使用 LDAP 服务器中的用户和角色确保服务的安全性

ArcGIS Server 可利用 LDAP 服务器(如 Apache Directory Server 或 Microsoft Active Directory)中存储的用户和角色信息。ArcGIS Server 将 LDAP 服务器视为用户/角色信息的只读源,因此,您不能使用 ArcGIS Server Manager 添加或删除用户和角色,也不能编辑其属性。

可通过下面这些步骤使用 LDAP 服务器中的用户和角色来确保 ArcGIS Web 服务的安全性:

  1. 配置安全性设置
  2. 查看用户和角色
  3. 设置服务的权限

配置安全性设置

按照下列步骤,使用管理器配置安全性:

步骤:
  1. 打开 ArcGIS Server Manager 并以主站点管理员或具有管理访问权限的用户的身份登录。如需此步骤的帮助,请参阅登录管理器
  2. 单击安全性 > 设置
  3. 单击配置设置旁边的编辑按钮 编辑
  4. 用户和角色管理 页面中,选择现有企业系统(LDAP 或 Windows 域)中的用户和角色选项,然后单击下一步
  5. 企业存储类型 页面中,选择 LDAP 选项,然后单击下一步
  6. 在下一页面中,您需要输入参数以连接到 LDAP 服务器。单击测试连接创建一个至 LDAP 服务器的测试连接。如果连接尝试成功,请单击下一步。下表介绍了此页面中的参数:

    参数

    说明

    示例

    主机名称

    运行 LDAP 服务器的主机名称。

    myservername

    端口

    主机上 LDAP 服务器用于监听传入连接的端口号。如果 LDAP 服务器支持安全连接 (ldaps),则 ArcGIS Server 会自动切换到 ldaps 协议。如果指定的端口为 10389,则 ArcGIS Server 将会与端口 10636 进行安全连接。如果指定的端口为 389,则 ArcGIS Server 将会与端口 636 进行安全连接。

    10389

    389

    基本 DN

    维护用户信息的目录服务器中节点的标识名 (DN)。

    ou=users,ou=arcgis,dc=mydomain,dc=com

    URL

    用于连接到 LDAP 服务器的 LDAP URL(自动生成)。如果该 URL 不正确或需要更改,可对其进行编辑。如果 LDAP 服务器不使用标准 636 接口进行安全连接,则应在此指定自定义端口编号。

    ldap://myservername:389/ou=users,ou=arcgis,dc=mydomain,dc=com

    ldap://myservername:10389/ou=users,ou=arcgis,dc=mydomain,dc=com

    ldaps://myservername:10300/ou=users,ou=arcgis,dc=mydomain,dc=com

    RDN 属性

    LDAP 服务器中用户条目的相对标识名 (RDN) 属性。

    对于 DN "cn=john,ou=users,ou=arcgis,dc=mydomain,dc=com",RDN 为 "cn=john",RDN 属性为 cn。

    对于 DN "uid=john,ou=users,ou=arcgis,dc=mydomain,dc=com",RDN 为 "uid=john",RDN 属性为 uid。

    管理员的 DN

    对包含用户信息的节点具有访问权限的 LDAP 管理员帐户的 DN。

    建议指定具有未过期密码的管理员帐户。如果不可行,则需要在每次帐户密码更改时重复本部分中的步骤。

    uid=admin,ou=administrators,dc=mydomain,dc=com

    密码

    管理员的密码。

    adminpassword

  7. 在下一页面中,输入参数以从 LDAP 服务器中检索角色。下表详细介绍了这些参数:

    参数

    说明

    示例

    基本 DN

    维护角色信息的目录服务器中节点的 DN。

    ou=roles,ou=arcgis,dc=mydomain,dc=com

    URL

    用于连接到服务器的 LDAP URL(自动生成)。如果该 URL 不正确或需要更改,可对其进行编辑。

    ldap://myservername:10389/ou=roles,ou=arcgis,dc=mydomain,dc=com

    角色条目中的用户属性

    包含作为此角色成员的用户 DN 的角色条目中的属性名称。

    在 Apache Directory Server 中,最常用的属性名称为 uniqueMember。在 Microsoft 活动目录中,最常用的属性名称为 member。

  8. 输入参数后单击下一步
  9. 身份验证层 页面中,选择您想要进行身份验证的位置,然后单击下一步。有关此选项的详细信息,请参阅配置 ArcGIS Server 安全性
  10. 查看所选内容的摘要信息。单击上一步进行更改,或单击完成应用和保存安全性配置。

查看用户和角色

配置安全性以将该存储用于用户和角色管理后,查看用户和角色以确保已正确导入这些用户和角色。要添加、编辑或删除用户和角色,您需要使用由 LDAP 提供程序提供的用户管理工具。

步骤:
  1. 在 ArcGIS Server Manager 中,单击安全性 > 用户
  2. 验证是否已按预期从 LDAP 服务器中检索用户。
  3. 单击角色查看从 LDAP 服务器中检索的角色。
  4. 验证是否已按预期从 LDAP 服务器中检索角色。单击角色旁边的编辑按钮检查角色成员。根据需要修改角色类型值。有关角色类型的信息,请参阅限制对 ArcGIS Server 的访问

设置 ArcGIS Web 服务的权限

配置安全性设置并定义用户和角色后,可设置服务的权限来控制允许访问服务的用户。

ArcGIS Server 使用基于角色的访问控制模型对您的服务器上所托管的 GIS Web 服务的访问权限进行控制。在基于角色的访问控制模型中,访问受保护服务的权限将通过为该服务分配角色来控制。要使用某一受保护的服务,用户必须是已分配了该服务访问权限的角色中的成员。

权限可分配给一个单独的 Web 服务或包含一组服务的父文件夹。如果将权限分配给文件夹,则该文件夹内所包含的任何服务都将继承文件夹的权限。例如,如果授予某个角色访问站点(根)文件夹的权限,则属于该角色的所有用户都将拥有访问该站点上托管的所有服务的权限。若要自动覆盖服务从其父文件夹继承的权限,可以编辑该服务并明确移除继承的权限。

要设置服务的权限,请参阅在管理器中编辑权限

6/13/2014