Во время работы ArcGIS Server он запускает и останавливает процессы, читает и записывает данные в папки файловой системы, а также взаимодействует с разными компьютерами. Для безопасного выполнения этих операций используется учетная запись операционной системы, указываемая при установке ArcGIS Server. В документации она называется учетной записью ArcGIS Server.
Когда используется учетная запись ArcGIS Server?
Учетная запись ArcGIS Server используется для следующих целей:
- Запуск и остановка процессов, поддерживающих ArcGIS Server и сервисы.
- Чтение ГИС-данных за сервисами, когда зарегистрированная база данных использует аутентификацию операционной системы.
- Чтение и запись файлов в директориях ArcGIS Server, например, при создании кэша карты учетная запись ArcGIS Server записывает листы кэша в директорию кэша сервера.
- Чтение и запись файлов в хранилище конфигурации; например, при создании нового кластера в ArcGIS Server Manager учетная запись ArcGIS Server записывает информацию о его конфигурации в файлы, находящиеся в хранилище конфигурации.
- Чтение и запись файлов в папку установки ArcGIS Server и системную директорию temp; например, учетная запись записывает файлы журнала, которые можно использовать для диагностики сервера.
- Чтение и запись сообщений журнала в папке журналов.
Примечание:
Учетная запись ArcGIS Server не является учетной записью основного администратора сайта, заданную вами при создании сайта ArcGIS Server. Дополнительные сведения см. в разделе Защита вашего сайта ArcGIS Server.
Какую учетную запись сделать учетной записью ArcGIS Server?
По умолчанию имя учетной записи ArcGIS Server – arcgis. Принятие данных значений по умолчанию является достаточным для большинства непроизводственных развертываний; для производственных систем рекомендуется перед установкой ArcGIS Server создать домен или учетную запись Active Directory. Если ваша политика безопасности требует применения паролей со сроком действия, то вам необходимо будет запустить утилиту настройки учетной записи Configure ArcGIS for Server для обновления пароля с истекшим сроком действия.
Вы можете указать локальную или доменную учетную запись. Вы можете экспортировать файл конфигурации установки в процессе инсталляции ArcGIS Server на первом компьютере сайта и использовать этот файл для инсталляции ArcGIS Server на всех остальных компьютерах сайта. Таким образом, вы можете гарантировать, что учетная запись ArcGIS Server настроена аналогично на всех компьютерах вашего сайта.
Доменная учетная запись
Доменная учетная запись облегчает доступ к данным в удаленных системах. Доменная учетная запись предпочтительнее и с точки зрения безопасности, поскольку управление ею осуществляется централизованно.
При задании учетной записи домена, используйте формат DOMAIN\username. Если вы не указываете домен, мастер установки ArcGIS Server создаёт локальную учётную запись с указанным вами именем пользователя. Если указать несуществующую доменную учетную запись, программа установки сообщит об ошибке.
Если настройки входа запрещают вход с машины, на которой установлен ArcGIS Server, вы получите во время установки сообщение об ошибке. Настраивать для учетной записи ArcGIS Server параметр групповой политики Локальный вход необязательно. Более подробно см. Дополнительные вопросы использования доменных учетных записей.
Локальная учётная запись
Если вы выбрали локальную учетную запись, она должна существовать на каждой установке ArcGIS Server с одинаковым именем и паролем. Вы можете создать локальную учётную запись с одинаковыми паролями на всех машинах перед установкой ArcGIS Server, или позволить мастеру установки ArcGIS Server создать локальную учётную запись; проверьте только чтобы на всех машинах сайта использовались одинаковые имя пользователя и пароль.
Если в процессе установки вы создаете новую локальную учетную запись, пароль необходимо задавать в соответствии с локальной политикой безопасности вашей ОС. Если пароль не соответствует минимальным требованиям ОС, в процессе установки появится сообщение об ошибке. Обратитесь к документации Microsoft по поводу используемой вами версии Windows, как проверить политику безопасности на ваших машинах.
У меня учётная запись SOC от сайта ArcGIS Server 10 или более старой версии. Могу ли я сделать ее учетной записью ArcGIS Server?
До версии 10.1 ArcGIS Server требовалось создать учетную запись, называемую учетной записью SOC, и предоставить ей права доступа ко всем папкам данных. Если у вас уже есть учетная запись SOC с необходимыми правами доступа, вы можете указать ее в качестве учетной записи ArcGIS Server при обновлении. Это может избавить вас от необходимости или хотя бы сократить усилия по настройке всех необходимых прав доступа в процессе переноса.
Могу ли я воспользоваться локальной учётной записью Windows для запуска сервиса ArcGIS Server?
Да; но это не рекомендуется по следующим причинам:
- У учётной записи Windows LocalSystem очень много прав, это может плохо повлиять на безопасность. Подробные сведения см. в Учетная запись LocalSystem в Microsoft Development Center.
- Учетная запись LocalSystem не предназначена для доступа к сетевым папкам. Для доступа к сервису и данным сайта вам надо хранить данные локально.
- Вы не можете использовать LocalSystem в качестве учетной записи ArcGIS Server на сайте с несколькими машинами.
Какие права доступа необходимо предоставить учетной записи ArcGIS Server?
При установке ArcGIS Server учетной записи ArcGIS Server предоставляются права выполнения базовых функций, таких как запуск и остановка процессов сервера. Кроме того, учетная запись получает права чтения во всех папках каталога установки ArcGIS Server и полный доступ к следующим папкам:
- <ArcGIS Server installation directory>\framework
- <Директория установки ArcGIS Server>\geronimo
- <ArcGIS Server installation directory>\usr
- <ArcGIS Server installation directory>\bin
- <ArcGIS Server installation directory>\XMLSchema
- <ArcGIS Server installation directory> \DatabaseSupport
Перед созданием сайта учетной записи ArcGIS Server необходимо предоставить следующие права:
- Права чтения и записи там, где будут созданы каталоги вашего сервера. Помните, что вам необходимо предоставить учетной записи ArcGIS Server права для чтения и записи в любые новые серверные директории, которые вы создали после настройки сайта.
- Разрешения на чтение и запись в местоположении, в котором будет создано ваше хранилище конфигурации.
- Права чтения и записи в <ArcGIS Server installation directory>\arcgisserver\logs и право создания этой папки, если она еще не создана вручную.
- Права чтения директорий, содержащих файлы подключения к базе данных, которые вы зарегистрируете на сайте ArcGIS Server перед публикацией веб-сервисов. Если вы выберете систему проверки подлинности Windows вместо проверки подлинности базы данных, то вам также потребуется выдать учетной записи ArcGIS Server право записи.
- Права доступа чтения для папок ГИС-данных, которые вы зарегистрируете на сайте ArcGIS Server перед публикацией веб-сервисов. Если разрешить процессу публикации копировать данные на сервер (см. раздел Автоматическое копирование данных на сервер при публикации), то данные размещаются в серверных директориях, для которых учетной записи ArcGIS Server уже были предоставлены права при создании сайта. Применять дополнительные права доступа к исходным серверным директориям необязательно.
- Права с полным управлением к папке Python27. По умолчанию эта папка расположена в каталоге C:\Python27.
При создании сайта учетная запись ArcGIS Server наделяется правами чтения и записи в каталоге журналов ArcGIS Server. Если вы создаете новую папку журналов, вам необходимо вручную предоставить учетной записи ArcGIS Server права чтения и записи в ней.
Учетной записи ArcGIS Server не нужно быть в группе Администраторов Windows на каком-то из компьютеров вашего сайта.
Изменение учетной записи ArcGIS Server
Вам не нужно повторно запускать установку ArcGIS Server для изменения учетной записи ArcGIS Server. После установки вы можете изменить учетную запись, запустив утилиту Configure ArcGIS Server Account utility, которая входит в комплект программного обеспечения. Это можно сделать и в ответ на изменение политики безопасности или при устранении неполадок сервера.
Запустите эту утилиту вместо того, чтобы вручную менять учетную запись ArcGIS Server инструментами операционной системы. Утилита предназначена для предоставления доступа ко всем необходимым директориям (как описано выше), кроме директории Python 2.7, на всех компьютерах в системе. Ошибка при изменении учетной записи вручную может привести к сбою сервера и выходу системы из строя.
Примечание:
Инструмент Configure ArcGIS Server Account utility не предоставляет директории Python 2.7 никаких прав. Вам нужно вручную предоставить папке Python 2.7 права доступа после запуска утилиты.
Чтобы изменить учетную запись ArcGIS Server с помощью утилиты, выполните следующие действия:
- На одной машине сайта ArcGIS Server откройте утилиту Configure ArcGIS Server Account.
- Введите имя пользователя и пароль для учетной записи, которую вы желаете назначить для учетной записи ArcGIS Server. Щелкните Далее.
- Дополнительно укажите корневой каталог сервера и местоположения хранилища конфигурации, используемого вашим сайтом ArcGIS Server. Например:
- Если корневой каталог вашего сайта и хранилище конфигурации доступны через локальные пути с именами диска и вы указали эти директории в утилите, то она автоматически выдаст права доступа чтения и записи новой учетной записи для директорий.
- Если корневой каталог вашего сайта и хранилище конфигурации используют сетевые пути (UNC), оставьте эти поля пустыми и выдайте права доступа чтения и записи новой учетной записи для директорий вручную после завершения работы утилиты.
- При необходимости укажите положение директории журналов. Если вы ввели местоположение, то утилита автоматически предоставит новой учетной записи права для чтения и записи для данной директории. Если вы оставите данное поле пустым, то вам потребуется выдать вручную права доступа чтения и записи новой учетной записи для директорий каждой машины вашего сайта ArcGIS Server развертывания вручную после завершения работы утилиты.
Примечание:
Директория журналов не имеет отношения к местоположению директорий сервера или хранилища конфигураций. Если вы изменили местоположение директории журналов, постарайтесь сохранить местоположение на корневом уровне вашего сайта ArcGIS Server. Нельзя задать сетевую директорию в качестве местоположения журналов. Дополнительная информация приведена в разделе О журналах сервера.
- Щелкните Далее.
- В диалоговом окне Экспорт файла конфигурации сервера рассмотрите следующие возможности:
- Если у вас есть несколько машин на сайте ArcGIS Server, выполните экспорт файла конфигурации. Это обезопасит вас от необходимости ввода информации в утилиту для оставшихся компьютеров вашего сайта. Так вы можете быть уверены в том, что учетная запись ArcGIS Server настроена одинаково на всех компьютерах вашего сайта. Укажите безопасное местоположение для файла конфигурации и нажмите Далее.
- Вы можете экспортировать и сохранить файл конфигурации, если у вас есть одна машина на сайте ArcGIS Server, а файл конфигурации можно на всякий случай сохранить. Убедитесь, что файл сохранен в безопасном местоположении, и щёлкните Далее.
- На итоговой панели просмотрите свойства учетной записи и нажмите Настроить. Ваша новая учетная запись будет настроена в качестве учетной записи ArcGIS Server. Закройте утилиту.
- Запустите утилиту на каждом из оставшихся компьютеров вашего сайта. Вы можете указать утилите файл конфигурации, созданный ранее, или ввести информацию, которую вы предоставили выше.
- Выдайте новой учетной записи права чтения директорий, содержащих файлы данных и файлы подключения к базе данных, которые вы зарегистрировали при помощи сайта ArcGIS Server. Если вы используете аутентификацию Windows вместо аутентификации средствами базы данных, то вам также потребуется выдать для учетной записи права доступа записи для файлов подключения.
Изменение учетной записи ArcGIS Server из командной строки
Чтобы не запускать мастер утилиты ArcGIS Server Configure ArcGIS Server Account, вы можете запустить исполняемый файл из командной строки. Утилита командной строки ServerConfigurationUtility.exe устанавливается в папку <ArcGIS Server installation location>\bin. Вы можете собрать в скрипт обновления на учётной записи ArcGIS Server после применения обновлений в политике безопасности вашей организации.
Доступны следующие параметры:
ServerConfigurationUtility [/readconfig] | [/writeconfig] | [/username] | [/password] | [/rsdir] | [/csdir] | [/logsdir]
- <readconfig> – Необязательный путь к файлу конфигурации, сохраненный при предыдущем выполнении утилиты.
- <writeconfig> – Необязательный путь к папке, где будет сохранен файл конфигурации, чтобы можно было применить те же свойства при последующих запусках утилиты.
- <username> — Имя для использования с учетной записью ArcGIS Server.
- <password> — Пароль для учетной записи ArcGIS Server.
- <rsdir> – Путь к корневому каталогу сервера. Это необязательный параметр, но если вы его не укажете, вам придется вручную предоставить учетной записи ArcGIS Server права чтения и записи в корневом каталоге сервера.
- <csdir> – Каталог хранилища конфигурации. Это необязательный параметр, но если вы его не укажете, вам придется вручную предоставить учетной записи ArcGIS Server права чтения и записи в хранилище конфигурации.
- <logsdir> — Путь к каталогу журналов ArcGIS Server. Это необязательный параметр, но если вы его не укажете, вам придется вручную предоставить учетной записи ArcGIS Server права чтения и записи в каталоге журналов.
Пример: ServerConfigurationUtility /writeconfig c:\temp\myconfig.xml /username arcgisnew /password secret /rsdir c:\arcgisserver\directories /csdir c:\arcgisserver\config-store /logsdir c:\arcgisserver\logs
Определение региональных настроек (локали) учетной записи ArcGIS Server
Локаль учетной записи ArcGIS Server выбирается согласно локали учетной записи Windows, заданной в процессе установки. Если учетная запись не указана и используется учетная запись по умолчанию (arcgis), ее локаль определяется настройками ОС. Локаль имеет важное значение, поскольку все сообщения, генерируемые ArcGIS Server, например, журналы, отображаются на языке учетной записи ArcGIS Server. Чтобы сообщения отображались на другом языке или в другом формате, вы должны изменить язык отображения для учётной записи ArcGIS Server на каждом компьютере вашего сайта ArcGIS Server. См. документацию Microsoft по определённым инструкциям для используемой вами версии операционной системы.