サーバー・セキュリティーを有効にするには、セキュア接続を使用するように IBM® Engineering Requirements
Management DOORS®
(DOORS) データベース・サーバーを構成する必要があります。
始める前に
以下のコンポーネントがインストールされていない場合はインストールしてください。
証明書が有効であり、その有効期限が切れていないことを確認してください。
ご使用の構成を検証するためにサンプルの証明書セットを使用できますが、これらを実動には使用しないでください。
DOORS クライアント、
相互協調処理サーバー、およびデータベース・サーバーで正しいサーバー・ホスト名が使用されていなければなりません。例えば、サンプル証明書を使用する場合は、サーバー・ホスト名として IBMEDSERV を指定する必要がありますし、
クライアントは、そのホスト名を使用してサーバーに接続しなければなりません。
注: DOORS に付属する
サンプル証明書を使用する必要はありません。
ただし、別の証明書を使用する場合は、クライアント、相互協調処理サーバー、および
データベース・サーバーに対して -keyDB パラメーターおよび -certName パラメーターを使用する必要があります。
重要: ホワイトリストにある相互協調処理サーバーのみがデータベース・サーバーに接続可能です。
v6data ディレクトリー (DOORS data ディレクトリーの最上位) と同じレベルで whitelist.dat ファイルを作成する必要があります。
DOORS データベース・サーバーが -secureInteropByIP スイッチを使用して始動されている場合、whitelist.dat ファイルには、相互協調処理サーバーを実行するコンピューターのホスト名または IP アドレスが含まれていなければなりません。
DOORS データベース・サーバーが -secureInteropByIP スイッチなしで始動されている場合、whitelist.dat ファイルには、相互協調処理サーバーを実行するコンピューター上にある証明書の SHA256 指紋が含まれていなければなりません。
このタスクについて
ご使用のサーバーがインストールされているプラットフォームでサーバー・セキュリティーを有効にするには、以下の手順に従ってください。
DOORS データベース・サーバーを
始動し、その際に
-serverSecurityEnable スイッチを使用した場合、
このオプションは永続的であるため、再始動時にもサーバー・セキュリティーが有効になります。
その場合は、その後の再始動でも、このスイッチを省略してかまいません。
手順
- Windows システム上でサーバーを始動するには、以下の手順に従います。
- DWA を使用していない
場合は、Active MQ ブローカーを開始します。
それ以外の場合は、次のステップにスキップします。ブローカーを開始するには、broker.start.bat を入力します。
このファイルは DWA インストール済み環境のルート・ディレクトリーにあります。
- DOORS データベース・サーバーを始動し、-serverSecurityEnable コマンド行引数を入力してサーバー・セキュリティーを有効にします。
- -serverSecurityBrokerHost HOST パラメーターおよび -serverSecurityBrokerPort PORT パラメーターを
使用して、ActiveMQ ブローカーのホスト名およびポートを定義します。 DOORS データベース・サーバーをコンソール・モードで実行している場合は、次の形式でコマンドを入力してください。
doorsd.exe -debug -s
"C:¥example¥data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost IBMEDSERV
-serverSecurityBrokerPort 61616 -serverSecurityEnable -secureInteropByIP重要: secureInteropByIP は、ホスト名または IP アドレスを使用して相互協調処理サーバーから接続可能なオプションのスイッチです。
このスイッチを使用しない場合、whitelist.dat ファイルには証明書の SHA256 指紋が含まれていなければなりません。
説明:
スイッチ |
パラメーター |
説明 |
-serverdata |
"C:¥example¥data" |
データ・ファイルのパス
|
-portnumber |
36700 |
サーバーに接続するポート番号
|
-serverhostname |
IBMEDSERV |
DOORS データベース・サーバーの名前
|
-secure |
ON |
セキュリティーを有効にするためにオンに設定しなければならないスイッチ
|
-serverSecurityBrokerHost |
IBMEDSERV |
ActiveMQ ブローカーをホストしているサーバーの名前または IP アドレス
|
-serverSecurityBrokerPort |
61616 (デフォルト) |
ActiveMQ ブローカーに接続するポート番号
|
-serverSecurityEnable |
|
サーバー・セキュリティーを有効にするスイッチ
|
-secureInteropbyIP |
|
このスイッチを使用する場合、whitelist.dat ファイルにはホスト名または IP アドレスが含まれている必要があります。
そうでない場合、このファイルには証明書の SHA256 指紋が含まれている必要があります。
|
DOORS データベース・サーバーは Windows サービスとしてインストールされます。
デフォルトで、セキュア・モードおよびサーバー・セキュリティー・オプションは無効になっています。
- このサービスをセキュア・モードおよびサーバー・セキュリティー・オプションに対して有効にする場合は、以下の手順に従います。
- DOORS データベース・サーバー・サービスを停止します。
- DOORS データベース・サーバー・サービスの「プロパティー」ウィンドウを開きます。
- 正しいパラメーターを「開始パラメーター (Start parameters)」フィールドに入力します。 例:
-serverdata "C:¥example¥data" -portnumber 36700
-serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost IBMEDSERV -serverSecurityBrokerPort
61616 -serverSecurityEnable -secureInteropbyIP
- 「プロパティー」ウィンドウで「開始」をクリックして、サービスを開始します。
このウィンドウを閉じると、パラメーターは破棄されます。
- DWA を使用していない場合は、DOORS 相互協調処理サーバーを始動します。
それ以外の場合は、次のステップにスキップします。このサーバーは DOORS クライアントと同じバイナリーです。 以下に例を示します。
doors.exe -interop -data 36677@IBMEDSERV -brokerHost IBMEDSERV
-brokerPort 61616 -sssServer重要: –sssServer スイッチを使用した少なくとも 1 つの相互協調処理サーバーが必要です。
このサーバーはセキュア相互協調処理として認識されます。
説明:
スイッチ |
パラメーター |
説明 |
-interop |
|
クライアントを相互協調処理サーバーとして始動するためのコマンド
|
-data |
36700@IBMEDSERV |
DOORS データベース・サーバーのポート番号および名前
|
-brokerHost |
IBMEDSERV |
ブローカーをホストしているサーバーの名前
|
-brokerPort |
61616 |
ブローカーのポート番号
|
-sssServer |
|
データベース・サーバーは相互協調処理サーバーをセキュアと認識します。
|
注: DOORS データベース・サーバーが Windows サービスとして実行されている場合は、Windows を始動後、ブローカーおよび相互協調処理サーバーを再始動する必要があります。
- IBM
Rational® Directory Server を使用するようにデータベースが構成されている場合は、既存のユーザーを署名する必要があります。
既存ユーザーを署名するには、
管理者として DOORS クライアントにログインします。
「DXL の編集」インターフェースからコマンド signTdsUsers() を入力します。
- Linux システムでサーバーを始動するには、以下の手順に従います。
- DWA を使用していない場合は、ブローカーを開始します。
それ以外の場合は、次のステップにスキップします。ブローカーを開始するには、broker.start.sh を入力します。
このファイルは DWA インストール済み環境のルート・ディレクトリーにあります。
- DOORS データベース・サーバーを始動し、-serverSecurityEnable コマンド行スイッチを使用してセキュリティーを有効にします。
- -serverSecurityBrokerHost HOST パラメーターおよび -serverSecurityBrokerPort PORT パラメーターを
使用して、ブローカーのホストおよびポートを定義します。 例: doorsd -s $DOORSHOME/data -p 36700
-serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost IBMEDSERV -serverSecurityBrokerPort
61616 -serverSecurityEnable -secureInteropByIP
重要: secureInteropByIP は、ホスト名または IP アドレスを使用して相互協調処理サーバーから接続可能なオプションのスイッチです。
このスイッチを使用しない場合、whitelist.dat ファイルには証明書の SHA256 指紋が含まれていなければなりません。
説明:
スイッチ |
パラメーター |
説明 |
-serverdata |
$DOORSHOME/data |
データ・ファイルのパス
|
-portnumber |
36700 |
サーバーに接続するポート番号
|
-serverhostname |
IBMEDSERV |
DOORS データベース・サーバーの名前
|
-secure |
ON |
セキュリティーを有効にするためにオンに設定しなければならないスイッチ
|
-serverSecurityBrokerHost |
IBMEDSERV |
ActiveMQ ブローカーをホストしているサーバーの名前または IP アドレス
|
-serverSecurityBrokerPort |
61616 |
ActiveMQ ブローカーに接続するポート番号
|
-serverSecurityEnable |
|
サーバー・セキュリティーを有効にするスイッチ
|
-secureInteropbyIP |
|
このスイッチを使用する場合、whitelist.dat ファイルにはホスト名または IP アドレスが含まれている必要があります。
そうでない場合、このファイルには証明書の SHA256 指紋が含まれている必要があります。
|
- DWA を使用していない場合は、
相互協調処理サーバーを始動します。それ以外の場合は、次のステップにスキップします。相互協調処理サーバー・コマンドは、$DOORSHOME/bin にあります。 以下に例を示します。
doors -interop -data 36677@IBMEDSERV -brokerHost IBMEDSERV
-brokerPort 61616 -sssServer重要: –sssServer スイッチを使用した少なくとも 1 つの相互協調処理サーバーが必要です。
このサーバーはセキュア相互協調処理として認識されます。
説明:
スイッチ |
パラメーター |
説明 |
-interop |
|
クライアントを相互協調処理サーバーとして始動するためのコマンド
|
-data |
36700@IBMEDSERV |
DOORS データベース・サーバーのポート番号および名前
|
-brokerHost |
IBMEDSERV |
ActiveMQ ブローカーをホストしているサーバーの名前
|
-brokerPort |
61616 |
ActiveMQ ブローカーのポート番号
|
-sssServer |
|
データベース・サーバーは相互協調処理サーバーをセキュアと認識します。
|
- IBM
Rational Directory Server を使用するようにデータベースが構成されている場合は、既存のユーザーを署名する必要があります。
既存ユーザーを署名するには、
管理者として DOORS クライアントにログインします。
「DXL の編集」インターフェースからコマンド signTdsUsers() を入力します。
- SHA-256 指紋を証明書から取得するには、以下のようにします。
- 以下のコマンドを certdb フォルダーから実行します。
- C:¥Program Files¥IBM¥Rational¥DOORS¥9.6¥certdb
- gsk8capicmd_64 -cert -details -db client_authentication.kdb -stashed -label
"IBMCL1"
- gsk8capicmd_64 -cert -details -db server_authentication.kdb -stashed -label
"IBMSV1"
- これらのコマンドの出力で、SHA256 指紋を探します。
例:
- クライアントとサーバーの両方の証明書の SHA256 指紋 (一連の数値) を whitelist.dat ファイルにコピーします。
次のタスク
DOORS データベース・サーバーのインストール時、このサーバーにはパスワードはないため、誰でもサーバーを管理することができます。
データベース・サーバーを誰が管理するかを制御するには、データベース・サーバー管理ツールを使用してパスワードを設定することができます。
詳しくは、『データベース・サーバーのパスワードの設定』を参照してください。
サーバー・セキュリティーを有効にする場合、デフォルト認証方式ではユーザー名とパスワードを入力します。
dbadmin コマンド行スイッチ -sssAuthenticationMode を使用すれば、認証方式を変更できます。
認証方式を変更しても、DOORS データベース・サーバーを再始動する必要はありません。
詳しくは、『認証方式の変更』を参照してください。
サーバー・セキュリティーを無効にする場合は、-serverSecurityDisable スイッチと -secure スイッチを使用します。
例えば、doorsd.exe -debug
-serverdata "C:¥example¥data" -portnumber 36700 -serverSecurityDisable のように入力します。