ArcGIS for Server安全与LDAP配置
1、安全性概述
ArcGIS Server使用基于角色的访问控制来管理对受保护资源的访问。访问GIS资源的权限只能分配给角色。单独的用户只能通过从其角色继承来获取权限。对GIS资源访问权限的身份验证一般有两种方式:基于ArcGIS令牌的身份验证;Web服务器身份验证。
(1)ArcGIS Server账号
安装ArcGIS for Server时指定的操作系统账号称为ArcGIS Server账号。ArcGIS Server账号的几种用途:
- 启动和停止支持 GIS 服务器和服务的进程。
- 读取服务后的 GIS 数据。
- 读取文件并将文件写入到 ArcGIS Server 目录;例如,创建地图缓存时,ArcGIS Server 帐户会将缓存切片写入服务器缓存目录中。
- 读取文件并将文件写入到配置存储中;例如,在管理器中创建新的集群时,ArcGIS Server 帐户会将集群配置信息写入配置存储中的文件。
- 读取文件并将文件写入 ArcGIS Server 安装位置与系统临时目录中;例如,该帐户会写入可用于排除服务器故障的日志文件。
- 读取日志消息并将日志消息写入日志目录中。
(2)集群部署时与ArcGIS Server账号相关的注意事项
- 每个 GIS 服务器都必须具有本地帐户和密码且它们完全相同。
- 授予ArcGIS for Server安装目录中所有文件夹的读取权限,以及以下文件夹的完全控制权限:
<ArcGIS for Server 安装目录 >\framework
<ArcGIS for Server 安装目录 >\geronimo
<ArcGIS for Server 安装目录 >\usr
<ArcGIS for Server 安装目录 >\bin
<ArcGIS for Server 安装目录 >\XMLSchema
- 授予服务器目录(arcgisserver\directories)的读写权限。
- 授予配置存储目录(arcgisserver\config-store)的读写权限。
- 授予日志目录(logs)的读写权限。
- 授予注册到ArcGIS Server的数据库连接文件所在目录的读写权限。
- 授予注册到ArcGIS Server的GIS数据目录的读写权限。
2、用户和角色的存储
ArcGIS Server中的用户和角色的存储主要有3中:
(1)使用内置存储的用户和角色
ArcGIS Server默认使用的是内置存储。该存储使用的是基于文件的格式。
(2)使用企业系统中的用户和角色
ArcGIS Server可采用在外部 Microsoft Active Directory 或 LDAP 服务器中管理的用户和角色实施安全性保护。ArcGIS Server将活动目录或 LDAP 服务器用作只读存储。
(3)使用企业系统中的用户和内置存储中的角色
ArcGIS Server可采用在外部 Microsoft Active Directory 或 LDAP 服务器中管理的用户和在 ArcGIS Server 内置存储中管理的角色来实施安全性保护。ArcGIS Server将活动目录或 LDAP 服务器用作只读存储。
此外,还可通过扩展实现自定义管理用户和角色的存储。
3、身份验证
前面提到,ArcGIS Server中身份验证有两种方式:基于ArcGIS令牌的身份验证;Web服务器身份验证。
基于ArcGIS令牌的身份验证主要是使用Web API开发的应用程序所采用的方式。ArcGIS Server可配置为委托第三方Web服务器(如Microsoft IIS或IBM Websphere)进行用户身份验证。这种方式下,可充分利用 Web 服务器所提供的标准身份验证机制,例如HTTP Digest 身份验证和 PKI 客户端认证身份验证等。
使用Web服务器身份验证必须在Web服务器上安装Web Adaptor,且必须启用管理选项。配置Web服务器身份验证后,ArcGIS Server将指派Web Adaptor进行身份验证。用户成功通过身份验证后, Web Adaptor会对用户信息进行加密并追加到请求中,然后转发至 ArcGIS Server。ArcGIS Server 接收用户信息并进行解密,以验证用户是否有权访问所请求的GIS服务。
4、使用OpenLDAP中的用户
OpenLDAP的部署与配置参考相关技术文档,其中定义的用户信息如下:
dn: dc=esrigz,dc=com
objectClass: domain
objectClass: top
o: esri guangzhou
dc: esrigz
dn: ou=Manager,dc=esrigz,dc=com
objectClass: organizationalUnit
ou: Manager
description: Container for manager entries
dn: ou=User,dc=esrigz,dc=com
objectClass: top
objectClass: organizationalUnit
ou: User
description: User container
dn: uid=xinli,ou=Manager,dc=esrigz,dc=com
uid: xinli
objectClass: inetOrgPerson
labeledURI: http://www.esri.com
userPassword: esri
sn: li
cn: xinli li
dn: uid=yun,ou=Manager,dc=esrigz,dc=com
uid: yun
objectClass: inetOrgPerson
mail: yun@mail.com
labeledURI: http://www.esri.com
sn: xin
cn: yun xin
userPassword: esri
dn: uid=arcgis,ou=User,dc=esrigz,dc=com
objectClass: inetOrgPerson
uid: arcgis
userPassword: esri
labeledURI: http://www.esri.com
sn: esri
cn: arcgis esri
mail: arcgis@mail.com
(1)在ArcGIS Server Manager站点中配置使用LDAP存储用户
端口:OpenLDAP安装时设置的端口,默认是389。
基本DN:记录用户信息的目录服务器节点标识名。如上面用户信息存储在Manager和User角色下。这里只能填其中一个。
URL:系统自动获取。
RDN属性:相对标识名,用于标识用户名称。
管理员的DN:LDAP服务器管理员的DN。
(2)测试LDAP用户信息的读取
在manager中点击用户即可查看LDAP中的用户信息。
