Configuración de una conexión segura

Para poder habilitar la seguridad del servidor, es necesario configurar el servidor de base de datos de Rational DOORS para que utilice conexiones seguras.

Antes de empezar

Asegúrese de que es posible iniciar el servidor en modalidad segura y que puede aceptar conexiones de los clientes. A continuación se muestra una lista de comprobación para verificar la configuración de la modalidad segura (es información únicamente de una guía general):

Inicio de servidores UNIX

Acerca de esta tarea

Para poder iniciar los servidores de UNIX:

Procedimiento

  1. Ejecute configure-festival.sh, que establece los permisos adecuados en los archivos en la estructura de directorios e instala el JRE.
  2. Inicie el intermediario ejecutando broker.start.sh, que se encuentra en el directorio raíz de la instalación de Rational DOORS Web Access.
  3. Inicie el servidor de base de datos de Rational DOORS, habilitando la seguridad del servidor con el argumento de línea de mandatos -serverSecurityEnable. También debe definir el puerto y el host del intermediario con los parámetros -serverSecurityBrokerHost BROKER_HOST y -serverSecurityBrokerPort PORT_NUMBER. doorsd -s $DOORSHOME/data -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable
    donde
    Conmutador Parámetro Descripción
    -s $DOORSHOME/data

    ($DOORSHOME se establece de acuerdo a las instrucciones de instalación estándar de Rational DOORS).

    Vía de acceso a los archivos de datos.

    -p 36700

    Número de puerto para conectarse al servidor.

    -serverhostname IBMEDSERV

    El nombre del servidor de base de datos de Rational DOORS.

    -secure ON

    Se debe establecer en ON para poder habilitar la seguridad.

    -serverSecurity BrokerHost BROKER_HOST

    Nombre de servidor o dirección IP del servidor que aloja al intermediario.

    -serverSecurity BrokerPort 61616(valor predeterminado).

    Número de puerto para conectarse con el intermediario.

    -serverSecurity Enable  

    Habilita la seguridad del servidor.

    Existe una serie de parámetros de creación del registro que son opcionales para el servidor:
    Conmutador Descripción
    -L

    Nivel de registro (por ejemplo, -L 6).

    -l

    Vía de acceso y nombre del archivo de registro (por ejemplo, -l /var/log/doorsd.log).

    Nota: Cualquier parámetro mal escrito o que falte se puede obtener a partir de las variables de entorno o a través de las entradas del registro si hay alguna.
  4. Inicie el servidor de interoperatividad. El mandato de servidor de interoperatividad está en $DOORSHOME/bin. doors9 -interop -data 36700@IBMEDSERV –brokerHost MYBROKER –brokerPort BROKERPORT
    donde
    Conmutador Parámetro Descripción
    -interop  

    Mandato que inicia el cliente como un servidor de interoperatividad.

    -data 36700@IBMEDSERV

    El número de puerto y el nombre del servidor de base de datos de Rational DOORS.

    -brokerHost MYBROKER

    Nombre del servidor que aloja al intermediario.

    -brokerPort BROKERPORT

    Número de puerto del intermediario.

    Existe una serie de parámetros de creación del registro que son opcionales para el servidor de interoperatividad:
    Conmutador Descripción
    -logLevel

    Nivel de registro (por ejemplo, -logLevel 6).

    -logfile

    Vía de acceso y nombre del archivo de registro (por ejemplo, -logfile /var/log/interop.log).

Inicio del servidor Windows

Acerca de esta tarea

Para poder iniciar el servidor de Windows:

Procedimiento

  1. Inicie el intermediario ejecutando broker.start.bat, que se encuentra en el directorio raíz de la instalación de Rational DOORS Web Access.
  2. Reinicie el servidor de base de datos de Rational DOORS, habilitando la seguridad del servidor con el argumento de línea de mandatos -serverSecurityEnable. También debe definir el puerto y el host del intermediario con los parámetros -serverSecurityBrokerHost HOST y -serverSecurityBrokerPort NUMBER. Si está ejecutando el servidor de base de datos de Rational DOORS en modalidad de consola, especifique un mandato con este formato:

    doorsd.exe -debug -s "C:\example\data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable

    donde
    Conmutador Parámetro Descripción
    -s "C:\example\data"

    Vía de acceso a los archivos de datos.

    -p 36700

    Número de puerto para conectarse al servidor.

    -serverhostname IBMEDSERV

    El nombre del servidor de base de datos de Rational DOORS.

    -secure ON

    El nombre del servidor de base de datos de Rational DOORS.

    -serverSecurity BrokerHost BROKER_HOST

    Nombre de servidor o dirección IP del servidor que aloja al intermediario.

    -serverSecurity BrokerPort 61616(valor predeterminado).

    Número de puerto para conectarse con el intermediario.

    -serverSecurity Enable  

    Habilita la seguridad del servidor.

    También puede añadir los siguientes parámetros opcionales para la creación del registro:
    Conmutador Parámetro Descripción
    -L 6

    Nivel de registro.

    -l /var/log/doorsd.log

    Vía de acceso y nombre del archivo de registro.

    Nota: Asegúrese de que detiene e inhabilita el servicio del servidor de bases de datos de Rational DOORS.

    Si está ejecutando el servidor de base de datos de Rational DOORS desde servicios de Windows, debe habilitar el modo seguro y las opciones de seguridad del servidor.

    Después de instalar el servidor, el servidor de base de datos de Rational DOORS se registra como un servicio de Windows. De forma predeterminada, se inhabilitan las opciones de seguridad del servidor y la modalidad segura. Para poder habilitar estas opciones:

    1. Detenga el servidor de base de datos de Rational DOORS.
    2. Abra el recuadro de diálogo Propiedades del servicio del servidor de base de datos de Rational DOORS.
    3. Especifique los parámetros correctos en el campo de parámetros de inicio. Por ejemplo, especifique:

      -s "C:\example\data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable

      Si desea información sobre los parámetros, consulte la tabla en el 2.

    4. Inicie el servicio.
      Nota: Utilice el botón Iniciar en el recuadro de diálogo Propiedades. Los parámetros se pierden al cerrar el recuadro de diálogo.
  3. Inicie el servidor de interoperatividad de Rational DOORS. Este servidor corresponde al mismo binario que el cliente de Rational DOORS. doors.exe -interop -data 36700@IBMEDSERV –brokerHost MYBROKER –brokerPort BROKERPORT
    donde
    Conmutador Parámetro Descripción
    -interop  

    Mandato que inicia el cliente como un servidor de interoperatividad.

    -data 36700@IBMEDSERV

    El número de puerto y el nombre del servidor de base de datos de Rational DOORS.

    -brokerHost MYBROKER

    Nombre del servidor que aloja al intermediario.

    -brokerPort BROKERPORT

    Número de puerto del intermediario.

    También puede añadir los siguientes parámetros opcionales para la creación del registro:
    Conmutador Parámetro Descripción
    -logLevel 8

    Nivel de registro.

    -l "C:\Interop.log"

    Vía de acceso y nombre del archivo de registro.

    Nota: Si el servidor de base de datos de Rational DOORS está en ejecución como un servicio de Windows después de reiniciar Windows, Windows, debe reiniciar el intermediario y el servidor de interoperativid. Además, si se intenta detener el servicio del servidor de base de datos de Rational DOORScuando el intermediario no está en ejecución puede dar lugar a un tiempo de espera de Windows y a la imposibilidad de la detención del servicio.

Información adicional sobre el inicio del servidor

Los pasos en Inicio de servidores UNIX y Inicio de servidores Windows son para el método de autenticación del servidor de nombre de usuario y contraseña. Es el método de autenticación predeterminado. Si utiliza un método distinto, debe iniciar el servidor de interoperatividad y los clientes de Rational DOORS con un certificado válido. Esto se realiza mediante el argumento -certName NAME.

Los conmutadores -serverhostname y -secure habilitan una conexión segura. Se hace referencia a estos conmutadores en Antes de empezar.

Los conmutadores que habilitan la seguridad del servidor son opciones del servidor. Una vez que la seguridad del servidor está habilitada con un argumento de línea de mandatos, el servidor recuerda su valor en posteriores ejecuciones (cuando no se proporcionan conmutadores de seguridad del servidor).

De forma predeterminada, la seguridad del servidor está inhabilitada. Una vez habilitada, es persistente (consulte la nota anterior).

Para inhabilitar el servidor, utilice el conmutador -serverSecurityDisable.

Iniciar el cliente

Tras iniciar el servidor de base de datos de Rational DOORS, conecta los clientes de Rational DOORS con el servidor de base de datos de Rational DOORS y se ejecuta como siempre.

Si Rational DOORS está configurado para utilizar Rational Directory Server, los usuarios existentes deben estar firmados. Para firmas los usuarios existentes, inicie el cliente de Rational DOORS, inicie una sesión como el administrador y ejecute el DXL perm signTdsUsers(). Debe ejecutar el DXL cada vez que cambie el servidor de bases de datos de Rational DOORS.

Configuración de una contraseña para dbadmin

Después de iniciar el cliente de Rational DOORS, debe establecer una contraseña para dbadmin. Establézcala con el conmutador -p. Cuando ejecute dbadmin, deberá especificar la contraseña con el conmutador -P y el conmutador -l.

Por ejemplo, establezca la contraseña con un mandato en este formato:

dbadmin.exe -d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb" -p NewPassword

Después de asignar la contraseña de dbadmin, especifique cada solicitud con un mandato con este formato:

dbadmin.exe -d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb" -P NewPassword -l

Configuración del acceso a módulos

Debe asegurarse de proteger los datos sensibles estableciendo los derechos de acceso adecuados a los módulos.

Cuando la seguridad del servidor está habilitada, los clientes aplican los derechos de acceso habituales a la información en la base de datos. El acceso a la base de datos es el mismo independientemente de si el sistema está utilizando la seguridad del servidor o el modelo de seguridad clásico de Rational DOORS.

Sin embargo, si un usuario logra un acceso no autorizado a la base de datos y ha leído el acceso a un módulo, tendrán acceso a los contenidos del módulo.

Para protegerse de esta posibilidad, asegúrese de proteger los módulos que contienen datos sensibles. Únicamente permita el acceso al módulo a los usuarios que lo necesiten. Si un usuario no necesita acceder a un módulo, no establezca su acceso como de lectura. Establezca su acceso en ninguno. De esta forma, incluso si un usuario obtiene un acceso no autorizado a la base de datos, no tendrán acceso al módulo.

Cambio del método de autenticación

El método de autenticación de la seguridad del servidor se puede cambiar con dbadmin. Al cambiar de método, no tendrá que volver a iniciar el servidor de bases de datos de Rational DOORS.

Por ejemplo, para establecer el método con claves de usuario, especifique:

dbadmin.exe -d 36700@IBMEDSERV -keyDB C:\path\to\certificate\db\client_authentication.kdb -certName DBM1 -P samplePassword -sssAuthenticationMode UserKeys

Estas opciones son válidas para el conmutador -sssAuthenticationMode:

UserKeys
UsernamePassword
UsernamePasswordAndUserKeys

Comentarios