Modello di protezione (Memorizzazione nella cache di Windows Server AppFabric)
Le funzionalità di memorizzazione nella cache di Windows Server AppFabric forniscono diverse opzioni per la gestione della protezione. Per impostazione predefinita, nella comunicazione tra i client cache e il cluster di cache vengono utilizzate sia la crittografia che la firma. È necessario, inoltre, aggiungere esplicitamente un account Windows all'elenco di account consentiti prima che l'utente associato possa accedere al cluster di cache.
Impostazione della protezione del cluster di cache
Esistono due modalità di protezione che è possibile impostare nel cluster di cache: None e Transport. Se impostata su None, i dati inviati tra il cluster di cache e i client cache non vengono crittografati o firmati. Ciò espone potenzialmente i dati ad attacchi di rete nocivi in cui i dati vengono registrati o modificati. I client cache, inoltre, possono comunicare con il cluster di cache anche se non è stato loro concesso esplicitamente l'accesso. Quando la modalità di protezione è impostata sull'impostazione Transport predefinita, solo gli account Windows consentiti possono accedere al cluster di cache.
Esistono tre livelli di protezione per i dati inviati tra un cluster di cache e i client cache: None, Sign e EncryptAndSign. L'impostazione None non fornisce alcuna protezione supplementare. L'impostazione Sign impedisce la manomissione dei dati che viaggiano nella rete. L'impostazione EncryptAndSign crittografa i dati prima di firmarli. È possibile specificare Sign e EncryptAndSign solo quando la modalità di protezione è impostata su Transport.
Per modificare la modalità o il livello di protezione per il cluster di cache, utilizzare il comando Set-CacheClusterSecurity di Windows PowerShell.
Nota
Quando la protezione è abilitata, il Servizio di memorizzazione nella cache di AppFabric deve essere eseguito con un'identità appropriata. Per gli ambienti di dominio, tale identità deve essere l'account "NT Authority\Servizio di rete" incorporato. Per gli ambienti di gruppo di lavoro, deve essere un account del computer locale. Esiste, tuttavia, un'eccezione all'impostazione dell'account di servizio per un ambiente di dominio. Quando la protezione è disabilitata impostando la modalità di protezione su None, è possibile eseguire il Servizio di memorizzazione nella cache di AppFabric come account di dominio specifico diverso da Servizio di rete.
Impostazioni della protezione del client cache
Come per le impostazioni di protezione del cluster di cache, il client cache può configurare le impostazioni di protezione nel file di configurazione dell'applicazione utilizzando l'elemento securityProperties. In alternativa, il client può configurare tramite programmazione la protezione utilizzando la classe DataCacheSecurity insieme alla proprietà SecurityProperties della classe DataCacheFactoryConfiguration. Per ulteriori informazioni, vedere Impostazioni di configurazione dell'applicazione (Memorizzazione nella cache di Windows Server AppFabric).
È importante che il client cache e il cluster di cache utilizzino impostazioni di protezione che consentono una connessione. Nella tabella seguente, le colonne rappresentano l'impostazione di protezione del server e le righe rappresentano l'impostazione di protezione del client. Ogni combinazione viene elencata come "Pass" o "Fail", a seconda che la connessione sia consentita o meno.
| Impostazioni del client | Mode=None, ProtectionLevel=Any | Mode=Transport, ProtectionLevel=None | Mode=Transport, ProtectionLevel=Sign | Mode=Transport, ProtectionLevel=EncryptAndSign |
|---|---|---|---|---|
None, Any |
Pass |
Fail |
Fail |
Fail |
Transport, None |
Fail |
Pass |
Fail |
Fail |
Transport, Sign |
Fail |
Pass |
Pass |
Fail |
Transport, EncryptAndSign |
Fail |
Pass |
Pass |
Pass |
Account client consentiti
Quando la modalità di protezione è impostata su Transport, qualsiasi client cache che tenta il collegamento al cluster di cache deve essere esplicitamente consentito. A tale scopo, utilizzare il comando Grant-CacheAllowedClientAccount in Windows PowerShell. Per ulteriori informazioni, vedere Utilizzo di Windows PowerShell per la gestione delle funzionalità di Memorizzazione nella cache di Windows Server AppFabric.
Configurazione guidata impostazioni di sicurezza
AppFabric supporta l'utilizzo di Configurazione guidata impostazioni di sicurezza in Windows Server 2008. È possibile registrare un file modello fornito con Configurazione guidata impostazioni di sicurezza che specifichi le impostazioni minime richieste per l'esecuzione della memorizzazione nella cache di AppFabric. Sebbene il file modello WindowsServerAppFabric.xml sia installato con AppFabric, è necessario registrarlo manualmente con Configurazione guidata impostazioni di sicurezza prima di utilizzare lo strumento. La procedura seguente descrive questo processo.
Individuare il file WindowsServerAppFabric.xml nella directory .\Windows\System32\AppFabric.
Aprire il file WindowsServerAppFabric.xml. Accertarsi che le informazioni sulla versione del sistema operatico nell'elemento
SCWKBRegistrationInfocorrispondano a quelle del computer corrente. In caso contrario, modificare gli attributi in base alla tabella seguente e salvare le modifiche.Sistema operativo OSMajorVersion OSMinorVersion ServicePackMajorVersion ServicePackMinorVersion Windows Server 2008
6
0
0
0
Windows Server 2008 SP1
6
0
1
0
Windows Server 2008 SP2
6
0
2
0
Windows Server 2008 R2
6
1
0
0
Aprire un prompt dei comandi di amministrazione.
Digitare il comando seguente:
scwcmd register /kbname:appfabric /kbfile:%windir%\System32\AppFabric\WindowsServerAppFabric.xml
Quando si utilizza lo strumento di amministrazione Configurazione guidata impostazioni di protezione, verrà visualizzato un ruolo installato chiamato "Servizio di memorizzazione nella cache di Windows Server AppFabric".
Vedere anche
Concetti
Utilizzo di Windows PowerShell per la gestione delle funzionalità di Memorizzazione nella cache di Windows Server AppFabric
Concetti di memorizzazione nella cache di AppFabric
2011-12-05