Бөлісу құралы:

Управление безопасностью

  • Мақала

В этом разделе описываются стандартные задачи по управлению безопасностью кластера кэша. Дополнительные сведения о безопасности кластера см. в разделе Модель безопасности.

Параметры безопасности для кластера кэша

Данные, передаваемые между кластером кэша и клиентами кэша, по умолчанию шифруются и подписываются. Для изменения параметров безопасности кластера кэша используется команда Set-CacheClusterSecurity в Windows PowerShell. В следующей таблице описаны параметры команды Set-CacheClusterSecurity: SecurityMode и ProtectionLevel.

Параметр Значения Описание

SecurityMode

None, Transport

Значение Transport включает безопасность, а значение None отключает безопасность.

ProtectionLevel

None, Sign, EncryptAndSign

Указывает тип безопасности, применяемый к данным кластера.

В следующей команде демонстрируется отключение безопасности кластера. Для успешного изменения параметров безопасности следует остановить кластер.

Set-CacheClusterSecurity -SecurityMode None -ProtectionLevel None

Приложения, использующие кластер, также могут настраивать собственные требования к безопасности клиентов. Перед изменением параметров безопасности по умолчанию убедитесь в том, что требования к безопасности клиентских приложений совместимы с новыми параметрами безопасности кластера. Дополнительные сведения см. в разделе Модель безопасности.

Предоставление и отзыв учетных записей Windows

При включении режима безопасности Transport все клиенты кластера кэша должны быть явным образом добавлены в список разрешенных клиентских учетных записей. Команда Grant-CacheAllowedClientAccount в Windows PowerShell предоставляет учетным записям Windows доступ к кластеру кэша. В следующем примере учетная запись домена DOMAINNAME\username добавляется в список разрешенных учетных записей.

Grant-CacheAllowedClientAccount -Account "DOMAINNAME\username"

Если клиентское приложение запускается как встроенная учетная запись компьютера (например, NT Authority\Network Service), то следует предоставить доступ к кластеру кэша для этого компьютера. Для этого используйте учетную запись компьютера (имя домена и имя компьютера со знаком доллара). В следующем примере доступ к кластеру предоставляется компьютеру с именем Server1 в домене DOMAIN1.

Grant-CacheAllowedClientAccount -Account "DOMAIN1\Server1$"

Для веб-приложений ASP.NET, использующих кэширование Кэш AppFabric, следует предоставить доступ удостоверению, используемому пулом приложений. Во многих случаях это встроенная учетная запись компьютера, и доступ можно предоставить нескольким компьютера с помощью указанной выше процедуры. Если тестовый компьютер является веб-сервером и кластером кэша одновременно, то доступ необходимо предоставить напрямую встроенной учетной записи компьютера. В следующем примере доступ к кластеру кэша предоставляется напрямую учетной записи NT Authority\Network Service.

Grant-CacheAllowedClientAccount -Account "NT Authority\Network Service"

Чтобы открыть список разрешенных учетных записей, используйте команду Get-CacheAllowedClientAccounts.

Get-CacheAllowedClientAccounts

Чтобы отозвать доступ к кластеру для одной из учетных записей, используйте команду Revoke-CacheAllowedClientAccount.

Revoke-CacheAllowedClientAccount -Account "DOMAINNAME\username"

См. также

Основные понятия

Часто выполняемые действия по управлению кластером кэша (кэширование Windows Server AppFabric)

  2012-03-05