昨天,我们讨论了监视你基于Windows的分布式应用与服务器的问题。除了运行这些应用时实施监控之外,保护这些应用和维持这些应用的安全运行是同等重要的。因此,让我们研究一下系统管理员在设置和运行基于Windows的分布式应用时应该知道的一些事情。
身份识别
一般会使用这两种方法之一来保证安全的访问一个应用的一部分或者全部。你可以创建一个用户名和口令的数据表并且把那个表存储在SQL服务器等数据库中,或者你将使用Windows活动目录或者本地SAM账户用于身份识别。
在IIS中的摘要识别
当把用户名和口令存储在数据库中时,应用会向用户要求用户名和口令,并且根据数据库中的用户表验证这个信息的合法性。网络浏览器把用户认证信息(用户名和密码)发送到处理这些信息的ASP脚本。ASP脚本要求SQL服务器查找用户名和口令以验证用户。这种方法一般用于互联网或者外部网接入。这些用户一般都是你的机构以外的人员,也许是你的商业合作伙伴。
当使用基于Windows活动目录的身份识别或者本地安全接入管理器(SAM)身份识别(比如说不存在Windows域时),用户可以访问一个包含ASP脚本的网页。这个脚本则访问SQL服务器来寻求认证。而SQL服务器将认证请求重新定向到域控制器或者本地服务器的SAM帐号。这种方式一般当访问者是你的机构内部人员时使用。
如果微软SQL服务器正在作为一个域成员的一台服务器上运行,SQL服务器将首先检查域名控制器来识别用户的身份。如果不行的话,SQL服务器将检查本地服务器的SAM。使用活动目录是最好的,因为它把用户账户和组都集中在你所有的服务器都可以访问的一个地方。另一个好处是,如果他们登录其工作站的账户是在那台服务器中或者在那个域名中的话,你的用户就不需要第二个用户名和口令来访问应用程序。
