如果要啟用伺服器安全,必須將 IBM® Engineering Requirements
Management DOORS® (DOORS) 資料庫伺服器配置成使用安全連線。
開始之前
如果未安裝這些元件,請加以安裝:
請驗證憑證有效且未過期。您可以使用一組範例憑證來驗證配置,但是不可用於正式作業。
DOORS 用戶端、interoperation 伺服器及資料庫伺服器必須使用正確的伺服器主機名稱。例如,使用範例憑證時,伺服器主機名稱必須指定為 IBMEDSERV,且用戶端必須使用該主機名稱來連接至伺服器。
註: 您不需要使用 DOORS 隨附的範例憑證。不過,如果您使用其他憑證,則必須對用戶端、interoperation 伺服器及資料庫伺服器使用 -keyDB 和 -certName 參數。
重要: 只能將白名單中的 interoperation 伺服器連接至資料庫伺服器。您必須在 v6data 目錄(位於 DOORS data 目錄的最上層)的同一層次建立 whitelist.dat 檔。啟動 DOORS 資料庫伺服器時,如果使用了 -secureInteropByIP 切換參數,則 whitelist.dat 檔必須包含執行 interoperation 伺服器之電腦的主機名稱或 IP 位址。啟動 DOORS 資料庫伺服器時,如果沒有使用 -secureInteropByIP 切換參數,則 whitelist.dat 檔必須包含執行 interoperation 伺服器之電腦上的憑證 SHA256 指紋
關於這項作業
在安裝伺服器的平台上,請遵循這個程序來啟用伺服器安全。當您啟動
DOORS 資料庫伺服器並使用
-serverSecurityEnable 切換參數時,選項持續有效,所以重新啟動時會啟用伺服器安全。後續重新啟動時,您可以省略該切換參數。
程序
- 如果要在 Windows 系統上啟動伺服器,請遵循下列步驟:
- 如果您沒有使用 DWA,請啟動 ActiveMQ 分配管理系統。否則,請跳至下一步。如果要啟動分配管理系統,
請輸入 broker.start.bat,這個檔案位於 DWA 安裝架構的根目錄中。
- 啟動 DOORS 資料庫伺服器,
並輸入 -serverSecurityEnable 指令行引數來啟用伺服器安全。
- 使用 -serverSecurityBrokerHost HOST 及 -serverSecurityBrokerPort PORT 參數來定義 ActiveMQ 分配管理系統主機名稱和埠。 如果您正在主控台模式中執行 DOORS 資料庫伺服器,請以下列格式輸入指令:
doorsd.exe -debug -s
"C:\example\data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost IBMEDSERV
-serverSecurityBrokerPort 61616 -serverSecurityEnable -secureInteropByIP重要: secureInteropByIP 是選用的切換參數,容許從 interoperation 伺服器使用主機名稱或 IP 位址來連接。如果您沒有使用這個切換參數,則 whitelist.dat 檔必須包含憑證的 SHA256 指紋。
其中
切換參數 |
參數 |
說明 |
-serverdata |
"C:\example\data" |
資料檔的路徑
|
-portnumber |
36700 |
用來連接至伺服器的埠號
|
-serverhostname |
IBMEDSERV |
DOORS 資料庫伺服器的名稱
|
-secure |
ON |
必須設為 on 以啟用安全的切換參數。
|
-serverSecurityBrokerHost |
IBMEDSERV |
管理 ActiveMQ 分配管理系統的伺服器之伺服器名稱或 IP 位址
|
-serverSecurityBrokerPort |
61616(預設值) |
與 ActiveMQ 分配管理系統連接的埠號
|
-serverSecurityEnable |
|
用來啟用伺服器安全的切換參數
|
-secureInteropbyIP |
|
若有使用這個切換參數,whitelist.dat 檔必須包含主機名稱或 IP 位址。否則,該檔案必須包含憑證的 SHA256 指紋。
|
DOORS 資料庫伺服器會安裝為 Windows 服務。依預設會停用安全模式和伺服器安全選項。
- 如果您要啟用服務的安全模式及伺服器安全選項,請遵循下列步驟:
- 停止 DOORS 資料庫伺服器服務。
- 開啟 DOORS 資料庫伺服器服務的「內容」視窗。
- 在啟動參數欄位中輸入正確的參數。例如:
-serverdata "C:\example\data" -portnumber 36700
-serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost IBMEDSERV -serverSecurityBrokerPort
61616 -serverSecurityEnable -secureInteropbyIP
- 啟動服務:在「內容」視窗中,按一下啟動。視窗關閉時會捨棄這些參數。
- 如果您沒有使用 DWA,請啟動 DOORS 交互作業伺服器。否則,請跳至下一步。這部伺服器是和 DOORS 用戶端相同的二進位格式。 例如:
doors.exe -interop -data 36677@IBMEDSERV -brokerHost IBMEDSERV
-brokerPort 61616 -sssServer小心: 您必須至少有一部 interoperation 伺服器使用 –sssServer 切換參數,以便之後可以辨識成安全的 interop。
其中
切換參數 |
參數 |
說明 |
-interop |
|
啟動用戶端作為 interoperation 伺服器的指令
|
-data |
36700@IBMEDSERV |
DOORS 資料庫伺服器的埠號和名稱
|
-brokerHost |
IBMEDSERV |
管理分配管理系統的伺服器名稱
|
-brokerPort |
61616 |
分配管理系統的埠號
|
-sssServer |
|
資料庫伺服器會將 interoperation 伺服器辨識成安全的。
|
註: 如果 DOORS 資料庫伺服器是以 Windows 服務形式執行,
在您重新啟動 Windows 之後,必須重新啟動分配管理系統和 interoperation 伺服器。
- 如果將資料庫配置為使用 IBM
Rational® Directory Server,則必須簽署現有的使用者。如果要簽署現有的使用者,請以管理者身分登入 DOORS 用戶端。從編輯 DXL 介面中,輸入這個指令:signTdsUsers()。
- 如果要在 Linux 系統上啟動伺服器,請遵循下列步驟:
- 如果您沒有使用 DWA,請啟動分配管理系統。否則,請跳至下一步。如果要啟動分配管理系統,
請輸入 broker.start.sh,這個檔案位於 DWA 安裝架構的根目錄中。
- 啟動 DOORS 資料庫伺服器,
並使用 -serverSecurityEnable 指令行切換參數來啟用安全。
- 使用 -serverSecurityBrokerHost HOST 及 -serverSecurityBrokerPort PORT 參數來定義分配管理系統主機和埠。 例如:doorsd -s $DOORSHOME/data -p 36700
-serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost IBMEDSERV -serverSecurityBrokerPort
61616 -serverSecurityEnable -secureInteropByIP
重要: secureInteropByIP 是選用的切換參數,容許從 interoperation 伺服器使用主機名稱或 IP 位址來連接。如果您沒有使用這個切換參數,則 whitelist.dat 檔必須包含憑證的 SHA256 指紋。
其中
切換參數 |
參數 |
說明 |
-serverdata |
$DOORSHOME/data |
資料檔的路徑
|
-portnumber |
36700 |
用來連接至伺服器的埠號
|
-serverhostname |
IBMEDSERV |
DOORS 資料庫伺服器的名稱
|
-secure |
ON |
必須設為 on 以啟用安全的切換參數
|
-serverSecurityBrokerHost |
IBMEDSERV |
管理 ActiveMQ 分配管理系統的伺服器之伺服器名稱或 IP 位址
|
-serverSecurityBrokerPort |
61616 |
與 ActiveMQ 分配管理系統連接的埠號
|
-serverSecurityEnable |
|
用來啟用伺服器安全的切換參數
|
-secureInteropbyIP |
|
若有使用這個切換參數,whitelist.dat 檔必須包含主機名稱或 IP 位址。否則,該檔案必須包含憑證的 SHA256 指紋。
|
- 如果您沒有使用 DWA,請啟動 interoperation 伺服器。否則,請跳至下一步。interoperation 伺服器指令位於 $DOORSHOME/bin 中。 例如:
doors -interop -data 36677@IBMEDSERV -brokerHost IBMEDSERV
-brokerPort 61616 -sssServer小心: 您必須至少有一部 interoperation 伺服器使用 –sssServer 切換參數,以便之後可以辨識成安全的 interop。
其中
切換參數 |
參數 |
說明 |
-interop |
|
啟動用戶端作為 interoperation 伺服器的指令
|
-data |
36700@IBMEDSERV |
DOORS 資料庫伺服器的埠號和名稱
|
-brokerHost |
IBMEDSERV |
管理 ActiveMQ 分配管理系統的伺服器名稱
|
-brokerPort |
61616 |
ActiveMQ 分配管理系統的埠號
|
-sssServer |
|
資料庫伺服器會將 interoperation 伺服器辨識成安全的。
|
- 如果將資料庫配置為使用 IBM
Rational Directory Server,則必須簽署現有的使用者。如果要簽署現有的使用者,請以管理者身分登入 DOORS 用戶端。從編輯 DXL 介面中,輸入這個指令:signTdsUsers()。
- 如果要從憑證取得 SHA-256 fingerprint,請執行下列動作:
- 從 certdb 資料夾執行下列指令:
- C:\Program Files\IBM\Rational\DOORS\9.6\certdb
- gsk8capicmd_64 -cert -details -db client_authentication.kdb -stashed -label
"IBMCL1"
- gsk8capicmd_64 -cert -details -db server_authentication.kdb -stashed -label
"IBMSV1"
- 在那些指令的輸出中,尋找 SHA256 fingerprint:
範例:
- 將用戶端憑證與伺服器憑證的 SHA256 fingerprint(數字行)複製到 whitelist.dat 檔。
下一步
安裝 DOORS 資料庫伺服器時,它並沒有密碼,因此任何人都可以管理伺服器。如果要控制由何人管理資料庫伺服器,您可以利用資料庫伺服器管理工具來設定密碼。如需相關資訊,
請參閱設定資料庫伺服器密碼
當您啟用伺服器安全時,預設鑑別方法是輸入使用者名稱及密碼。您可以使用 dbadmin 指令行切換參數 -sssAuthenticationMode 來變更鑑別方法。當您變更鑑別方法時,不需要重新啟動 DOORS 資料庫伺服器。如需相關資訊,請參閱變更鑑別方法。
如果您要停用伺服器安全,請使用 -serverSecurityDisable 和 -secure 切換參數。
例如,請輸入 doorsd.exe -debug
-serverdata "C:\example\data" -portnumber 36700 -serverSecurityDisable。