Pour activer la sécurité du serveur, vous devez configurer le serveur de base de données Rational DOORS pour utiliser les connexions sécurisées.
Avant de commencer
Vérifiez que le serveur peut démarrer en mode sécurisé et accepter les connexions des clients. Voici une liste de contrôle permettant de vérifier la configuration du mode sécurisé (pour information uniquement) :
- Vérifiez que la base de données de fichiers de clés de certificats est à jour. Assurez-vous qu'aucun certificat n'a expiré. Si vous utilisez une base de données de fichiers de clés différente, vous pouvez utiliser le paramètre -keydb pour spécifier celui-ci lors du démarrage du serveur de base de données Rational DOORS et des clients.
Remarque : L'exemple d'espace de stockage de certificats fourni avec Rational DOORS 9.4 est arrivé à expiration.
- Vérifiez que le serveur démarre avec le nom d'hôte de serveur correct. Si vous effectuez l'exécution à partir de la ligne de commande, définissez le paramètre -serverhostname ; ce dernier est défini par la variable d'environnement SERVERHOSTNAME (ou l'entrée de registre). Ce nom d'hôte doit être identique à celui qui exécute le serveur de base de données Rational DOORS.
- Vérifiez que le serveur a redémarré avec le mode sécurisé activé.
A partir de la ligne de commande, ce mode peut être activé par le biais de l'option -secure ON. Sous Windows,
si vous ne le spécifiez pas sur la ligne de commande, il peut être défini par le biais de l'option de registre sécurisé. Sachez que cette valeur de registre est définie sur OFF par défaut. Si vous n'utilisez pas les paramètres de ligne de commande, vous devez définir cette option sur ON. Cette clé est disponible dans le chemin suivant :
\HKEY_LOCAL_MACHINE\SOFTWARE\Telelogic\DOORS_Server\9.4\Config
Si vous utilisez Windows 64 bits, la clé est disponible dans le chemin suivant :
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Telelogic\DOORS_Server
\9.4\Config
- Vérifiez que les clients et le serveur d'interopérabilité démarre avec le nom d'hôte correct. Ce dernier doit être identique au nom d'hôte du serveur de base de données Rational DOORS (voir plus haut). Par exemple, si le nom d'hôte de la base de données
Rational DOORS est IBMEDSERV, le client doit utiliser IBMEDSERV sur la ligne de
commande (-data 36700@IBMEDSERV) et dans l'environnement du client, ce nom d'hôte
doit pointer vers l'hôte sur lequel s'exécute le serveur de base de données
Rational DOORS. Vous pouvez modifier le fichier hosts du système d'exploitation
pour qu'il pointe vers l'hôte IBMEDSERV. En résumé, les points
importants sont :
- Le serveur de base de données Rational DOORS doit démarrer avec le nom d'hôte de serveur correct (par exemple, IBMEDSERV), et dans l'environnement de serveur, ce nom d'hôte doit correspondre au serveur lui-même.
- Le client Rational DOORS doit se connecter au serveur à l'aide du même nom d'hôte de serveur (par exemple, en indiquant le paramètre -data 36700@IBMEDSERV dans le raccourci) et ce nom d'hôte dans l'environnement client doit être résolu en adresse IP du serveur.
Démarrage du client
Après avoir démarré le serveur de base de données Rational DOORS, connectez les clients Rational DOORS au serveur de base de données Rational DOORS et procédez à l'exécution habituelle.
Si Rational DOORS est configuré pour utiliser Rational Directory Server, les utilisateurs existants doivent être signés. Pour cela, démarrez un client Rational DOORS, connectez-vous en tant qu'administrateur et exécutez le droit DXL signTdsUsers(). Vous devez exécuter DXL après chaque modification apportée au serveur de base de données Rational DOORS.
Configuration d'un mot de passe pour dbadmin
Après avoir démarré le client Rational DOORS, vous devez configurer un mot de passe pour dbadmin. Utilisez pour cela le commutateur -p et, lors de l'exécution de dbadmin, entrez le mot de passe avec les commutateurs -P et -l.
Par exemple, définissez le mot de passe à l'aide d'une commande au format suivant :
dbadmin.exe -d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb"
-p NewPassword
Après avoir affecté le mot de passe dbadmin, spécifiez chaque demande à l'aide d'une commande au format suivant :
dbadmin.exe
-d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb" -P NewPassword -l
Configuration de l'accès aux modules
Vous devez vous assurer que les données sensibles sont protégées en configurant des droits d'accès corrects aux modules.
Lorsque la sécurité du serveur est activée, les clients appliquent les droits d'accès habituels aux informations dans la base de données. L'accès d'un utilisateur à la base de données est le même, que le système utilise la sécurité du serveur ou le modèle de sécurité Rational DOORS classique.
Toutefois, si la sécurité du client est compromise, en cas d'accès non autorisé à la base de données par exemple, il suffit que l'utilisateur concerné dispose d'un accès en lecture à un module pour bénéficier d'un accès complet au contenu de celui-ci.
Pour vous prémunir de ce danger, vérifiez que les modules qui contiennent des données sensibles sont protégés.
N'autorisez l'accès au module que si un utilisateur en a besoin. N'attribuez pas d'accès en lecture à un modèle à un utilisateur qui n'en a pas besoin.
Définissez l'accès de cet utilisateur sur Aucun. Ainsi, un utilisateur qui accède sans autorisation à la base de données ne pourra pas accéder au module.
Modification de la méthode d'authentification
Vous pouvez modifier la méthode d'authentification de sécurité du serveur à l'aide de la commande dbadmin. Lorsque vous modifiez la méthode, il n'est pas nécessaire de redémarrer le serveur de base de données Rational DOORS.
Par exemple, pour définir la méthode sur clés d'utilisateur, entrez :
dbadmin.exe -d 36700@IBMEDSERV
-keyDB C:\path\to\certificate\db\client_authentication.kdb -certName
DBM1 -P samplePassword -sssAuthenticationMode UserKeys
Les options valides pour le commutateur -sssAuthenticationMode sont les suivantes :
UserKeys
UsernamePassword
UsernamePasswordAndUserKeys