Для включения защиты сервера необходимо настроить сервер базы данных IBM® Engineering Requirements
Management DOORS
(DOORS) для использования защищенных соединений.
Прежде чем начать
Если эти компоненты не установлены, установите их:
- Сервер базы данных DOORS
- Сервер взаимодействия DOORS
- Посредник сообщений ActiveMQ
Прим.: Для использования посредника сообщений ActiveMQ, предоставляемого в IBM
Engineering Requirements Management DOORS - Web
Access
(DWA), запустите программу установки. Однако настраивать DWA или запускать сервер DWA с целью использования посредника для защищенных соединений не требуется. Может показаться, что для защиты сервера может требоваться значительно меньше серверов взаимодействия, чем DWA.
Для обеспечения безопасности сервера в большинстве случаев достаточно двух серверов взаимодействия DOORS, но при увеличении числа пользователей могут потребоваться дополнительные серверы.
Проверьте срок действия сертификатов. С помощью примера
набора сертификатов можно проверить конфигурацию, однако его не следует использовать в рабочей среде.
Клиенту DOORS, серверу взаимодействия и серверу баз данных необходимо указать правильное имя хоста сервера. Например, в случае применения
примеров сертификатов для клиентов необходимо указать имя хоста сервера
IBMEDSERV.
Прим.: Примеры сертификатов, поставляемые вместе с
DOORS,
использовать необязательно.
Однако при наличии другого сертификата необходимо использовать параметры -keyDB и
-certName для клиента, сервера взаимодействия и сервера баз данных.
Важное замечание: К серверу баз данных можно подключить только серверы взаимодействия из белого списка. Необходимо создать файл
whitelist.dat на одном уровне с каталогом v6data (который является каталогом верхнего уровня для DOORS data). Если сервер баз данных DOORS запущен с помощью параметра -secureInteropByIP, то в файле
whitelist.dat должны быть указаны имена хостов или IP-адреса систем, в которых запущены серверы взаимодействия. Если сервер баз данных DOORS запущен без параметра -secureInteropByIP, то в файле
whitelist.dat должны содержаться контрольные суммы SHA256 сертификатов в системах, в которых запущены серверы взаимодействия.
Об этой задаче
Рассмотрена процедура включения защиты сервера для платформы, на которой установлен сервер. Если
сервера базы данных
DOORS
запускается
с помощью параметра
-serverSecurityEnable, то
защита сервера останется включенной после перезапуска. При последующих перезапусках этот параметр можно пропустить.
Процедура
- Для запуска серверов в системе Windows выполните следующие
действия:
- Если DWA не используется, запустите посредник Active MQ. В противном случае перейдите к следующему шагу. Для запуска посредника введите команду broker.start.bat (этот сценарий расположен в корневом каталоге установленного экземпляра DWA).
- Запустите сервер баз данных
DOORS,
включив защиту сервера с помощью аргумента командной строки -serverSecurityEnable.
- Определите имя хоста и порт посредника ActiveMQ с помощью параметров
-serverSecurityBrokerHost HOST и -serverSecurityBrokerPort PORT. Если сервер баз данных
DOORSработает
в консольном режиме, команда должна иметь формат:
doorsd.exe -debug -s
"C:\example\data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost IBMEDSERV
-serverSecurityBrokerPort 61616 -serverSecurityEnable -secureInteropByIPВажное замечание: secureInteropByIP - дополнительный параметр, разрешающий исходящие соединения серверов взаимодействия с помощью имени хоста или IP-адреса. Если этот параметр не используется, то в файле whitelist.dat должна содержаться контрольная сумма SHA256 сертификата.
где
Оператор |
Аргумент |
Описание |
-serverdata |
"C:\example\data" |
Путь к файлам данных
|
-portnumber |
36700 |
Номер порта для подключения к серверу
|
-serverhostname |
IBMEDSERV |
Имя сервера базы данных
DOORS
|
-secure |
ON |
Позволяет включить защиту.
|
-serverSecurityBrokerHost |
IBMEDSERV |
Имя или IP-адрес сервера, на котором запущен посредник ActiveMQ
|
-serverSecurityBrokerPort |
61616 (по умолчанию) |
Номер порта для соединения с посредником ActiveMQ
|
-serverSecurityEnable |
|
Позволяет включить защиту сервера.
|
-secureInteropbyIP |
|
При использовании этого параметра в файле whitelist.dat должны быть указаны имя хоста или IP-адрес. В противном случае в файле должна содержаться контрольная сумма SHA256 сертификата.
|
Сервер базы данных
DOORS
устанавливается в качестве службы
Windows. По умолчанию защищенный режим и параметры защиты сервера
отключены.
- Для включения режима защиты службы и настройки
параметров защиты сервера выполните следующие действия:
- Остановите службу сервера базы данных
DOORS.
- Откройте окно Свойства для службы сервера баз данных
DOORS.
- Укажите правильные параметры в поле Параметры запуска. Пример:
-serverdata "C:\example\data" -portnumber 36700
-serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost IBMEDSERV -serverSecurityBrokerPort
61616 -serverSecurityEnable -secureInteropbyIP
- В окне Свойства нажмите кнопку Запустить, чтобы запустить
службу. При закрытии окна параметры будут отклонены.
- Если DWA не используется, запустите сервер взаимодействия DOORS. В противном случае перейдите к следующему шагу. Это тот же двоичный файл, что и клиент
DOORS. Пример:
doors.exe -interop -data 36677@IBMEDSERV -brokerHost IBMEDSERV
-brokerPort 61616 -sssServerВнимание: Хотя бы один сервер
взаимодействия должен использовать параметр –sssServer. Он может быть определен как защищенный interop.
где
Оператор |
Аргумент |
Описание |
-interop |
|
Команда для запуска клиента в качестве сервера взаимодействия
|
-data |
36700@IBMEDSERV |
Номер порта и имя сервера базы данных
DOORS
|
-brokerHost |
IBMEDSERV |
Имя сервера, на котором размещается посредник
|
-brokerPort |
61616 |
Номер порта посредника
|
-sssServer |
|
Сервер баз данных определяет сервер взаимодействия как защищенный.
|
Прим.: Если сервер баз данных DOORS запущен как служба Windows, то после перезапуска Windows необходимо перезапустить посредник и сервер взаимодействия.
- Если база данных настроена для применения
IBM
Rational Directory Server,
то существующие пользователи должны быть подписаны. Для подписания существующих пользователей войдите в клиент
DOORS
от имени администратора. В интерфейсе редактирования DXL выполните следующую команду: signTdsUsers().
- Для запуска серверов в системе Linux выполните следующие действия:
- Если DWA не используется,
запустите посредник. В противном случае перейдите к следующему шагу. Для запуска посредника введите команду broker.start.sh (этот сценарий расположен в корневом каталоге установленного экземпляра DWA).
- Запустите сервер баз данных
DOORS,
включив защиту с помощью параметра командной строки -serverSecurityEnable.
- Укажите имя хоста и номер порта посредника с помощью
параметров -serverSecurityBrokerHost HOST и
-serverSecurityBrokerPort PORT. Пример: doorsd -s $DOORSHOME/data -p 36700
-serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost IBMEDSERV -serverSecurityBrokerPort
61616 -serverSecurityEnable -secureInteropByIP
Важное замечание: secureInteropByIP - дополнительный параметр, разрешающий исходящие соединения серверов взаимодействия с помощью имени хоста или IP-адреса. Если этот параметр не используется, то в файле whitelist.dat должна содержаться контрольная сумма SHA256 сертификата.
где
Оператор |
Аргумент |
Описание |
-serverdata |
$DOORSHOME/data |
Путь к файлам данных
|
-portnumber |
36700 |
Номер порта для подключения к серверу
|
-serverhostname |
IBMEDSERV |
Имя сервера базы данных
DOORS
|
-secure |
ON |
Позволяет включить защиту.
|
-serverSecurityBrokerHost |
IBMEDSERV |
Имя или IP-адрес сервера, на котором запущен посредник ActiveMQ
|
-serverSecurityBrokerPort |
61616 |
Номер порта для соединения с посредником ActiveMQ
|
-serverSecurityEnable |
|
Позволяет включить защиту сервера.
|
-secureInteropbyIP |
|
При использовании этого параметра в файле whitelist.dat должны быть указаны имя хоста или IP-адрес. В противном случае в файле должна содержаться контрольная сумма SHA256 сертификата.
|
- Если DWA не используется, запустите сервер взаимодействия. В противном случае перейдите к следующему шагу. Команда сервера взаимодействия находится в каталоге $DOORSHOME/bin. Пример:
doors -interop -data 36677@IBMEDSERV -brokerHost IBMEDSERV
-brokerPort 61616 -sssServerВнимание: Хотя бы один сервер
взаимодействия должен использовать параметр –sssServer. Он может быть определен как защищенный interop.
где
Оператор |
Аргумент |
Описание |
-interop |
|
Команда для запуска клиента в качестве сервера взаимодействия
|
-data |
36700@IBMEDSERV |
Номер порта и имя сервера базы данных
DOORS
|
-brokerHost |
IBMEDSERV |
Имя сервера, на котором расположен посредник ActiveMQ
|
-brokerPort |
61616 |
Номер порта посредника ActiveMQ
|
-sssServer |
|
Сервер баз данных определяет сервер взаимодействия как защищенный.
|
- Если база данных настроена для применения
IBM
Rational Directory Server,
то существующие пользователи должны быть подписаны. Для подписания существующих пользователей войдите в клиент
DOORS
от имени администратора. В интерфейсе редактирования DXL выполните следующую команду:
signTdsUsers().
- Для получения контрольной суммы SHA-256 из сертификата выполните следующие действия:
- В папке certdb выполните следующие команды:
- C:\Program Files\IBM\Rational\DOORS\9.6\certdb
- gsk8capicmd_64 -cert -details -db client_authentication.kdb -stashed -label
"IBMCL1"
- gsk8capicmd_64 -cert -details -db server_authentication.kdb -stashed -label
"IBMSV1"
- В выводе этих команд найдите контрольную сумму SHA256:
Пример:
- Скопируйте контрольную сумму SHA256 (строка цифр) для сертификатов клиента и сервера в файл whitelist.dat.
Дальнейшие действия
Поскольку в ходе установки сервер базы данных
DOORS не защищается паролем,
управлять им может любой пользователь. Для того чтобы контролировать, кто может управлять сервером базы данных, установите
пароль с помощью инструмента администрирования сервера базы данных. Более подробная информация находится в
разделе
Установка
пароля сервера базы данных
При включении защиты сервера по умолчанию для
идентификации применяются имя пользователя и пароль. Способ идентификации можно изменить с помощью параметра
команды dbadmin -sssAuthenticationMode. При изменении способа идентификации перезапуск
сервера баз данных
DOORS
не требуется. Более подробная информация находится в разделе
Изменение
способа идентификации.
Для отключения защиты сервера укажите параметры -serverSecurityDisable и
-secure.
Например введите doorsd.exe -debug
-serverdata "C:\example\data" -portnumber 36700 -serverSecurityDisable.