démarrage du serveur Windows

Pourquoi et quand exécuter cette tâche

Pour démarrer les serveurs Windows :

Procédure

  1. Démarrez le courtier en exécutant broker.start.bat, dans le répertoire principal de l'installation de Rational DOORS Web Access.
  2. Redémarrez le serveur de base de données Rational DOORS en activant la sécurité serveur avec l'argument de ligne de commande -serverSecurityEnable. Vous devez également définir l'hôte et le port du courtier à l'aide des paramètres -serverSecurityBrokerHost HOST et -serverSecurityBrokerPort PORT. Si vous exécutez le serveur de base de données Rational DOORS en mode console, entrez une commande au format suivant :

    doorsd.exe -debug -s "C:\example\data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable

    où :
    Commutateur Paramètre Description
    -s "C:\example\data"

    Chemin d'accès aux fichiers de données.

    -p 36700

    Numéro du port de connexion au serveur.

    -serverhostname IBMEDSERV

    Nom du serveur de base de données Rational DOORS.

    -secure ON

    Nom du serveur de base de données Rational DOORS.

    -serverSecurity BrokerHost BROKER_HOST

    Nom du serveur ou adresse IP du serveur hébergeant le courtier.

    -serverSecurity BrokerPort 61616 (par défaut).

    Numéro du port de connexion au courtier.

    -serverSecurity Enable  

    Active la sécurité du serveur.

    Vous pouvez également ajouter des paramètres de journalisation facultatifs :
    Commutateur Paramètre Description
    -L 6

    Niveau de journalisation.

    -l /var/log/doorsd.log

    Chemin d'accès et nom du fichier journal.

    Remarque : Veillez à arrêter et à désactiver le service de serveur de base de données Rational DOORS.

    Si vous exécutez le serveur de base de données Rational DOORS depuis les services Windows, vous devez activer le mode sécurisé et les options de sécurité serveur.

    Une fois le serveur installé, le serveur de base de données Rational DOORS est enregistré en tant que service Windows. Par défaut, le mode sécurisé et les options de sécurité du serveur sont désactivés. Pour activer ces options :

    1. Arrêtez le service de serveur de base de données Rational DOORS.
    2. Ouvrez la boîte de dialogue Propriétés pour le service de serveur de base de données Rational DOORS.
    3. Entrez les paramètres corrects dans la zone Paramètres de démarrage. Par exemple, entrez :

      -s "C:\example\data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable

      Pour plus d'informations sur les paramètres, voir le tableau à l'2.

    4. Démarrez le service.
      Remarque : Appuyez sur Démarrer dans la boîte de dialogue Propriétés. Les paramètres sont annulés à la fermeture de la boîte de dialogue.
  3. Démarrez le serveur d'interopérabilité Rational DOORS. Ce serveur est le même binaire que le client Rational DOORS. doors.exe -interop -data 36700@IBMEDSERV –brokerHost MYBROKER –brokerPort BROKERPORT
    où :
    Commutateur Paramètre Description
    -interop  

    Commande permettant de démarrer le client en tant que serveur d'interopérabilité.

    -data 36700@IBMEDSERV

    Numéro de port et nom du serveur de base de données Rational DOORS.

    -brokerHost MYBROKER

    Nom du serveur hébergeant le courtier.

    -brokerPort BROKERPORT

    Numéro de port du courtier.

    Vous pouvez également ajouter des paramètres de journalisation facultatifs :
    Commutateur Paramètre Description
    -logLevel 8

    Niveau de journalisation.

    -l "C:\Interop.log"

    Chemin d'accès et nom du fichier journal.

    Remarque : Si le serveur de base de données Rational DOORS s'exécute en tant que service Windows, lorsque vous redémarrez Windows, vous devez redémarrer le courtier et le serveur d'interopérabilité. De plus, la tentative d'arrêt du service de serveur de base de données Rational DOORS alors que le courtier n'est pas en cours d'exécution peut entraîner un dépassement du délai d'attente de Windows et l'impossibilité d'arrêter le service.

Autres informations sur le démarrage du serveur

Les étapes des rubriques Démarrage des serveurs UNIX et Démarrage du serveur Windows concernent la méthode d'authentification serveur nom d'utilisateur et mot de passe. Cette méthode est la méthode d'authentification par défaut. Si vous devez utiliser une autre méthode, démarrez le serveur d'interopérabilité et les clients Rational DOORS avec un certificat valide. Pour ce faire, utilisez l'argument -certName NAME.

Les commutateurs -serverhostname et -secure sont destinés à activer la connexion sécurisée. Ces commutateurs sont référencés dans la rubrique Avant de commencer.

Les commutateurs d'activation de la sécurité du serveur sont des options de serveur. Lorsque la sécurité du serveur est activée à l'aide de l'argument de ligne de commande, le serveur mémorise sa valeur lors des exécutions ultérieures (lorsqu'aucun commutateur d'activation de la sécurité du serveur n'est fourni).

Par défaut, la sécurité du serveur est désactivée. Lorsque vous l'activez, elle se maintient (voir la remarque précédente).

Pour désactiver la sécurité du serveur, utilisez le commutateur -serverSecurityDisable.

Démarrage du client

Une fois le serveur de base de données Rational DOORS démarré, connectez les clients Rational DOORS au serveur de base de données Rational DOORS et continuez normalement.

Si Rational DOORS est configuré pour utiliser Rational Directory Server, les utilisateurs existants doivent être signés. Pour signer les utilisateurs existants, démarrez un client Rational DOORS, connectez-vous en tant qu'administrateur et exécutez l'autorisation DXL signTdsUsers(). Vous devez exécuter l'autorisation DXL chaque fois que vous changez le serveur de base de données Rational DOORS.

Configuration d'un mot de passe pour dbadmin

Une fois le client Rational DOORS démarré, vous devez configurer un mot de passe pour dbadmin. Configurez celui-ci à l'aide du commutateur -p, et lorsque vous exécutez dbadmin, vous devez entrer le mot de passe à l'aide du commutateur -P et du commutateur -l.

Par exemple, configurez le mot de passe à l'aide d'une commande au format suivant :

dbadmin.exe -d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb" -p NewPassword

Après avoir affecté le mot de passe dbadmin, indiquez chaque requête à l'aide d'une commande au format suivant :

dbadmin.exe -d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb" -P NewPassword -l

Configuration de l'accès aux modules

Vous devez vous assurer que les données sensibles sont protégées en configurant des droits d'accès corrects aux modules.

Lorsque la sécurité du serveur est activée, les clients appliquent les droits d'accès habituels aux informations dans la base de données. L'accès utilisateur à la base de données est le même que le système utilise la sécurité serveur ou le modèle de sécurité Rational DOORS classique.

Toutefois, si un utilisateur obtient un accès non autorisé à la base de données, et qu'il a un accès en lecture à un module, il dispose de l'accès complet aux contenus du module.

Pour vous prémunir de ce danger, vérifiez que les modules qui contiennent des données sensibles sont protégés. Autorisez l'accès au module uniquement si un utilisateur en a besoin. Si un utilisateur n'a pas besoin d'accéder à un module, ne définissez pas l'accès en lecture pour celui-ci. Définissez son accès sur aucun. De cette manière, même si un utilisateur obtient un accès non autorisé à la base de données, il ne peut pas accéder au module.

Modification de la méthode d'authentification

Vous pouvez modifier la méthode d'authentification de la sécurité du serveur à l'aide de la commande dbadmin. Lorsque vous changez de méthode, il n'est pas nécessaire de redémarrer le serveur de base de données Rational DOORS.

Par exemple, pour définir la méthode sur clés d'utilisateur, entrez :

dbadmin.exe -d 36700@IBMEDSERV -keyDB C:\path\to\certificate\db\client_authentication.kdb -certName DBM1 -P samplePassword -sssAuthenticationMode UserKeys

Ces options sont valides pour le commutateur -sssAuthenticationMode :

UserKeys
UsernamePassword
UsernamePasswordAndUserKeys

Feedback