キャッシュサーバーノードのセキュリティを構成する
このページでは、システム内の認可と認証の設定に関する包括的なガイダンスを提供します。 NCache キャッシュサーバーノードのセキュリティフレームワーク。ユーザー検証のための LDAP ベースの認証を確立する手順を説明します。さらに、ユーザーに特定の役割と権限を割り当てる方法についても説明します。
重要
クラスター内のすべての参加ノードには、均一のセキュリティ設定が必要です。
キャッシュ ノードのセキュリティは、次の手順で構成できます。
安全なキャッシュ サーバー ノード NCache 管理センター
ステップ 1: ドメイン コントローラーを構成する
As NCache は LDAP 統合セキュリティをサポートしています。キャッシュ ノードを保護するには、LDAP ドメイン コントローラ設定を確立する必要があります。 これらの設定は次で構成できます。 NCache 次の手順に従ってください。
- 起動する NCache Management Center を参照して、 http://localhost:8251 or
<server-ip>:8251
WindowsおよびLinuxの場合。 - ソフトウェアの制限をクリック 開く NCache 管理センターの設定。
- これにより、 ドメインコントローラーの設定 このページでは、ドメイン コントローラー、ポート、検索ベース、およびオプションでセカンダリ ドメイン コントローラー (プライマリ ドメイン コントローラーに障害が発生した場合のバックアップ ドメイン コントローラー) を構成します。安全なポートを使用している場合は、 SSLポートを使用する チェックボックスをオンにします。
- Searchbase は、LDAP エントリを検索するためのベース DN (識別名) を指定します。これは、LDAP ディレクトリ内の検索範囲を絞り込むのに役立ちます。検索ベースについて不明な場合は、LDAP ディレクトリ構造の正確なドメイン名について LDAP 管理者または IT 部門に相談することをお勧めします。
- ソフトウェアの制限をクリック 確認します 提供されたドメイン コントローラー設定を確認します。
- [確認] をクリックすると、有効なユーザー資格情報を求める次のログイン プロンプトが表示されます。
- ユーザー資格情報の認証後、提供された設定を適用するために変更を保存するように求めるプロンプトが表示されます。
- ソフトウェアの制限をクリック Save をクリックして、ドメイン コントローラーの設定を保存します。
ステップ 2: キャッシュ ノードを保護する
ドメイン コントローラーの設定を確立し、保存したら、次の手順に従ってキャッシュ ノードを保護します。
- ソフトウェアの制限をクリック ノードレベルのセキュリティ 左側のバーから。
- 構成するキャッシュ サーバー ノードの IP を指定します
- クリック 詳細を取得.
- チェックボックスを選択します セキュリティを有効にする。 これで、これらのセキュリティ設定を構成するユーザーまたはグループを追加できるようになります。
- ソフトウェアの制限をクリック Save.
ステップ 3: 同種のセキュリティ設定を構成する
XNUMX つのノードのセキュリティ設定をセットアップした後、そのクラスタ内の他のノードに IP アドレスを指定して同様のセキュリティ設定を追加するように求めるプロンプトが表示されます。キャッシュの使用中に問題が発生しないようにするには、クラスター内のすべてのノードで同様のセキュリティ設定を構成する必要があります。
- すべてのノードの IP アドレスを追加した後、 申し込む.
- クリックすると 申し込むを実行すると、同じセキュリティ設定がクラスター内の他のすべてのノードに適用されます。
次回起動してアクセスすると、 NCache Management Center では、承認されたログイン資格情報を要求するログイン プロンプトが表示されます。 さらに、これらのサーバーノードのセキュリティ設定は、次の場所にも保存されます。 セキュリティ.ncconf 下 タグ。
キャッシュユーザーの追加
これで、ノードはそのノード上に構成されたすべてのキャッシュとともに保護され、そのノード上に構成されたノード管理者はこれらのキャッシュに対するすべての権限を持ちます。ただし、ノード経由ではなくキャッシュ経由でアクセスできるユーザーを作成する場合は、そのノード上でキャッシュ ユーザーを構成できます。以下の手順に従ってキャッシュ ユーザーを設定できます。
- 起動する NCache Management Center を参照して、 http://localhost:8251 or
<server-ip>:8251
WindowsおよびLinuxの場合。 - 左側のナビゲーションバーで、をクリックします クラスター化されたキャッシュ or ローカルキャッシュ、要件に基づきます。
- キャッシュ名に対して、をクリックします 詳細を見る.
- これにより、キャッシュの詳細な構成ページが開きます。
- 下 詳細設定 (クラスター化キャッシュ) タブ、選択 セキュリティと暗号化をクリックすると、キャッシュ ユーザーとして構成するユーザーまたはグループを追加できるページが開きます。
- ソフトウェアの制限をクリック 変更を保存 キャッシュ ユーザーを正常に追加するには、
クライアントノードの認可
セキュリティを設定したら、 NCache、これらのキャッシュに接続するアプリケーションは資格情報を提供する必要があります。これらの資格情報により、キャッシュは許可されたユーザーを検証し、必要な権限を付与できるようになります。必要なユーザー認証情報を提供するには XNUMX つの方法があり、以下で説明します。
クライアント側の構成
次の場合、クライアント側の構成を通じてのみセキュリティを構成できます。 NCache がクライアント ボックスにインストールされている場合は、プログラムでセキュリティを構成する必要があります。クライアント ボックスのセキュリティを設定するには、 ユーザーID および パスワード 許可されたユーザーの数。
検証時に、これらの認証情報は暗号化された形式で安全に保存されます。 client.ncconf クライアントマシン上で。 構成が正常に完了すると、このクライアント マシン上で実行されているすべてのアプリケーションは、今後の検証のために、指定されたユーザー資格情報をキャッシュに自動的に提供します。
プログラムによる構成 NCache API
ただし、 NCache アプリケーションが実行されているマシンに がインストールされていない場合は、プログラムで資格情報を提供できます。 NCache API。このプログラムによる資格情報の提供により、コード内で必要な資格情報を動的に設定し、安全で承認されたキャッシュ アクセスを確保できます。
コマンドラインインターフェースの使用
NCache また、キャッシュ上のセキュリティをシームレスに構成および管理するための一連のコマンド ライン ツールとコマンドレットも提供します。次のコマンドを使用して、ユーザーの追加、セキュリティの有効化、セキュリティの無効化、ユーザーの削除を行うことができます。
ノード管理者の追加
ノードでセキュリティを有効にする前に、キャッシュ管理やキャッシュ API アクセスを含め、ノードを完全に制御できるノード管理者が必要です。次のコマンドを実行すると、ノード管理者を追加できます。 追加-NCacheユーザーまたはグループ これにより、ユーザー「John Smith」が NCache サーバー20.200.20.40の管理者。
Add-NCacheUserOrGroup -Server 20.200.20.40 -AccessLevel Admin -AdminCredentials (Get-Credential john_smith) -UserOrGroupName john_smith -UserOrGroupDN "CN=John Smith,OU=engineers,DC=example,DC=com" -DomainController 20.200.20.38
このコマンドでは、ノード管理者を追加した直後にセキュリティを有効にするように求められますが、これを遅らせるには、 EnableSecurity
フラグを False に設定します。 コマンドの実行中は、最初のノード管理者を追加できるのはマシンのローカル管理者 (ドメイン ユーザー) だけであることに注意してください。 後続のノード管理者は、既存のノード管理者によって追加または削除できます。
Note
Linux では、次の方法で管理グループ (sudo、root、wheel など) を追加できることに注意してください。 NCacheServer.LinuxAdminGroups
タグを使用してノード管理者を構成します。
セキュリティを有効にする
ノード管理者を追加すると、次のことが可能になります。 セキュリティを有効にする 以下を実行してください。
Enable-NCacheSecurity -Server 20.200.20.40 -AdminCredentials (Get-Credential john_smith) -WriteCredentialsToServiceConfig
これにより、提供された管理者資格情報を使用してノード上のセキュリティが有効になります。の WriteCredentialsToServiceConfig
スイッチは、提供された認証情報をサービス設定内に暗号化された形式で保存し、サービス起動オプションの自動開始キャッシュで設定されたキャッシュを開始します。
キャッシュユーザーの追加
これで、ノードとその上に構成されたすべてのキャッシュが正常に保護されました。ただし、管理権限を持たない一部のユーザーのキャッシュ操作へのアクセスを制限したい場合は、次のようにすることができます。 キャッシュユーザーの追加。これらを追加するには、Node Administrator と同様のコマンドレットおよびコマンド ライン ツールを使用し、次のように指定するだけです。 AccessLevel
キャッシュパラメータ。 を指定することもできます CacheName
パラメータを使用して、ユーザーがアクセスできるキャッシュを指定します。次のコマンドを実行してキャッシュ ユーザーを追加できます。
Add-NCacheUserOrGroup -Server 20.200.20.40 -AccessLevel Admin -AdminCredentials(Get-Credential john_smith) -UserOrGroupName john_smith -UserOrGroupDN "CN=John Smith,OU=engineers,DC=example,DC=com" -DomainController 20.200.20.38
ユーザーの削除
ユーザーの追加に加えて、ノード管理者には次の権限もあります。 ユーザーを削除。管理者ユーザー John Smith を NCache IP アドレス 20.200.20.40 のサーバー:
Remove-NCacheUserOrGroup -Server 20.200.20.40 -AccessLevel Admin -AdminCredentials(Get-Credential john_smith) -UserOrGroupName john_smith -DisableSecurity Yes
ユーザーの削除中にセキュリティを無効にするかどうかを指定できます。設定できるのは、 DisableSecurity
この動作を制御するには、パラメータを Yes または No に設定します。
セキュリティが有効になっているユーザーを削除しようとしているときに、対象のユーザーが最後のユーザーである場合、システムは、セキュリティも無効にするかどうかを決定するよう求めるプロンプトを表示します。 DisableSecurity
パラメータが使用されます。 セキュリティを無効にすることを選択すると、ユーザーが削除され、セキュリティ機能が無効になります。 セキュリティを無効にしないことを選択した場合、システムは最後のユーザーを削除しません。
セキュリティの無効化
NCache また、次のコマンドレットとコマンド ライン ツールを使用して、構成されたノード管理者とキャッシュ ユーザーを削除せずにセキュリティを無効にするオプションも提供します。
Disable-NCacheSecurity -Server 20.200.20.40 -AdminCredentials(Get-Credential john_smith)
構成されたユーザー設定を保持しながらセキュリティを無効にします。
セキュリティ設定を行うと、設定が反映されます。 セキュリティ.ncconf で出荷された設定ファイル %NCHOME%/ config。 参照する セキュリティ構成 のパラメータについて詳しく知るには セキュリティ.ncconf.