Proteja los servicios con usuarios y roles desde un servidor LDAP

ArcGIS Server puede sacar provecho de la información de usuario y rol almacenada en un servidor LDAP como el Servidor de directorio de Apache o Microsoft Active Directory. ArcGIS Server trata al servidor LDAP como fuente de usuario/rol de solo lectura y, por lo tanto, no puede utilizar el Administrador de ArcGIS Server para agregar o eliminar usuarios y roles o editar sus atributos.

Los servicios Web de ArcGIS se pueden proteger con usuarios y roles desde un servidor LDAP con estos pasos:

  1. Configurar la configuración de seguridad.
  2. Revisar los usuarios y roles.
  3. Establecer permisos para los servicios.

Configurar los ajustes de seguridad

Siga los pasos a continuación para configurar la seguridad con el Administrador:

Pasos:
  1. Abra el Administrador e inicie sesión como el administrador del sitio principal o un usuario con acceso administrativo. Si necesita ayuda con este paso, consulte Iniciar sesión en el Administrador.
  2. Haga clic en Seguridad > Configuración.
  3. Haga clic en el botón Editar Editar junto a Ajustes de configuración.
  4. En la Administración de usuario y rol , elija la página Usuarios y roles en un sistema corporativa existente (LDAP o dominio de Windows) , después haga clic en Siguiente.
  5. En la página Tipo de almacenamiento corporativo, seleccione la opción LDAP y haga clic en Siguiente.
  6. En la siguiente página, deberá introducir los parámetros para conectarse al servidor LDAP. Haga clic en Test de conexión para crear una prueba de conexión con el servidor LDAP. Si el intento de conexión tiene éxito, haga clic en Siguiente. En la siguiente tabla se describen los parámetros en esta página:

    Parámetro

    Descripción

    Ejemplo

    Nombre del host

    Nombre del equipo host en el que se ejecuta el servidor LDAP.

    myservername

    Puerto

    Número de puerto en el equipo host donde el servidor LDAP está en línea para recibir conexiones entrantes. Si el servidor LDAP admite las conexiones seguras (ldaps), ArcGIS for Server cambiará automáticamente al protocolo ldaps. Si el puerto especificado es el 10389, ArcGIS for Server efectuará una conexión segura con el puerto 10636. Si el puerto especificado es el 389, ArcGIS for Server efectuará una conexión segura con el puerto 636.

    10389

    389

    DN base

    Nombre distinguido (DN) del nodo en el servidor de directorio donde se mantiene la información de usuario.

    ou=users,ou=arcgis,dc=mydomain,dc=com

    URL

    La dirección URL de LDAP que se utilizará para conectarse al servidor LDAP (esto se genera automáticamente). Edite esta dirección URL si no es correcta o se necesitan cambios. Si el servidor LDAP no utiliza el puerto 636 estándar para las conexiones seguras, especifique aquí el número de puerto personalizado.

    ldap://myservername:389/ou=users,ou=arcgis,dc=mydomain,dc=com

    ldap://myservername:10389/ou=users,ou=arcgis,dc=mydomain,dc=com

    ldaps://myservername:10300/ou=users,ou=arcgis,dc=mydomain,dc=com

    Atributo de RDN

    El atributo Nombre distinguido relativo (RDN) para las entradas de usuario en el servidor LDAP.

    Para el DN "cn=john,ou=users,ou=arcgis,dc=mydomain,dc=com" el RDN es "cn=john" y el atributo RDN es cn.

    Para el DN "uid=john,ou=users,ui=arcgis,dc=mydomain,dc=com" el RDN es "uid=john" y el atributo RDN es cn.

    DN del administrador

    El DN de una cuenta de administrador LDAP que tiene acceso al nodo que incluye información del usuario.

    uid=admin, ou=administrators, dc=mydomain, dc=com

    Contraseña

    Contraseña del administrador.

    adminpassword

  7. En la siguiente página, introduzca los parámetros para recuperar los roles del servidor LDAP. En la siguiente tabla se describen los parámetros en detalle:

    Parámetro

    Descripción

    Ejemplo

    DN base

    DN del nodo en el servidor de directorio donde se mantiene la información de rol.

    ou=roles,ou=arcgis,dc=mydomain,dc=com

    URL

    La dirección URL de LDAP que se utilizará para conectarse al servidor (esto se genera automáticamente). Edite esta dirección URL si no es correcta o se necesitan cambios.

    ldap://myservername:10389/ou=roles,ou=arcgis,dc=mydomain,dc=com

    Atributo de usuario en entrada de rol

    El nombre del atributo en la entrada del rol que contiene el DN de usuarios que son miembros de este rol.

    En el Servidor de directorio de Apache, el nombre de atributo que se utiliza más comúnmente es uniqueMember. En Microsoft Active Directory, el nombre de atributo utilizado más comúnmente es miembro.

  8. Después de introducir los parámetros, haga clic en Siguiente.
  9. En la página Autenticación de clase , elija dónde desea que se haga de autenticación y, a continuación, haga clic en Siguiente. Para obtener más información sobre esta opción, consulte Configurar seguridad de ArcGIS Server.
  10. Revise el resumen de sus selecciones. Haga clic en Atrás para realizar cambios o Finalizar para aplicar y guardar la configuración de seguridad.

Revisar usuarios y roles

Después de configurar la seguridad para utilizar el almacenamiento de usuario y de rol, revise la gestión de los usuarios y roles para asegurarse de que se importaron correctamente. Para agregar, editar o eliminar usuarios y roles, debe utilizar las herramientas de administración de usuario proporcionado por el proveedor de LDAP.

Pasos:
  1. En el Administrador, haga clic en Seguridad > Usuarios.
  2. Verifique que los usuarios se recuperaron como se esperaba desde el servidor LDAP.
  3. Haga clic en Roles para revisar los roles recuperados desde el servidor LDAP.
  4. Verifique que los roles se recuperaron desde el servidor LDAP correctamente. Haga clic en el botón Editar junto a un rol que compruebe la pertenencia al rol. Modifique el valor Tipo de rol como necesario. Para obtener información sobre los tipos de rol, consulte Restringir acceso a ArcGIS Server.

Establecer permisos para los servicios Web de ArcGIS

Una vez que haya configurado la configuración de seguridad y definido los usuarios y roles, puede establecer permisos de los servicios para controlar quién puede acceder a ellos.

ArcGIS 10.1 for Server controla el acceso a los servicios Web de SIG alojados en el servidor mediante un modelo de control de acceso basado en roles. En un modelo de control de acceso basado en roles, el permiso para acceder a un servicio protegido está controlado por la asignación de roles a ese servicio. Para usar un servicio protegido, el usuario debe ser miembro de un rol a que se le ha asignado permisos para acceder a él.

Los permisos se pueden asignar a un servicio Web individual o a la carpeta principal que contiene un grupo de servicios. Si asigna permisos para una carpeta, cualquier servicio contenido dentro hereda los permisos de la carpeta. Por ejemplo, si desea otorgar un rol el acceso a la carpeta sitio (raíz), los usuarios que pertenecen a ese rol podrán acceder a todos los servicios alojados en este lugar. También, para invalidar permisos heredados automáticamente por un servicio de su carpeta principal, puede editar el servicio y quitar específicamente los permisos que han heredado.

Para establecer permisos para un servicio, consulte Editar permisos en el Administrador.

Copyright © 1995-2013 Esri. Todos los derechos reservados.
9/11/2013