Zum Aktivieren der Serversicherheit müssen Sie
den Rational DOORS-Datenbankserver so konfigurieren, dass sichere
Verbindungen genutzt werden.
Vorbereitende Schritte
Stellen Sie sicher, dass der Server im sicheren Modus
gestartet werden und Verbindungen von Clients akzeptieren kann. Im Folgenden finden Sie eine Prüfliste, mit der Sie die
Konfiguration des sicheren Modus prüfen können (dient lediglich als
Richtlinie):
- Stellen Sie sicher, dass die Zertifikatsschlüsseldatenbank
auf dem aktuellen Stand ist. Stellen Sie sicher, dass keine abgelaufenen Zertifikate
vorhanden sind. Wenn Sie eine andere Keystore-Datenbank verwenden,
kann diese mit dem Parameter '-keydb' angegeben werden, wenn Sie
den Rational DOORS-Datenbankserver bzw. die Rational DOORS-Clients starten.
Anmerkung: Der Beispielzertifikatsspeicher aus Rational DOORS 9.4 ist
nun abgelaufen.
- Stellen Sie sicher, dass der Server mit dem korrekten
Serverhostnamen gestartet wird. Wenn Sie mit der Befehlszeile
arbeiten, müssen Sie den Parameter '-serverhostname'
festlegen. Andernfalls wird er über die Umgebungsvariable
SERVERHOSTNAME (oder den Registry-Eintrag) definiert. Dieser
Hostname muss mit dem Namen des Hosts identisch sein,
auf dem der Rational DOORS-Datenbankserver läuft.
- Stellen Sie sicher, dass der Server mit aktiviertem sicheren
Modus erneut gestartet wird.
Über die Befehlszeile wird dieser Modus mithilfe der Option '-secure ON'
aktiviert. Wenn Sie diese Option unter Windows nicht in der
Befehlszeile angeben, wird sie über die sichere Registry-Option
definiert. Beachten Sie hierbei, dass dieser Registry-Wert
standardmäßig auf 'OFF' gesetzt ist. Wenn Sie nicht mit
den Befehlszeilenparametern arbeiten, müssen Sie diese Option auf
'ON' setzen. Dieser Schlüssel ist in folgendem Pfad enthalten:
\HKEY_LOCAL_MACHINE\SOFTWARE\Telelogic\DOORS_Server\9.4\Config
Wenn
Sie unter 64-Bit-Windows arbeiten, ist der Schlüssel in folgendem
Pfad enthalten:
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Telelogic\DOORS_Server
\9.4\Config
- Stellen Sie sicher, dass die Clients und Interoperation Server
mit dem korrekten Hostnamen beginnen. Er muss mit dem Hostnamen des Rational DOORS-Datenbankservers
identisch sein (siehe oben). Wenn der Serverhostname der Rational DOORS-Datenbank
beispielsweise IBMEDSERV lautet, muss der Client IBMEDSERV
in der Befehlszeile verwenden (-data 36700@IBMEDSERV); außerdem muss in der Umgebung des Clients
dieser Hostname auf den gleichen Host verweisen, unter dem der Rational DOORS-Datenbankserver
ausgeführt wird.
Sie können dazu
die Datei 'hosts' des Betriebssystems ändern, damit diese auf den Host
IBMEDSERV verweist. Als Zusammenfassung lassen sich folgende, wichtige Punkte
festhalten:
- Der Rational DOORS-Datenbankserver muss mit dem korrekten
Serverhostnamen (z. B. IBMEDSERV) gestartet werden und
in der Serverumgebung muss dieser Hostname in den Server
selbst aufgelöst werden.
- Der Rational DOORS-Client muss über denselben
Serverhostnamen (z. B. durch Angabe des Parameters
'-data 36700@IBMEDSERV' in der Verknüpfung) eine
Verbindung zum Server herstellen und auch dieser Hostname
in der Clientumgebung muss in die IP-Adresse des Servers
aufgelöst werden.
Client starten
Nachdem
Sie den Rational DOORS-Datenbankserver gestartet haben, stellen
Sie eine Verbindung zwischen den
Rational DOORS-Clients und dem Rational DOORS-Datenbankserver her
und führen Sie diese Programme wie üblich aus.
Wenn Rational DOORS für die Verwendung von Rational
Directory Server konfiguriert ist, müssen die bestehenden
Benutzer unterzeichnet werden. Starten Sie dazu einen
Rational DOORS-Client, melden Sie sich als Administrator an und
führen Sie dann die DXL-Berechtigung signTdsUsers()
aus. Sie müssen die DXL-Berechtigung bei der Änderung des Rational
DOORS-Datenbankservers ausführen.
Kennwort für 'dbadmin' einrichten
Nach
dem Starten des Rational DOORS-Clients müssen Sie ein Kennwort für
'dbadmin' einrichten. Setzen Sie es mit dem Schalter '-p'. Wenn
Sie dann 'dbadmin' ausführen, müssen Sie das Kennwort mit dem Schalter
'-P' und dem Schalter '-l' eingeben.
Setzen Sie das Kennwort beispielsweise mit einem Befehl in folgendem Format:
dbadmin.exe -d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb"
-p NewPassword
Geben Sie nach dem Zuordnen des Kennworts für 'dbadmin'
jede Anforderung mit einem Befehl in folgendem Format an:
dbadmin.exe
-d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb" -P NewPassword -l
Zugriff auf Module einrichten
Sie müssen
sicherstellen, dass vertrauliche Daten geschützt werden, indem
Sie die korrekten Zugriffsberechtigungen für Module einrichten.
Wenn die Serversicherheit aktiviert ist, setzen Clients
die üblichen Zugriffsberechtigungen für Informationen in der
Datenbank durch. Der Zugriff eines Benutzer auf die Datenbank
ist unabhängig davon identisch, ob das System mit Serversicherheit
oder mit dem klassischen Sicherheitsmodell von Rational DOORS arbeitet.
Wenn der Client jedoch beeinträchtigt wird, z. B. wenn ein
Benutzer unbefugten Zugriff auf die Datenbank erhält, hat er,
wenn er Lesezugriff auf ein Modul hat, gleichzeitig auch
uneingeschränkten Zugriff auf den Inhalt des Moduls.
Als Schutz gegen diese Möglichkeit müssen Sie sicherstellen,
dass Module mit vertraulichen Daten geschützt werden.
Lassen Sie nur dann Zugriff auf das betreffende Modul zu,
wenn ein Benutzer diesen benötigt. Wenn ein Benutzer keinen
Zugriff auf ein Modul benötigt, erteilen Sie ihm nicht
Lesezugriff.
Setzen Sie den Zugriff auf Keine. Auf diese Weise
kann ein Benutzer nicht auf das Modul zugreifen, auch wenn
er unbefugten Zugriff auf die Datenbank erhält.
Authentifizierungsmethode ändern
Sie können
die Authentifizierungsmethode für die Serversicherheit über 'dbadmin'
ändern. Wenn Sie die Methode ändern, müssen sie den Rational DOORS-Datenbankserver
nicht erneut starten.
Geben Sie beispielsweise zum Festlegen der Methode auf Benutzerschlüssel
Folgendes ein:
dbadmin.exe -d 36700@IBMEDSERV
-keyDB C:\path\to\certificate\db\client_authentication.kdb -certName
DBM1 -P samplePassword -sssAuthenticationMode UserKeys
Folgende Optionen sind für den Schalter '-sssAuthenticationMode'
gültig:
UserKeys
UsernamePassword
UsernamePasswordAndUserKeys