Pour activer la sécurité de serveur, vous devez configurer le serveur de base de données IBM® Engineering Requirements
Management DOORS
(DOORS) pour utiliser des connexions sécurisées.
Avant de commencer
Si ces composants ne sont pas installés, installez-les :
- serveur de base de données DOORS
- serveur d'interopérabilité DOORS
- courtier de messages ActiveMQ
Remarque : Vous pouvez utiliser le courtier de messages ActiveMQ qui est fourni avec
IBM
Engineering Requirements Management DOORS - Web
Access
(DWA) en exécutant le programme d'installation. Toutefois, vous n'êtes pas obligé de configurer DWA ou d'exécuter le serveur
DWA
pour utiliser le courtier pour la sécurité du serveur. Vous pouvez vous attendre à ce que la sécurité du serveur utilise beaucoup moins de serveurs d'interopérabilité que DWA. Démarrer deux serveurs d'interopérabilité DOORS
pour la sécurité du serveur suffit pour la plupart des charges de système mais il en faudra peut-être plus à mesure que le nombre d'utilisateurs augmente.
Vérifiez que vos certificats sont valides et non arrivés à expiration. Vous pouvez utiliser un échantillon de certificats pour valider votre configuration, mais ne les utilisez pas pour la production.
Les clients DOORS, le serveur d'interopérabilité et le serveur de base de données doivent utiliser le nom d'hôte de serveur correct. Par exemple, lorsque vous utilisez les exemples de certificats, le nom d'hôte de serveur doit être spécifié en tant que IBMEDSERV et les clients doivent se connecter au serveur en utilisant ce nom d'hôte.
Remarque : Vous n'avez pas besoin d'utiliser les exemples de certificats
fournis avec DOORS. Toutefois, si vous utilisez un autre certificat, vous devez utiliser les
paramètres -keyDB et -certName pour
le client, le serveur d'interopérabilité et le serveur de base de données.
Important : Vous ne pouvez connecter que les serveurs d'interopérabilité sur liste blanche au serveur de base de données. Vous devez créer un fichier
whitelist.dat au même niveau que le répertoire v6data (qui se trouve au-dessus du répertoire DOORS data). Si le serveur de base de données DOORS est démarré à l'aide du commutateur -secureInteropByIP, le fichier whitelist.dat doit contenir le nom d'hôte ou l'adresse IP des ordinateurs exécutant les serveurs d'interopérabilité. Si le serveur de base de données DOORS est démarré sans le commutateur -secureInteropByIP, le fichier whitelist.dat doit contenir l'empreinte SHA256 des certificats sur les ordinateurs exécutant les serveurs d'interopérabilité.
Pourquoi et quand exécuter cette tâche
Suivez cette procédure pour activer la sécurité du serveur pour la plateforme sur laquelle votre serveur
est installé. Lorsque vous démarrez le serveur de base de données
DOORS et utilisez le commutateur
-serverSecurityEnable,
l'option est persistante, de sorte que la sécurité du serveur est activée lorsque vous redémarrez. Lors des
redémarrages suivants, vous pouvez omettre ce commutateur.
Procédure
- Pour démarrer les serveurs sur un système Windows, suivez ces étapes :
- Si vous n'utilisez pas DWA, démarrez le courtier Active MQ. Sinon, passez à l'étape suivante. Pour démarrer le courtier, entrez broker.start.bat,
qui se trouve dans le répertoire racine de l'installation DWA.
- Démarrez le serveur de base de données DOORS, en activant la sécurité du serveur en entrant l'argument de ligne de commande -serverSecurityEnable.
- Définissez le nom d'hôte et le port du courtier ActiveMQ grâce aux paramètres
-serverSecurityBrokerHost HOST et
-serverSecurityBrokerPort PORT. Si vous exécutez le serveur de base de données DOORS en mode console, entrez une commande au format suivant :
doorsd.exe -debug -s
"C:\example\data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost IBMEDSERV
-serverSecurityBrokerPort 61616 -serverSecurityEnable -secureInteropByIPImportant : secureInteropByIP est un commutateur facultatif qui permet la connexion à partir de serveurs d'interopérabilité à l'aide d'un nom d'hôte ou d'une adresse IP. Si vous n'utilisez pas ce commutateur, le fichier whitelist.dat doit contenir l'empreinte SHA256 du certificat.
où :
Commutateur |
Paramètre |
Description |
-serverdata |
"C:\example\data" |
Chemin d'accès aux fichiers de données
|
-portnumber |
36700 |
Numéro de port à connecter au
serveur
|
-serverhostname |
IBMEDSERV |
Nom du serveur de base de données DOORS
|
-secure |
ON |
Commutateur qui doit être activé pour que la
sécurité le soit.
|
-serverSecurityBrokerHost |
IBMEDSERV |
Nom de serveur ou adresse IP du serveur qui héberge le courtier ActiveMQ
|
-serverSecurityBrokerPort |
61616 (valeur par défaut) |
Numéro de port à connecter avec le courtier ActiveMQ
|
-serverSecurityEnable |
|
Commutateur qui active la sécurité du serveur
|
-secureInteropbyIP |
|
Si ce commutateur est utilisé, le fichier whitelist.dat doit contenir le nom d'hôte ou l'adresse IP. Dans le cas contraire, le fichier doit contenir l'empreinte SHA256 du certificat.
|
Le serveur de base de données DOORS s'installe en tant que service Windows. Par défaut, le mode sécurisé
et les options de sécurité du serveur sont désactivés.
- Si vous souhaitez activez le service pour le mode sécurisé et
les options de sécurité du serveur, procédez comme suit :
- Arrêtez le service du serveur de base de données DOORS.
- Ouvrez la fenêtre Propriétés pour le service de serveur de base de données DOORS.
- Entrez les paramètres corrects dans la zone Paramètres
de démarrage. Par exemple :
-serverdata "C:\example\data" -portnumber 36700
-serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost IBMEDSERV -serverSecurityBrokerPort
61616 -serverSecurityEnable -secureInteropbyIP
- Démarrez le service : dans la fenêtre Propriétés,
cliquez sur Démarrer. Les paramètres sont
supprimés lors de la fermeture de la fenêtre.
- Si vous n'utilisez pas DWA, démarrez le serveur d'interopérabilité DOORS. Sinon, passez à l'étape suivante. Ce serveur est le même binaire que le client DOORS. Par exemple :
doors.exe -interop -data 36677@IBMEDSERV -brokerHost IBMEDSERV
-brokerPort 61616 -sssServerAvertissement : Vous devez avoir au moins un serveur d'interopérabilité utilisant le commutateur –sssServer, qui puisse être reconnu comme interop sécurisé.
où :
Commutateur |
Paramètre |
Description |
-interop |
|
Commande permettant de démarrer le client en tant que serveur d'interopérabilité
|
-data |
36700@IBMEDSERV |
Le numéro de port et le nom du serveur de base de données DOORS
|
-brokerHost |
IBMEDSERV |
Nom du serveur qui héberge le courtier
|
-brokerPort |
61616 |
Numéro de port du courtier
|
-sssServer |
|
>Le serveur de base de données reconnaît le serveur d'interopérabilité comme étant sécurisé.
|
Remarque : Si le serveur de base de données DOORS s'exécute en tant que service Windows, après avoir redémarré Windows, vous devez redémarrer le courtier et le serveur d'interopérabilité.
- Si la base de données est configurée pour utiliser IBM
Rational Directory Server, les utilisateurs existants doivent être connectés. Pour signer les utilisateurs existants, connectez-vous à un
client DOORS en tant qu'administrateur. Depuis l'interface Editer DXL, entrez cette
commande : signTdsUsers().
- Pour démarrer les serveurs sur un système Linux, suivez ces étapes :
- Si vous n'utilisez pas DWA, démarrez le courtier. Sinon, passez à l'étape suivante. Pour démarrer le courtier, entrez broker.start.sh,
qui se trouve dans le répertoire racine de l'installation DWA.
- Démarrez le serveur de base de données DOORS et utilisez le commutateur de ligne de commande -serverSecurityEnable
pour activer la sécurité.
- Définissez l'hôte et le port du courtier en utilisant les
paramètres -serverSecurityBrokerHost HOST et
-serverSecurityBrokerPort PORT. For example: doorsd -s $DOORSHOME/data -p 36700
-serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost IBMEDSERV -serverSecurityBrokerPort
61616 -serverSecurityEnable -secureInteropByIP
Important : secureInteropByIP est un commutateur facultatif qui permet la connexion à partir de serveurs d'interopérabilité à l'aide d'un nom d'hôte ou d'une adresse IP. Si vous n'utilisez pas ce commutateur, le fichier whitelist.dat doit contenir l'empreinte SHA256 du certificat.
où :
Commutateur |
Paramètre |
Description |
-serverdata |
$DOORSHOME/data |
Chemin d'accès aux fichiers de données
|
-portnumber |
36700 |
Numéro de port à connecter au
serveur
|
-serverhostname |
IBMEDSERV |
Nom du serveur de base de données DOORS
|
-secure |
ON |
Commutateur qui doit être défini pour
que la sécurité soit activée
|
-serverSecurityBrokerHost |
IBMEDSERV |
Nom de serveur ou adresse IP du serveur qui héberge le courtier ActiveMQ
|
-serverSecurityBrokerPort |
61616 |
Numéro de port à connecter avec le courtier ActiveMQ
|
-serverSecurityEnable |
|
Commutateur qui active la sécurité du serveur
|
-secureInteropbyIP |
|
Si ce commutateur est utilisé, le fichier whitelist.dat doit contenir le nom d'hôte ou l'adresse IP. Dans le cas contraire, le fichier doit contenir l'empreinte SHA256 du certificat.
|
- Si vous n'utilisez pas DWA, démarrez le serveur d'interopérabilité. Sinon, passez à l'étape suivante. La commande du serveur d'interopérabilité se trouve dans $DOORSHOME/bin. Par exemple :
doors -interop -data 36677@IBMEDSERV -brokerHost IBMEDSERV
-brokerPort 61616 -sssServerAvertissement : Vous devez avoir au moins un serveur d'interopérabilité utilisant le commutateur –sssServer, qui puisse être reconnu comme interop sécurisé.
où :
Commutateur |
Paramètre |
Description |
-interop |
|
Commande permettant de démarrer le client en tant que serveur d'interopérabilité
|
-data |
36700@IBMEDSERV |
Le numéro de port et le nom du serveur de base de données DOORS
|
-brokerHost |
IBMEDSERV |
Nom du serveur qui héberge le courtier ActiveMQ
|
-brokerPort |
61616 |
Numéro de port du courtier ActiveMQ
|
-sssServer |
|
>Le serveur de base de données reconnaît le serveur d'interopérabilité comme étant sécurisé.
|
- Si la base de données est configurée pour utiliser IBM
Rational Directory Server, les utilisateurs existants doivent être connectés. Pour signer les utilisateurs existants, connectez-vous à un
client DOORS en tant qu'administrateur. Depuis l'interface Editer DXL, entrez cette
commande : signTdsUsers().
- Pour obtenir le fichier SHA-256 fingerprint à partir du certificat :
- Exécutez les commandes suivantes à partir du dossier certdb :
- C:\Program Files\IBM\Rational\DOORS\9.6\certdb
- gsk8capicmd_64 -cert -details -db client_authentication.kdb -stashed -label
"IBMCL1"
- gsk8capicmd_64 -cert -details -db server_authentication.kdb -stashed -label
"IBMSV1"
- Dans la sortie de ces commandes, recherchez SHA256 fingerprint :
Exemple :
- Copiez le fichier SHA256 fingerprint (la ligne des nombres) pour les certificats client et serveur dans le fichier whitelist.dat.
Que faire ensuite
Lors de son installation, le serveur de base de données DOORS ne comporte aucun mot de passe ; par conséquent, il peut être géré par n'importe quel utilisateur. Pour contrôler qui gère votre
serveur de base de données, vous pouvez définir un mot de passe avec l'outil d'administration du serveur de base de
données. Pour plus d'informations, voir Configuration du mot de passe du serveur de base de données
Lorsque vous activez la sécurité du serveur, la méthode d'authentification par défaut consiste à entrer votre
nom d'utilisateur et votre mot de passe. Vous pouvez modifier la méthode d'authentification en utilisant un commutateur
de ligne de commande dbadmin, -sssAuthenticationMode. Lorsque vous modifiez la
méthode d'authentification, vous n'avez pas besoin de redémarrer le serveur de base de données DOORS. Pour plus d'informations, voir Modification de la méthode d'authentification.
Si vous souhaitez désactiver la sécurité du serveur, utilisez les commutateurs -serverSecurityDisable et
-secure switches.
Par exemple, entrez doorsd.exe -debug
-serverdata "C:\example\data" -portnumber 36700 -serverSecurityDisable.