Skip To Content

Sichern von Services über Benutzer und Rollen von einem LDAP-Server

ArcGIS for Server kann die Benutzer- und Rolleninformationen nutzen, die auf einem LDAP-Server gespeichert sind, z. B. Apache Directory Server oder Microsoft Active Directory. Für ArcGIS for Server dient der LDAP-Server als schreibgeschützte Quelle mit Benutzer- und Rolleninformationen. Den ArcGIS Server Manager können Sie daher nicht verwenden, um Benutzer oder Rollen hinzuzufügen, zu löschen oder die zugehörigen Attribute zu bearbeiten.

Um LDAP zu verwenden, müssen Sie Web Adaptor auf einem Java-Anwendungsserver wie Apache Tomcat, IBM WebSphere oder Oracle WebLogic bereitstellen. ArcGIS Web Adaptor (IIS) kann nicht zur Authentifizierung auf Webebene mit LDAP herangezogen werden.

Führen Sie die folgenden Schritte aus, um ArcGIS-Web-Services über Benutzer und Rollen von einem LDAP-Server zu sichern:

  1. Sicherheitseinstellungen konfigurieren
  2. Überprüfen von Benutzern und Rollen
  3. Einrichten der Authentifizierung auf Webebene im Web Adaptor des Servers
  4. Festlegen von Berechtigungen für Services.

Konfigurieren von Sicherheitseinstellungen

Führen Sie die nachstehenden Schritte aus, um die Sicherheit mit Manager zu konfigurieren:

  1. Öffnen Sie Manager, und melden Sie sich als primärer Site-Administrator an. Sie müssen das primäre Site-Administratorkonto verwenden. Falls Sie Hilfe zu diesem Schritt benötigen, finden Sie weitere Informationen unter Anmelden bei Manager.
  2. Klicken Sie auf Sicherheit > Einstellungen.
  3. Klicken Sie neben Konfigurationseinstellungen auf die Schaltfläche Bearbeiten Bearbeiten.
  4. Wählen Sie auf der Seite Benutzer- und Rollenverwaltungdie Option Benutzer und Rollen aus einem vorhandenen Enterprise-System (LDAP oder Windows-Domäne), und klicken Sie auf Weiter.
  5. Wählen Sie auf der Seite Typ des Enterprise-Speichers die Option LDAP, und klicken Sie auf Weiter.
  6. Auf der nächsten Seite müssen Sie die Parameter für die Herstellung der Verbindung zum LDAP-Server eingeben. Klicken Sie auf Verbindung testen, um eine Testverbindung zum LDAP-Server aufzubauen. Wenn die Verbindung hergestellt werden konnte, klicken Sie auf Weiter. In der folgenden Tabelle werden die Parameter auf dieser Seite beschrieben:

    ParameterBeschreibungBeispiel

    Hostname

    Name des Host-Computers, auf dem der LDAP-Server ausgeführt wird.

    myservername

    Port

    Portnummer auf dem Host-Computer, die der LDAP-Server für eingehende Verbindungen überwacht. Wenn der LDAP-Server sichere Verbindungen (ldaps) unterstützt, wechselt ArcGIS for Server automatisch zum ldaps-Protokoll. Wenn Port 10389 angegeben wird, stellt ArcGIS for Server eine sichere Verbindung zu Port 10636 her. Wenn Port 389 angegeben wird, stellt ArcGIS for Server eine sichere Verbindung zu Port 636 her.

    10636

    636

    Basis-DN

    Der definierte Name (DN) des Knotens auf dem Verzeichnisserver, auf dem Benutzerinformationen gespeichert werden.

    ou=users,ou=arcgis,dc=mydomain,dc=com

    URL

    Die LDAP-URL, die zur Herstellung der Verbindung zum LDAP-Server verwendet wird (automatisch generiert). Bearbeiten Sie diese URL, wenn sie falsch ist oder Änderungen erforderlich sind. Wenn der LDAP-Server nicht den Standard-Port 636 für sichere Verbindungen verwendet, müssen Sie hier die benutzerdefinierte Portnummer angeben.

    ldaps://myservername:636/ou=users,ou=arcgis,dc=mydomain,dc=com

    ldaps://myservername:10636/ou=users,ou=arcgis,dc=mydomain,dc=com

    ldaps://myservername:10300/ou=users,ou=arcgis,dc=mydomain,dc=com (benutzerdefinierter Port)

    RDN-Attribut

    Das RDN-Attribut (relativer definierter Name) für die Benutzereingabe auf dem LDAP-Server.

    Für den DN "cn=john,ou=users,ou=arcgis,dc=mydomain,dc=com" lautet der RDN "cn=john". Das RDN-Attribut ist cn.

    Für den DN "uid=john,ou=users,ou=arcgis,dc=mydomain,dc=com" lautet der RDN "uid=john". Das RDN-Attribut ist uid.

    Administrator-DN

    Der DN eines LDAP-Administratorkontos, das Zugriff auf den Knoten mit den Benutzerinformationen hat.

    Es wird empfohlen, ein Administratorkonto mit einem Kennwort anzugeben, das nicht abläuft. Wenn dies nicht möglich ist, müssen Sie die Schritte in diesem Abschnitt jedes Mal wiederholen, wenn das Kennwort des Kontos geändert wird.

    uid=admin,ou=administrators,dc=mydomain,dc=com

    Kennwort

    Das Kennwort des Administrators

    adminpassword

  7. Geben Sie auf der nächsten Seite die Parameter zum Abrufen der Rollen vom LDAP-Server ein. In der folgenden Tabelle werden die Parameter detailliert beschrieben:

    ParameterBeschreibungBeispiel

    Basis-DN

    Der DN des Knotens auf dem Verzeichnisserver, auf dem Rolleninformationen gespeichert werden.

    ou=roles,ou=arcgis,dc=mydomain,dc=com

    URL

    Die LDAP-URL, die zur Herstellung der Verbindung zum Server verwendet wird (automatisch generiert). Bearbeiten Sie diese URL, wenn sie falsch ist oder Änderungen erforderlich sind.

    ldaps://myservername:10636/ou=roles,ou=arcgis,dc=mydomain,dc=com

    Benutzerattribut in Rolleneintrag

    Der Name des Attributs im Rolleneintrag, der den DN der Benutzer enthält, die Mitglieder dieser Rolle sind.

    Beim Apache Directory Server wird häufig "uniqueMember" als Attributname verwendet. Beim Microsoft Active Directory wird häufig "member" als Attributname verwendet.

  8. Klicken Sie nach dem Eingeben der Parameter auf Weiter.
  9. Legen Sie auf der Seite Authentifizierungsebene fest, wo die Authentifizierung erfolgen soll, und klicken Sie auf Weiter. Weitere Informationen zu dieser Option finden Sie unter Konfigurieren der ArcGIS for Server-Sicherheit.
  10. Überprüfen Sie die Zusammenfassung der gewählten Einstellungen. Klicken Sie auf Zurück, um Änderungen vorzunehmen, oder auf Fertig stellen, um die Sicherheitskonfiguration zu übernehmen und zu speichern.

Überprüfen von Benutzern und Rollen

Nachdem Sie die Sicherheitskonfiguration zur Nutzung des Speichers für die Benutzer- und Rollenverwaltung abgeschlossen haben, überprüfen Sie, ob die Benutzer und Rollen richtig importiert wurden. Verwenden Sie zum Hinzufügen, Bearbeiten oder Löschen von Benutzern und Rollen die Benutzerverwaltungswerkzeuge, die der LDAP-Provider bereitstellt.

  1. Klicken Sie in Manager auf Sicherheit > Benutzer.
  2. Stellen Sie sicher, dass die Benutzer wie erwartet vom LDAP-Server abgerufen wurden.
  3. Klicken Sie auf Rollen, um die vom LDAP-Server abgerufenen Rollen zu überprüfen.
  4. Stellen Sie sicher, dass die Rollen wie erwartet vom LDAP-Server abgerufen wurden. Klicken Sie neben einer Rolle auf die Schaltfläche Bearbeiten, um die Rollenzugehörigkeit zu überprüfen. Ändern Sie nach Bedarf den Wert Rollentyp. Weitere Informationen zu Rollentypen finden Sie unter Einschränken des Zugriffs auf ArcGIS for Server.

Caching von Benutzern und Rollen

Ab ArcGIS 10.5 werden LDAP-Benutzer und -Rollen nach einer Anforderung für Benutzer oder Rollen auf dem Server gecacht. Dies trägt zur Optimierung der Performance Ihrer sicheren Services bei. Standardmäßig werden die Benutzer und Rollen 30 Minuten gecacht. Sie können diesen Zeitraum anpassen, indem Sie für die minutesToCacheUserRoles-Eigenschaft im ArcGIS Server-Administratorverzeichnis in den Systemeigenschaften einen anderen Wert festlegen. Legen Sie die Eigenschaft auf null (0) fest, um das Caching zu deaktivieren.

Einrichten der Authentifizierung auf Webebene im Web Adaptor des Servers

LDAP erfordert die Authentifizierung auf Webebene. Dies muss über ArcGIS Web Adaptor (Java Platform) erfolgen. Web Adaptor greift zur Authentifizierung eines Benutzers und zur Bereitstellung des Kontonamens eines Benutzers auf den Java-Anwendungsserver zurück. Nachdem der Kontoname abgerufen wurde, wird er an den Server weitergegeben.

Hinweis:

Bei der Konfiguration von Web Adaptor müssen Sie die Administration über Web Adaptor aktivieren. Dadurch wird Benutzern in LDAP die Veröffentlichung von Services über ArcGIS Desktop ermöglicht. Wenn die Benutzer in diesen Rollen eine Verbindung mit dem Server in ArcGIS Desktop herstellen, müssen sie die Web Adaptor-URL angeben.

Nach der Installation und Konfiguration von ArcGIS Web Adaptor (Java Platform) mit dem Server müssen Sie einen LDAP-Bereich auf Ihrem Java-Anwendungsserver konfigurieren und die Authentifizierungsmethode für den Web Adaptor festlegen. Weitere Anweisungen erhalten Sie in der Produktdokumentation für Ihren Java-Anwendungsserver oder von Ihrem Systemadministrator.

Festlegen von Berechtigungen für ArcGIS-Web-Services

Nachdem Sie die Sicherheitseinstellungen konfiguriert und die Benutzer und Rollen definiert haben, können Sie die Berechtigungen für den Zugriff auf Services festlegen.

ArcGIS for Server steuert den Zugriff auf die auf Ihrem Server gehosteten GIS-Web-Services mit einem rollenbasierten Zugriffssteuerungsmodell. In einem rollenbasierten Zugriffssteuerungsmodell wird die Berechtigung zum Zugreifen auf einen sicheren Service durch Zuweisen von Rollen zu diesem Service gesteuert. Um einen sicheren Service zu nutzen, muss ein Benutzer Mitglied einer Rolle sein, der Berechtigungen für den Zugriff zugewiesen wurden.

Berechtigungen können einem einzelnen Web-Service oder dem übergeordneten Ordner, der eine Gruppe von Services enthält, zugewiesen werden. Wenn Sie einem Ordner Berechtigungen zuweisen, erben alle enthaltenen Services die Berechtigungen des Ordners. Wenn Sie beispielsweise einer Rolle den Zugriff auf die Site (Stammordner) gewähren, können alle Benutzer, die dieser Rolle angehören, auf alle Services zugreifen, die auf dieser Site gehostet werden. Um Berechtigungen zu überschreiben, die ein Service automatisch von seinem übergeordneten Ordner erbt, können Sie den Service bearbeiten und die geerbten Berechtigungen explizit entfernen.

Informationen zum Festlegen von Berechtigungen für einen Service finden Sie unter Bearbeiten von Berechtigungen in Manager.