セキュリティ モデル (Windows Server AppFabric キャッシング)
Windows Server AppFabric キャッシング機能には、いくつかのセキュリティ管理オプションが提供されています。既定では、キャッシュ クライアントとキャッシュ クラスター間の通信に、暗号化と署名の両方が使用されます。また、関連付けられているユーザーがキャッシュ クラスターにアクセスできるようにするには、許可されたアカウントの一覧に Windows アカウントを明示的に追加する必要があります。
キャッシュ クラスターのセキュリティ設定
キャッシュ クラスターには 2 つの保護モードを設定できます。None および Transport です。None に設定すると、キャッシュ クラスターとキャッシュ クライアント間で送信されるデータは暗号化されず、署名もされません。したがって、データが悪意のあるネットワーク攻撃の対象となり、傍受または改ざんされる可能性があります。また、アクセスが明示的に許可されていなくても、すべてのキャッシュ クライアントがキャッシュ クラスターと通信できます。保護モードを既定の Transport に設定すると、許可された Windows アカウントだけがキャッシュ クラスターにアクセスできます。
キャッシュ クラスターとキャッシュ クライアント間で送信されるデータには、3 つの保護レベルを適用できます。None、Sign、および EncryptAndSign です。None 設定では、追加のセキュリティ保護は適用されません。Sign 設定では、ネットワーク上のデータが改ざんされないように保護されます。EncryptAndSign 設定では、データが暗号化されてから署名されます。Sign と EncryptAndSign は、セキュリティ モードが Transport に設定されているときだけ指定できます。
キャッシュ クラスターのセキュリティ モードまたは保護レベルを変更するには、Windows Power Shell コマンドの Set-CacheClusterSecurity を使用します。
ヒント
セキュリティを有効にする場合は、AppFabric キャッシング サービスを適切な ID の下で実行する必要があります。ドメイン環境では、"NT Authority\Network Service" 組み込みアカウントにするべきです。ワークグループ環境では、ローカル コンピューターのアカウントにするべきです。ただし、ドメイン環境のサービス アカウント設定には 1 つの例外があります。セキュリティ モードを None に設定してセキュリティを無効にした場合、AppFabric キャッシング サービスをネットワーク サービス以外の特定のドメイン アカウントとして実行できることです。
キャッシュ クライアントのセキュリティ設定
キャッシュ クラスターのセキュリティ設定と同様に、キャッシュ クライアントには securityProperties 要素を使用して、アプリケーション構成ファイルにセキュリティ設定を構成できます。または、DataCacheSecurity クラスと、DataCacheFactoryConfiguration クラスの SecurityProperties プロパティを併用して、プログラムによってクライアントにセキュリティを構成できます。詳細については、「アプリケーション構成設定 (Windows Server AppFabric キャッシング)」を参照してください。
キャッシュ クライアントとキャッシュ クラスターには、接続が有効であるセキュリティ設定を使用することが重要です。次の表では、列がサーバーのセキュリティ設定、行がクライアントのセキュリティ設定を示しています。各組み合わせについて、接続が許可されるかどうかに応じて "可" または "不可"を示します。
| クライアント設定 | モード = None、保護レベル = Any | モード = Transport、保護レベル = None | モード = Transport、保護レベル = Sign | モード = Transport、保護レベル = EncryptAndSign |
|---|---|---|---|---|
None、Any |
可 |
不可 |
不可 |
不可 |
Transport、None |
不可 |
可 |
不可 |
不可 |
Transport、Sign |
不可 |
可 |
可 |
不可 |
Transport、EncryptAndSign |
不可 |
可 |
可 |
可 |
許可されるクライアント アカウント
セキュリティ モードを Transport に設定した場合、キャッシュ クラスターに接続を試みるキャッシュ クライアントは、明示的に許可されている必要があります。これを行うには、Windows PowerShell で Grant-CacheAllowedClientAccount コマンドを使用します。詳細については、「Windows PowerShell を使用した Windows Server AppFabric キャッシュ機能の管理」を参照してください。
セキュリティの構成ウィザード
AppFabric は、Windows Server 2008 でのセキュリティの構成ウィザード (SCW) の使用をサポートしています。提供されるテンプレート ファイルは、AppFabric キャッシュの実行に必要な最低限の設定を指定する SCW を使用して登録できます。テンプレート ファイルの WindowsServerAppFabric.xml は AppFabric にインストールされていますが、ツールを使用するには SCW に手動で登録する必要があります。以下に、このプロセスの手順を示します。
.\Windows\System32\AppFabric ディレクトリで WindowsServerAppFabric.xml ファイルを見つけます。
WindowsServerAppFabric.xml ファイルを開きます。
SCWKBRegistrationInfo要素のオペレーティング システム バージョン情報が、現在のコンピューターと一致していることを確認します。一致していない場合は、次の表を参照して属性を変更し、変更を保存してください。オペレーティング システム OSMajorVersion OSMinorVersion ServicePackMajorVersion ServicePackMinorVersion Windows Server 2008
6
0
0
0
Windows Server 2008 SP1
6
0
1
0
Windows Server 2008 SP2
6
0
2
0
Windows Server 2008 R2
6
1
0
0
管理コマンド プロンプトを開きます。
次のコマンドを実行します。
scwcmd register /kbname:appfabric /kbfile:%windir%\System32\AppFabric\WindowsServerAppFabric.xml
セキュリティの構成ウィザード管理ツールを使用すると、"Windows Server AppFabric Caching Service" というインストール済みロールが表示されます。
関連項目
概念
Windows PowerShell を使用した Windows Server AppFabric キャッシュ機能の管理
Windows Server AppFabric のキャッシュの概念
2011-12-05