Modelo de seguridad (Almacenamiento en caché de Windows Server AppFabric)
Las características de almacenamiento en caché de Windows Server AppFabric proporcionan varias opciones para administrar la seguridad. De forma predeterminada, la comunicación entre los clientes de caché y el clúster de caché usa el cifrado y la firma. Además, debe agregarse explícitamente un cuenta de Windows a la lista de cuentas permitidas, para que el usuario asociado pueda acceder al clúster de caché.
Configuración de seguridad del clúster de caché
En el clúster de caché, se pueden definir dos modos de protección diferentes: None y Transport. Si se establece None, los datos enviados al clúster de caché y a los clientes de caché no se cifran ni firman. Esto puede exponer los datos a ataques maliciosos en la red que registren o modifiquen los datos. Además, todos los clientes de caché pueden comunicarse con el clúster de caché, aunque no se les haya concedido el acceso explícitamente. Si el modo de protección se establece en la opción predeterminada Transport, únicamente las cuentas de Windows con permiso pueden acceder al clúster de caché.
Existen tres niveles de protección de los datos enviados entre un clúster de caché y los clientes de caché: None, Sign y EncryptAndSign. La opción None no proporciona ninguna seguridad adicional. La opción Sign protege los datos de la red frente a posibles alteraciones. La opción EncryptAndSign cifra los datos antes de firmarlos. Sign y EncryptAndSign solo se pueden especificar si el modo de seguridad está establecido en Transport.
Para modificar el modo de seguridad o el nivel de protección del clúster de caché, use el comando Set-CacheClusterSecurity de Windows PowerShell.
Nota
Si la seguridad está habilitada, el Servicio de almacenamiento en caché de AppFabric debe ejecutarse bajo una identidad apropiada. Para entornos de dominio, esta debe ser la cuenta integrada "NT Authority\Network Service". Para entornos de grupo de trabajo, debe ser una cuenta del equipo local. Sin embargo, hay una excepción para la configuración de la cuenta de servicio de un entorno de dominio. Si se deshabilita la seguridad mediante el establecimiento del modo de seguridad en None, se puede ejecutar el Servicio de almacenamiento en caché de AppFabric como una cuenta de dominio específica diferente a la del servicio de red.
Configuración de seguridad del cliente de caché
Al igual que sucede con la configuración de seguridad del clúster de caché, el cliente de caché puede configurar los valores de seguridad en el archivo de configuración de la aplicación, mediante el elemento securityProperties. O bien, el cliente puede configurar la seguridad mediante programación, con el uso de la clase DataCacheSecurity junto con la propiedad SecurityProperties de la clase DataCacheFactoryConfiguration. Para obtener más información, vea Valores de configuración de la aplicación (Almacenamiento en caché de Windows Server AppFabric).
Es importante que el cliente de caché y el clúster de caché usen una configuración de seguridad que permita la conexión. En la tabla siguiente, las columnas representan la configuración de seguridad del servidor y las filas, la configuración de seguridad del cliente. Cada combinación se indica como "Correcto" o "Incorrecto" según si la conexión está permitida.
| Configuración de cliente | Modo=Ninguno, ProtectionLevel=Cualquiera | Modo=Transporte, ProtectionLevel=Ninguno | Modo=Transporte, ProtectionLevel=Firma | Modo=Transporte, ProtectionLevel=EncryptAndSign |
|---|---|---|---|---|
Ninguno, cualquiera |
Correcto |
Incorrecto |
Incorrecto |
Incorrecto |
Transporte, Ninguno |
Incorrecto |
Correcto |
Incorrecto |
Incorrecto |
Transporte, Firma |
Incorrecto |
Correcto |
Correcto |
Incorrecto |
Transporte, EncryptAndSign |
Incorrecto |
Correcto |
Correcto |
Correcto |
Cuentas de cliente permitidas
Si el modo de seguridad se establece en Transport, cualquier cliente de caché que intente conectarse con el clúster de caché debe tener permiso explícito. Para ello, use el comando Grant-CacheAllowedClientAccount en Windows PowerShell. Para obtener más información, vea Uso de Windows PowerShell para administrar características de almacenamiento en caché de Windows Server AppFabric.
Asistente para configuración de seguridad
AppFabric admite el uso del Asistente para configuración de seguridad (SCW) en Windows Server 2008. Puede registrar un archivo plantilla proporcionado con SCW, que especificará la configuración mínima que el almacenamiento en caché de AppFabric requiere para ejecutarse. Aunque el archivo de plantilla WindowsServerAppFabric.xml se instala con AppFabric, debe registrarlo manualmente con SCW antes de usar la herramienta. Los siguientes pasos describen este proceso.
Busque el archivo WindowsServerAppFabric.xml en el directorio .\Windows\System32\AppFabric.
Abra el archivo WindowsServerAppFabric.xml. Compruebe que la información sobre la versión de sistema operativo del elemento
SCWKBRegistrationInfocoincide con la del equipo actual. De lo contrario, modifique el atributo según la tabla siguiente y guarde los cambios.Sistema operativo OSMajorVersion OSMinorVersion ServicePackMajorVersion ServicePackMinorVersion Windows Server 2008
6
0
0
0
Windows Server 2008 SP1
6
0
1
0
Windows Server 2008 SP2
6
0
2
0
Windows Server 2008 R2
6
1
0
0
Abra un símbolo del sistema de administración.
Ejecute el comando siguiente:
scwcmd register /kbname:appfabric /kbfile:%windir%\System32\AppFabric\WindowsServerAppFabric.xml
Cuando use la herramienta administrativa del Asistente para configuración de seguridad, debe ver un rol instalado denominado "Servicio de almacenamiento en caché de Windows Server AppFabric".
Vea también
Conceptos
Uso de Windows PowerShell para administrar características de almacenamiento en caché de Windows Server AppFabric
Conceptos de almacenamiento en caché de Windows Server AppFabric
2011-12-05