Sichern von Services über Benutzer und Rollen von einem LDAP-Server

ArcGIS for Server kann die Benutzer- und Rolleninformationen nutzen, die auf einem LDAP-Server gespeichert sind, z. B. Apache Directory Server oder Microsoft Active Directory. Für ArcGIS for Server dient der LDAP-Server als schreibgeschützte Quelle mit Benutzer- und Rolleninformationen. Den ArcGIS for Server Manager können Sie daher nicht verwenden, um Benutzer oder Rollen hinzuzufügen, zu löschen oder die zugehörigen Attribute zu bearbeiten.

Führen Sie die folgenden Schritte aus, um ArcGIS-Web-Services über Benutzer und Rollen von einem LDAP-Server zu sichern:

  1. Sicherheitseinstellungen konfigurieren
  2. Benutzer und Rollen überprüfen
  3. Berechtigungen für Services festlegen

Konfigurieren von Sicherheitseinstellungen

Führen Sie die nachstehenden Schritte aus, um die Sicherheit mit Manager zu konfigurieren:

Schritte:
  1. Öffnen Sie Manager, und melden Sie sich als primärer Site-Administrator oder als Benutzer mit Administratorzugriff an. Falls Sie Hilfe zu diesem Schritt benötigen, finden Sie weitere Informationen unter Anmelden bei Manager.
  2. Klicken Sie auf Sicherheit > Einstellungen.
  3. Klicken Sie auf die Schaltfläche Bearbeiten Bearbeiten neben Konfigurationseinstellungen.
  4. Wählen Sie auf der Seite Benutzer- und Rollenverwaltung die Option Benutzer und Rollen aus einem vorhandenen Enterprise-System (LDAP oder Windows-Domäne), und klicken Sie auf Weiter.
  5. Wählen Sie auf der Seite Typ des Enterprise-Speichers die Option LDAP, und klicken Sie auf Weiter.
  6. Auf der nächsten Seite müssen Sie die Parameter für die Herstellung der Verbindung zum LDAP-Server eingeben. Klicken Sie auf Verbindung testen, um eine Testverbindung zum LDAP-Server zu erstellen. Wenn die Verbindung hergestellt werden konnte, klicken Sie auf Weiter. In der folgenden Tabelle werden die Parameter auf dieser Seite beschrieben:

    Parameter

    Beschreibung

    Beispiel

    Hostname

    Name des Host-Computers, auf dem der LDAP-Server ausgeführt wird.

    myservername

    Port

    Portnummer auf dem Host-Computer, die der LDAP-Server für eingehende Verbindungen überwacht. Wenn der LDAP-Server sichere Verbindungen (ldaps) unterstützt, wechselt ArcGIS for Server automatisch zum ldaps-Protokoll. Wenn Port 10389 angegeben wird, stellt ArcGIS for Server eine sichere Verbindung zu Port 10636 her. Bei Angabe von Port 389 stellt ArcGIS for Server eine sichere Verbindung zu Port 636 her.

    10389

    389

    Basis-DN

    Der definierte Name (DN) des Knoten auf dem Verzeichnisserver, auf dem Benutzerinformationen gespeichert werden

    ou=users,ou=arcgis,dc=mydomain,dc=com

    URL

    Die LDAP-URL, die zur Herstellung der Verbindung zum LDAP-Server verwendet wird (automatisch generiert) Bearbeiten Sie diese URL, wenn sie falsch ist oder Änderungen erforderlich sind. Wenn der LDAP-Server nicht den Standard-Port 636 für sichere Verbindungen verwendet, müssen Sie hier die benutzerdefinierte Portnummer angeben.

    ldap://myservername:389/ou=users,ou=arcgis,dc=mydomain,dc=com

    ldap://myservername:10389/ou=users,ou=arcgis,dc=mydomain,dc=com

    ldaps://myservername:10300/ou=users,ou=arcgis,dc=mydomain,dc=com

    RDN-Attribut

    Das RDN-Attribut (relativer definierter Name) für die Benutzereingabe auf dem LDAP-Server.

    Für den DN "cn=john,ou=users,ou=arcgis,dc=mydomain,dc=com" lautet der RDN "cn=john". Das RDN-Attribut ist cn.

    Für den DN "uid=john,ou=users,ou=arcgis,dc=mydomain,dc=com" lautet der RDN "uid=john". Das RDN-Attribut ist uid.

    Administrator-DN

    Der DN eines LDAP-Administratorkontos, das Zugriff auf den Knoten mit den Benutzerinformationen hat.

    Es wird empfohlen, ein Administrator-Konto mit einem Kennwort anzugeben, das nicht abläuft. Wenn dies nicht möglich ist, müssen Sie die Schritte in diesem Abschnitt jedes Mal wiederholen, wenn das Kennwort des Kontos geändert wird.

    uid=admin,ou=administrators,dc=mydomain,dc=com

    Kennwort

    Das Kennwort des Administrators

    adminpassword

  7. Geben Sie auf der nächsten Seite die Parameter zum Abrufen der Rollen vom LDAP-Server ein. In der folgenden Tabelle werden die Parameter detailliert beschrieben:

    Parameter

    Beschreibung

    Beispiel

    Basis-DN

    Der DN des Knoten auf dem Verzeichnisserver, auf dem Rolleninformationen gespeichert werden

    ou=roles,ou=arcgis,dc=mydomain,dc=com

    URL

    Die LDAP-URL, die zur Herstellung der Verbindung zum Server verwendet wird (automatisch generiert) Bearbeiten Sie diese URL, wenn sie falsch ist oder Änderungen erforderlich sind.

    ldap://myservername:10389/ou=roles,ou=arcgis,dc=mydomain,dc=com

    Benutzerattribut in Rolleneintrag

    Der Name des Attributs im Rolleneintrag, der den DN der Benutzer enthält, die Mitglieder dieser Rolle sind.

    Beim Apache Directory Server wird häufig "uniqueMember" als Attributname verwendet. Beim Microsoft Active Directory wird häufig "member" als Attributname verwendet.

  8. Klicken Sie nach dem Eingeben der Parameter auf Weiter.
  9. Legen Sie auf der Seite Authentifizierungsebene fest, wo die Authentifizierung erfolgen soll, und klicken Sie auf Weiter. Weitere Informationen zu dieser Option finden Sie unter Konfigurieren der ArcGIS for Server-Sicherheit.
  10. Überprüfen Sie die Zusammenfassung der gewählten Einstellungen. Klicken Sie auf Zurück, um Änderungen vorzunehmen, oder auf Fertig stellen, um die Sicherheitskonfiguration zu übernehmen und zu speichern.

Überprüfen von Benutzern und Rollen

Nachdem Sie die Sicherheitskonfiguration zur Nutzung des Speichers für die Benutzer- und Rollenverwaltung abgeschlossen haben, überprüfen Sie, ob die Benutzer und Rollen richtig importiert wurden. Verwenden Sie zum Hinzufügen, Bearbeiten oder Löschen von Benutzern und Rollen die Benutzerverwaltungswerkzeuge, die der LDAP-Provider bereitstellt.

Schritte:
  1. Klicken Sie in Manager auf Sicherheit > Benutzer.
  2. Stellen Sie sicher, dass die Benutzer wie erwartet vom LDAP-Server abgerufen wurden:
  3. Klicken Sie auf Rollen, um die vom LDAP-Server abgerufenen Rollen zu überprüfen.
  4. Stellen Sie sicher, dass die Rollen wie erwartet vom LDAP-Server abgerufen wurden. Klicken Sie neben einer Rolle auf die Schaltfläche Bearbeiten, um die Rollenzugehörigkeit zu überprüfen. Ändern Sie nach Bedarf den Wert Rollentyp. Weitere Informationen zu Rollentypen finden Sie unter Einschränken des Zugriffs auf ArcGIS for Server.

Festlegen von Berechtigungen für ArcGIS-Web-Services

Nachdem Sie die Sicherheitseinstellungen konfiguriert und die Benutzer und Rollen definiert haben, können Sie die Berechtigungen für den Zugriff auf Services festlegen.

ArcGIS for Server steuert den Zugriff auf die auf Ihrem Server gehosteten GIS-Web-Services mit einem rollenbasierten Zugriffssteuerungsmodell. In einem rollenbasierten Zugriffssteuerungsmodell wird die Berechtigung zum Zugreifen auf einen sicheren Service durch Zuweisen von Rollen zu diesem Service gesteuert. Um einen sicheren Service zu nutzen, muss ein Benutzer Mitglied einer Rolle sein, der Berechtigungen für den Zugriff zugewiesen wurden.

Berechtigungen können einem einzelnen Web-Service oder dem übergeordneten Ordner, der eine Gruppe von Services enthält, zugewiesen werden. Wenn Sie einem Ordner Berechtigungen zuweisen, erben alle enthaltenen Services die Berechtigungen des Ordners. Wenn Sie beispielsweise einer Rolle den Zugriff auf die Site (Stammordner) gewähren, können alle Benutzer, die dieser Rolle angehören, auf alle Services zugreifen, die auf dieser Site gehostet werden. Um Berechtigungen zu überschreiben, die ein Service automatisch von seinem übergeordneten Ordner erbt, können Sie den Service bearbeiten und die geerbten Berechtigungen explizit entfernen.

Informationen zum Festlegen von Berechtigungen für einen Service finden Sie unter Bearbeiten von Berechtigungen in Manager.

Copyright © 1995-2014 Esri. All rights reserved.
6/13/2014