Модель безопасности (кэширование в AppFabric 1.1)
Компоненты Кэш Microsoft AppFabric 1.1 для Windows Server предоставляют ряд возможностей для управления безопасностью. По умолчанию связь между клиентами кэша и кластером кэша осуществляется с использованием шифрования и подписывания. Кроме того, следует в явной форме добавить учетную запись Windows в список разрешенных учетных записей, чтобы связанный с ней пользователь получил доступ к кластеру кэша.
Параметры безопасности кластера кэша
Для кластера кэша можно задать два режима защиты: None
и Transport
. При использовании режима None
данные, передаваемые между кластером кэша и клиентами кэша, не шифруются и не подписываются. Это делает данные уязвимыми для сетевых атак злоумышленников, стремящихся перехватить или изменить данные. Кроме того, с кластером кэша могут взаимодействовать любые клиенты кэша, даже если им не был явно предоставлен доступ. Если используется режим защиты по умолчанию (Transport
), доступ к кластеру кэша имеют только явно указанные учетные записи Windows.
Для данных, передаваемых между кластером кэша и клиентами кэша, используются три уровня защиты: None
, Sign
и EncryptAndSign
. Режим None
не обеспечивает дополнительных средств безопасности. Режим Sign
защищает данные в сети от изменения злоумышленниками. Режим EncryptAndSign
позволяет шифровать данные перед подписыванием. Режимы Sign
и EncryptAndSign
можно использовать только в режиме безопасности Transport
.
Для изменения режима безопасности или уровня защиты кластера кэша используется команда Set-CacheClusterSecurity
в Windows PowerShell.
Примечание
При включении режима безопасности служба Кэш AppFabric должна работать с использованием подходящего удостоверения. В доменных средах это должна быть встроенная учетная запись "NT Authority\Network Service" или настраиваемая доменная учетная запись. В рабочих группах это должна быть учетная запись локального компьютера.
Параметры безопасности клиента кэша
Как и в случае с параметрами безопасности кластера кэша, клиента кэша допускает настройку параметров безопасности в файле конфигурации приложения с помощью элемента securityProperties
. Безопасность клиента также можно настроить программными средствами, используя класс DataCacheSecurity вместе со свойством SecurityProperties класса DataCacheFactoryConfiguration. Дополнительные сведения см. в разделе Параметры конфигурации приложения (кэширование в AppFabric 1.1).
Важно, чтобы параметры клиента кэша и кластера кэша допускали соединение. В приведенной ниже таблице столбцы представляют режим безопасности сервера, а строки — режим безопасности клиента. Все комбинации описываются как "Работает" или "Не работает" в зависимости от допустимости соединения.
Параметры клиента | Mode=None, ProtectionLevel=Any | Mode=Transport, ProtectionLevel=None | Mode=Transport, ProtectionLevel=Sign | Mode=Transport, ProtectionLevel=EncryptAndSign |
---|---|---|---|---|
None, Any |
Работает |
Не работает |
Не работает |
Не работает |
Transport, None |
Не работает |
Работает |
Не работает |
Не работает |
Transport, Sign |
Не работает |
Работает |
Работает |
Не работает |
Transport, EncryptAndSign |
Не работает |
Работает |
Работает |
Работает |
Допустимые клиентские учетные записи
При включении режима безопасности Transport
все подключения клиентов кэша к кластеру кэша должны быть явно разрешены. Это можно сделать с помощью команды Grant-CacheAllowedClientAccount
в Windows PowerShell. Дополнительные сведения см. в разделе Использование Windows PowerShell для управления компонентами кэширования в AppFabric 1.1.
Мастер настройки безопасности
AppFabric позволяет использовать мастер настройки безопасности (SCW) в системе Windows Server 2008. Можно зарегистрировать в SCW предоставляемый файл шаблона, задающий минимальные параметры, необходимые для запуска Кэш AppFabric. Хотя файл шаблона WindowsServerAppFabric.xml устанавливается вместе с AppFabric, следует вручную зарегистрировать его в SCW перед использованием этого средства. Данный процесс описан ниже.
Найдите файл WindowsServerAppFabric.xml в каталоге ".\Program Files\Windows Server AppFabric".
Откройте файл WindowsServerAppFabric.xml. Убедитесь, что сведения о версии операционной системы в элементе
SCWKBRegistrationInfo
соответствуют текущему компьютеру. Если это не так, поменяйте атрибуты в соответствии со следующей таблицей и сохраните изменения.Операционная система OSMajorVersion OSMinorVersion ServicePackMajorVersion ServicePackMinorVersion Windows Server 2008
6
0
0
0
Windows Server 2008 SP1
6
0
1
0
Windows Server 2008 SP2
6
0
2
0
Windows Server 2008 R2
6
1
0
0
Откройте окно командной строки с административными привилегиями.
Выполните следующую команду:
scwcmd register /kbname:appfabric /kbfile:"C:\Program Files\Windows Server AppFabric\WindowsServerAppFabric.xml"
Теперь при использовании мастера настройки безопасности должна отображаться роль "Служба Кэш Microsoft AppFabric 1.1 для Windows Server".
См. также
Основные понятия
Использование Windows PowerShell для управления компонентами кэширования в AppFabric 1.1
Основные принципы кэширования AppFabric (кэширование в AppFabric 1.1)
2012-03-05