Управление безопасностью (кэширование Windows Server AppFabric)
В этом разделе описываются стандартные задачи по управлению безопасностью кластера кэша. Дополнительные сведения о безопасности кластера см. в разделе Модель безопасности.
Параметры безопасности для кластера кэша
Данные, передаваемые между кластером кэша и клиентами кэша, по умолчанию шифруются и подписываются. Для изменения параметров безопасности кластера кэша используется команда Set-CacheClusterSecurity в Windows PowerShell. В следующей таблице описаны параметры команды Set-CacheClusterSecurity: SecurityMode и ProtectionLevel.
| Параметр | Значения | Описание |
|---|---|---|
SecurityMode |
|
Значение |
ProtectionLevel |
|
Указывает тип безопасности, применяемый к данным кластера. |
В следующей команде демонстрируется отключение безопасности кластера. Для успешного изменения параметров безопасности следует остановить кластер.
Set-CacheClusterSecurity -SecurityMode None -ProtectionLevel None
Приложения, использующие кластер, также могут настраивать собственные требования к безопасности клиентов. Перед изменением параметров безопасности по умолчанию убедитесь в том, что требования к безопасности клиентских приложений совместимы с новыми параметрами безопасности кластера. Дополнительные сведения см. в разделе Модель безопасности.
Предоставление и отзыв учетных записей Windows
При включении режима безопасности Transport все клиенты кластера кэша должны быть явным образом добавлены в список разрешенных клиентских учетных записей. Команда Grant-CacheAllowedClientAccount в Windows PowerShell предоставляет учетным записям Windows доступ к кластеру кэша. В следующем примере учетная запись домена DOMAINNAME\username добавляется в список разрешенных учетных записей.
Grant-CacheAllowedClientAccount -Account "DOMAINNAME\username"
Если клиентское приложение запускается как встроенная учетная запись компьютера (например, NT Authority\Network Service), то следует предоставить доступ к кластеру кэша для этого компьютера. Для этого используйте учетную запись компьютера (имя домена и имя компьютера со знаком доллара). В следующем примере доступ к кластеру предоставляется компьютеру с именем Server1 в домене DOMAIN1.
Grant-CacheAllowedClientAccount -Account "DOMAIN1\Server1$"
Для веб-приложений ASP.NET, использующих кэширование AppFabric, следует предоставить доступ удостоверению, используемому пулом приложений. Во многих случаях это встроенная учетная запись компьютера, и доступ можно предоставить нескольким компьютера с помощью указанной выше процедуры. Если тестовый компьютер является веб-сервером и кластером кэша одновременно, то доступ необходимо предоставить напрямую встроенной учетной записи компьютера. В следующем примере доступ к кластеру кэша предоставляется напрямую учетной записи NT Authority\Network Service.
Grant-CacheAllowedClientAccount -Account "NT Authority\Network Service"
Чтобы открыть список разрешенных учетных записей, используйте команду Get-CacheAllowedClientAccounts.
Get-CacheAllowedClientAccounts
Чтобы отозвать доступ к кластеру для одной из учетных записей, используйте команду Revoke-CacheAllowedClientAccount.
Revoke-CacheAllowedClientAccount -Account "DOMAINNAME\username"
См. также
Основные понятия
Часто выполняемые действия по управлению кластером кэша (кэширование Windows Server AppFabric)
2011-12-05