Compartir a través de

Administración de seguridad

  • Artículo

En esta sección se describen tareas habituales para administrar la seguridad para un clúster de caché. Para obtener información adicional acerca de la seguridad del clúster de caché, vea Modelo de seguridad.

Opciones de seguridad del clúster de caché

De manera predeterminada, los datos enviados entre clientes de caché y el clúster de caché se cifran y firman. Para modificar la configuración de seguridad del clúster de caché, use el comando Set-CacheClusterSecurity de Windows PowerShell. En la siguiente tabla se describen los dos parámetros de Set-CacheClusterSecurity: SecurityMode y ProtectionLevel.

Parámetro Values Descripción

SecurityMode

None, Transport

El valor Transport habilita la seguridad, mientras que el valor None la deshabilita.

ProtectionLevel

None, Sign, EncryptAndSign

Especifica el tipo de seguridad aplicado a los datos del clúster de caché.

El siguiente comando demuestra el modo de desactivar la seguridad en el clúster de caché. Es necesario detener el clúster de caché para cambiar correctamente la configuración de seguridad.

Set-CacheClusterSecurity -SecurityMode None -ProtectionLevel None

Las aplicaciones que usan el clúster de caché también pueden configurar sus requisitos de seguridad del cliente de caché. Antes de cambiar la configuración de seguridad predeterminada, asegúrese de que los requisitos de seguridad de las aplicaciones cliente son compatibles con la nueva configuración de seguridad del clúster de caché. Para obtener más información, vea Modelo de seguridad.

Conceder y revocar cuentas de Windows

Si el modo de seguridad se establece en Transport, cualquier cliente del clúster de caché debe agregarse específicamente a la lista de cuentas de cliente permitidas. El comando Grant-CacheAllowedClientAccount de Windows PowerShell concede a las cuentas de Windows el acceso al clúster de caché. El ejemplo siguiente agrega una cuenta del dominio, DOMAINNAME\username a la lista de cuentas permitidas.

Grant-CacheAllowedClientAccount -Account "DOMAINNAME\username"

Tenga en cuenta que, si la aplicación cliente se ejecuta como una cuenta integrada del equipo, por ejemplo "NT Authority\Servicio de red", puede conceder acceso al equipo al clúster de caché. Para ello, use la cuenta del equipo, que es el nombre del dominio y el nombre del equipo terminado en el signo dólar. En el siguiente ejemplo se concede acceso al clúster de caché a un equipo denominado Server1 en un dominio denominado DOMAIN1.

Grant-CacheAllowedClientAccount -Account "DOMAIN1\Server1$"

Para aplicaciones web de ASP.NET que usan Almacenamiento en caché de AppFabric, debe conceder acceso a la identidad que usa el grupo de aplicaciones. En numerosos casos, se trata de una cuenta integrada del equipo y se puede conceder acceso a la cuenta del equipo como se muestra en el ejemplo anterior. No obstante, si tiene un equipo de prueba que es tanto el servidor web como el clúster de caché, debe conceder acceso directamente a la cuenta integrada del equipo. En el siguiente ejemplo se concede acceso al clúster de caché a la cuenta "NT Authority\Network Service" directamente.

Grant-CacheAllowedClientAccount -Account "NT Authority\Network Service"

Para mostrar las cuentas que se han permitido, use el comando Get-CacheAllowedClientAccounts.

Get-CacheAllowedClientAccounts

Para revocar el acceso del clúster de caché a una cuenta, use el comando Revoke-CacheAllowedClientAccount.

Revoke-CacheAllowedClientAccount -Account "DOMAINNAME\username"

Vea también

Conceptos

Tareas habituales de administración de clústeres de caché (Almacenamiento en caché de Windows Server AppFabric)

  2012-03-05