Um die Serversicherheit zu aktivieren, müssen Sie den IBM® Engineering Requirements
Management DOORS-Datenbankserver
(DOORS-Datenbankserver) so konfigurieren, dass er sichere Verbindungen verwendet.
Vorbereitende Schritte
Installieren Sie die folgenden Komponenten, wenn sie noch nicht installiert sind:
- DOORS-Datenbankserver
- DOORS
Interoperation Server
- ActiveMQ-Nachrichtenbroker
Anmerkung: Sie können den ActiveMQ-Nachrichtenbroker verwenden, der im Lieferumfang von IBM
Engineering Requirements Management DOORS - Web
Access
(DWA) enthalten ist, indem Sie das Installationsprogramm ausführen. Es ist jedoch nicht erforderlich, DWA zu konfigurieren oder den DWA-Server auszuführen, um den Broker für Serversicherheit verwenden zu können. Es ist zu erwarten, dass die Serversicherheit wesentlich weniger Interoperation Server verwendet als DWA.
Für die meisten Systembelastungen ist es ausreichend, zwei DOORS
Interoperation Server für Serversicherheit zu starten, doch mit zunehmender Benutzeranzahl sind gegebenenfalls mehr erforderlich.
Stellen Sie sicher, dass die Zertifikate gültig und nicht abgelaufen sind. Sie können die Konfiguration mithilfe von Beispielzertifikaten überprüfen, verwenden Sie diese Zertifikate jedoch nicht für die Produktion.
Die DOORS-Clients, Interoperation Server und Datenbankserver müssen den korrekten Server-Hostname verwenden. Beispiel: Wenn Sie die Beispielzertifikate verwenden, muss als für den Server-Host der Name IBMEDSERV angegeben werden, und die Clients müssen die Verbindung zum Server mithilfe dieses Hostnamens aufbauen.
Anmerkung: Sie müssen die Beispielzertifikate nicht verwenden, die im Lieferumfang von DOORS enthalten sind.
Wenn Sie jedoch ein anderes Zertifikat verwenden, müssen Sie die Parameter -keyDB und -certName für den Client, den interoperation Server und den Datenbankserver verwenden.
Wichtig: Sie können nur solche Interoperation Server mit dem Datenbankserver verbinden, die in die Whitelist aufgenommen wurden. Dazu müssen Sie eine Datei whitelist.dat auf derselben Ebene wie das Verzeichnis v6data erstellen, d. h. auf der obersten Ebene des Verzeichnisses DOORS data. Wenn der DOORS-Datenbankserver mit dem Schalter -secureInteropByIP gestartet wird, muss die Datei whitelist.dat den Hostnamen oder die IP-Adresse der Computer enthalten, auf denen die Interoperation Server ausgeführt werden. Wenn der DOORS-Datenbankserver ohne den Schalter -secureInteropByIP gestartet wird, muss die Datei whitelist.dat den SHA256-Fingerabdruck der Zertifikate auf den Computern enthalten, auf denen die Interoperation Server ausgeführt werden.
Informationen zu diesem Vorgang
Gehen Sie gemäß der folgenden Prozedur vor, um die Serversicherheit für die Plattform zu aktivieren, auf der der Server installiert ist. Wenn Sie den
DOORS-Datenbankserver starten und den Schalter
-serverSecurityEnable verwenden, ist die Option persistent, die Serversicherheit wird also bei einem Neustart wieder aktiviert. Bei jedem nachfolgenden Neustart können Sie diesen Schalter weglassen.
Vorgehensweise
- Gehen Sie wie folgt vor, um die Server auf einem Windows-System zu starten:
- Wenn Sie DWA nicht verwenden, starten Sie den Active MQ-Broker. Fahren Sie andernfalls mit dem nächsten Schritt fort. Geben Sie zum Starten des Brokers broker.start.bat ein. Diese Datei befindet sich im Stammverzeichnis der DWA-Installation.
- Starten Sie den DOORS-Datenbankserver und aktivieren Sie dabei die Serversicherheit, indem Sie das Befehlszeilenargument -serverSecurityEnable eingeben.
- Definieren Sie den Hostnamen und den Port des ActiveMQ-Brokers mit den Parametern -serverSecurityBrokerHost HOST und -serverSecurityBrokerPort
PORT. Wenn Sie den DOORS-Datenbankserver im Konsolenmodus
ausführen, müssen Sie einen Befehl im folgenden Format eingeben:
doorsd.exe -debug -s
"C:\example\data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost IBMEDSERV
-serverSecurityBrokerPort 61616 -serverSecurityEnable -secureInteropByIPWichtig: secureInteropByIP ist ein optionaler Schalter, der die Verbindungsherstellung von Interoperation Servern anhand von Hostname oder IP-Adresse zulässt. Wenn Sie diesen Schalter nicht verwenden, muss die Datei whitelist.dat den SHA256-Fingerabdruck des Zertifikats enthalten.
Dabei gilt Folgendes:
Schalter |
Parameter |
Beschreibung |
-serverdata |
"C:\example\data" |
Der Pfad zu den Datendateien
|
-portnumber |
36700 |
Die Portnummer für die Verbindung zum Server
|
-serverhostname |
IBMEDSERV |
Der Name des DOORS-Datenbankservers
|
-secure |
ON |
Ein Schalter, der auf 'ON' gesetzt werden muss, damit die Sicherheit aktiviert ist
|
-serverSecurityBrokerHost |
IBMEDSERV |
Der Servername oder die IP-Adresse des Servers, der als Host für den ActiveMQ-Broker dient
|
-serverSecurityBrokerPort |
61616 (der Standardwert) |
Die Portnummer für die Verbindung zum ActiveMQ-Broker
|
-serverSecurityEnable |
|
Der Schalter, mit dem die Serversicherheit aktiviert wird
|
-secureInteropbyIP |
|
Wenn Sie diesen Schalter verwenden, muss die Datei whitelist.dat den Hostnamen oder die IP-Adresse enthalten. Andernfalls muss die Datei den SHA256-Fingerabdruck des Zertifikats enthalten.
|
Der DOORS-Datenbankserver wird als Windows-Dienst installiert. Standardmäßig sind die Optionen für den sicheren Modus und die Serversicherheit inaktiviert.
- Gehen Sie wie folgt vor, wenn Sie den Service für den sicheren Modus und die Serversicherheitsoptionen aktivieren möchten:
- Stoppen Sie den DOORS-Datenbankserverservice.
- Öffnen Sie das Fenster Eigenschaften für den DOORS-Datenbankserverservice.
- Geben Sie die korrekten Parameter im Feld Startparameter
ein. Beispiel:
-serverdata "C:\example\data" -portnumber 36700
-serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost IBMEDSERV -serverSecurityBrokerPort
61616 -serverSecurityEnable -secureInteropbyIP
- Starten Sie den Service. Klicken Sie dazu im Fenster Eigenschaften auf Start. Die Parameter werden gelöscht, wenn das Fenster geschlossen wird.
- Wenn Sie DWA nicht verwenden, starten Sie den Interoperation Server für DOORS. Fahren Sie andernfalls mit dem nächsten Schritt fort. Dieser Server
ist dasselbe Binärprogramm wie der DOORS-Client. Beispiel:
doors.exe -interop -data 36677@IBMEDSERV -brokerHost IBMEDSERV
-brokerPort 61616 -sssServerAchtung: Sie müssen über mindestens einen Interoperation Server verfügen, der den Schalter –sssServer verwendet, der dann als der sichere interop erkannt werden kann.
Dabei gilt Folgendes:
Schalter |
Parameter |
Beschreibung |
-interop |
|
Der Befehl zum Starten des Clients als Interoperation Server
|
-data |
36700@IBMEDSERV |
Die Portnummer und der Name des DOORS-Datenbankservers
|
-brokerHost |
IBMEDSERV |
Der Name des Servers, der als Host für den Broker dient
|
-brokerPort |
61616 |
Die Portnummer des Brokers
|
-sssServer |
|
Der Datenbankserver erkennt den Interoperation Server als sicher
|
Anmerkung: Wenn der DOORS-Datenbankserver als Windows-Service ausgeführt wird, müssen Sie nach dem erneuten Starten von Windows auch den Broker und den Interoperation Server erneut starten.
- Wenn die Datenbank für die Verwendung von IBM
Rational Directory Server konfiguriert ist, müssen die bestehenden Benutzer signiert werden. Melden Sie sich zum Signieren vorhandener Benutzer an einem DOORS-Client als Administrator an. Geben Sie in der Schnittstelle für die DXL-Bearbeitung den Befehl signTdsUsers() ein.
- Gehen Sie wie folgt vor, um die Server auf einem Linux-System zu starten:
- Wenn Sie DWA nicht verwenden, starten Sie den Broker. Fahren Sie andernfalls mit dem nächsten Schritt fort. Geben Sie zum Starten des Brokers broker.start.sh ein. Diese Datei befindet sich im Stammverzeichnis der DWA-Installation.
- Starten Sie den DOORS-Datenbankserver und aktivieren Sie die Sicherheit mithilfe des Befehlszeilenschalters -serverSecurityEnable.
- Definieren Sie Host und Port des Brokers mithilfe der Parameter -serverSecurityBrokerHost HOST und -serverSecurityBrokerPort PORT. Beispiel: doorsd -s $DOORSHOME/data -p 36700
-serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost IBMEDSERV -serverSecurityBrokerPort
61616 -serverSecurityEnable -secureInteropByIP
Wichtig: secureInteropByIP ist ein optionaler Schalter, der die Verbindungsherstellung von Interoperation Servern anhand von Hostname oder IP-Adresse zulässt. Wenn Sie diesen Schalter nicht verwenden, muss die Datei whitelist.dat den SHA256-Fingerabdruck des Zertifikats enthalten.
Dabei gilt Folgendes:
Schalter |
Parameter |
Beschreibung |
-serverdata |
$DOORSHOME/data |
Der Pfad zu den Datendateien
|
-portnumber |
36700 |
Die Portnummer für die Verbindung zum Server
|
-serverhostname |
IBMEDSERV |
Der Name des DOORS-Datenbankservers
|
-secure |
ON |
Ein Schalter, der auf 'ON' gesetzt werden muss, damit die Sicherheit aktiviert ist
|
-serverSecurityBrokerHost |
IBMEDSERV |
Der Servername oder die IP-Adresse des Servers, der als Host für den ActiveMQ-Broker dient
|
-serverSecurityBrokerPort |
61616 |
Die Portnummer für die Verbindung zum ActiveMQ-Broker
|
-serverSecurityEnable |
|
Der Schalter, mit dem die Serversicherheit aktiviert wird
|
-secureInteropbyIP |
|
Wenn Sie diesen Schalter verwenden, muss die Datei whitelist.dat den Hostnamen oder die IP-Adresse enthalten. Andernfalls muss die Datei den SHA256-Fingerabdruck des Zertifikats enthalten.
|
- Wenn Sie DWA nicht verwenden, starten Sie den interoperation Server. Fahren Sie andernfalls mit dem nächsten Schritt fort. Der Befehl für den Interoperation Server befindet sich im Verzeichnis $DOORSHOME/bin. Beispiel:
doors -interop -data 36677@IBMEDSERV -brokerHost IBMEDSERV
-brokerPort 61616 -sssServerAchtung: Sie müssen über mindestens einen Interoperation Server verfügen, der den Schalter –sssServer verwendet, der dann als der sichere interop erkannt werden kann.
Dabei gilt Folgendes:
Schalter |
Parameter |
Beschreibung |
-interop |
|
Der Befehl zum Starten des Clients als Interoperation Server
|
-data |
36700@IBMEDSERV |
Die Portnummer und der Name des DOORS-Datenbankservers
|
-brokerHost |
IBMEDSERV |
Der Name des Servers, der als Host für den ActiveMQ-Broker dient
|
-brokerPort |
61616 |
Die Portnummer des ActiveMQ-Brokers
|
-sssServer |
|
Der Datenbankserver erkennt den Interoperation Server als sicher
|
- Wenn die Datenbank für die Verwendung von IBM
Rational Directory Server konfiguriert ist, müssen die bestehenden Benutzer signiert werden. Melden Sie sich zum Signieren vorhandener Benutzer an einem DOORS-Client als Administrator an. Geben Sie in der Schnittstelle für die DXL-Bearbeitung den Befehl signTdsUsers() ein.
- Gehen Sie wie folgt vor, um den SHA-256-Fingerabdruck aus dem Zertifikat abzurufen:
- Führen Sie im Ordner certdb die folgenden Befehle aus:
- C:\Program Files\IBM\Rational\DOORS\9.6\certdb
- gsk8capicmd_64 -cert -details -db client_authentication.kdb -stashed -label
"IBMCL1"
- gsk8capicmd_64 -cert -details -db server_authentication.kdb -stashed -label
"IBMSV1"
- Durchsuchen Sie die Ausgabe dieser Befehle auf den Fingerabdruck SHA256:
Beispiel:
- Kopieren Sie den SHA256-Fingerabdruck (d. h. die Zahlenreihe) für das Client- wie auch das Serverzertifikat in die Datei whitelist.dat.
Nächste Schritte
Der DOORS-Datenbankserver verfügt nach der Installation über kein Kennwort, was bedeutet, dass der Server von jedem beliebigen Benutzer verwaltet werden kann. Um zu steuern, von wem der Datenbankserver verwaltet wird, können Sie mit dem Verwaltungstool für Datenbankserver ein Kennwort festlegen. Weitere Informationen hierzu finden Sie unter Kennwort für Datenbankserver festlegen.
Die Standardauthentifizierungsmethode zum Aktivieren der Serversicherheit besteht aus dem Eingeben des Benutzernamens und des Kennworts. Sie können die Authentifizierungsmethode mithilfe des dbadmin-Befehlszeilenschalters -sssAuthenticationMode ändern. Wenn Sie die Authentifizierungsmethode ändern, müssen Sie den DOORS-Datenbankserver nicht erneut starten. Weitere Informationen hierzu finden Sie unter Authentifizierungsmethode ändern.
Wenn Sie die Serversicherheit inaktivieren möchten, verwenden Sie die Schalter -serverSecurityDisable und -secure.
Beispiel: doorsd.exe -debug
-serverdata "C:\example\data" -portnumber 36700 -serverSecurityDisable.