캐시 서버 노드에 대한 보안 구성
이 페이지에서는 권한 부여 및 인증 설정에 대한 포괄적인 지침을 제공합니다. NCache 캐시 서버 노드를 위한 보안 프레임워크입니다. 사용자 확인을 위해 LDAP 기반 인증을 설정하는 과정을 안내합니다. 또한 사용자에게 특정 역할 및 권한을 할당하는 방법도 설명합니다.
중대한
클러스터의 모든 참가자 노드에는 동일한 보안 설정이 있어야 합니다.
캐시 노드에 대한 보안은 다음 단계를 통해 구성할 수 있습니다.
보안 캐시 서버 노드 NCache 관리 센터
1단계: 도메인 컨트롤러 구성
As NCache LDAP 통합 보안을 지원하므로 캐시 노드를 보호하려면 LDAP 도메인 컨트롤러 설정을 지정해야 합니다. 다음에서 이러한 설정을 구성할 수 있습니다. NCache 다음 단계를 통해:
- 를 실행 NCache 관리 센터로 이동하여 http://localhost:8251 or
<server-ip>:8251
Windows 및 Linux에서. - 를 클릭하십시오 열 수 NCache 관리 센터 설정.
- 이것은 열릴 것입니다 도메인 컨트롤러 설정 도메인 컨트롤러, 포트, 검색 기반 및 선택적으로 보조 도메인 컨트롤러(기본 도메인 컨트롤러가 실패하는 경우 백업 도메인 컨트롤러)를 구성하는 페이지입니다. 보안 포트를 사용하는 경우 다음을 선택하십시오. SSL 포트 사용 확인란의 선택을 취소합니다.
- Searchbase는 LDAP 항목 검색을 위한 기본 DN(고유 이름)을 지정합니다. 이는 LDAP 디렉토리 내의 검색 범위를 좁히는 데 도움이 됩니다. Searchbase에 대해 확실하지 않은 경우 LDAP 관리자나 IT 부서에 문의하여 LDAP 디렉터리 구조의 정확한 도메인 이름을 문의하는 것이 좋습니다.
- 를 클릭하십시오 확인 제공된 도메인 컨트롤러 설정을 확인합니다.
- 확인을 클릭하면 유효한 사용자 자격 증명을 묻는 다음 로그인 프롬프트가 표시됩니다.
- 사용자 자격 증명을 인증한 후에는 제공된 설정을 적용하기 위해 변경 사항을 저장할지 묻는 메시지가 표시됩니다.
- 를 클릭하십시오 찜하기 도메인 컨트롤러 설정을 저장합니다.
2단계: 캐시 노드 보안
도메인 컨트롤러 설정을 구성하고 저장한 후에는 이제 아래 단계에 따라 캐시 노드를 보호해야 합니다.
- 를 클릭하십시오 노드 수준 보안 왼쪽 바에서.
- 구성하려는 캐시 서버 노드 IP를 지정하세요.
- 세부정보 가져오기.
- 확인란 선택 보안 활성화. 이제 이러한 보안 설정을 구성하려는 사용자 또는 그룹을 추가할 수 있습니다.
- 를 클릭하십시오 찜하기.
3단계: 동종 보안 설정 구성
한 노드에 대한 보안 설정을 구성한 후 IP 주소를 제공하여 해당 클러스터의 다른 노드에 유사한 보안 설정을 추가하라는 메시지가 나타납니다. 캐시를 사용하는 동안 문제가 발생하지 않도록 하려면 클러스터의 모든 노드에 유사한 보안 설정을 구성해야 합니다.
- 모든 노드의 IP 주소를 추가한 후 다음을 클릭합니다. 신청.
- 클릭 시 신청, 동일한 보안 설정이 클러스터의 다른 모든 노드에 적용됩니다.
다음에 실행하고 액세스할 때 NCache Management Center를 사용하면 승인된 로그인 자격 증명을 요청하는 로그인 프롬프트가 표시됩니다. 또한 서버 노드에 대한 이러한 보안 설정은 다음에도 저장됩니다. 보안.ncconf 아래 꼬리표.
캐시 사용자 추가
이제 노드는 해당 노드에 구성된 모든 캐시와 함께 보호되며 해당 노드에 구성된 노드 관리자는 이러한 캐시에 대한 모든 권한을 갖습니다. 그러나 노드가 아닌 캐시를 통해 액세스할 수 있는 사용자를 생성하려는 경우 해당 노드에서 캐시 사용자를 구성할 수 있습니다. 아래 단계에 따라 캐시 사용자를 구성할 수 있습니다.
- 를 실행 NCache 관리 센터로 이동하여 http://localhost:8251 or
<server-ip>:8251
Windows 및 Linux에서. - 왼쪽 탐색 모음에서 클러스터된 캐시 or 로컬 캐시, 귀하의 요구 사항에 따라.
- 캐시 이름에 대해 다음을 클릭하십시오. 자세한 정보 보기.
- 그러면 캐시에 대한 세부 구성 페이지가 열립니다.
- 아래의 고급 설정(클러스터형 캐시) 탭에서 보안 및 암호화을 클릭하면 캐시 사용자로 구성할 사용자 또는 그룹을 추가할 수 있는 페이지가 열립니다.
- 를 클릭하십시오 저장 (Save Changes) 캐시 사용자를 성공적으로 추가하려면
클라이언트 노드 승인
보안을 구성한 후에는 NCache, 이러한 캐시에 연결하는 애플리케이션은 자격 증명을 제공해야 합니다. 이러한 자격 증명을 통해 캐시는 승인된 사용자를 확인하고 필요한 권한을 부여할 수 있습니다. 아래에 설명된 필수 사용자 자격 증명을 제공하는 방법에는 두 가지가 있습니다.
클라이언트 측 구성
다음과 같은 경우 클라이언트측 구성을 통해서만 보안을 구성할 수 있습니다. NCache 클라이언트 상자에 설치되어 있습니다. 그렇지 않으면 프로그래밍 방식으로 보안을 구성해야 합니다. 클라이언트 상자에 보안을 구성하려면 다음을 지정해야 합니다. 사용자 ID 및 비밀번호 승인된 사용자의 수입니다.
검증 시 이러한 자격 증명은 암호화된 형식으로 안전하게 저장됩니다. 클라이언트.ncconf 클라이언트 컴퓨터에서. 구성이 성공적으로 완료되면 이 클라이언트 시스템에서 실행되는 모든 응용 프로그램은 향후 유효성 검사를 위해 지정된 사용자 자격 증명을 캐시에 자동으로 제공합니다.
다음을 통한 프로그래밍 방식 구성 NCache API
그러나 NCache 애플리케이션이 실행 중인 시스템에 설치되지 않은 경우 다음을 통해 프로그래밍 방식으로 자격 증명을 제공할 수 있습니다. NCache API. 이러한 프로그래밍 방식의 자격 증명 제공을 통해 코드에 필요한 자격 증명을 동적으로 설정하여 안전하고 승인된 캐시 액세스를 보장할 수 있습니다.
명령줄 인터페이스 사용
NCache 또한 캐시에 대한 보안을 원활하게 구성하고 관리할 수 있는 명령줄 도구 및 cmdlet 세트를 제공합니다. 다음을 사용하여 사용자를 추가하고, 보안을 활성화하고, 보안을 비활성화하고, 사용자를 제거할 수 있습니다.
노드 관리자 추가
노드에서 보안을 활성화하기 전에 캐시 관리 및 캐시 API 액세스를 포함하여 노드에 대한 모든 권한을 가진 노드 관리자가 있어야 합니다. 다음을 실행하여 노드 관리자를 추가할 수 있습니다. 더하다-NCache사용자또는그룹 사용자 'John Smith'를 NCache 서버 20.200.20.40의 관리자.
Add-NCacheUserOrGroup -Server 20.200.20.40 -AccessLevel Admin -AdminCredentials (Get-Credential john_smith) -UserOrGroupName john_smith -UserOrGroupDN "CN=John Smith,OU=engineers,DC=example,DC=com" -DomainController 20.200.20.38
또한 이 명령은 노드 관리자를 추가한 후 즉시 보안을 활성화하라는 메시지를 표시합니다. EnableSecurity
플래그를 False로 지정합니다. 명령을 실행하는 동안 머신의 로컬 관리자(도메인 사용자)만이 첫 번째 노드 관리자를 추가할 수 있다는 점을 명심하십시오. 기존 노드 관리자가 후속 노드 관리자를 추가하거나 제거할 수 있습니다.
주의 사항
Linux에서는 다음을 통해 관리 그룹(sudo, 루트, 휠 등)을 추가할 수 있습니다. NCacheServer.LinuxAdminGroups
노드 관리자를 구성하는 태그입니다.
보안 활성화
노드 관리자를 추가한 후에는 이제 다음을 수행할 수 있습니다. 보안 활성화 다음을 실행하여.
Enable-NCacheSecurity -Server 20.200.20.40 -AdminCredentials (Get-Credential john_smith) -WriteCredentialsToServiceConfig
이렇게 하면 제공된 관리자 자격 증명을 사용하여 노드에서 보안이 활성화됩니다. 그만큼 WriteCredentialsToServiceConfig
스위치는 서비스 시작 옵션에서 자동 시작 캐시로 구성된 캐시를 시작하기 위해 제공된 자격 증명을 서비스 구성 내에 암호화된 형식으로 저장합니다.
캐시 사용자 추가
이제 노드에 구성된 모든 캐시와 함께 노드를 성공적으로 보호했습니다. 그러나 관리 권한 없이 캐시 작업에 대한 일부 사용자의 액세스를 제한하려는 경우 다음을 수행할 수 있습니다. 캐시 사용자 추가. 노드 관리자와 유사한 cmdlet 및 명령줄 도구를 사용하여 추가할 수 있습니다. AccessLevel
캐시 매개변수. 다음을 지정할 수도 있습니다. CacheName
해당 사용자가 액세스해야 하는 캐시를 지정하는 매개변수입니다. 다음을 실행하여 캐시 사용자를 추가할 수 있습니다.
Add-NCacheUserOrGroup -Server 20.200.20.40 -AccessLevel Admin -AdminCredentials(Get-Credential john_smith) -UserOrGroupName john_smith -UserOrGroupDN "CN=John Smith,OU=engineers,DC=example,DC=com" -DomainController 20.200.20.38
사용자 제거
사용자 추가와 함께 노드 관리자는 다음과 같은 권한도 갖습니다. 사용자 제거. 관리자 사용자 John Smith를 다음에서 제거합니다. NCache IP 주소가 20.200.20.40인 서버:
Remove-NCacheUserOrGroup -Server 20.200.20.40 -AccessLevel Admin -AdminCredentials(Get-Credential john_smith) -UserOrGroupName john_smith -DisableSecurity Yes
사용자 제거 중에 보안을 비활성화할지 여부를 지정할 수 있습니다. 당신은 설정할 수 있습니다 DisableSecurity
매개변수를 Yes 또는 No로 설정하여 이 동작을 제어합니다.
보안이 활성화된 사용자를 제거하려고 시도하는 동안 대상 사용자가 마지막 사용자인 경우 시스템은 보안도 비활성화할지 여부를 결정하라는 메시지를 표시합니다. DisableSecurity
매개변수가 사용됩니다. 보안 비활성화를 선택하면 사용자가 삭제되고 보안 기능이 비활성화됩니다. 보안을 비활성화하지 않도록 선택하면 시스템은 마지막 사용자를 제거하지 않습니다.
보안 비활성화
NCache 또한 다음 cmdlet 및 명령줄 도구를 통해 구성된 노드 관리자 및 캐시 사용자를 제거하지 않고 보안을 비활성화하는 옵션도 제공합니다.
Disable-NCacheSecurity -Server 20.200.20.40 -AdminCredentials(Get-Credential john_smith)
구성된 사용자 설정을 유지하면서 보안을 비활성화합니다.
보안 설정을 구성하면 해당 설정이 다음에 반영됩니다. 보안.ncconf 에 배송된 구성 파일 %NCHOME%/구성. 인용하다 보안 구성 매개변수에 대해 자세히 알아보려면 보안.ncconf.