資源大小:86.01 KB |
資源類型:文檔 |
|
下載積分: 0 |
|
|
|
|
資源介紹 |
|
DCOM跨IP網(wǎng)段���,跨域���,工作組與域混合訪問(wèn)�,匿名登錄與命名登錄驗(yàn)證解決方案
本主題涉及到WINDOW NT的域安全管理機(jī)制�,WINDOWS 9X的安全管理機(jī)制,IP防火墻與路由尋徑����。
跨IP網(wǎng)段
DCOM在底層技術(shù)上使用的是RPC/WINSOCK�,WINSOCK的與通訊協(xié)議的無(wú)關(guān)性�����,造就了DCOM的網(wǎng)絡(luò)協(xié)議無(wú)關(guān)性����。如果配置了多個(gè)協(xié)議��,DCOM 將按照它們?cè)?DCOM 協(xié)議列表中出現(xiàn)的順序嘗試使用這些協(xié)議���。兩個(gè)跨IP網(wǎng)段的DCOM之間通訊�,必須手工設(shè)置網(wǎng)關(guān)路由路徑�。有關(guān)詳細(xì)設(shè)置,請(qǐng)查看附錄兩篇技術(shù)資料:NT Server 4.0 做靜態(tài)路由器和Win 2000路由的安裝與設(shè)置
如何通過(guò)防火墻驗(yàn)證
如果你是采用Internet做兩個(gè)Lan的互連�����,并且需要通過(guò)防火墻�����,就需閱讀以下資料:
COM Internet 服務(wù) (CIS) 最初是在 Windows NT 4.0 Service Pack 4 中發(fā)布的,它提供的附加支持���,使得由于服務(wù)器端或客戶網(wǎng)絡(luò)上的代理服務(wù)器設(shè)置了防火墻而令其他協(xié)議無(wú)法使用時(shí)��,DCOM 仍然能夠通過(guò) Internet(使用 HTTP)使用���。
因?yàn)镈COM在1024-65535這樣一個(gè)范圍內(nèi)動(dòng)態(tài)地選擇網(wǎng)絡(luò)端口,而在這個(gè)范圍內(nèi)����,Internet-to-intranet網(wǎng)絡(luò)通信實(shí)際上是不被允許的,此外���,防火墻經(jīng)常被設(shè)置成限制接入135口����,DCOM要依靠這個(gè)端口來(lái)提供多種服務(wù)
通道型TCP協(xié)議在每一次DCOM連接的開(kāi)始時(shí)引入了一次專門的握手�,這使得其可以通過(guò)大多數(shù)的防火墻和代理。握手之后��,電信協(xié)議就是簡(jiǎn)單的TCP上的DCOM��。
在DCOMCNFG中為服務(wù)器和應(yīng)用程序設(shè)置NONE的驗(yàn)證級(jí)別為默認(rèn)值。
在注冊(cè)表中作以下改變:
HKLM/Software/Microsoft/Rpc/Internet
PortsInternetAvailable="Y"
UseInternetPorts="Y"
Ports="3000-4000"
在防火墻中開(kāi)放135以上端口��。
禁止IP地址翻譯�����。
Windows NT 4.0 CIS 設(shè)置
對(duì)于 Windows NT 4.0�����,CIS 需要在 Windows NT Workstation 4.0 或 Windows NT Server 4.0 的計(jì)算機(jī)中安裝 SP5�。要啟用 CIS,您需要將 “通道 TCP”協(xié)議添加到 DCOM 協(xié)議列表中���。 您可以通過(guò) 運(yùn)行 DCOMCNFG 來(lái)修改協(xié)議列表:
1. 選擇“默認(rèn)協(xié)議”選項(xiàng)卡。
2. 使用“添加”按鈕添加“Tunneling TCP/IP”�。
3. 重啟動(dòng)系統(tǒng),使更改生效����。 如果配置了多種協(xié)議,DCOM 將按照協(xié)議在 DCOM 協(xié)議列表中出現(xiàn)的 順序使用��。 CIS 也要求運(yùn)行 Internet Information Server 4.0 (包括 Internet Service Manager)��。IIS 4.0 是 Windows NT 4.0 Option Pack 的部件。
代理服務(wù)器注意事項(xiàng)
如果您的客戶通過(guò)代理服務(wù)器訪問(wèn)���,則需要確保:
將代理服務(wù)器配置為啟用 HTTP CONNECT���,端口 為 80。
正確配置客戶計(jì)算機(jī)��,讓其使用代理服務(wù)器訪問(wèn) World Wide Web����。
跨域模式
如果采用NETBEUI通訊協(xié)議,必須兩個(gè)域之間是互相信任關(guān)系���������?蛻舳说腄COM使用的網(wǎng)絡(luò)協(xié)議的選擇最好與中間層DCOM的使用的網(wǎng)絡(luò)協(xié)議一致,否則有不可通訊或調(diào)用速度慢的現(xiàn)象�����。
如果在同一個(gè)網(wǎng)段或域[工作組]互相信任還不能DCOM調(diào)用����,請(qǐng)檢查中間層服務(wù)器的DCOM連接設(shè)置[默認(rèn)屬性]�����,嘗試默認(rèn)身份驗(yàn)證級(jí)為:[無(wú)]�,默認(rèn)模擬級(jí)為:[匿名]
運(yùn)行DCOMCNFG��,選擇"默認(rèn)安全屬性"頁(yè)�,點(diǎn)擊"編輯默認(rèn)配置"按鈕。在"允許存取"對(duì)話框中�����,將存取權(quán)限指配給任何有可能連接服務(wù)器應(yīng)用程序的用戶�����。通常而言����,存取權(quán)限被指配給"全局"���。
在NT系統(tǒng)中�,需要指配給"Everyone(所有人)"。
選擇應(yīng)用程序����,點(diǎn)擊"屬性"按鈕。在Indentity頁(yè)�����,選擇"交互的用戶"��。也可以指定一個(gè)將被允許連接NT系統(tǒng)的用戶����。
設(shè)置NT機(jī)器的Guest賬戶為有效(在用戶管理中)。高亮顯示Guest賬戶�,選擇菜單項(xiàng)"User|Properties"。清除題為"Account Disabled"的選擇框��。
其他知識(shí)
‘默認(rèn)的身份驗(yàn)證級(jí)別’中‘連接’的意思代表‘只在客戶端第一次連結(jié)應(yīng)用程序服務(wù)器時(shí)檢查客戶端的權(quán)限’�����。
‘默認(rèn)的模擬級(jí)別’中‘識(shí)別’的意義為‘在這種模式下���,服務(wù)端可以取得連結(jié)的客
戶端的權(quán)限信息�,但是服務(wù)端無(wú)法以連結(jié)的客戶端的權(quán)限存取系統(tǒng)對(duì)象’。當(dāng)其設(shè)為‘模
擬’時(shí)�����,表明‘服務(wù)端可以取得連結(jié)的客戶端的權(quán)限信息�����,并且能夠以連結(jié)的客戶端的權(quán)
限存取系統(tǒng)對(duì)象’�。
在默認(rèn)屬性頁(yè)中,還有一個(gè)‘為跟蹤引用提供附加的安全性’的選項(xiàng)�。這個(gè)設(shè)置可以
讓應(yīng)用程序服務(wù)器使用COM/DCOM的回叫機(jī)制以保持COM/DCOM中遠(yuǎn)程調(diào)用參考計(jì)數(shù)值
(reference count)的正確性,以避免客戶端應(yīng)用程序惡意的調(diào)用應(yīng)用服務(wù)器并且斷線�。
選中這個(gè)選項(xiàng)可以讓應(yīng)用程序服務(wù)器有效的管理其生命周期,但是也會(huì)減緩應(yīng)用程序服務(wù)
執(zhí)行的速度�����。
在NT中的一些配置也極其相似�。但要理解以下的概念
激活控制:就是指哪些用戶可以激活應(yīng)用程序服務(wù)器。當(dāng)客戶端應(yīng)用程序執(zhí)行并且試
著在遠(yuǎn)程機(jī)器之中激活應(yīng)用程序服務(wù)器時(shí)���,COM/DCOM的安全機(jī)制會(huì)檢查這個(gè)客戶端應(yīng)用程
序登錄的用戶是否有權(quán)限中以激活應(yīng)用程序。
存取控制:指當(dāng)應(yīng)用程序服務(wù)器由適當(dāng)?shù)挠脩艏せ詈�,哪些用戶可以存取?yīng)用程序服務(wù)
器所提供的服務(wù)����。此外����,一個(gè)應(yīng)用程序服務(wù)器可以提供數(shù)種不同的服務(wù),取存控制能夠限
定特定的用戶進(jìn)行特定的操作
認(rèn)證控制:是指在數(shù)據(jù)進(jìn)行傳遞時(shí)�,數(shù)據(jù)是否加密
鑒定控制:是指應(yīng)用程序服務(wù)器的權(quán)限。即指在服務(wù)器上登陸的用戶���,他所執(zhí)行的應(yīng)用
程序服務(wù)器所存取的資源是否在他的權(quán)限范圍之內(nèi)��。
|
|
|
下載地址 |
|
|
| |
