Выбор учетных данных безопасности сети

Прокси-сервер символов должен выполняться из контекста безопасности с соответствующими привилегиями для доступа к хранилищам символов, которые планируется использовать. Если вы получаете символы из внешнего веб-магазина, например https://msdl.microsoft.com/download/symbols, прокси-сервер символов должен получить доступ к Интернету за пределами каких-либо брандмауэров. Если вы получаете файлы из других компьютеров в сети, прокси-сервер символов должен иметь соответствующие привилегии для чтения файлов из этих мест. Два возможных варианта — задать прокси-сервер символов для проверки подлинности в качестве учетной записи сетевой службы или создать учетную запись пользователя, управляемую в доменных службах Active Directory вместе с другими учетными записями пользователей.

Примечание Рекомендуется ограничить привилегии этой учетной записи только тем, кто необходим для чтения файлов и копирования их в c:\symstore. Это ограничение препятствует клиентам, получающим доступ к вашему HTTP-хранилищу, нанесению вреда системе.

Примечание Убедитесь, что предлагаемые здесь параметры имеют смысл для вашей среды. Разные организации имеют разные потребности и требования к безопасности. Измените описанный здесь процесс, чтобы обеспечить поддержку требований к безопасности организации.

Аутентифицироваться в качестве сетевой службы

Учетная запись сетевой службы встроена в Windows, поэтому нет дополнительного шага создания новой учетной записи. В этом примере мы назовем компьютер, на котором настраивается прокси-сервер символов SymMachineName в домене с именем corp.

Внешние хранилища символов или прокси-серверы Интернета должны быть настроены для успешной проверки подлинности учетной записи сетевой службы (учетная запись компьютера). Это можно сделать двумя способами.

• Разрешить доступ группе аутентифицированных пользователей к внешнему хранилищу или интернет-прокси-серверу.

• Разрешить доступ к учетной записи компьютера corp\SymMachineName$. Этот параметр является более безопасным, так как он ограничивает доступ только к учетной записи прокси-сервера символов "Сетевая служба".

Аутентификация в качестве пользователя домена

В этом примере предполагается, что учетная запись пользователя называется SymProxyUser в домене, называемом corp.

Добавление учетной записи пользователя в группу IIS_USRS

1. В Административные инструменты откройте Управление компьютером.

2. Разверните локальных пользователей и групп.

3. Щелкните группы.

4. Дважды щелкните IIS_USRS в центральной области и выберите Свойства.

5. В разделе Участники щелкните Добавить.

6. Введите corp\SymProxyUser в области, помеченной Введите имя объекта, чтобы выбрать.

7. Чтобы выйти из диалогового окна Выбор пользователей, компьютеров или групп, нажмите кнопку ОК.

8. Чтобы выйти из свойств IIS_USRS, нажмите OK.

9. Закройте консоль управления компьютером.

Настройка IIS для использования учетной записи

1. В Административные инструменты откройте Диспетчер интернет-информационных служб (IIS).

2. Разверните веб-сайты .

3. Щелкните правой кнопкой мыши Default Web Site и выберите Свойства.

4. Перейдите на вкладку "Безопасность каталога ".

5. В разделе Проверка подлинности и управление доступом щелкните Изменить....

6. Убедитесь, что установлен флажок Включить анонимный доступ.

7. Введите учетные данные учетной записи с разрешениями на доступ к хранилищу удаленных серверов символов (corp\SymProxyUser), а затем нажмите кнопку ОК.

8. Повторно введите пароль при появлении запроса и нажмите ОК.

9. Чтобы выйти из свойств веб-сайта по умолчанию, нажмите ОК.

10. Возможно, вам будет показано диалоговое окно переопределения наследования . Если да, выберите виртуальные каталоги, к которым вы хотите применить это.

Проверка подлинности в качестве пользователя домена с помощью группы IIS_WPG

В этом примере учетная запись пользователя называется SymProxyUser в домене с именем corp. Чтобы выполнить проверку подлинности этой учетной записи пользователя, ее необходимо добавить в группу IIS_WPG.

Добавление учетной записи пользователя в группу IIS_WPG

1. В администрирование откройте управления компьютерами.

2. Разверните локальных пользователей и групп.

3. Щелкните группы.

4. Дважды щелкните IIS_WPG в правой панели.

5. Нажмите кнопку Добавить.

6. Введите corp\SymProxyUser в области, помеченной Введите имя объекта, чтобы выбрать.

7. Чтобы выйти из диалогового окна Выбор пользователей, компьютеров или групп, нажмите кнопку ОК.

8. Чтобы выйти из свойствIIS_WPG, нажмите кнопку ОК.

9. Закройте консоль управления компьютером.