Skip To Content

使用 LDAP 和 PKI 保证访问安全

当使用轻量级目录访问协议 (LDAP) 验证用户身份时,可使用公钥基础设施 (PKI) 安全访问您的 ArcGIS Enterprise 组织。

要使用 LDAP 和 PKI,必须通过部署到 Java 应用程序服务器的 ArcGIS Web Adaptor (Java Platform) 设置基于 PKI 的客户端证书身份验证。 无法使用 ArcGIS Web Adaptor (IIS) 来按照 LDAP 执行基于 PKI 的客户端证书身份验证。 如果您尚未执行此操作,请通过门户安装配置 ArcGIS Web Adaptor (Java Platform)

使用 LDAP 配置组织

默认情况下,ArcGIS Enterprise 组织将对所有通信强制执行 HTTPS。 如果您之前已将此选项更改为允许 HTTP 和 HTTPS 通信,则需要按照以下步骤重新配置门户,以使用仅 HTTPS 通信。

配置组织以对所有通信使用 HTTPS

要将组织配置为使用 HTTPS,请完成以下步骤:

  1. 以管理员的身份登录到组织网站。

    URL 格式为 https://webadaptorhost.domain.com/webadaptorname/home

  2. 单击组织,再单击设置选项卡,然后单击页面左侧的安全性
  3. 启用允许仅通过 HTTPS 访问门户

更新门户的身份存储

然后,更新门户的身份存储以使用 LDAP 用户和群组。

  1. 以组织管理员的身份登录到 ArcGIS Portal Directory。 URL 格式为 https://webadaptorhost.domain.com/webadaptorname/portaladmin
  2. 单击安全性 > 配置 > 更新身份存储
  3. 用户存储配置(JSON 格式)文本框中,粘贴组织的 LDAP 用户配置信息(JSON 格式)。 或者,您可以将下列示例更新为特定于组织的用户信息:

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "dn"
      }
    }

    大多数情况下,只需要更改 useruserPasswordldapURLForUsersuserSearchAttribute 参数值。 userSearchAttribute 是 PKI 证书的 Subject 参数值。 如果组织使用 PKI 证书中的其他属性(例如电子邮件),则必须更新 userSearchAttribute 参数以与 PKI 证书中的 Subject 参数相匹配。 LDAP 的 URL 需要由 LDAP 管理员提供。

    在上述示例中,LDAP URL 指的是特定 OU (ou=users) 中的用户。 如果用户存在于多个 OU 中,则 LDAP URL 可指向较高级别的 OU,甚至是根级别(如有需要)。 在这种情况下,URL 如下所示:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    用于用户参数的帐户需要具有在组织中查看用户电子邮件地址和用户名的权限。 尽管以明文形式输入密码,但在单击更新配置(下面)时将对其进行加密。

    如果将 LDAP 配置为区分大小写,则将 caseSensitive 参数设置为 true

  4. 如果想要在使用身份存储中的现有 LDAP 群组的门户中创建群组,请将组织的 LDAP 群组配置信息(JSON 格式)粘贴到群组存储配置(JSON 格式)文本框中,如下所示。 或者,您可以将下列示例更新为特定于组织的群组信息。 如果只想使用门户内置群组,请删除文本框中的所有信息,并跳过此步骤。

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
        "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "dn",
        "memberAttributeInRoles": "member",
        "rolenameAttribute":"cn"
      }
    }

    大多数情况下,只需要更改 useruserPasswordldapURLForUsersldapURLForGroupsuserSearchAttribute 参数值。 userSearchAttribute 是 PKI 证书的 Subject 参数值。 如果组织使用 PKI 证书中的其他属性(例如电子邮件),则必须更新 userSearchAttribute 参数以与 PKI 证书中的 Subject 参数相匹配。 LDAP 的 URL 需要由 LDAP 管理员提供。

    在上述示例中,LDAP URL 指的是特定 OU (ou=users) 中的用户。 如果用户存在于多个 OU 中,则 LDAP URL 可指向较高级别的 OU,甚至是根级别(如有需要)。 在这种情况下,URL 如下所示:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    用于用户参数的帐户需要具有在组织中查找组的名称的权限。 尽管以明文形式输入密码,但在单击更新配置(下面)时将对其进行加密。

    如果将 LDAP 配置为区分大小写,则将 caseSensitive 参数设置为 true

  5. 单击更新配置保存更改。
  6. 如果您已配置高可用性门户,请重新启动每台门户计算机。 有关完整的说明,请参阅停止和启动门户

添加组织特定帐户

默认情况下,组织特定用户可以访问 ArcGIS Enterprise 组织。 然而,他们只能查看共享给组织中所有人的项目。 这是因为未添加组织特定帐户,且未授予访问权限。

使用以下方法之一将帐户添加到组织中:

建议至少将一个组织特定帐户指定为门户管理员。 为此,可在添加帐户时选择管理员角色。 如果您拥有备选门户管理员帐户,可以将初始管理员帐户分配给用户角色或删除帐户。 有关详细信息,请参阅关于初始管理员帐户

添加帐户并完成以下步骤之后,用户可以登录到组织并访问内容。

配置 ArcGIS Web Adaptor 以使用 PKI 身份验证

为组织安装并配置 ArcGIS Web Adaptor (Java Platform) 后,在 Java 应用程序服务器上配置 LDAP 域,并为 ArcGIS Web Adaptor 配置基于 PKI 的客户端证书身份验证。 有关说明,请咨询您的系统管理员,或参阅 Java 应用程序服务器的产品文档。

注:

要运行客户端证书身份验证 (PKI),必须在 Java 应用程序服务器中禁用 TLS 1.3。

验证是否可以使用 LDAP 和 PKI 访问组织

要验证是否可以使用 LDAP 和 PKI 访问门户,请完成以下步骤:

  1. 打开 ArcGIS Enterprise 门户。 URL 格式为 https://webadaptorhost.domain.com/webadaptorname/homeURL 格式为 https://organization.example.com/<context>/home
  2. 验证是否收到有关安全凭据的提示并能够访问网站。

防止用户创建自己的内置帐户

您可以通过在组织设置中禁止用户创建内置帐户来防止用户创建自己的内置帐户。