来自 网络 2021-02-19 14:10 的文章

防攻击cdn_打不死的_cc防护10g

防攻击cdn_打不死的_cc防护10g

在本系列的第1部分和第2部分中,我们讨论了多域环境中NetScaler网关的身份验证和会话策略选项。在本系列的最后一期中,我们将介绍直接连接到StoreFront的多域配置选项。与第2部分一样,第1部分中提到的、本系列中没有涉及的主题列表也适用于本文。直接店面身份验证对于到StoreFront的内部连接,设计考虑与NetScaler Gateway相似:单个存储与多个存储,如何将域映射到特定存储,如何告诉StoreFront它应该验证到哪个域,等等。在进行身份验证时,主要的选择是StoreFront是否将直接针对各种用户域执行身份验证,还是将身份验证委托给XML。如果StoreFront将直接针对activedirectory执行用户身份验证(如果可能,这通常是一种更好的安全模型)(如果StoreFront与所有用户域都有域信任关系),则管理员应确定是否将配置已定义的受信任域的列表。如果未配置受信任域,ddos攻击的防御手段,则来自StoreFront具有信任关系的任何域的用户都可以进行身份验证。在这种情况下,用户必须使用"domain\username"或UPN作为凭据的一部分输入他们的域。如果配置了受信任域,ddos攻击直播平台怎么防御,则只有所列域中的用户才能通过StoreFront身份验证。使用此选项,您可以让用户输入他们的域(或UPN)作为其凭据的一部分,也可以通过选中"在登录页中显示域列表"复选框来添加域下拉菜单,如下所示。请注意,如果不配置受信任域的列表,则无法使用预填充域下拉列表。另请注意,如果受信任域配置为没有下拉列表,则指定的受信任域应与用户输入用户名的格式相匹配(即,如果用户输入\,则必须列出,ddos最佳防御点,而如果用户要输入UPN,则必须列出域的FQDN)。XML身份验证如果StoreFront位于与所有用户域没有信任关系的域中,腾讯香港云服务器ddos防御,或者如果StoreFront没有加入域,则必须将身份验证委托给XML。配置此选项后,StoreFront不会尝试根据Active Directory对用户进行身份验证。相反,StoreFront将身份验证请求委托给已配置的传递控制器列表。此选项通过StoreFront 3.0及更高版本中的PowerShell和StoreFront 3.5及更高版本中的GUI提供,但需要注意以下事项:此选项仅适用于所有服务器的1.0和1个可配置的服务器。对于StoreFront 3.5及更高版本,此选项可通过GUI在每个存储级别进行配置(即,可以为每个存储配置一组不同的用于身份验证的XML服务器)。为身份验证配置的控制器列表独立于为XML配置的控制器列表。如果将多个控制器添加到用于身份验证的控制器列表中,服务器怎么有效防御ddos,StoreFront将以循环方式选择一个控制器(即,如果从多个域添加控制器,则StoreFront不会智能地从用户所属的域中选择控制器)。一旦为存储区内的身份验证配置了控制器列表,此设置将应用于所有基于密码的身份验证方法(用户名和密码、从NetScaler网关传递和HTTP Basic)。如果配置了XML身份验证,则Web页面接收方中的用户名将显示为\,而不是用户的全名。从上面的列表中,可能影响多域设计的关键因素是,XML身份验证的控制器是在每个存储级别配置的,并且StoreFront以循环方式从列表中选择一个控制器。因此,如果您在不同的不受信任的域中配置了XenApp或XenDesktop站点(其中并非所有域都与所有用户域都有信任关系),则每个域都需要一个单独的StoreFront存储(如果使用StoreFront 3.5+),则可以驻留在同一个服务器组中。注意,对于storefront3.0和3.1,这需要一个单独的服务器组,因为XML身份验证设置适用于整个服务器组。在这种设计中,每个存储针对一个特定的域对用户进行身份验证,并且可以根据用户的域将用户定向到相应的存储。有几种方法可以让用户不必记住整个存储路径,但是我们将把讨论保存到另一个博客中。主要收获总结一下:如果StoreFront与所有用户域都有信任关系,那么针对activedirectory的身份验证是一种方法。然后,管理员可以选择配置受信任域的列表,在这种情况下,可以在StoreFront登录网页中配置域下拉列表,以避免用户必须手动输入其域。如果StoreFront无法加入域,或者它位于与所有用户域没有信任关系的域中,则必须将身份验证委托给XML。如果是这种情况,并且站点位于不同的不受信任的域中,则每个域都需要一个单独的存储。博客和这个系列的结论。我希望它有助于澄清你们中那些在多域环境中的不同选择。直到下一次!