Para ativar a segurança do servidor, deve-se configurar o servidor de banco de dados do IBM® Engineering Requirements
Management DOORS
(DOORS)
para usar conexões seguras.
Antes de Iniciar
Se esses componentes não estiverem instalados, instale-os:
- Servidor do banco de dados DOORS
- Servidor de interoperação do DOORS
- Message broker ActiveMQ
Nota: Será possível usar o message broker ActiveMQ
que é fornecido com o IBM
Engineering Requirements Management DOORS - Web
Access
(DWA)
ao executar o instalador. No entanto, não é necessário configurar o DWA
nem executar o servidor DWA
para usar o broker para segurança do servidor. É possível esperar que a segurança do servidor use significativamente menos servidores de
interoperação do que o DWA.
Iniciar dois servidores de interoperação do DOORS
para a segurança do servidor é suficiente para a maioria dos carregamentos do sistema,
mas podem ser necessários mais, conforme o número de usuários aumenta.
Verifique se seus certificados são válidos e não estão expirados. Um conjunto de amostra de certificados pode ser utilizado para validar sua configuração, mas não os use para produção.
Os Clientes DOORS, o servidor de interoperação
e o servidor de banco de dados devem usar o nome do host do servidor correto. Por exemplo, quando você utilizar os certificados de amostra, o nome do host do servidor deve ser especificado como IBMEDSERV e os clientes devem se conectar ao servidor utilizando esse nome do host.
Nota: Não é necessário utilizar os certificados de amostra que são fornecidos com o DOORS.
No entanto, caso você use outro certificado, deve-se usar os parâmetros -keyDB e
-certName para o cliente, o servidor de interoperação
e o servidor de banco de dados.
Importante: É possível conectar somente servidores de interoperação
incluídos na lista de desbloqueio com o servidor de banco de dados. Deve-se criar um arquivo whitelist.dat
no mesmo nível que o diretório v6data
(que está na parte superior do diretório DOORS data). Se o servidor de banco de dados do DOORS
for iniciado usando o comutador -secureInteropByIP, o arquivo whitelist.dat
deverá conter o nome do host ou o endereço IP dos computadores que executam os servidores de interoperação. Se o servidor de banco de dados do DOORS
for iniciado sem o comutador -secureInteropByIP, o arquivo whitelist.dat
deverá conter a impressão digital SHA256 dos certificados nos computadores que executam os servidores de interoperação.
Sobre Esta Tarefa
Siga este procedimento para ativar a segurança do servidor para a plataforma na qual seu servidor está instalado. Ao iniciar o servidor de banco de dados do
DOORS e usar o comutador
-serverSecurityEnable, a opção é persistente, portanto, a segurança do servidor estará ativada quando você reiniciar. Em reinicializações subsequentes, é possível omitir esse comutador.
Procedimento
- Para iniciar os servidores em um sistema Windows, siga estas etapas:
- Se você não estiver usando o DWA,
inicie o broker do Active MQ. Caso contrário, vá para a próxima etapa. Para iniciar o broker, insira
broker.start.bat, que está no diretório raiz da instalação do DWA.
- Inicie o servidor de banco de dados do DOORS, ativando a segurança do servidor inserindo o argumento da linha de comandos -serverSecurityEnable.
- Defina o nome do host e a porta do broker ActiveMQ usando os parâmetros
-serverSecurityBrokerHost HOST e -serverSecurityBrokerPort PORT. Se você estiver executando o servidor de banco de dados do DOORS em modo de console, insira um comando nesse formato:
doorsd.exe -debug -s
"C:\example\data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost IBMEDSERV
-serverSecurityBrokerPort 61616 -serverSecurityEnable -secureInteropByIPImportante: secureInteropByIP é um comutador opcional que permite a
conexão de servidores de interoperação usando o nome do host ou o endereço IP. Se você não usar esse comutador,
o arquivo whitelist.dat deverá conter a impressão digital SHA256 do certificado.
em que
Comutador |
Parâmetro |
Descrição |
-serverdata |
"C:\example\data" |
O caminho para os arquivos de dados
|
-portnumber |
36700 |
O número da porta a se conectar ao servidor
|
-serverhostname |
IBMEDSERV |
O nome do servidor de banco de dados do DOORS
|
-secure |
ON |
Um comutador que deve ser configurado como ativado para que a segurança seja ativada.
|
-serverSecurityBrokerHost |
IBMEDSERV |
O nome do servidor ou o endereço IP do servidor que está hospedando o broker ActiveMQ
|
-serverSecurityBrokerPort |
61616 (o padrão) |
O número da porta para conexão com o broker ActiveMQ
|
-serverSecurityEnable |
|
O comutador que ativa a segurança do servidor
|
-secureInteropbyIP |
|
Se estiver usando esse comutador, o arquivo whitelist.dat deverá conter o nome do host ou o
endereço IP. Caso contrário, o arquivo deverá conter a impressão digital SHA256
do certificado.
|
O servidor de banco de dados do DOORS é instalado como um serviço do Windows. Por padrão, as opções de modo seguro e de segurança do servidor são desativadas.
- Se você desejar ativar o serviço para as opções de modo seguro e de segurança do servidor, siga estas etapas:
- Pare o serviço do servidor de banco de dados do DOORS.
- Abra a janela Propriedades para o serviço do servidor de banco de dados do DOORS.
- Insira os parâmetros corretos no campo Iniciar
Parâmetros. Por exemplo:
-serverdata "C:\example\data" -portnumber 36700
-serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost IBMEDSERV -serverSecurityBrokerPort
61616 -serverSecurityEnable -secureInteropbyIP
- Inicie o serviço: na janela Propriedades, clique em Iniciar. Os parâmetros serão descartados quando a janela for fechada.
- Se você não estiver usando o DWA,
inicie o servidor de interoperação do DOORS. Caso contrário, vá para a próxima etapa. Esse servidor é o mesmo binário do cliente do DOORS. Por exemplo:
doors.exe -interop -data 36677@IBMEDSERV -brokerHost IBMEDSERV
-brokerPort 61616 -sssServerAtenção: Deve-se ter pelo menos um servidor de
interoperação usando o comutador –sssServer, que pode ser reconhecido como o interop seguro.
em que
Comutador |
Parâmetro |
Descrição |
-interop |
|
O comando para iniciar o cliente como um servidor de interoperação
|
-data |
36700@IBMEDSERV |
O número da porta e o nome do servidor de banco de dados do DOORS
|
-brokerHost |
IBMEDSERV |
O nome do servidor que está hospedando o broker
|
-brokerPort |
61616 |
O número da porta do broker
|
-sssServer |
|
O servidor de banco de dados reconhece o servidor de interoperação como seguro.
|
Nota: Caso o servidor de banco de dados do DOORS
esteja em execução como um serviço do Windows, depois de reiniciar o Windows,
deve-se reiniciar o broker e o servidor de interoperação.
- Se o banco de dados estiver configurado para usar o IBM
Rational Directory Server, os usuários existentes devem ser assinados. Para assinar os usuários existentes, efetue login em um cliente do DOORS como um administrador. Na interface de edição de DXL, digite este comando: signTdsUsers().
- Para iniciar os servidores em um sistema Linux, siga estas etapas:
- Se você não estiver usando o DWA,
inicie o broker. Caso contrário, vá para a próxima etapa. Para iniciar o broker, insira
broker.start.sh, que está no diretório raiz da instalação do DWA.
- Inicie o servidor de banco de dados do DOORS e use o comutador da linha de comandos -serverSecurityEnable para ativar a segurança.
- Defina o host e a porta do broker usando os parâmetros -serverSecurityBrokerHost HOST e -serverSecurityBrokerPort PORT. Por exemplo: doorsd -s $DOORSHOME/data -p 36700
-serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost IBMEDSERV -serverSecurityBrokerPort
61616 -serverSecurityEnable -secureInteropByIP
Importante: secureInteropByIP é um comutador opcional que permite a conexão de servidores de
interoperação usando o nome do host ou o endereço IP. Se você não usar esse comutador, o arquivo whitelist.dat
deverá conter a impressão digital SHA256 do certificado.
em que
Comutador |
Parâmetro |
Descrição |
-serverdata |
$DOORSHOME/data |
O caminho para os arquivos de dados
|
-portnumber |
36700 |
O número da porta a se conectar ao servidor
|
-serverhostname |
IBMEDSERV |
O nome do servidor de banco de dados do DOORS
|
-secure |
ON |
Um comutador que deve ser configurado como ativado para que a segurança seja ativada
|
-serverSecurityBrokerHost |
IBMEDSERV |
O nome do servidor ou o endereço IP do servidor que está hospedando o broker ActiveMQ
|
-serverSecurityBrokerPort |
61616 |
O número da porta para conexão com o broker ActiveMQ
|
-serverSecurityEnable |
|
O comutador que ativa a segurança do servidor
|
-secureInteropbyIP |
|
Se estiver usando esse comutador, o arquivo whitelist.dat deverá conter o nome do host ou o
endereço IP. Caso contrário, o arquivo deverá conter a impressão digital SHA256
do certificado.
|
- Se você não estiver usando o DWA,
inicie o servidor de interoperação. Caso contrário, vá para a próxima etapa. O comando do servidor de interoperação está em $DOORSHOME/bin. Por exemplo:
doors -interop -data 36677@IBMEDSERV -brokerHost IBMEDSERV
-brokerPort 61616 -sssServerAtenção: Deve-se ter pelo menos um servidor de
interoperação usando o comutador –sssServer, que pode ser reconhecido como o interop seguro.
em que
Comutador |
Parâmetro |
Descrição |
-interop |
|
O comando para iniciar o cliente como um servidor de interoperação
|
-data |
36700@IBMEDSERV |
O número da porta e o nome do servidor de banco de dados do DOORS
|
-brokerHost |
IBMEDSERV |
O nome do servidor que está hospedando o broker ActiveMQ
|
-brokerPort |
61616 |
O número da porta do broker ActiveMQ
|
-sssServer |
|
O servidor de banco de dados reconhece o servidor de interoperação como seguro.
|
- Se o banco de dados estiver configurado para usar o IBM
Rational Directory Server, os usuários existentes devem ser assinados. Para assinar os usuários existentes, efetue login em um cliente do DOORS como o administrador. Na interface de edição de DXL, digite este comando: signTdsUsers().
- Para obter a SHA-256 fingerprint por meio do certificado:
- Execute os comandos a seguir por meio da pasta certdb:
- C:\Program Files\IBM\Rational\DOORS\9.6\certdb
- gsk8capicmd_64 -cert -details -db client_authentication.kdb -stashed -label
"IBMCL1"
- gsk8capicmd_64 -cert -details -db server_authentication.kdb -stashed -label
"IBMSV1"
- Na saída desses comandos, procure por SHA256 fingerprint:
Exemplo:
- Copie a SHA256 fingerprint (a linha de números) dos certificados do cliente e do servidor
para o arquivo whitelist.dat.
O que Fazer Depois
Quando o servidor de banco de dados do DOORS
está instalado, ele não tem uma senha, então qualquer um pode gerenciá-lo. Para controlar quem gerencia o seu servidor de banco de dados, é possível configurar uma senha com a ferramenta de administração do servidor de banco de dados. Para obter informações adicionais, consulte Configurando a senha do servidor de banco de dados
Ao ativar a segurança do servidor, o método de autenticação padrão é digitar seu nome de usuário e senha. É possível alterar o método de autenticação utilizando um comutador de linha de comandos dbadmin, -sssAuthenticationMode. Ao mudar o método de autenticação, não é necessário reiniciar o servidor de banco de dados do DOORS. Para obter informações adicionais, consulte Mudando o método de autenticação.
Se você desejar desativar a segurança do servidor, use os comutadores -serverSecurityDisable e -secure.
Por exemplo, insira doorsd.exe -debug
-serverdata "C:\example\data" -portnumber 36700 -serverSecurityDisable.