Configuration d'une connexion sécurisée

Pour activer la sécurité du serveur, vous devez configurer le serveur de base de données Rational DOORS pour utiliser les connexions sécurisées.

Avant de commencer

Vérifiez que le serveur peut démarrer en mode sécurisé et accepter les connexions des clients. Voici une liste de contrôle permettant de vérifier la configuration du mode sécurisé (pour information uniquement) :

Démarrage des serveurs UNIX

Pourquoi et quand exécuter cette tâche

Pour démarrer les serveurs UNIX, procédez comme suit :

Procédure

  1. Exécutez configure-festival.sh qui définit les droits d'accès appropriés sur les fichiers dans la structure de répertoires et installe l'environnement JRE.
  2. Démarrez le courtier en exécutant broker.start.sh, qui se trouve dans le répertoire racine de l'installation Rational DOORS Web Access.
  3. Démarrez le serveur de base de données Rational DOORS, ce qui active la sécurité du serveur avec l'argument de ligne de commande -serverSecurityEnable. Vous devez également définir l'hôte et le port du courtier à l'aide des paramètres -serverSecurityBrokerHost BROKER_HOST et -serverSecurityBrokerPort PORT_NUMBER .

    Par exemple :

    doorsd -s $DOORSHOME/data -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable

    où :
    Commutateur Paramètre Description
    -s $DOORSHOME/data

    ($DOORSHOME est défini conformément aux instructions d'installation Rational DOORS standard).

    Chemin d'accès aux fichiers de données.

    -p 36700

    Numéro du port de connexion au serveur.

    -serverhostname IBMEDSERV

    Nom du serveur de base de données Rational DOORS.

    -secure ON

    Doit être défini sur On pour que la sécurité soit activée.

    -serverSecurity BrokerHost BROKER_HOST

    Nom du serveur ou adresse IP du serveur hébergeant le courtier.

    -serverSecurity BrokerPort 61616 (par défaut).

    Numéro du port de connexion au courtier.

    -serverSecurity Enable  

    Active la sécurité du serveur.

    Il existe des paramètres de journalisation par défaut pour le serveur :
    Commutateur Description
    -L

    Niveau de journalisation (par exemple, -L 6).

    -l

    Chemin et nom du fichier journal (par exemple, -l /var/log/doorsd.log).

    Remarque : Des paramètres manquants ou erronés peuvent être insérés à partir de variables d'environnement ou d'entrées de registre.
  4. Démarrez le serveur d'interopérabilité. Il se trouve dans le chemin $DOORSHOME/bin.

    Par exemple :

    doors9 -interop -data 36700@IBMEDSERV –brokerHost MYBROKER –brokerPort BROKERPORT

    où :
    Commutateur Paramètre Description
    -interop  

    Commande permettant de démarrer le client en tant que serveur d'interopérabilité.

    -data 36700@IBMEDSERV

    Numéro de port et nom du serveur de base de données Rational DOORS.

    -brokerHost MYBROKER

    Nom du serveur hébergeant le courtier.

    -brokerPort BROKERPORT

    Numéro de port du courtier.

    Il existe des paramètres de journalisation facultatifs pour le serveur d'interopérabilité :
    Commutateur Description
    -logLevel

    Niveau de journalisation (par exemple, -logLevel 6).

    -logfile

    Chemin et nom du fichier journal (par exemple, -logfile /var/log/interop.log).

Démarrage du serveur Windows

Pourquoi et quand exécuter cette tâche

Pour démarrer les serveurs Windows, procédez comme suit :

Procédure

  1. Démarrez le courtier en exécutant broker.start.bat, qui se trouve dans le répertoire racine de l'installation Rational DOORS Web Access.
  2. Redémarrez le serveur de base de données Rational DOORS, ce qui active la sécurité du serveur avec l'argument de ligne de commande -serverSecurityEnable. Vous devez également définir l'hôte et le port du courtier à l'aide des paramètres -serverSecurityBrokerHost HOST et -serverSecurityBrokerPort PORT.

    Si vous exécutez le serveur de base de données Rational DOORS en mode console, entrez une commande au format suivant :

    doorsd.exe -debug -s "C:\example\data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable

    où :
    Commutateur Paramètre Description
    -s "C:\example\data"

    Chemin d'accès aux fichiers de données.

    -p 36700

    Numéro du port de connexion au serveur.

    -serverhostname IBMEDSERV

    Nom du serveur de base de données Rational DOORS.

    -secure ON

    Nom du serveur de base de données Rational DOORS.

    -serverSecurity BrokerHost BROKER_HOST

    Nom du serveur ou adresse IP du serveur hébergeant le courtier.

    -serverSecurity BrokerPort 61616 (par défaut).

    Numéro du port de connexion au courtier.

    -serverSecurity Enable  

    Active la sécurité du serveur.

    Vous pouvez également ajouter des paramètres de journalisation facultatifs :
    Commutateur Paramètre Description
    -L 6

    Niveau de journalisation.

    -l /var/log/doorsd.l og

    Chemin d'accès et nom du fichier journal.

    Remarque : Veillez à arrêter et à désactiver le service du serveur de base de données Rational DOORS.

    Si vous exécutez le serveur de base de données Rational DOORS à partir des services Windows :

    Une fois le serveur installé, le serveur de base de données Rational DOORS est enregistré en tant que service Windows. Par défaut, le mode sécurisé et les options de sécurité du serveur sont désactivés. Pour les activer :

    1. Arrêtez le service du serveur de base de données Rational DOORS.
    2. Ouvrez la boîte de dialogue Propriétés du service de serveur de base de données Rational DOORS.
    3. Entrez les paramètres corrects dans la zone des paramètres de démarrage. Par exemple, entrez :

      -s "C:\example\data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable

      Pour des informations sur les paramètres, voir le tableau ci-dessus.

    4. Démarrez le service.
      Remarque : Utilisez le bouton Démarrer dans la boîte de dialogue Propriétés. Les paramètres sont annulés à la fermeture de la boîte de dialogue.
  3. Démarrez le serveur d'interopérabilité Rational DOORS. Il s'agit du même binaire que le client Rational DOORS.

    Par exemple :

    doors.exe -interop -data 36700@IBMEDSERV –brokerHost MYBROKER –brokerPort BROKERPORT

    où :
    Commutateur Paramètre Description
    -interop  

    Commande permettant de démarrer le client en tant que serveur d'interopérabilité.

    -data 36700@IBMEDSERV

    Numéro de port et nom du serveur de base de données Rational DOORS.

    -brokerHost MYBROKER

    Nom du serveur hébergeant le courtier.

    -brokerPort BROKERPORT

    Numéro de port du courtier.

    Vous pouvez également ajouter des paramètres de journalisation facultatifs :
    Commutateur Paramètre Description
    -logLevel 8

    Niveau de journalisation.

    -l "C:\Interop.log"

    Chemin d'accès et nom du fichier journal.

    Remarque : Si le serveur de base de données Rational DOORS s'exécute en tant que service Windows, après avoir redémarré Windows, redémarrez le courtier et le(s) serveur(s) d'interopérabilité. De plus, la tentative d'arrêt du service de serveur de base de données Rational DOORS lorsque le courtier n'est pas en cours d'exécution peut entraîner un dépassement de délai dans Windows et l'échec de l'arrêt du service.

Autres informations sur le démarrage du serveur

Les étapes dans “Démarrage du serveur UNIX” et “Démarrage du serveur Windows” concernent la méthode d'authentification du serveur Nom d'utilisateur et mot de passe. Il s'agit de la méthode d'authentification par défaut. Si vous devez utiliser une méthode différente, vous devez démarrer le serveur d'interopérabilité et les clients Rational DOORS avec un certificat valide. Pour cela, utilisez l'argument -certName NAME.

Les commutateurs -serverhostname et -secure sont destinés à activer la connexion sécurisée. Il s'agit d'une référence à la section "Avant de commencer".

Les commutateurs d'activation de la sécurité du serveur sont des options de serveur. Une fois la sécurité du serveur activée avec un argument de ligne de commande, le serveur mémorise sa valeur lors des exécutions ultérieures (lorsqu'aucun commutateur pour la sécurité du serveur n'est fourni).

Par défaut, la sécurité du serveur est désactivée. Une fois activée, celle-ci persiste (voir la remarque précédente).

Pour désactiver la sécurité du serveur, utilisez le commutateur -serverSecurityDisable.

Démarrage du client

Après avoir démarré le serveur de base de données Rational DOORS, connectez les clients Rational DOORS au serveur de base de données Rational DOORS et procédez à l'exécution habituelle.

Si Rational DOORS est configuré pour utiliser Rational Directory Server, les utilisateurs existants doivent être signés. Pour cela, démarrez un client Rational DOORS, connectez-vous en tant qu'administrateur et exécutez le droit DXL signTdsUsers(). Vous devez exécuter DXL après chaque modification apportée au serveur de base de données Rational DOORS.

Configuration d'un mot de passe pour dbadmin

Après avoir démarré le client Rational DOORS, vous devez configurer un mot de passe pour dbadmin. Utilisez pour cela le commutateur -p et, lors de l'exécution de dbadmin, entrez le mot de passe avec les commutateurs -P et -l.

Par exemple, définissez le mot de passe à l'aide d'une commande au format suivant :

dbadmin.exe -d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb" -p NewPassword

Après avoir affecté le mot de passe dbadmin, spécifiez chaque demande à l'aide d'une commande au format suivant :

dbadmin.exe -d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb" -P NewPassword -l

Configuration de l'accès aux modules

Vous devez vous assurer que les données sensibles sont protégées en configurant des droits d'accès corrects aux modules.

Lorsque la sécurité du serveur est activée, les clients appliquent les droits d'accès habituels aux informations dans la base de données. L'accès d'un utilisateur à la base de données est le même, que le système utilise la sécurité du serveur ou le modèle de sécurité Rational DOORS classique.

Toutefois, si la sécurité du client est compromise, en cas d'accès non autorisé à la base de données par exemple, il suffit que l'utilisateur concerné dispose d'un accès en lecture à un module pour bénéficier d'un accès complet au contenu de celui-ci.

Pour vous prémunir de ce danger, vérifiez que les modules qui contiennent des données sensibles sont protégés. N'autorisez l'accès au module que si un utilisateur en a besoin. N'attribuez pas d'accès en lecture à un modèle à un utilisateur qui n'en a pas besoin. Définissez l'accès de cet utilisateur sur Aucun. Ainsi, un utilisateur qui accède sans autorisation à la base de données ne pourra pas accéder au module.

Modification de la méthode d'authentification

Vous pouvez modifier la méthode d'authentification de sécurité du serveur à l'aide de la commande dbadmin. Lorsque vous modifiez la méthode, il n'est pas nécessaire de redémarrer le serveur de base de données Rational DOORS.

Par exemple, pour définir la méthode sur clés d'utilisateur, entrez :

dbadmin.exe -d 36700@IBMEDSERV -keyDB C:\path\to\certificate\db\client_authentication.kdb -certName DBM1 -P samplePassword -sssAuthenticationMode UserKeys

Les options valides pour le commutateur -sssAuthenticationMode sont les suivantes :

UserKeys
UsernamePassword
UsernamePasswordAndUserKeys

Commentaires en retour