Вы можете настроить автономный сайт ArcGIS Server на использование информации о пользователях и ролях в каталоге LDAP, в том числе Apache Directory Server или Microsoft Active Directory. Когда оно настроено, оно заменяет использование встроенного хранилища аутентификаций на сервере для управления пользователями и ролями. ArcGIS Server расценивает каталог LDAP как источник с атрибутом "только чтение" для информации о пользователе/роли, и поэтому вы не можете использовать ArcGIS Server Manager для добавления или удаления пользователей и ролей или редактирования их атрибутов.
Примечание:
Если сайт ArcGIS Server интегрирован с порталом ArcGIS Enterprise, он принимает настройки безопасности и публикации с портала. См. Использование портала с LDAP или Active Directory и аутентификацией на веб-уровне с описанием аналогичного рабочего процесса для портала.
Для использования протокола LDAP необходимо, чтобы Web Adaptor был развернут на сервере приложений Java, например, Apache Tomcat, IBM WebSphere или Oracle WebLogic. Вы не можете использовать ArcGIS Web Adaptor (IIS) для выполнения аутентификации на веб-уровне с LDAP.
Вы можете настроить каталог LDAP для управления пользователями и ролями сервера, выполнив следующие шаги:
- Настройка параметров безопасности.
- Просмотрите пользователей и роли.
- Настройка аутентификации на Web Adaptor вашего сервера
- Управление правами доступа для сервисов.
Настройка параметров безопасности
Для настройки параметров безопасности в Manager выполните следующие шаги:
- Откройте Manager и войдите с помощью учетной записи основного администратора сайта. Необходимо использовать учетную запись основного администратора сайта Справка по этому шагу приведена в разделе Вход в Manager.
- Нажмите Безопасность > Настройки.
- Щелкните кнопку Редактировать рядом с Настройками конфигурации.
- На странице Управление пользователями и ролямивыберите опцию Пользователи и роли в существующей многопользовательской системе (LDAP или Windows Domain) и нажмите Далее.
- На странице Тип корпоративного хранилища выберите параметр LDAP и нажмите Далее.
- На следующей странице необходимо ввести параметры для подключения к каталогу LDAP. Нажмите Тестовое подключение, чтобы создать тестовое подключение к каталогу LDAP. Если попытка подключения успешна, нажмите Далее. В приведенной ниже таблице даны описания параметров, указанных на данной странице:
Параметр Описание Пример Имя хоста
Имя размещающего компьютера, на котором работает каталог LDAP.
myservername
Порт
Номер порта на размещающем компьютере, с которого каталог LDAP считывает входящие подключения. Если каталог LDAP поддерживает безопасные подключения (ldaps), ArcGIS Server автоматически переключится на протокол ldaps. Если задан порт 10389, ArcGIS Server создаст безопасное подключение к порту 10636. Если задан порт 389, ArcGIS Server создаст безопасное подключение к порту 636.
10636
636
Базовый DN
Отличительное имя (DN) узла в директории сервера, под которым поддерживается пользовательская информация.
ou=users,ou=arcgis,dc=mydomain,dc=com
URL
URL-адрес LDAP, который будет использоваться для подключения к каталогу LDAP (создаются автоматически). Выполните редактирование данного URL, если он неверен или требует изменений. Если ваш каталог LDAP не использует стандартный порт 636 для безопасных подключений, вы должны указать здесь номер пользовательского порта.
ldaps://myservername:636/ou=users,ou=arcgis,dc=mydomain,dc=com
ldaps://myservername:10636/ou=users,ou=arcgis,dc=mydomain,dc=com
ldaps://myservername:10300/ou=users,ou=arcgis,dc=mydomain,dc=com (пользовательский порт)
Атрибут RDN
Атрибут относительного отличительного имени (RDN) для записей пользователя в каталоге LDAP.
Для DN "cn=john,ou=users,ou=arcgis,dc=mydomain,dc=com" RDN является "cn=john", атрибут RDN – cn.
Для DN "uid=john,ou=users,ou=arcgis,dc=mydomain,dc=com" RDN является "uid=john", атрибут RDN – uid.
DN администратора
DN учетной записи администратора LDAP, которая имеет доступ к узлу, содержащему информацию пользователя.
Рекомендуется указать учетную запись администратора с паролем, имеющим неограниченный срок действия. Если это невозможно, вам будет необходимо повторять шаги в данном разделе каждый раз при изменении пароля.
uid=admin,ou=administrators,dc=mydomain,dc=com
Пароль
Пароль администратора.
adminpassword
- На следующей странице вам необходимо ввести параметры для получения ролей из каталога LDAP. В таблице ниже даны подробные описания параметров:
Параметр Описание Пример Базовый DN
DN узла в директории сервера, под которым поддерживается информация роли.
ou=roles,ou=arcgis,dc=mydomain,dc=com
URL
URL-адрес LDAP, который будет использован для подключения к серверу (создаётся автоматически). Выполните редактирование данного URL, если он неверен или требует изменений.
ldaps://myservername:10636/ou=roles,ou=arcgis,dc=mydomain,dc=com
Атрибут User в записи Роли
Имя атрибута в записи роли, которое содержит DN пользователей, являющихся участниками данной роли.
В Apache Directory Server наиболее часто используемым именем атрибута является uniqueMember. В Microsoft Active Directory Server наиболее часто используемым именем атрибута является member.
- После ввода параметров нажмите Далее.
- На странице Уровень проверки подлинности выберите, где должна выполняться аутентификация, и нажмите Далее. Дополнительные сведения об этой опции см. в разделе Настройка безопасности ArcGIS Server.
- Просмотрите итоговую информацию ваших выборок. Нажмите Назад для внесения изменений или Готово для применения и записи конфигурации безопасности.
Просмотр пользователей и ролей
После настройки безопасности для использования хранилища для управления пользователем и ролью, просмотрите пользователей и роли для того, чтобы убедится в правильности их импорта. Для добавления, редактирования или удаления пользователей и ролей вам необходимо использовать инструменты управления пользователями, предоставляемые вашим провайдером LDAP.
- В Manager нажмите Безопасность > Пользователи.
- Убедитесь, что из каталога LDAP были извлечены ожидаемые пользователи.
- Нажмите Роли для просмотра ролей, извлеченных из каталога LDAP.
- Убедитесь, что из каталога LDAP были извлечены ожидаемые роли. Нажмите кнопку Редактировать рядом с ролью для проверки ее участия. При необходимости измените значение Тип роли. Дополнительные сведения о типах ролей см. в разделе Ограничение доступа в ArcGIS Server.
Кэширование пользователей и ролей
В версии 10.5, пользователи и роли LDAP будут кэшироваться на сервере после запроса на пользователей или роли. Это помогает оптимизировать производительность ваших сервисов безопасности. По умолчанию, пользователи и роли будут кэшироваться на 30 минут. Вы можете изменить этот временной промежуток, установив другое значение параметра minutesToCacheUsersAndRoles в ArcGIS Server Administrator Directory в свойствах системы. Вы также можете отключить кэширование, установив это свойство равным нулю.
Настройка аутентификации на Web Adaptor вашего сервера
LDAP требует аутентификации веб-уровня, и это можно выполнить с помощью ArcGIS Web Adaptor (Java Platform). При проведении аутентификации пользователей и предоставлении веб-адаптеру имени пользователя для учетной записи Web Adaptor использует сервер приложений Java. Получив имя учетной записи, он передает его на сервер.
Примечание:
При настройке ArcGIS Web Adaptor необходимо включить администрирование через Web Adaptor. Это позволит пользователям LDAP публиковать сервисы из ArcMap. Когда пользователи с этими ролями подключаются к серверу в ArcMap, они должны указывать URL-адрес Web Adaptor.
По окончании установки и настройки ArcGIS Web Adaptor для работы с вашим сервером вам потребуется настроить область LDAP на вашем сервере приложений Java, а также настроить метод аутентификации для Web Adaptor. Для получения инструкций обратитесь к документации по этому продукту для сервера приложений Java или проконсультируйтесь со своим системным администратором.
Управление правами доступа для сервисов
После настройки параметров безопасности и определенных пользователей и ролей вы можете задать права доступа для сервисов с целью управления доступом к ним.
ArcGIS Server управляет доступом к сервисам на основе ролевой модели управления доступом. В ролевой модели управления доступом права доступа к защищенному сервису управляются путем назначения ролей для данного сервиса. Для использования защищенного сервиса пользователь должен быть участником роли, которой были назначены права доступа.
Для информации об изменении прав доступа к сервису см. Управление доступом к сервисам.