のキャッシュセキュリティ NCache: 概要
Note
この機能はでのみ利用可能です NCache Enterprise エディション.
分散キャッシュは、多くの異なるユーザーにアクセスできる環境で動作します。この環境では、任意のユーザーがキャッシュ構成を変更したり、管理操作を実行したり、制限なしにキャッシュデータにアクセスしたりできます。 キャッシュセキュリティの懸念は、重要なデータを処理している場合、または許可されたユーザーのリスト以外のすべてのユーザーにキャッシュサーバーへの管理アクセス権を持たせたくない場合に発生します。 NCache セキュリティメカニズムは、LDAPでサポートされているディレクトリサービスで機能します。
すべてのユーザーは、LDAPでサポートされているディレクトリサービスに対して認証されます。 NCache XNUMXつのLDAPドメインコントローラー(プライマリとセカンダリ)のサポートを提供して、管理レベルとAPIレベルの操作でフォールトトレランスを確保します。 これらのコントローラーの中で、プライマリドメインコントローラーは操作のセキュリティを有効にするために必須ですが、セカンダリコントローラーはオプションです。 データの機密性が高く、ドメインコントローラー(プライマリ)を非アクティブにする余裕がない場合は、セカンダリコントローラーを登録できます。 プライマリコントローラがダウンした場合、すべてのセキュリティ認証はセカンダリコントローラによって実行されます。
NCache 要件に応じて実装できるさまざまなレベルの粒度のセキュリティ機能を提供します。
セキュリティアクセスレベル
NCache セキュリティ機能には、XNUMXつの異なるアクセスレベルのセキュリティが組み込まれています。
- 管理/管理レベル
- キャッシュAPIレベル
これらのレベルのセキュリティは、キャッシュへの管理レベルとクライアントレベルの両方のアクセスを保護することを目的としています。 デフォルトでは、セキュリティ機能は両方のアクセスレベルで無効になっています。 に記載されているパラメータを指定することで、セキュリティを有効にできます。 プロパティ のセクションから無料でダウンロードできます。
管理/管理レベルのセキュリティ
の管理レベルのセキュリティ NCache リモートクラスターノードが不正なユーザーアクセスから保護されていることを確認します。 これは、クラスターノードで管理および構成関連の操作を実行するためのアクセス権を持つ許可されたユーザーを検証するために使用されます。
マルチノードキャッシュクラスター全体を保護するには、クラスターの個々のノードでセキュリティを有効にする必要があります。
ManagerやPowerShellツールなどの管理ツールはセキュリティフレームワークと統合されており、セキュリティで保護された環境で操作を実行するためのオプションを提供します。
ノードでセキュリティを構成する方法については、を参照してください。 セキュリティの構成 in NCache 管理者ガイド。
管理レベルのセキュリティを有効にする利点
サーバーノードで管理レベルのセキュリティを構成すると、管理者権限を持つユーザーが少なくなり、指定されたユーザー以外のユーザーは、次のようなノードで管理操作を実行するためのアクセス権を持ちません。
- 新しいキャッシュを作成する
- 既存のキャッシュを削除する
- 既存のキャッシュを追加する
- キャッシュを開始
- キャッシュを停止します
- キャッシュを再起動します
- キャッシュを更新
- 構成の変更を保存する
特権システム管理者
許可されたユーザーのリストはに追加されます セキュリティ.ncconf。 そのマシンの管理者はセキュリティを有効にすることができます。 ノード管理者として構成されているユーザー以外のユーザーは、ノードで管理関連の操作を実行することはできません。 ただし、例外がXNUMXつあります。ユーザーがそのシステムのローカルシステム管理者である場合、ユーザーにも管理者権限が付与されます。
つまり、ローカルウィンドウ管理者は、管理操作がローカルで実行されるか、ローカルWindowsクレデンシャルを使用して他のサーバーノードから実行されるかにかかわらず、常に管理者権限とアクセス許可を持ちます。 したがって、ノードが管理者として許可されておらず、そのノードを使用してパーソナルマシンで操作を実行している場合、必要なのはシステムクレデンシャルを提供することだけであり、システムで任意のリモート管理操作を実行できます。
キャッシュAPIレベルのセキュリティ
キャッシュレベルのセキュリティ NCache キャッシュデータが不正なユーザーアクセスから保護されていることを確認します。 キャッシュAPIレベルのセキュリティは、を介してキャッシュとの接続を確立しようとする許可されたユーザーを検証するために使用されます NCache API。 キャッシュレベルのセキュリティを有効にすることで、すべてのクライアントまたは少数のクライアントが読み取りまたは書き込みのいずれかでクラスターキャッシュデータにアクセスできるかどうかを制御できます。 有効で認証されたユーザーとして検証されたクライアントのみが、キャッシュレベルの操作を実行できます。
キャッシュにセキュリティを設定する方法については、を参照してください。 キャッシュのセキュリティの構成 in NCache 管理者ガイド。
APIレベルのセキュリティを有効にする利点
キャッシュにキャッシュレベルのセキュリティを設定すると、API承認を持つように指定されたユーザー以外のユーザーは、次のようなキャッシュでキャッシュ操作を実行するためのアクセス権を持ちません。
- キャッシュに接続する
- データを取得する
- データを追加
- データの削除/更新など。
キャッシュでセキュリティが有効になっている場合は、資格情報を GetCache
接続を確立するために呼び出します。 すべてのキャッシュについて、この許可されたユーザーのリストは、 <cache-settings>
のセクション config.ncconf.
プロパティ
次の資格情報を提供することにより、セキュリティを有効にできます。
計測パラメータ | Description | 例 |
---|---|---|
Domain Controller |
セキュリティ認証を担当するプライマリサーバー。 | あなたのプライマリドメイン |
Secondary Domain Controller |
プライマリが使用できない場合のセキュリティ認証を担当するセカンダリサーバー。 | あなたの二次ドメイン |
Search Base |
Webマネージャーでドメインユーザーを設定するための文字列。 | OU = admin、DC = yourdomain、DC = org |
Port |
ドメインコントローラーが実行されているポート番号。 | 389 |
User Name |
ユーザーのID。 | ジョンスミス |
User DN |
DNは、ファイルシステム内のユーザーの位置を指定するために使用される識別名です。 ユーザーの追加/削除やセキュリティの有効化/無効化などのアクションには、ユーザーDNが必要です。 | CN = John Smith、OU = admin、DC = yourdomain、DC = org |
Password |
ユーザーの資格情報を承認するために使用される保護された文字列。 | あなたのパスワード |