ArcGIS for Server может использовать такую информацию о пользователе и роли, хранящуюся в сервере LDAP, как Apache Directory Server или Microsoft Active Directory. ArcGIS for Server расценивает сервер LDAP как источник с атрибутом "только чтение" для информации о пользователе/роли и поэтому вы не можете использовать ArcGIS for Server Manager для добавления или удаления пользователей и ролей или редактирования их атрибутов.
Для использования протокола LDAP необходимо, чтобы Web Adaptor был развернут на сервере приложений Java, например, Apache Tomcat, IBM WebSphere или Oracle WebLogic. Вы не можете использовать ArcGIS Web Adaptor (IIS) для выполнения аутентификации на веб-уровне с LDAP.
Веб-сервисы ArcGIS for Server можно защитить с помощью механизма пользователей и ролей сервера LDAP. Для этого необходимо выполнить следующие шаги:
- Настройка параметров безопасности.
- Обзор пользователей и ролей.
- Настройка аутентификации на Web Adaptor вашего сервера
- Задание прав доступа для сервисов.
Настройка параметров безопасности
Для настройки параметров безопасности в Manager выполните следующие шаги:
- Откройте Manager и войдите с помощью учетной записи основного администратора сайта. Необходимо использовать учетную запись основного администратора сайта Справка по этому шагу приведена в разделе Вход в Менеджер.
- Нажмите Безопасность > Настройки.
- Щелкните кнопку Редактировать рядом с Настройками конфигурации.
- На странице Управление пользователями и ролямивыберите опцию Пользователи и роли в существующей многопользовательской системе (LDAP или Windows Domain) и нажмите Далее.
- На странице Тип корпоративного хранилища выберите параметр LDAP и нажмите Далее.
- На следующей странице вам необходимо ввести параметры для подключения к серверу LDAP. Нажмите Проверить подключение, чтобы создать тестовое подключение к серверу LDAP. Если попытка подключения успешна, нажмите Далее. В приведенной ниже таблице даны описания параметров, указанных на данной странице:
Параметр Описание Пример: Имя хоста
Имя узлового компьютера, на котором работает сервер LDAP.
myservername
Порт
Номер порта на узловом компьютере, с использованием которого сервер LDAP считывает входящие подключения. Если сервер LDAP поддерживает безопасные подключения (ldaps), ArcGIS Server автоматически переключится на протокол ldaps. Если задан порт 10389, ArcGIS Server создаст безопасное подключение к порту 10636. Если задан порт 389, ArcGIS Server создаст безопасное подключение к порту 636.
10636
636
Базовый DN
Отличительное имя (DN) узла в директории сервера, под которым поддерживается пользовательская информация.
ou=users,ou=arcgis,dc=mydomain,dc=com
URL-адрес
URL-адрес LDAP, который будет использован для подключения к LDAP серверу (создаются автоматически). Выполните редактирование данного URL, если он неверен или требует изменений. Если ваш LDAP-сервер не использует стандартный порт 636 для безопасных подключений, вы должны указать здесь номер пользовательского порта.
ldaps://myservername:636/ou=users,ou=arcgis,dc=mydomain,dc=com
ldaps://myservername:10636/ou=users,ou=arcgis,dc=mydomain,dc=com
ldaps://myservername:10300/ou=users,ou=arcgis,dc=mydomain,dc=com (пользовательский порт)
Атрибут RDN
Атрибут относительного отличительного имени (RDN) для записей пользователя на сервере LDAP.
Для DN "cn=john,ou=users,ou=arcgis,dc=mydomain,dc=com" RDN является "cn=john", атрибут RDN – cn.
Для DN "uid=john,ou=users,ou=arcgis,dc=mydomain,dc=com" RDN является "uid=john", атрибут RDN – uid.
DN администратора
DN учетной записи администратора LDAP, которая имеет доступ к узлу, содержащему информацию пользователя.
Рекомендуется указать учетную запись администратора с паролем, имеющим неограниченный срок действия. Если это невозможно, вам будет необходимо повторить шаги в данном разделе каждый раз, когда пароль для учетной записи изменяется.
uid=admin,ou=administrators,dc=mydomain,dc=com
Пароль
Пароль администратора.
adminpassword
- На следующей странице вам необходимо ввести параметры для получения ролей из сервера LDAP. В таблице ниже даны подробные описания параметров:
Параметр Описание Пример: Базовый DN
DN узла в директории сервера, под которым поддерживается информация роли.
ou=roles,ou=arcgis,dc=mydomain,dc=com
URL-адрес
URL-адрес LDAP, который будет использован для подключения к серверу (создаётся автоматически). Выполните редактирование данного URL, если он неверен или требует изменений.
ldaps://myservername:10636/ou=roles,ou=arcgis,dc=mydomain,dc=com
Атрибут User в записи Роли
Имя атрибута в записи роли, которое содержит DN пользователей, являющихся участниками данной роли.
В Apache Directory Server наиболее часто используемым именем атрибута является uniqueMember. В Microsoft Active Directory Server наиболее часто используемым именем атрибута является member.
- После ввода параметров нажмите Далее.
- На странице Уровень проверки подлинности выберите, где должна выполняться аутентификация, и нажмите Далее. Дополнительные сведения о данном параметре см. в разделе Настройка безопасности ArcGIS for Server.
- Просмотрите итоговую информацию ваших выборок. Нажмите Назад для внесения изменений или Готово для применения и записи конфигурации безопасности.
Обзор пользователей и ролей.
После настройки безопасности для использования хранилища для управления пользователем и ролью, просмотрите пользователей и роли для того, чтобы убедится в правильности их импорта. Для добавления, редактирования или удаления пользователей и ролей вам необходимо использовать инструменты управления пользователями, предоставляемые вашим провайдером LDAP.
- В Manager нажмите Безопасность > Пользователи.
- Убедитесь, что пользователи были получены из сервера LDAP, как ожидалось.
- Нажмите Роли для просмотра ролей, полученных с сервера LDAP.
- Убедитесь, что роли были получены из сервера LDAP, как ожидалось. Нажмите кнопку Редактировать рядом с ролью для проверки ее участия. При необходимости измените значение Тип роли. Дополнительные сведения о типах ролей см. в разделе Ограничение доступа к ArcGIS for Server.
Кэширование пользователей и ролей
В версии ArcGIS 10.5, пользователи и роли LDAP будут кэшироваться на сервере после запроса на пользователей или роли. Это помогает оптимизировать производительность ваших сервисов безопасности. По умолчанию, пользователи и роли будут кэшироваться на 30 минут. Вы можете изменить этот временной промежуток, задав свойству minutesToCacheUserRoles другое значение в ArcGIS Server Administrator Directory в системных свойствах. Вы также можете отключить кэширование, установив это свойство равным нулю.
Настройка аутентификации на Web Adaptor вашего сервера
LDAP требует аутентификации веб-уровня, и это можно выполнить с помощью ArcGIS Web Adaptor (Java Platform). Web Adaptor использует сервер приложений Java, чтобы проводить аутентификацию пользователей и предоставлять Web Adaptor имя пользователя учетной записи. Получив имя учетной записи, он передает его на сервер.
Примечание:
При настройке Web Adaptor необходимо включить администрирование через него. Это позволит пользователям LDAP публиковать сервисы в ArcGIS Desktop. Когда пользователи с этими ролями подключаются к серверу в ArcGIS Desktop, они должны указывать URL-адрес Web Adaptor.
По окончании установки и настройки ArcGIS Web Adaptor (Java Platform) для работы с вашим сервером вам потребуется настроить область LDAP на вашем сервере приложений Java, а также метод аутентификации для Web Adaptor. Для получения инструкций обратитесь к документации по этому продукту для сервера приложений Java или проконсультируйтесь со своим системным администратором.
Установка прав доступа к веб-сервисам ArcGIS.
После настройки параметров безопасности и определенных пользователей и ролей вы можете задать права доступа для сервисов с целью управления доступом к ним.
ArcGIS Server контролирует доступ к веб-сервисам ГИС, размещенным на вашем сервере, с использованием ролевой модели управления доступом. В ролевой модели управления доступом права доступа к защищенному сервису управляются путем назначения ролей для данного сервиса. Для использования защищенного сервиса пользователь должен быть членом роли, которой были назначены права доступа.
Права доступа должны быть назначены для отдельного веб-сервиса или родительской папки, содержащей группу сервисов. При назначении прав доступа папке, любой содержащийся в ней сервис наследует соответствующие права. Например, если предоставить роли доступ к папке сайта (корневой), пользователи, которые принадлежат этой роли, получают права доступа ко всем сервисам, размещенным на данном сайте. Кроме того, для перезаписи прав доступа, автоматически унаследованных сервисом от родительской папки, вы можете выполнить редактирование сервиса и явно удалить права доступа, которые были унаследованы.
Для настройки прав доступа для сервиса см. Редактирование прав доступа в Менеджере (Editing permissions in Manager).