ArcGIS for Server kann die Benutzer- und Rolleninformationen nutzen, die auf einem LDAP-Server gespeichert sind, z. B. Apache Directory Server oder Microsoft Active Directory. Für ArcGIS for Server dient der LDAP-Server als schreibgeschützte Quelle mit Benutzer- und Rolleninformationen. Den ArcGIS Server Manager können Sie daher nicht verwenden, um Benutzer oder Rollen hinzuzufügen, zu löschen oder die zugehörigen Attribute zu bearbeiten.
Um LDAP zu verwenden, müssen Sie Web Adaptor auf einem Java-Anwendungsserver wie Apache Tomcat, IBM WebSphere oder Oracle WebLogic bereitstellen. ArcGIS Web Adaptor (IIS) kann nicht zur Authentifizierung auf Webebene mit LDAP herangezogen werden.
Führen Sie die folgenden Schritte aus, um ArcGIS-Web-Services über Benutzer und Rollen von einem LDAP-Server zu sichern:
- Sicherheitseinstellungen konfigurieren
- Benutzer und Rollen überprüfen
- Einrichten der Authentifizierung auf Webebene im Web Adaptor des Servers
- Berechtigungen für Services festlegen
Konfigurieren von Sicherheitseinstellungen
Führen Sie die nachstehenden Schritte aus, um die Sicherheit mit Manager zu konfigurieren:
- Öffnen Sie Manager, und melden Sie sich als primärer Site-Administrator an. Sie müssen das primäre Site-Administratorkonto verwenden. Falls Sie Hilfe zu diesem Schritt benötigen, finden Sie weitere Informationen unter Anmelden bei Manager.
- Klicken Sie auf Sicherheit > Einstellungen.
- Klicken Sie neben Konfigurationseinstellungen auf die Schaltfläche Bearbeiten .
- Wählen Sie auf der Seite Benutzer- und Rollenverwaltungdie Option Benutzer und Rollen aus einem vorhandenen Enterprise-System (LDAP oder Windows-Domäne), und klicken Sie auf Weiter.
- Wählen Sie auf der Seite Typ des Enterprise-Speichers die Option LDAP, und klicken Sie auf Weiter.
- Auf der nächsten Seite müssen Sie die Parameter für die Herstellung der Verbindung zum LDAP-Server eingeben. Klicken Sie auf Verbindung testen, um eine Testverbindung zum LDAP-Server aufzubauen. Wenn die Verbindung hergestellt werden konnte, klicken Sie auf Weiter. In der folgenden Tabelle werden die Parameter auf dieser Seite beschrieben:
Parameter Beschreibung Beispiel Hostname
Name des Host-Computers, auf dem der LDAP-Server ausgeführt wird.
myservername
Port
Portnummer auf dem Host-Computer, die der LDAP-Server für eingehende Verbindungen überwacht. Wenn der LDAP-Server sichere Verbindungen (ldaps) unterstützt, wechselt ArcGIS for Server automatisch zum ldaps-Protokoll. Wenn Port 10389 angegeben wird, stellt ArcGIS for Server eine sichere Verbindung zu Port 10636 her. Wenn Port 389 angegeben wird, stellt ArcGIS for Server eine sichere Verbindung zu Port 636 her.
10389
389
Basis-DN
Der definierte Name (DN) des Knotens auf dem Verzeichnisserver, auf dem Benutzerinformationen gespeichert werden.
ou=users,ou=arcgis,dc=mydomain,dc=com
URL
Die LDAP-URL, die zur Herstellung der Verbindung zum LDAP-Server verwendet wird (automatisch generiert). Bearbeiten Sie diese URL, wenn sie falsch ist oder Änderungen erforderlich sind. Wenn der LDAP-Server nicht den Standard-Port 636 für sichere Verbindungen verwendet, müssen Sie hier die benutzerdefinierte Portnummer angeben.
ldap://myservername:389/ou=users,ou=arcgis,dc=mydomain,dc=com
ldap://myservername:10389/ou=users,ou=arcgis,dc=mydomain,dc=com
ldaps://myservername:10300/ou=users,ou=arcgis,dc=mydomain,dc=com
RDN-Attribut
Das RDN-Attribut (relativer definierter Name) für die Benutzereingabe auf dem LDAP-Server.
Für den DN "cn=john,ou=users,ou=arcgis,dc=mydomain,dc=com" lautet der RDN "cn=john". Das RDN-Attribut ist cn.
Für den DN "uid=john,ou=users,ou=arcgis,dc=mydomain,dc=com" lautet der RDN "uid=john". Das RDN-Attribut ist uid.
Administrator-DN
Der DN eines LDAP-Administratorkontos, das Zugriff auf den Knoten mit den Benutzerinformationen hat.
Es wird empfohlen, ein Administratorkonto mit einem Kennwort anzugeben, das nicht abläuft. Wenn dies nicht möglich ist, müssen Sie die Schritte in diesem Abschnitt jedes Mal wiederholen, wenn das Kennwort des Kontos geändert wird.
uid=admin,ou=administrators,dc=mydomain,dc=com
Kennwort
Das Kennwort des Administrators
adminpassword
- Geben Sie auf der nächsten Seite die Parameter zum Abrufen der Rollen vom LDAP-Server ein. In der folgenden Tabelle werden die Parameter detailliert beschrieben:
Parameter Beschreibung Beispiel Basis-DN
Der DN des Knotens auf dem Verzeichnisserver, auf dem Rolleninformationen gespeichert werden.
ou=roles,ou=arcgis,dc=mydomain,dc=com
URL
Die LDAP-URL, die zur Herstellung der Verbindung zum Server verwendet wird (automatisch generiert). Bearbeiten Sie diese URL, wenn sie falsch ist oder Änderungen erforderlich sind.
ldap://myservername:10389/ou=roles,ou=arcgis,dc=mydomain,dc=com
Benutzerattribut in Rolleneintrag
Der Name des Attributs im Rolleneintrag, der den DN der Benutzer enthält, die Mitglieder dieser Rolle sind.
Beim Apache Directory Server wird häufig "uniqueMember" als Attributname verwendet. Beim Microsoft Active Directory wird häufig "member" als Attributname verwendet.
- Klicken Sie nach dem Eingeben der Parameter auf Weiter.
- Legen Sie auf der Seite Authentifizierungsebene fest, wo die Authentifizierung erfolgen soll, und klicken Sie auf Weiter. Weitere Informationen zu dieser Option finden Sie unter Konfigurieren der ArcGIS for Server-Sicherheit.
- Überprüfen Sie die Zusammenfassung der gewählten Einstellungen. Klicken Sie auf Zurück, um Änderungen vorzunehmen, oder auf Fertig stellen, um die Sicherheitskonfiguration zu übernehmen und zu speichern.
Überprüfen von Benutzern und Rollen
Nachdem Sie die Sicherheitskonfiguration zur Nutzung des Speichers für die Benutzer- und Rollenverwaltung abgeschlossen haben, überprüfen Sie, ob die Benutzer und Rollen richtig importiert wurden. Verwenden Sie zum Hinzufügen, Bearbeiten oder Löschen von Benutzern und Rollen die Benutzerverwaltungswerkzeuge, die der LDAP-Provider bereitstellt.
- Klicken Sie in Manager auf Sicherheit > Benutzer.
- Stellen Sie sicher, dass die Benutzer wie erwartet vom LDAP-Server abgerufen wurden.
- Klicken Sie auf Rollen, um die vom LDAP-Server abgerufenen Rollen zu überprüfen.
- Stellen Sie sicher, dass die Rollen wie erwartet vom LDAP-Server abgerufen wurden. Klicken Sie neben einer Rolle auf die Schaltfläche Bearbeiten, um die Rollenzugehörigkeit zu überprüfen. Ändern Sie nach Bedarf den Wert Rollentyp. Weitere Informationen zu Rollentypen finden Sie unter Einschränken des Zugriffs auf ArcGIS for Server.
Einrichten der Authentifizierung auf Webebene im Web Adaptor des Servers
LDAP erfordert die Authentifizierung auf Webebene. Dies muss über ArcGIS Web Adaptor (Java Platform) erfolgen. Web Adaptor greift zur Authentifizierung eines Benutzers und zur Bereitstellung des Kontonamens eines Benutzers auf den Java-Anwendungsserver zurück. Nachdem der Kontoname abgerufen wurde, wird er an den Server weitergegeben.
Hinweis:
Bei der Konfiguration von Web Adaptor müssen Sie die Administration über Web Adaptor aktivieren. Dadurch wird Benutzern in LDAP die Veröffentlichung von Services über ArcGIS for Desktop ermöglicht. Wenn die Benutzer in diesen Rollen eine Verbindung mit dem Server in ArcGIS for Desktop herstellen, müssen sie die Web Adaptor-URL angeben.
Nach der Installation und Konfiguration von ArcGIS Web Adaptor (Java Platform) mit dem Server müssen Sie einen LDAP-Bereich auf Ihrem Java-Anwendungsserver konfigurieren und die Authentifizierungsmethode für den Web Adaptor festlegen. Weitere Anweisungen erhalten Sie in der Produktdokumentation für Ihren Java-Anwendungsserver oder von Ihrem Systemadministrator.
Festlegen von Berechtigungen für ArcGIS-Web-Services
Nachdem Sie die Sicherheitseinstellungen konfiguriert und die Benutzer und Rollen definiert haben, können Sie die Berechtigungen für den Zugriff auf Services festlegen.
ArcGIS for Server steuert den Zugriff auf die auf Ihrem Server gehosteten GIS-Web-Services mit einem rollenbasierten Zugriffssteuerungsmodell. In einem rollenbasierten Zugriffssteuerungsmodell wird die Berechtigung zum Zugreifen auf einen sicheren Service durch Zuweisen von Rollen zu diesem Service gesteuert. Um einen sicheren Service zu nutzen, muss ein Benutzer Mitglied einer Rolle sein, der Berechtigungen für den Zugriff zugewiesen wurden.
Berechtigungen können einem einzelnen Web-Service oder dem übergeordneten Ordner, der eine Gruppe von Services enthält, zugewiesen werden. Wenn Sie einem Ordner Berechtigungen zuweisen, erben alle enthaltenen Services die Berechtigungen des Ordners. Wenn Sie beispielsweise einer Rolle den Zugriff auf die Site (Stammordner) gewähren, können alle Benutzer, die dieser Rolle angehören, auf alle Services zugreifen, die auf dieser Site gehostet werden. Um Berechtigungen zu überschreiben, die ein Service automatisch von seinem übergeordneten Ordner erbt, können Sie den Service bearbeiten und die geerbten Berechtigungen explizit entfernen.
Informationen zum Festlegen von Berechtigungen für einen Service finden Sie unter Bearbeiten von Berechtigungen in Manager.