Настройка защищенного соединения

Для обеспечения защиты сервера необходимо настроить работу сервера баз данных Rational DOORS через защищенные соединения.

Прежде чем начать

Убедитесь, что сервер запускается в защищенном режиме и принимает соединения от клиентов. Ниже приведен контрольный список для проверки конфигурации защищенного режима (только для сведения).

Запуск серверов UNIX

Об этой задаче

Для запуска серверов UNIX выполните следующие действия:

Процедура

  1. Запустите сценарий configure-festival.sh, отвечающий за настройку прав доступа для файлов из структуры каталогов и установку JRE.
  2. Запустите посредника с помощью файла broker.start.sh, расположенного в корневом каталоге установки Rational DOORS Web Access.
  3. Запустите сервер баз данных Rational DOORS, включив защиту сервера при помощи аргумента командной строки -serverSecurityEnable. Необходимо также определить хост и порт посредника в параметрах -serverSecurityBrokerHost BROKER_HOST и -serverSecurityBrokerPort PORT_NUMBER. doorsd -s $DOORSHOME/data -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable
    ,где
    Оператор Аргумент Описание
    -s $DOORSHOME/data

    ($DOORSHOME задается в соответствии с инструкциями по установке стандартного Rational DOORS).

    Путь к файлам данных.

    -p 36700

    Номер порта для подключения к серверу.

    -serverhostname IBMEDSERV

    Имя сервера баз данных Rational DOORS.

    -secure ON

    При значении on защита включена.

    -serverSecurity BrokerHost BROKER_HOST

    Имя или IP-адрес сервера, на котором размещается посредник.

    -serverSecurity BrokerPort 61616(значение по умолчанию).

    Номер порта для подключения к посреднику.

    -serverSecurity Enable  

    Включает защиту сервера.

    Необязательные параметры ведения протоколов для сервера:
    Оператор Описание
    -L

    Уровень ведения протокола (например, -L 6).

    -l

    Каталог и имя файла протокола (например, -l /var/log/doorsd.log).

    Прим.: Все отсутствующие или набранные с ошибками параметры можно подставить из переменных среды или записей реестра (при их наличии).
  4. Запустите сервер взаимодействия. Команда запуска сервера взаимодействия находится в каталоге $DOORSHOME/bin. doors9 -interop -data 36700@IBMEDSERV –brokerHost MYBROKER –brokerPort BROKERPORT
    где
    Оператор Аргумент Описание
    -interop  

    Команда на запуск клиента как сервер взаимодействия.

    -data 36700@IBMEDSERV

    Номер порта и имя сервера баз данных Rational DOORS.

    -brokerHost MYBROKER

    Имя сервера, на котором размещается посредник.

    -brokerPort BROKERPORT

    Номер порта посредника.

    Необязательные параметры ведения протоколов для сервера взаимодействия:
    Оператор Описание
    -logLevel

    Уровень ведения протокола (например, -logLevel 6).

    -logfile

    Каталог и имя файла протокола (например, -logfile /var/log/interop.log).

Запуск сервера Windows

Об этой задаче

Для запуска серверов Windows выполните следующие действия:

Процедура

  1. Запустите посредника с помощью файла broker.start.bat, расположенного в корневом каталоге установки Rational DOORS Web Access.
  2. Перезапустите сервер баз данных Rational DOORS, включив защиту сервера при помощи аргумента командной строки -serverSecurityEnable. Необходимо также определить хост и порт посредника в параметрах -serverSecurityBrokerHost HOST и -serverSecurityBrokerPort PORT. Если сервер баз данных Rational DOORS работает в консольном режиме, команда должна иметь формат:

    doorsd.exe -debug -s "C:\example\data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable

    где
    Оператор Аргумент Описание
    -s "C:\example\data"

    Путь к файлам данных.

    -p 36700

    Номер порта для подключения к серверу.

    -serverhostname IBMEDSERV

    Имя сервера баз данных Rational DOORS.

    -secure ON

    Имя сервера баз данных Rational DOORS.

    -serverSecurity BrokerHost BROKER_HOST

    Имя или IP-адрес сервера, на котором размещается посредник.

    -serverSecurity BrokerPort 61616(значение по умолчанию).

    Номер порта для подключения к посреднику.

    -serverSecurity Enable  

    Включает защиту сервера.

    Можно также добавить необязательные параметры ведения протокола:
    Оператор Аргумент Описание
    -L 6

    Уровень протокола.

    -l /var/log/doorsd.l og

    Каталог и имя файла протокола.

    Прим.: Остановите и отключите службы сервера баз данных Rational DOORS.

    Если сервер баз данных Rational DOORS работает как служба Windows, то вы должны включить защищенный режим и параметры защиты сервера.

    После установки сервера сервер баз данных Rational DOORS регистрируется как служба Windows. По умолчанию защищенный режим и параметры защиты сервера отключены. Для того чтобы их включить, выполните следующие действия:

    1. Остановите службы сервера баз данных Rational DOORS.
    2. Откройте окно Свойства служб сервера баз данных Rational DOORS.
    3. Укажите правильные параметры в поле Параметры запуска. Например, введите:

      -s "C:\example\data" -p 36700 -serverhostname IBMEDSERV -secure ON -serverSecurityBrokerHost BROKER_HOST -serverSecurityBrokerPort 61616 -serverSecurityEnable

      Дополнительная информация о параметрах приведена в таблице на Шаге 2.

    4. Запустите службы.
      Прим.: Нажмите Пуск в окне Свойства. При закрытии окна параметры будут отклонены.
  3. Запустите сервер взаимодействия Rational DOORS. Это тот же двоичный файл, что и клиент Rational DOORS. doors.exe -interop -data 36700@IBMEDSERV –brokerHost MYBROKER –brokerPort BROKERPORT
    где
    Оператор Аргумент Описание
    -interop  

    Команда на запуск клиента как сервер взаимодействия.

    -data 36700@IBMEDSERV

    Номер порта и имя сервера баз данных Rational DOORS.

    -brokerHost MYBROKER

    Имя сервера, на котором размещается посредник.

    -brokerPort BROKERPORT

    Номер порта посредника.

    Можно также добавить необязательные параметры ведения протокола:
    Оператор Аргумент Описание
    -logLevel 8

    Уровень протокола.

    -l "C:\Interop.log"

    Каталог и имя файла протокола.

    Прим.: Если сервер баз данных Rational DOORS работает как служба Windows, то после перезапуска Windows необходимо перезапустить посредник и сервер взаимодействия. А при попытке остановить службы сервера баз данных Rational DOORS, когда посредник не работает, наступит тайм-аут Windows, и службы остановить не удастся.

Дополнительная информация о запуске сервера

Действия, описанные в разделах Запуск серверов UNIX и Запуск сервера Windows, предназначены для способа идентификации сервера по имени пользователя и паролю. Этот способ применяется по умолчанию. Если он не подходит, необходимо запустить сервер взаимодействия и клиентов Rational DOORS с действующим сертификатом. Для этого существует аргумент -certName NAME.

Операторы -serverhostname и -secure служат для включения защищенного соединения. Эти переключатели упоминаются в разделе Перед тем, как начать.

Операторы включения защиты сервера являются опциями сервера. После того как защита сервера включена посредством аргумента командной строки, его значение запоминается на сервере и используется в последующих запусках (при отсутствии отдельного выключателя защиты сервера).

По умолчанию защита сервера выключена. После включения защита работает постоянно (см. предыдущее замечание).

Отключить защиту сервера можно с помощью оператора -serverSecurityDisable.

Запуск клиента

После запуска сервера баз данных Rational DOORS подключите к нему клиентов Rational DOORS и работайте в обычном порядке.

Если сервер Rational DOORS настроен на работу с Rational Directory Server, то существующие пользователи должны быть зарегистрированы. Для того чтобы зарегистрировать существующих пользователей, запустите клиент Rational DOORS, войдите от имени администратора и запустите DXL perm signTdsUsers(). DXL необходимо запускать при каждом изменении сервера баз данных Rational DOORS.

Настройка пароля для dbadmin

После запуска клиента Rational DOORS необходимо задать пароль для dbadmin. Задайте его с помощью параметра -p. При запуске dbadmin вы должны ввести пароль с параметрами -P и -l.

Например, пароль можно задать с помощью команды в следующем формате:

dbadmin.exe -d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb" -p NewPassword

После назначения пароля для dbadmin определите каждый запрос с помощью команды в следующем формате:

dbadmin.exe -d 36700@IBMEDSERV -keyDB "C:\path\to\key\db.kdb" -P NewPassword -l

Настройка доступа к модулям

Для защиты конфиденциальных данных необходимо настроить правильные права доступа к модулям.

При включенной защите сервера клиенты применяют обычные права доступа к информации из базы данных. Права доступа пользователя для работы с базой данных не зависят от модели защиты сервера.

Однако, если пользователь получает несанкционированный доступ к базе данных и имеет права на чтение модуля, то у него будет полный доступ к содержимому модуля.

Для того чтобы исключить такую возможность, все модули, в которых содержится конфиденциальная информация, должны быть защищены. Доступ к модулю следует разрешить только тем пользователям, кому он необходим. Если пользователю не нужен доступ к модулю, не назначайте ему права на чтение. Задайте для него права доступа Нет. В этом случае даже при получении несанкционированного доступа к базе данных пользователь не будет иметь доступа к модулю.

Изменение способа идентификации

Способ идентификации для защиты сервера можно изменить с помощью dbadmin. При изменении способа нет необходимости перезапускать сервер баз данных Rational DOORS.

Например, чтобы задать метод с использованием ключей пользователя, введите:

dbadmin.exe -d 36700@IBMEDSERV -keyDB C:\path\to\certificate\db\client_authentication.kdb -certName DBM1 -P samplePassword -sssAuthenticationMode UserKeys

Допустимые параметры оператора -sssAuthenticationMode:

UserKeys
UsernamePassword
UsernamePasswordAndUserKeys

Комментарии