Sichere Verbindung konfigurieren

Zum Aktivieren der Serversicherheit müssen Sie den Rational DOORS-Datenbankserver so konfigurieren, dass sichere Verbindungen genutzt werden.

Vorbereitende Schritte

Stellen Sie sicher, dass der Server im sicheren Modus gestartet werden und Verbindungen von Clients akzeptieren kann. Im Folgenden finden Sie eine Prüfliste, mit der Sie die Konfiguration des sicheren Modus prüfen können (dient lediglich als Richtlinie):

UNIX-Server starten

Informationen zu diesem Vorgang

Gehen Sie wie folgt vor, um die UNIX-Server zu starten:

Vorgehensweise

  1. Führen Sie das Script configure-festival.sh aus, das die vorgesehenen Berechtigungen für die Dateien in der Verzeichnisstruktur festlegt und JRE installiert.
  2. Starten Sie den Broker, indem Sie broker.start.sh ausführen. Diese Datei befindet sich im Stammverzeichnis der Installation von Rational DOORS Web Access.
  3. Starten Sie den Rational DOORS-Datenbankserver und aktivieren Sie dabei die Serversicherheit mit dem Befehlszeilenargument -serverSecurityEnable. Sie müssen darüber hinaus auch Host und Port des Brokers definieren, wozu die Parameter -serverSecurityBrokerHost BROKER_HOST und -serverSecurityBrokerPort PORT_NUMBER verwendet werden.

    Beispiel:

    doorsd -s $DOORSHOME/data -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable

    Dabei gilt Folgendes:
    Schalter Parameter Beschreibung
    -s $DOORSHOME/data

    ($DOORSHOME wird entsprechend den standardmäßigen Installationsanweisungen für Rational DOORS gesetzt.)

    Der Pfad zu den Datendateien.

    -p 36700

    Die Portnummer für die Verbindung zum Server.

    -serverhostname IBMEDSERV

    Der Name des Rational DOORS-Datenbankservers.

    -secure ON

    Muss auf 'ON' gesetzt werden, damit die Sicherheit aktiviert ist.

    -serverSecurity BrokerHost BROKER_HOST

    Der Servername oder die IP-Adresse des Servers, der als Host für den Broker dient.

    -serverSecurity BrokerPort 61616 (Standardwert)

    Die Portnummer für die Verbindung zum Broker.

    -serverSecurity Enable  

    Aktiviert die Serversicherheit.

    Für den Server sind optionale Protokollierungsparameter vorhanden:
    Schalter Beschreibung
    -L

    Die Protokollebene (Beispiel: -L 6).

    -l

    Pfad und Dateiname der Protokolldatei (Beispiel: -l /var/log/doorsd.log).

    Anmerkung: Alle fehlenden oder falsch geschriebenen Parameter können aus Umgebungsvariablen oder Registry-Einträgen übernommen werden, falls vorhanden.
  4. Starten Sie Interoperation Server. Pfad: $DOORSHOME/bin.

    Beispiel:

    doors9 -interop -data 36700@IBMEDSERV –brokerHost MYBROKER –brokerPort BROKERPORT

    Dabei gilt Folgendes:
    Schalter Parameter Beschreibung
    -interop  

    Der Befehl zum Starten den Clients als Interoperation Server.

    -data 36700@IBMEDSERV

    Die Portnummer und der Name des Rational DOORS-Datenbankservers.

    -brokerHost MYBROKER

    Der Name des Servers, der als Host für den Broker dient.

    -brokerPort BROKERPORT

    Die Portnummer des Brokers.

    Für Interoperation Server sind optionale Protokollierungsparameter vorhanden:
    Schalter Beschreibung
    -logLevel

    Die Protokollebene (Beispiel: -logLevel 6).

    -logfile

    Pfad und Dateiname der Protokolldatei (Beispiel: -logfile /var/log/interop.log).

Windows-Server starten

Informationen zu diesem Vorgang

Gehen Sie wie folgt vor, um die Windows-Server zu starten:

Vorgehensweise

  1. Starten Sie den Broker, indem Sie broker.start.bat ausführen. Diese Datei befindet sich im Stammverzeichnis der Installation von Rational DOORS Web Access.
  2. Starten Sie den Rational DOORS-Datenbankserver erneut und aktivieren Sie dabei die Serversicherheit mit dem Befehlszeilenargument -serverSecurityEnable. Sie müssen darüber hinaus auch Host und Port des Brokers definieren, wozu die Parameter -serverSecurityBrokerHost HOST und -serverSecurityBrokerPort PORT verwendet werden.

    Wenn Sie den Rational DOORS-Datenbankserver im Konsolenmodus ausführen, müssen Sie einen Befehl im folgenden Format eingeben:

    doorsd.exe -debug -s "C:\example\data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable

    Dabei gilt Folgendes:
    Schalter Parameter Beschreibung
    -s "C:\example\data"

    Der Pfad zu den Datendateien.

    -p 36700

    Die Portnummer für die Verbindung zum Server.

    -serverhostname IBMEDSERV

    Der Name des Rational DOORS-Datenbankservers.

    -secure ON

    Der Name des Rational DOORS-Datenbankservers.

    -serverSecurity BrokerHost BROKER_HOST

    Der Servername oder die IP-Adresse des Servers, der als Host für den Broker dient.

    -serverSecurity BrokerPort 61616 (Standardwert)

    Die Portnummer für die Verbindung zum Broker.

    -serverSecurity Enable  

    Aktiviert die Serversicherheit.

    Sie können auch optionale Protokollierungsparameter hinzufügen:
    Schalter Parameter Beschreibung
    -L 6

    Die Protokollebene.

    -l /var/log/doorsd.log

    Pfad und Dateiname der Protokolldatei.

    Anmerkung: Stellen Sie sicher, dass der Dienst für den Rational DOORS-Datenbankserver gestoppt und inaktiviert ist.

    Wenn Sie den Rational DOORS-Datenbankserver über die Windows-Dienste ausführen:

    Nachdem der Rational DOORS-Datenbankserver installiert wurde, wird er als Windows-Dienst registriert. Standardmäßig sind die Optionen für den sicheren Modus und die Serversicherheit inaktiviert. Gehen Sie wie folgt vor, um diese Optionen zu aktivieren:

    1. Stoppen Sie den Dienst für den Rational DOORS-Datenbankserver.
    2. Öffnen Sie das Dialogfenster 'Eigenschaften' für den Dienst für den Rational DOORS-Datenbankserver.
    3. Geben Sie die korrekten Parameter im Feld 'Startparameter' ein. Beispiel:

      -s "C:\example\data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable

      Informationen zu den Parametern sind in der Tabelle oben enthalten.

    4. Starten Sie den Dienst.
      Anmerkung: Verwenden Sie die Schaltfläche Starten im Dialogfenster Eigenschaften. Die Parameter werden gelöscht, wenn das Dialogfenster geschlossen wird.
  3. Starten Sie Rational DOORS Interoperation Server. Dieser Server ist dasselbe Binärprogramm wie der Rational DOORS-Client.

    Beispiel:

    doors.exe -interop -data 36700@IBMEDSERV –brokerHost MYBROKER –brokerPort BROKERPORT

    Dabei gilt Folgendes:
    Schalter Parameter Beschreibung
    -interop  

    Der Befehl zum Starten den Clients als Interoperation Server.

    -data 36700@IBMEDSERV

    Die Portnummer und der Name des Rational DOORS-Datenbankservers.

    -brokerHost MYBROKER

    Der Name des Servers, der als Host für den Broker dient.

    -brokerPort BROKERPORT

    Die Portnummer des Brokers.

    Sie können auch optionale Protokollierungsparameter hinzufügen:
    Schalter Parameter Beschreibung
    -logLevel 8

    Die Protokollebene.

    -l "C:\Interop.log"

    Pfad und Dateiname der Protokolldatei.

    Anmerkung: Wenn der Rational DOORS-Datenbankserver als Windows-Dienst läuft, müssen Sie nach dem Neustart von Windows den Broker und die Interoperation Server erneut starten. Außerdem kann der Versuch, den Dienst für den Rational DOORS-Datenbankserver bei nicht laufendem Broker zu stoppen, dazu führen, dass für das Windows-Zeitlimit überschritten wird und das Stoppen des Diensts fehlschlägt.

Sonstige Informationen zum Starten des Servers

Die Schritte unter UNIX-Server starten und Windows-Server starten sind für die Serverauthentifizierungsmethode Benutzername und Kennwort vorgesehen. Dies ist die standardmäßige Authentifizierungsmethode. Wenn Sie eine andere Methode verwenden müssen, müssen Sie Interoperation Server und die Rational DOORS-Clients mit einem gültigen Zertifikat starten. Dieser Schritt erfolgt über das Argument '-certName NAME'.

Die Schalter -serverhostname und -secure sind für die Aktivierung der sicheren Verbindung vorgesehen. Darauf wird im Abschnitt Vorbereitende Schritte verwiesen.

Die Schalter zum Aktivieren der Serversicherheit sind Serveroptionen. Wenn die Serversicherheit mit einem Befehlszeilenargument aktiviert wird, wird dessen Wert für die späteren Ausführungen (bei denen kein Schalter für die Serversicherheit angegeben wird) gespeichert.

Standardmäßig ist die Serversicherheit inaktiviert. Sobald Sie sie aktivieren, bleibt sie bestehen (siehe die vorangehende Anmerkung).

Verwenden Sie zum Inaktivieren der Serversicherheit den Schalter -serverSecurityDisable.

Client starten

Nachdem Sie den Rational DOORS-Datenbankserver gestartet haben, stellen Sie eine Verbindung zwischen den Rational DOORS-Clients und dem Rational DOORS-Datenbankserver her und führen Sie diese Programme wie üblich aus.

Wenn Rational DOORS für die Verwendung von Rational Directory Server konfiguriert ist, müssen die bestehenden Benutzer unterzeichnet werden. Starten Sie dazu einen Rational DOORS-Client, melden Sie sich als Administrator an und führen Sie dann die DXL-Berechtigung signTdsUsers() aus. Sie müssen die DXL-Berechtigung bei der Änderung des Rational DOORS-Datenbankservers ausführen.

Kennwort für 'dbadmin' einrichten

Nach dem Starten des Rational DOORS-Clients müssen Sie ein Kennwort für 'dbadmin' einrichten. Setzen Sie es mit dem Schalter '-p'. Wenn Sie dann 'dbadmin' ausführen, müssen Sie das Kennwort mit dem Schalter '-P' und dem Schalter '-l' eingeben.

Setzen Sie das Kennwort beispielsweise mit einem Befehl in folgendem Format:

dbadmin.exe -d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb" -p NewPassword

Geben Sie nach dem Zuordnen des Kennworts für 'dbadmin' jede Anforderung mit einem Befehl in folgendem Format an:

dbadmin.exe -d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb" -P NewPassword -l

Zugriff auf Module einrichten

Sie müssen sicherstellen, dass vertrauliche Daten geschützt werden, indem Sie die korrekten Zugriffsberechtigungen für Module einrichten.

Wenn die Serversicherheit aktiviert ist, setzen Clients die üblichen Zugriffsberechtigungen für Informationen in der Datenbank durch. Der Zugriff eines Benutzer auf die Datenbank ist unabhängig davon identisch, ob das System mit Serversicherheit oder mit dem klassischen Sicherheitsmodell von Rational DOORS arbeitet.

Wenn der Client jedoch beeinträchtigt wird, z. B. wenn ein Benutzer unbefugten Zugriff auf die Datenbank erhält, hat er, wenn er Lesezugriff auf ein Modul hat, gleichzeitig auch uneingeschränkten Zugriff auf den Inhalt des Moduls.

Als Schutz gegen diese Möglichkeit müssen Sie sicherstellen, dass Module mit vertraulichen Daten geschützt werden. Lassen Sie nur dann Zugriff auf das betreffende Modul zu, wenn ein Benutzer diesen benötigt. Wenn ein Benutzer keinen Zugriff auf ein Modul benötigt, erteilen Sie ihm nicht Lesezugriff. Setzen Sie den Zugriff auf Keine. Auf diese Weise kann ein Benutzer nicht auf das Modul zugreifen, auch wenn er unbefugten Zugriff auf die Datenbank erhält.

Authentifizierungsmethode ändern

Sie können die Authentifizierungsmethode für die Serversicherheit über 'dbadmin' ändern. Wenn Sie die Methode ändern, müssen sie den Rational DOORS-Datenbankserver nicht erneut starten.

Geben Sie beispielsweise zum Festlegen der Methode auf Benutzerschlüssel Folgendes ein:

dbadmin.exe -d 36700@IBMEDSERV -keyDB C:\path\to\certificate\db\client_authentication.kdb -certName DBM1 -P samplePassword -sssAuthenticationMode UserKeys

Folgende Optionen sind für den Schalter '-sssAuthenticationMode' gültig:

UserKeys
UsernamePassword
UsernamePasswordAndUserKeys

Feedback