Para poder habilitar la seguridad del servidor, es necesario configurar el servidor de base de datos de IBM® Engineering Requirements
Management DOORS
(DOORS) para que utilice conexiones seguras.
Antes de empezar
Si estos componentes no están instalados, instálelos:
- Servidor de base de datos de DOORS
- Servidor interoperation de DOORS
- Intermediario de mensajes ActiveMQ
Nota: Puede utilizar el intermediario de mensajes ActiveMQ que se proporciona con IBM
Engineering Requirements Management DOORS - Web
Access
(DWA) ejecutando el instalador. Sin embargo, no es necesario que configure DWA o ejecute el servidor de DWA para utilizar el intermediario para la seguridad del servidor. Puede esperar que la seguridad del servidor utilice menos servidores interoperation que DWA.
Iniciar dos servidores interoperation de DOORS para la seguridad del servidor es suficiente para la mayoría de las cargas del sistema, pero es posible que se necesites más a medida que aumente el número de usuarios.
Compruebe que sus certificados son válidos y no han caducado. Puede utilizar un conjunto de certificados de ejemplo para validar la configuración, pero no los utilice para la producción.
Los clientes, el servidor interoperation y el servidor de base de datos de DOORS
deben utilizar el nombre de host de servidor correcto. Por ejemplo, si utiliza los
certificados de ejemplo, el nombre de host de servidor debe especificarse como
IBMEDSERV y los clientes deben conectarse al servidor utilizando este nombre de host.
Nota: No
es necesario que utilice los certificados de ejemplo que se proporcionan con DOORS. Sin embargo, si utiliza otro certificado, debe utilizar los parámetros -keyDB y -certName para el cliente, el servidor interoperation y el servidor de base de datos.
Importante: Sólo puede conectar servidores interoperation de la lista blanca al servidor de bases de datos. Debe crear un archivo whitelist.dat al mismo nivel que el directorio v6data (que se encuentra en la parte superior del directorio de DOORS data). Si el servidor de bases de datos de DOORS se inicia utilizando el conmutador -secureInteropByIP, el archivo whitelist.dat debe contener el nombre de host o la dirección IP de los sistemas que ejecutan los servidores interoperation. Si el servidor de bases de datos de DOORS se inicia sin el conmutador -secureInteropByIP, el archivo whitelist.dat debe contener huella dactilar SHA256 de los certificados de los sistemas que ejecutan los servidores interoperation.
Acerca de esta tarea
Siga este procedimiento para habilitar la seguridad del servidor para la
plataforma donde está instalado el servidor. Cuando inicia el servidor de base de
datos de
DOORS
y utiliza el conmutador
-serverSecurityEnable, la opción es
persistente, de modo que la seguridad del servidor está habilitada cuando lo
reinicia. En los reinicios posteriores, puede omitir este conmutador.
Procedimiento
- Para iniciar los servidores en un sistema Windows, siga estos pasos:
- Si no utiliza DWA,
inicie el intermediario Active MQ. De lo contrario, vaya al paso siguiente. Para iniciar el intermediario, especifique broker.start.bat, que se encuentra en el directorio raíz de la instalación de DWA.
- Inicie el servidor de base de datos de DOORS, habilitando la seguridad del servidor especificando el argumento de línea de -serverSecurityEnable.
- Defina el nombre de host y el puerto del intermediario ActiveMQ utilizando los
parámetros -serverSecurityBrokerHost HOST y
-serverSecurityBrokerPort PORT. Si está ejecutando el servidor de base de datos de DOORS en modalidad de consola, especifique un mandato con este formato:
doorsd.exe -debug -s
"C:\example\data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost IBMEDSERV
-serverSecurityBrokerPort 61616 -serverSecurityEnable -secureInteropByIPImportante: secureInteropByIP es un conmutador opcional que permite la conexión desde servidores interoperation que utilizan el nombre de host o la dirección IP. Si no utiliza este conmutador, el archivo whitelist.dat debe contener la huella dactilar SHA256 del certificado.
donde
Conmutador |
Parámetro |
Descripción |
-serverdata |
"C:\example\data" |
La vía de acceso a los
archivos de datos.
|
-portnumber |
36700 |
El número de puerto para
conectarse al servidor.
|
-serverhostname |
IBMEDSERV |
El nombre del servidor de base de datos de
DOORS
|
-secure |
ON |
Un conmutador que debe
establecerse en activo (ON) para habilitar la seguridad.
|
-serverSecurityBrokerHost |
IBMEDSERV |
El nombre de servidor o la dirección IP del servidor que aloja el intermediario ActiveMQ
|
-serverSecurityBrokerPort |
61616 (valor predeterminado) |
El número de puerto para conectarse con el intermediario ActiveMQ
|
-serverSecurityEnable |
|
El conmutador que habilita
la seguridad del servidor.
|
-secureInteropbyIP |
|
Si se utiliza este conmutador, el archivo whitelist.dat debe contener un nombre de host o una dirección IP. De lo contrario, el archivo debe contener la huella dactilar SHA256 del certificado.
|
El servidor de base de datos de
DOORS
se instala como un servicio de Windows. De
forma predeterminada, la modalidad segura y las opciones de seguridad del servidor
están inhabilitadas.
- Si desea habilitar el servicio para la modalidad segura y las opciones de
seguridad del servidor, siga estos pasos:
- Detenga el servicio del servidor de base de datos de DOORS.
- Abra la ventana Propiedades para el servicio de servidor de
base de datos de DOORS.
- Especifique los parámetros correctos en el campo de parámetros de inicio.Por ejemplo:
-serverdata "C:\example\data" -portnumber 36700
-serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost IBMEDSERV -serverSecurityBrokerPort
61616 -serverSecurityEnable -secureInteropbyIP
- Inicie el servicio: en la ventana Propiedades, pulse
Inicio. Los
parámetros se descartan cuando se cierra la ventana.
- Si no utiliza DWA, inicie el servidor de interoperación de DOORS. De lo contrario, vaya al paso siguiente. Este servidor corresponde al mismo binario que el cliente de DOORS. Por ejemplo:
doors.exe -interop -data 36677@IBMEDSERV -brokerHost IBMEDSERV
-brokerPort 61616 -sssServerAtención: Debe tener al menos un servidor interoperation utilizando el conmutador –sssServer que se pueda reconocer entonces como interop seguro.
donde
Conmutador |
Parámetro |
Descripción |
-interop |
|
El mandato para iniciar el cliente como un servidor interoperation
|
-data |
36700@IBMEDSERV |
El número de puerto y el nombre del servidor de base de datos de
DOORS
|
-brokerHost |
IBMEDSERV |
El nombre del servidor que
aloja el intermediario.
|
-brokerPort |
61616 |
El número de puerto del
intermediario.
|
-sssServer |
|
El servidor de bases de datos reconoce que el servidor interoperation es seguro.
|
Nota: Si el servidor de base de datos de DOORS está en ejecución como un servicio de Windows, después de reiniciar Windows, debe reiniciar el intermediario y el servidor interoperation.
- Si la base de datos se ha configurado para utilizar
IBM
Rational Directory Server,
los usuarios siguientes deben firmarse. Para firmar los usuarios existentes, inicie
sesión en un cliente de
DOORS
como administrador. Desde la interfaz de editar DXL, especifique este mandato:
signTdsUsers().
- Para iniciar los servidores en un sistema Linux, siga estos pasos:
- Si no utiliza DWA,
inicie el intermediario. De lo contrario, vaya al paso siguiente. Para iniciar el intermediario, especifique broker.start.sh, que se encuentra en el directorio raíz de la instalación de DWA.
- Inicie el servidor de base de datos de DOORS y utilice el conmutador de línea de
mandatos -serverSecurityEnable para habilitar la seguridad.
- Defina el host y el puerto del intermediario utilizando los parámetros
-serverSecurityBrokerHost HOST
y -serverSecurityBrokerPort PORT. Por ejemplo: doorsd -s $DOORSHOME/data -p 36700
-serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost IBMEDSERV -serverSecurityBrokerPort
61616 -serverSecurityEnable -secureInteropByIP
Importante: secureInteropByIP es un conmutador opcional que permite la conexión desde servidores interoperation que utilizan el nombre de host o la dirección IP. Si no utiliza este conmutador, el archivo whitelist.dat debe contener la huella dactilar SHA256 del certificado.
donde
Conmutador |
Parámetro |
Descripción |
-serverdata |
$DOORSHOME/data |
La vía de acceso a los
archivos de datos.
|
-portnumber |
36700 |
El número de puerto para
conectarse al servidor.
|
-serverhostname |
IBMEDSERV |
El nombre del servidor de base de datos de
DOORS
|
-secure |
ON |
Un conmutador que debe
establecerse en activo (ON) para habilitar la seguridad.
|
-serverSecurityBrokerHost |
IBMEDSERV |
El nombre de servidor o la dirección IP del servidor que aloja el intermediario ActiveMQ
|
-serverSecurityBrokerPort |
61616 |
El número de puerto para conectarse con el intermediario ActiveMQ
|
-serverSecurityEnable |
|
El conmutador que habilita
la seguridad del servidor.
|
-secureInteropbyIP |
|
Si se utiliza este conmutador, el archivo whitelist.dat debe contener un nombre de host o una dirección IP. De lo contrario, el archivo debe contener la huella dactilar SHA256 del certificado.
|
- Si no utiliza DWA, inicie el servidor interoperation. De lo contrario, vaya al paso siguiente. El mandato de servidor interoperation está en $DOORSHOME/bin. Por ejemplo:
doors -interop -data 36677@IBMEDSERV -brokerHost IBMEDSERV
-brokerPort 61616 -sssServerAtención: Debe tener al menos un servidor interoperation utilizando el conmutador –sssServer que se pueda reconocer entonces como interop seguro.
donde
Conmutador |
Parámetro |
Descripción |
-interop |
|
El mandato para iniciar el cliente como un servidor interoperation
|
-data |
36700@IBMEDSERV |
El número de puerto y el nombre del servidor de base de datos de
DOORS
|
-brokerHost |
IBMEDSERV |
El nombre del servidor que aloja el intermediario ActiveMQ
|
-brokerPort |
61616 |
El número de puerto del intermediario ActiveMQ
|
-sssServer |
|
El servidor de bases de datos reconoce que el servidor interoperation es seguro.
|
- Si la base de datos se ha configurado para utilizar
IBM
Rational Directory Server,
los usuarios siguientes deben firmarse. Para firmar los usuarios existentes, inicie
sesión en un cliente de
DOORS
como administrador. Desde la interfaz de editar DXL, especifique este mandato: signTdsUsers().
- Para obtener el valor de SHA-256 fingerprint del certificado:
- Ejecute los mandatos siguientes desde la carpeta certdb:
- C:\Archivos de programa\IBM\Rational\DOORS\9.6\certdb
- gsk8capicmd_64 -cert -details -db client_authentication.kdb -stashed -label
"IBMCL1"
- gsk8capicmd_64 -cert -details -db server_authentication.kdb -stashed -label
"IBMSV1"
- En la salida de estos mandatos, busque SHA256 fingerprint:
Ejemplo:
- Copie el valor de SHA256 fingerprint (la línea de números) para los certificados de cliente y de servidor en el archivo whitelist.dat.
Qué hacer a continuación
Cuando se instala el servidor de bases de datos de DOORS, no tiene contraseña y cualquier usuario puede gestionar el servidor. Para controlar quién gestiona el servidor de base de datos, puede establecer una contraseña con la herramienta de administración del servidor de base de datos. Para obtener más información, consulte Establecimiento de la contraseña del servidor de base de datos
Cuando habilita la seguridad del servidor, el método de
autenticación predeterminado consiste en especificar el nombre de usuario y la
contraseña. Puede cambiar el método de autenticación utilizando un conmutador de
línea de mandatos de dbadmin, -sssAuthenticationMode. Cuando se
cambia el método de autenticación, no es necesario reiniciar el servidor de base de
datos de DOORS. Para obtener más información, consulte Modificación del método de autenticación.
Si desea inhabilitar la seguridad del servidor, utilice los conmutadores -serverSecurityDisable y -secure.
Por ejemplo, especifique doorsd.exe -debug -serverdata "C:\example\data" -portnumber 36700 -serverSecurityDisable.