Настройка защищенного соединения

Для обеспечения защиты сервера необходимо настроить сервер баз данных Rational DOORS для использования защищенных соединений.

Прежде чем начать

Убедитесь, что сервер запускается в защищенном режиме и принимает соединения от клиентов. Ниже приведен контрольный список для проверки конфигурации защищенного режима (только для сведения).

Запуск серверов UNIX

Об этой задаче

Для запуска серверов UNIX выполните следующие действия:

Процедура

  1. Запустите сценарий configure-festival.sh, отвечающий за настройку прав доступа для файлов из структуры каталогов и установку JRE.
  2. Запустите посредника с помощью файла broker.start.sh, расположенного в корневом каталоге установки Rational DOORS Web Access.
  3. Запустите сервер баз данных Rational DOORS, включив защиту сервера при помощи аргумента командной строки -serverSecurityEnable. Необходимо также определить хост и порт посредника в параметрах -serverSecurityBrokerHost BROKER_HOST и -serverSecurityBrokerPort PORT_NUMBER. doorsd -s $DOORSHOME/data -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable
    ,где
    Оператор Аргумент Описание
    -s $DOORSHOME/data

    ($DOORSHOME задается в соответствии с инструкциями по установке стандартного Rational DOORS).

    Путь к файлам данных.

    -p 36700

    Номер порта для подключения к серверу.

    -serverhostname IBMEDSERV

    Имя сервера баз данных Rational DOORS.

    -secure ON

    При значении on защита включена.

    -serverSecurity BrokerHost BROKER_HOST

    Имя или IP-адрес сервера, на котором размещается посредник.

    -serverSecurity BrokerPort 61616(значение по умолчанию).

    Номер порта для подключения к посреднику.

    -serverSecurity Enable  

    Включает защиту сервера.

    Необязательные параметры ведения протоколов для сервера:
    Оператор Описание
    -L

    Уровень ведения протокола (например, -L 6).

    -l

    Каталог и имя файла протокола (например, -l /var/log/doorsd.log).

    Прим.: Все отсутствующие или набранные с ошибками параметры можно подставить из переменных среды или записей реестра (при их наличии).
  4. Запустите сервер взаимодействия. Команда запуска сервера взаимодействия находится в каталоге $DOORSHOME/bin. doors9 -interop -data 36700@IBMEDSERV –brokerHost MYBROKER –brokerPort BROKERPORT
    где
    Оператор Аргумент Описание
    -interop  

    Команда на запуск клиента как сервер взаимодействия.

    -data 36700@IBMEDSERV

    Номер порта и имя сервера баз данных Rational DOORS.

    -brokerHost MYBROKER

    Имя сервера, на котором размещается посредник.

    -brokerPort BROKERPORT

    Номер порта посредника.

    Необязательные параметры ведения протоколов для сервера взаимодействия:
    Оператор Описание
    -logLevel

    Уровень ведения протокола (например, -logLevel 6).

    -logfile

    Каталог и имя файла протокола (например, -logfile /var/log/interop.log).

Запуск сервера Windows

Об этой задаче

Для запуска серверов Windows выполните следующие действия:

Процедура

  1. Запустите посредника с помощью файла broker.start.bat, расположенного в корневом каталоге установки Rational DOORS Web Access.
  2. Перезапустите сервер баз данных Rational DOORS, включив защиту сервера при помощи аргумента командной строки -serverSecurityEnable. Необходимо также определить хост и порт посредника в параметрах -serverSecurityBrokerHost HOST и -serverSecurityBrokerPort PORT. Если сервер баз данных Rational DOORS работает в консольном режиме, команда должна иметь формат:

    doorsd.exe -debug -s "C:\example\data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable

    где
    Оператор Аргумент Описание
    -s "C:\example\data"

    Путь к файлам данных.

    -p 36700

    Номер порта для подключения к серверу.

    -serverhostname IBMEDSERV

    Имя сервера баз данных Rational DOORS.

    -secure ON

    Имя сервера баз данных Rational DOORS.

    -serverSecurity BrokerHost BROKER_HOST

    Имя или IP-адрес сервера, на котором размещается посредник.

    -serverSecurity BrokerPort 61616(значение по умолчанию).

    Номер порта для подключения к посреднику.

    -serverSecurity Enable  

    Включает защиту сервера.

    Можно также добавить необязательные параметры ведения протокола:
    Оператор Аргумент Описание
    -L 6

    Уровень протокола.

    -l /var/log/doorsd.log

    Каталог и имя файла протокола.

    Прим.: Остановите и отключите службы сервера баз данных Rational DOORS.

    Если сервер баз данных Rational DOORS работает как служба Windows, то необходимо включить защищенный режим и параметры защиты сервера.

    После установки сервер баз данных Rational DOORS регистрируется как служба Windows. По умолчанию защищенный режим и параметры защиты сервера отключены. Для того чтобы их включить, выполните следующие действия:

    1. Остановите службу сервера базы данных Rational DOORS.
    2. Откройте окно Свойства для службы сервера баз данных Rational DOORS.
    3. Укажите правильные параметры в поле Параметры запуска. Например, введите:

      -s "C:\example\data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable

      Информация о параметрах приведена в таблице в 2.

    4. Запустите службы.
      Прим.: Нажмите Пуск в окне Свойства. При закрытии окна параметры будут отклонены.
  3. Запустите сервер взаимодействия Rational DOORS. Это тот же двоичный файл, что и клиент Rational DOORS. doors.exe -interop -data 36700@IBMEDSERV –brokerHost MYBROKER –brokerPort BROKERPORT
    где
    Оператор Аргумент Описание
    -interop  

    Команда на запуск клиента как сервер взаимодействия.

    -data 36700@IBMEDSERV

    Номер порта и имя сервера баз данных Rational DOORS.

    -brokerHost MYBROKER

    Имя сервера, на котором размещается посредник.

    -brokerPort BROKERPORT

    Номер порта посредника.

    Можно также добавить необязательные параметры ведения протокола:
    Оператор Аргумент Описание
    -logLevel 8

    Уровень протокола.

    -l "C:\Interop.log"

    Каталог и имя файла протокола.

    Прим.: Если сервер баз данных Rational DOORS работает как служба Windows, то после перезапуска Windows необходимо перезапустить посредник и сервер взаимодействия. А при попытке остановить службу сервера баз данных Rational DOORS при неработающем посреднике наступит тайм-аут Windows, и службу остановить не удастся.

Дополнительная информация о запуске сервера

Действия, описанные в разделах Запуск серверов UNIX и Запуск сервера Windows, предназначены для способа идентификации сервера по имени пользователя и паролю. Этот способ применяется по умолчанию. При использовании другого метода необходимо запустить сервер взаимодействия и клиентов Rational DOORS с действующим сертификатом. Для этого существует аргумент -certName NAME.

Операторы -serverhostname и -secure служат для включения защищенного соединения. Эти переключатели упоминаются в разделе Перед тем, как начать.

Операторы включения защиты сервера являются опциями сервера. После того как защита сервера включена посредством аргумента командной строки, его значение запоминается на сервере и используется в последующих запусках (при отсутствии отдельного выключателя защиты сервера).

По умолчанию защита сервера выключена. После включения защита работает постоянно (см. предыдущее замечание).

Отключить защиту сервера можно с помощью оператора -serverSecurityDisable.

Запуск клиента

После запуска сервера баз данных Rational DOORS подключите клиентов Rational DOORS к серверу баз данных Rational DOORS и работайте в обычном режиме.

Если Rational DOORS настроен для использования Rational Directory Server, существующие пользователи должны быть зарегистрированы. Для регистрации существующих пользователей запустите клиент Rational DOORS, войдите с именем администратора и запустите DXL perm signTdsUsers(). DXL необходимо запускать при каждом изменении сервера баз данных Rational DOORS.

Настройка пароля для dbadmin

После запуска клиента Rational DOORS необходимо задать пароль dbadmin. Задайте его с помощью параметра -p. При запуске dbadmin вы должны ввести пароль с параметрами -P и -l.

Например, пароль можно задать с помощью команды в следующем формате:

dbadmin.exe -d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb" -p NewPassword

После назначения пароля для dbadmin определите каждый запрос с помощью команды в следующем формате:

dbadmin.exe -d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb" -P NewPassword -l

Настройка доступа к модулям

Для защиты конфиденциальных данных необходимо настроить правильные права доступа к модулям.

При включенной защите сервера клиенты применяют обычные права доступа к информации из базы данных. Права доступа пользователя для работы с базой данных не зависят от использования системой защиты сервера или классической модели защиты Rational DOORS.

Однако, если пользователь получает несанкционированный доступ к базе данных и имеет права на чтение модуля, то у него будет полный доступ к содержимому модуля.

Для того чтобы исключить такую возможность, все модули, в которых содержится конфиденциальная информация, должны быть защищены. Доступ к модулю следует разрешить только тем пользователям, кому он необходим. Если пользователю не нужен доступ к модулю, не назначайте ему права на чтение. Задайте для него права доступа Нет. В этом случае даже при получении несанкционированного доступа к базе данных пользователь не будет иметь доступа к модулю.

Изменение способа идентификации

Способ идентификации для защиты сервера можно изменить с помощью dbadmin. При изменении способа нет необходимости перезапускать сервер баз данных Rational DOORS.

Например, чтобы задать метод с использованием ключей пользователя, введите:

dbadmin.exe -d 36700@IBMEDSERV -keyDB C:\path\to\certificate\db\client_authentication.kdb -certName DBM1 -P samplePassword -sssAuthenticationMode UserKeys

Допустимые параметры оператора -sssAuthenticationMode:

UserKeys
UsernamePassword
UsernamePasswordAndUserKeys

Комментарии