セキュア接続の構成

サーバー・セキュリティーを有効にするには、セキュア接続を使用するように Rational® DOORS® データベース・サーバーを構成する必要があります。

始める前に

サーバーが、セキュア・モードで始動し、クライアントからの接続を受け入れることを確認してください。 セキュア・モード構成を確認するためのチェックリスト (この情報の目的はガイドのみ):

UNIX サーバーの始動

このタスクについて

UNIX サーバーを始動するには、次のようにします。

手順

  1. configure-festival.sh を実行します。これは、ディレクトリー階層内のファイルに対する 適切な許可を設定し、JRE をインストールします。
  2. broker.start.sh を実行してブローカーを始動します。これは、Rational DOORS Web Access インストール済み環境のルート・ディレクトリーにあります。
  3. サーバー・セキュリティーを -serverSecurityEnable コマンド行引数で有効にした状態で、Rational DOORS データベース・サーバーを始動します。 また、-serverSecurityBrokerHost BROKER_HOST および -serverSecurityBrokerPort PORT_NUMBER パラメーターで、ブローカー・ホストおよびポートを定義する必要があります。 doorsd -s $DOORSHOME/data -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable
    説明:
    スイッチ パラメーター 説明
    -s $DOORSHOME/data

    ($DOORSHOME は、標準 Rational DOORS インストール指示に従って設定されています。)

    データ・ファイルのパス。

    -p 36700

    サーバーに接続するポート番号。

    -serverhostname IBMEDSERV

    Rational DOORS データベース・サーバーの名前。

    -secure ON

    セキュリティーを有効にするためには、オンに設定する必要があります。

    -serverSecurity BrokerHost BROKER_HOST

    ブローカーをホストしているサーバーの名前または IP アドレス。

    -serverSecurity BrokerPort 61616 (デフォルト)

    ブローカーに接続するポート番号。

    -serverSecurity Enable  

    サーバー・セキュリティーを有効にします。

    サーバー用に、オプションのロギング・パラメーターがあります。
    スイッチ 説明
    -L

    ログ・レベル (例えば -L 6)

    -l

    ログ・ファイルのパスおよびファイル名。(例えば -l /var/log/doorsd.log)

    注: 欠落している、またはつづりが誤ったパラメーターがある場合、環境変数から、あるいは該当するものがあればレジストリー項目によって埋められることがあります。
  4. 相互協調処理サーバーを始動します。 相互協調処理サーバー・コマンドは、$DOORSHOME/bin にあります。 doors9 -interop -data 36700@IBMEDSERV –brokerHost MYBROKER –brokerPort BROKERPORT
    説明:
    スイッチ パラメーター 説明
    -interop  

    クライアントを相互協調処理サーバーとして始動するためのコマンド。

    -data 36700@IBMEDSERV

    Rational DOORS データベース・サーバーのポート番号および名前。

    -brokerHost MYBROKER

    ブローカーをホストしているサーバーの名前。

    -brokerPort BROKERPORT

    ブローカーのポート番号。

    相互協調処理サーバー用に、オプションのロギング・パラメーターがあります。
    スイッチ 説明
    -logLevel

    ログ・レベル (例えば -logLevel 6)

    -logfile

    ログ・ファイルのパスおよびファイル名。(例えば -logfile /var/log/interop.log)

Windows サーバーの始動

このタスクについて

Windows サーバーを始動するには、次のようにします。

手順

  1. broker.start.bat を実行してブローカーを始動します。これは、Rational DOORS Web Access インストール済み環境のルート・ディレクトリーにあります。
  2. サーバー・セキュリティーを -serverSecurityEnable コマンド行引数で有効にした状態で、Rational DOORS データベース・サーバーを再始動します。 また、-serverSecurityBrokerHost HOST および -serverSecurityBrokerPort PORT パラメーターで、ブローカー・ホストおよびポートを定義する必要があります。 Rational DOORS データベース・サーバーがコンソール・モードで稼働している場合、コマンドを次のフォーマットで入力します。

    doorsd.exe -debug -s "C:¥example¥data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable

    説明:
    スイッチ パラメーター 説明
    -s "C:¥example¥data"

    データ・ファイルのパス。

    -p 36700

    サーバーに接続するポート番号。

    -serverhostname IBMEDSERV

    Rational DOORS データベース・サーバーの名前。

    -secure ON

    Rational DOORS データベース・サーバーの名前。

    -serverSecurity BrokerHost BROKER_HOST

    ブローカーをホストしているサーバーの名前または IP アドレス。

    -serverSecurity BrokerPort 61616 (デフォルト)

    ブローカーに接続するポート番号。

    -serverSecurity Enable  

    サーバー・セキュリティーを有効にします。

    また、オプションのロギング・パラメーターを追加することもできます。
    スイッチ パラメーター 説明
    -L 6

    ログ・レベル。

    -l /var/log/doorsd.log

    ログ・ファイルのパスおよびファイル名。

    注: Rational DOORS データベース・サーバー・サービスを停止し、無効にします。

    Rational DOORS データベース・サーバーが Windows サービスから稼働している場合、セキュア・モードおよびサーバー・セキュリティー・オプションを有効にする必要があります。

    サーバーがインストールされた後、Rational DOORS データベース・サーバーは Windows サービスとして登録されます。 デフォルトで、セキュア・モードおよびサーバー・セキュリティー・オプションは無効になっています。 これらのオプションを有効にするには、以下の手順に従ってください。

    1. Rational DOORS データベース・サーバー・サービスを停止します。
    2. Rational DOORS データベース・サーバー・サービスの「プロパティー」ダイアログ・ボックスを開きます。
    3. 正しいパラメーターを「開始パラメーター (Start parameters)」フィールドに入力します。 例えば、次のように入力してください。

      -s "C:¥example¥data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable

      パラメーターについては、2 の表を参照してください。

    4. サービスを開始します。
      注: 「プロパティー」ダイアログ・ボックスで「開始」を押してください。 このダイアログ・ボックスを閉じると、パラメーターは破棄されます。
  3. Rational DOORS 相互協調処理サーバーを始動します。 このサーバーは、Rational DOORS クライアントと同じバイナリーです。
    doors.exe -interop -data 36700@IBMEDSERV –brokerHost MYBROKER –brokerPort BROKERPORT
    説明:
    スイッチ パラメーター 説明
    -interop  

    クライアントを相互協調処理サーバーとして始動するためのコマンド。

    -data 36700@IBMEDSERV

    Rational DOORS データベース・サーバーのポート番号および名前。

    -brokerHost MYBROKER

    ブローカーをホストしているサーバーの名前。

    -brokerPort BROKERPORT

    ブローカーのポート番号。

    また、オプションのロギング・パラメーターを追加することもできます。
    スイッチ パラメーター 説明
    -logLevel 8

    ログ・レベル。

    -l "C:¥Interop.log"

    ログ・ファイルのパスおよびファイル名。

    注: Rational DOORS データベース・サーバーが Windows サービスとして稼働している場合、Windows を再始動した後、ブローカーと相互協調処理サーバーを再始動する必要があります。 また、ブローカーが稼働していないときに Rational DOORS データベース・サーバー・サービスの停止を試みると、Windows がタイムアウトになり、サービスを停止できない可能性があります。

サーバーの始動に関する他の情報

『UNIX サーバーの始動』および『Windows サーバーの始動』における手順は、「ユーザー名およびパスワード」サーバー認証方式が対象です。 この方式がデフォルト認証方式です。 異なる方式を使用しなければならない場合、相互協調処理サーバーおよび Rational DOORS クライアントを有効な証明書で始動する必要があります。 これを行うには、-certName NAME 引数を使用します。

-serverhostname および -secure は、セキュア接続を有効にするためのスイッチです。 これらのスイッチは、「始めに」で説明されています。

サーバー・セキュリティーを有効にするスイッチは、サーバー・オプションです。 サーバー・セキュリティーがコマンド行引数で有効になると、サーバーは、それ以降の実行のために (サーバー・セキュリティーのスイッチが指定されなかった場合に備えて) その値を記憶します。

デフォルトで、サーバー・セキュリティーは無効になっています。 有効にすると、それ以降も有効です。(前の注を参照)

サーバー・セキュリティーを無効にするには、-serverSecurityDisable スイッチを使用してください。

クライアントの始動

Rational DOORS データベース・サーバーを始動した後、Rational DOORS クライアントを Rational DOORS データベース・サーバーに接続し、通常どおり作業を行います。

Rational DOORS が Rational Directory Server を使用するように構成されている場合、既存のユーザーを登録する必要があります。 既存のユーザーを登録するには、Rational DOORS クライアントを始動し、管理者としてログインし、DXL perm signTdsUsers() を実行します。 Rational DOORS データベース・サーバーを変更するたびに、この DXL を実行する必要があります。

dbadmin のパスワードをセットアップ

Rational DOORS クライアントを始動した後、dbadmin のパスワードをセットアップする必要があります。 -p スイッチで設定してください。dbadmin を実行するとき、-P スイッチおよび -l スイッチでパスワードを入力する必要があります。

例えば、次のフォーマットのコマンドでパスワードを設定してください。

dbadmin.exe -d 36700@IBMEDSERV -keyDB "C:¥path¥to¥key¥db.kdb" -p NewPassword

dbadmin パスワードを割り当てた後、次のフォーマットのコマンドで、それぞれの要求を指定します。

dbadmin.exe -d 36700@IBMEDSERV -keyDB "C:¥path¥to¥key¥db.kdb" -P NewPassword -l

モジュールへのアクセスをセットアップ

モジュールへの正しいアクセス権限をセットアップして、機密データを確実に保護する必要があります。

サーバー・セキュリティーが有効になっていれば、クライアントは、データベース内の情報に対して通常のアクセス権限を適用します。 システムでサーバー・セキュリティーが使用されていても、クラシック Rational DOORS セキュリティー・モデルが使用されていても、データベースに対するユーザーのアクセス権限は同じです。

ただし、あるユーザーがデータベースに対して無許可アクセスを行って、あるモジュールへの読み取り権限を持つと、そのユーザーはモジュールの内容に対してフル・アクセス権を持つことになります。

このような可能性を防ぐためには、機密データが入っているモジュールを保護しなければなりません。 ユーザーが必要としている場合のみ、モジュールへのアクセスを許可してください。 ユーザーがモジュールへのアクセスを必要としていない場合は、そのアクセス権限を「読み取り」に設定しないでください。 アクセス権限は「なし」に設定してください。 これで、あるユーザーがデータベースに対して無許可アクセスを行ったとしても、そのユーザーはモジュールにアクセスできません。

認証方式の変更

サーバー・セキュリティー認証方式は、dbadmin で変更できます。 方式を変更しても、Rational DOORS データベース・サーバーを再始動する必要はありません。

例えば、方式を「ユーザー・キー」に設定するには、次のように入力します。

dbadmin.exe -d 36700@IBMEDSERV -keyDB C:¥path¥to¥certificate¥db¥client_authentication.kdb -certName DBM1 -P samplePassword -sssAuthenticationMode UserKeys

-sssAuthenticationMode スイッチに有効なオプション:

UserKeys
UsernamePassword
UsernamePasswordAndUserKeys

フィードバック