Zum Aktivieren der Serversicherheit müssen Sie den Rational DOORS-Datenbankserver so konfigurieren, dass sichere Verbindungen genutzt werden.
Vorbereitende Schritte
Stellen Sie sicher, dass der Server im sicheren Modus
gestartet werden und Verbindungen von Clients akzeptieren kann. Im Folgenden finden Sie eine Prüfliste, mit der Sie die
Konfiguration des sicheren Modus prüfen können (dient lediglich als
Richtlinie):
- Stellen Sie sicher, dass die Zertifikatsschlüsseldatenbank
auf dem aktuellen Stand ist. Stellen Sie sicher, dass keine abgelaufenen Zertifikate
vorhanden sind. Wenn Sie eine andere Keystore-Datenbank verwenden,
kann diese mit dem Parameter -keydb angegeben werden, wenn Sie
den Rational DOORS-Datenbankserver bzw. die Rational DOORS-Clients starten.
- Stellen Sie sicher, dass der Server mit dem korrekten
Serverhostnamen gestartet wird. Wenn Sie mit der Befehlszeile
arbeiten, müssen Sie den Parameter -serverhostname
festlegen. Andernfalls wird er über die Umgebungsvariable
SERVERHOSTNAME (oder den Registry-Eintrag) definiert. Dieser
Hostname muss mit dem Namen des Hosts identisch sein, auf dem der Rational DOORS-Datenbankserver läuft.
- Stellen Sie sicher, dass der Server mit aktiviertem sicheren
Modus erneut gestartet wird. Über die Befehlszeile wird dieser Modus mithilfe der Option -secure ON
aktiviert. Wenn Sie diese Option unter Windows nicht in der
Befehlszeile angeben, wird sie über die sichere Registry-Option definiert. Der Registry-Wert
wird standardmäßig auf OFF gesetzt. Wenn Sie nicht mit
den Befehlszeilenparametern arbeiten, müssen Sie diese Option auf
ON setzen. Dieser Schlüssel ist in folgendem Pfad enthalten:
\HKEY_LOCAL_MACHINE\SOFTWARE\Telelogic\DOORS_Server\9.5\Config
Wenn
Sie unter 64-Bit-Windows arbeiten, ist der Schlüssel in folgendem
Pfad enthalten:
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Telelogic\DOORS_Server\9.5\Config
- Stellen Sie sicher, dass die Clients und Interoperation Server
mit dem korrekten Hostnamen beginnen. Er muss mit dem Hostnamen des Rational DOORS-Datenbankservers identisch sein. Wenn der Serverhostname der Rational DOORS-Datenbank
beispielsweise IBMEDSERV lautet, muss der Client IBMEDSERV
in der Befehlszeile (-data 36700@IBMEDSERV) verwenden; außerdem muss in der Umgebung des Clients
dieser Hostname auf den gleichen Host verweisen, unter dem der Rational DOORS-Datenbankserver ausgeführt wird. Sie können dazu
die Datei 'hosts' des Betriebssystems ändern, damit diese auf den Host
IBMEDSERV verweist. Zusammenfassung:
- Der Rational DOORS-Datenbankserver muss mit dem korrekten Serverhostnamen (z. B. IBMEDSERV) gestartet werden und
in der Serverumgebung muss dieser Hostname in den Server selbst aufgelöst werden.
- Der Rational DOORS-Client muss über denselben
Serverhostnamen (z. B. durch Angabe des Parameters
-data 36700@IBMEDSERV in der Verknüpfung) eine
Verbindung zum Server herstellen und auch dieser Hostname
in der Clientumgebung muss in die IP-Adresse des Servers
aufgelöst werden.
Client starten
Nachdem Sie den Rational DOORS-Datenbankserver gestartet haben, stellen Sie eine Verbindung zwischen den Rational DOORS-Clients und dem Rational DOORS-Datenbankserver her
und führen Sie diese Programme wie üblich aus.
Wenn Rational DOORS für die Verwendung von Rational Directory Server konfiguriert ist, müssen die bestehenden
Benutzer unterzeichnet werden. Starten Sie dazu einen Rational DOORS-Client, melden Sie sich als Administrator an und
führen Sie dann die DXL-Berechtigung signTdsUsers() aus. Sie müssen die DXL-Berechtigung bei der Änderung des Rational DOORS-Datenbankservers ausführen.
Kennwort für 'dbadmin' einrichten
Nach dem Starten des Rational DOORS-Clients müssen Sie ein Kennwort für 'dbadmin' einrichten. Setzen Sie es mit der Option
-p. Wenn
Sie dann 'dbadmin' ausführen, müssen Sie das Kennwort mit der Option
-P und der Option
-l eingeben.
Setzen Sie das Kennwort beispielsweise mit einem Befehl in folgendem Format:
dbadmin.exe -d 36700@IBMEDSERV
-keyDB "C:\path\to\key\db.kdb" -p NewPassword
Geben Sie nach dem Zuordnen des Kennworts für 'dbadmin'
jede Anforderung mit einem Befehl in folgendem Format an:
dbadmin.exe
-d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb" -P NewPassword -l
Zugriff auf Module einrichten
Sie müssen
sicherstellen, dass vertrauliche Daten geschützt werden, indem
Sie die korrekten Zugriffsberechtigungen für Module einrichten.
Wenn die Serversicherheit aktiviert ist, setzen Clients
die üblichen Zugriffsberechtigungen für Informationen in der
Datenbank durch. Der Zugriff eines Benutzer auf die Datenbank
ist unabhängig davon identisch, ob das System mit Serversicherheit
oder mit dem klassischen Sicherheitsmodell von Rational DOORS arbeitet.
Wenn jedoch ein
Benutzer unbefugten Zugriff auf die Datenbank erhält und Lesezugriff
auf ein Modul hat, besteht gleichzeitig auch
uneingeschränkter Zugriff auf den Inhalt des Moduls.
Als Schutz gegen diese Möglichkeit müssen Sie sicherstellen,
dass Module mit vertraulichen Daten geschützt werden. Lassen Sie nur dann Zugriff auf das betreffende Modul zu,
wenn ein Benutzer diesen benötigt. Wenn ein Benutzer keinen
Zugriff auf ein Modul benötigt, erteilen Sie ihm keinen
Lesezugriff. Setzen Sie den Zugriff auf Keine. Auf diese Weise
kann ein Benutzer nicht auf das Modul zugreifen, auch wenn
er unbefugten Zugriff auf die Datenbank erhält.
Authentifizierungsmethode ändern
Sie können
die Authentifizierungsmethode für die Serversicherheit über 'dbadmin'
ändern. Wenn Sie die Methode ändern, müssen sie den Rational DOORS-Datenbankserver nicht erneut starten.
Geben Sie beispielsweise zum Festlegen der Methode auf Benutzerschlüssel
Folgendes ein:
dbadmin.exe -d 36700@IBMEDSERV
-keyDB C:\path\to\certificate\db\client_authentication.kdb -certName
DBM1 -P samplePassword -sssAuthenticationMode UserKeys
Folgende Optionen sind für die Option -sssAuthenticationMode
gültig:
UserKeys
UsernamePassword
UsernamePasswordAndUserKeys