ArcGIS for Server安全与LDAP配置

ArcGIS for Server安全与LDAP配置

1、安全性概述

ArcGIS Server使用基于角色的访问控制来管理对受保护资源的访问。访问GIS资源的权限只能分配给角色。单独的用户只能通过从其角色继承来获取权限。对GIS资源访问权限的身份验证一般有两种方式:基于ArcGIS令牌的身份验证;Web服务器身份验证。

(1)ArcGIS Server账号

安装ArcGIS for Server时指定的操作系统账号称为ArcGIS Server账号。ArcGIS Server账号的几种用途:

  • 启动和停止支持 GIS 服务器和服务的进程。
  • 读取服务后的 GIS 数据。
  • 读取文件并将文件写入到 ArcGIS Server 目录;例如,创建地图缓存时,ArcGIS Server 帐户会将缓存切片写入服务器缓存目录中。
  • 读取文件并将文件写入到配置存储中;例如,在管理器中创建新的集群时,ArcGIS Server 帐户会将集群配置信息写入配置存储中的文件。
  • 读取文件并将文件写入 ArcGIS Server 安装位置与系统临时目录中;例如,该帐户会写入可用于排除服务器故障的日志文件。
  • 读取日志消息并将日志消息写入日志目录中。

(2)集群部署时与ArcGIS Server账号相关的注意事项

  • 每个 GIS 服务器都必须具有本地帐户和密码且它们完全相同。
  • 授予ArcGIS for Server安装目录中所有文件夹的读取权限,以及以下文件夹的完全控制权限:

<ArcGIS for Server?安装目录 >\framework

<ArcGIS for Server?安装目录 >\geronimo

<ArcGIS for Server?安装目录 >\usr

<ArcGIS for Server?安装目录 >\bin

<ArcGIS for Server?安装目录 >\XMLSchema

  • 授予服务器目录(arcgisserver\directories)的读写权限。
  • 授予配置存储目录(arcgisserver\config-store)的读写权限。
  • 授予日志目录(logs)的读写权限。
  • 授予注册到ArcGIS Server的数据库连接文件所在目录的读写权限。
  • 授予注册到ArcGIS Server的GIS数据目录的读写权限。

2、用户和角色的存储

ArcGIS Server中的用户和角色的存储主要有3中:

(1)使用内置存储的用户和角色

ArcGIS Server默认使用的是内置存储。该存储使用的是基于文件的格式。

(2)使用企业系统中的用户和角色

ArcGIS Server可采用在外部 Microsoft Active Directory 或 LDAP 服务器中管理的用户和角色实施安全性保护。ArcGIS Server将活动目录或 LDAP 服务器用作只读存储。

(3)使用企业系统中的用户和内置存储中的角色

ArcGIS Server可采用在外部 Microsoft Active Directory 或 LDAP 服务器中管理的用户和在 ArcGIS Server 内置存储中管理的角色来实施安全性保护。ArcGIS Server将活动目录或 LDAP 服务器用作只读存储。

此外,还可通过扩展实现自定义管理用户和角色的存储。

3、身份验证

前面提到,ArcGIS Server中身份验证有两种方式:基于ArcGIS令牌的身份验证;Web服务器身份验证。

基于ArcGIS令牌的身份验证主要是使用Web API开发的应用程序所采用的方式。ArcGIS Server可配置为委托第三方Web服务器(如Microsoft IIS或IBM Websphere)进行用户身份验证。这种方式下,可充分利用 Web 服务器所提供的标准身份验证机制,例如HTTP Digest 身份验证和 PKI 客户端认证身份验证等。

使用Web服务器身份验证必须在Web服务器上安装Web Adaptor,且必须启用管理选项。配置Web服务器身份验证后,ArcGIS Server将指派Web Adaptor进行身份验证。用户成功通过身份验证后, Web Adaptor会对用户信息进行加密并追加到请求中,然后转发至 ArcGIS Server。ArcGIS Server 接收用户信息并进行解密,以验证用户是否有权访问所请求的GIS服务。

4、使用OpenLDAP中的用户

OpenLDAP的部署与配置参考相关技术文档,其中定义的用户信息如下:

dn: dc=esrigz,dc=com

objectClass: domain

objectClass: top

o: esri guangzhou

dc: esrigz

?
?

dn: ou=Manager,dc=esrigz,dc=com

objectClass: organizationalUnit

ou: Manager

description: Container for manager entries

?
?

dn: ou=User,dc=esrigz,dc=com

objectClass: top

objectClass: organizationalUnit

ou: User

description: User container

?
?

dn: uid=xinli,ou=Manager,dc=esrigz,dc=com

uid: xinli

objectClass: inetOrgPerson

labeledURI: http://www.esri.com

userPassword: esri

sn: li

cn: xinli li

?
?

dn: uid=yun,ou=Manager,dc=esrigz,dc=com

uid: yun

objectClass: inetOrgPerson

mail: [email protected]

labeledURI: http://www.esri.com

sn: xin

cn: yun xin

userPassword: esri

?
?

dn: uid=arcgis,ou=User,dc=esrigz,dc=com

objectClass: inetOrgPerson

uid: arcgis

userPassword: esri

labeledURI: http://www.esri.com

sn: esri

cn: arcgis esri

mail: [email protected]

(1)在ArcGIS Server Manager站点中配置使用LDAP存储用户

端口:OpenLDAP安装时设置的端口,默认是389。

基本DN:记录用户信息的目录服务器节点标识名。如上面用户信息存储在Manager和User角色下。这里只能填其中一个。

URL:系统自动获取。

RDN属性:相对标识名,用于标识用户名称。

管理员的DN:LDAP服务器管理员的DN。

(2)测试LDAP用户信息的读取

在manager中点击用户即可查看LDAP中的用户信息。

?
?

??

时间: 2024-11-05 11:31:04

ArcGIS for Server安全与LDAP配置的相关文章

ArcGIS for Server使用AD中的用户配置

ArcGIS for Server使用AD中的用户配置 1.概述 默认情况下,ArcGIS Server使用内置存储模式来管理用户和角色.该模式使用基于文件格式来存储信息.当然,ArcGIS Server也支持将用户和角色信息由第三方接管,如使用企业系统中的用户和角色.目前支持的企业用户系统有LDAP和Windows AD.LDAP是一种标准的目录服务协议,有开源实现版本和商业版本可供选择.windows AD其实也是一种目录服务.如果使用第三方的用户体系,ArcGIS Server只能以只读模

ArcGIS for Server内置JS Viewer的离线部署和配置

很多情况下,在地图服务发布完毕后,我们往往利用 ArcGIS for Server内置的 JS Viewer来查看和检测所发布的地图服务是否满足我们的要求.具体操作如下: 点击开始 -> 所有程序 -> ArcGIS -> ArcGIS for Server -> Services Directory 或直接在浏览器地址栏中键入 http://ip:6080/arcgis/rest打开ArcGIS for Server的Service Directories页面,选中并点击要查看的

ArcGIS Enterprise 10.5.1 静默安装部署记录(Centos 7.2 minimal版)- 3、安装 ArcGIS for Server

安装ArcGIS for Server 解压server安装包,tar -xzvf ArcGIS_Server_Linux_1051_156429.tar.gz 切换到arcgis账户静默安装server, ./Setup -m silent -l yes 静默安装说明: 要增加软限制和硬限制,您需要使用超级用户访问权限编辑 /etc/security/limits.conf 文件.例如,可在与此类似的文件中添加下面两行: arcgis soft nofile 65535 arcgis hard

安装并破解ArcGis for Server 10.2

1.安装: 下载ArcGis for Server 10.2 是一个iso文件,可以解压安装或用Daemon Tools安装. 挨个点Setup安装. 2.破解: 下载授权许可文件,或使用keygen生成许可文件.然后用 开始->程序->ArcGis->ArcGis for Server->Software Authorization 导入许可文件. 但是一般的许可文件都不包含Portal for ArcGis的破解,找了半天没有找到,下午自己把它破解掉了.原理就是修改licens

ArcGIS平台中PostgreSQL数据连接配置总结

通常用户在使用要素服务时,要求数据必须是存放在空间数据库中的.同时,需要将数据库注册到ArcGIS for Server,这样在发布服务时就不需要进行数据拷贝,从而可以节省磁盘空间及服务发布时间.以下就ArcGIS平台的Desktop和Server产品中如何使用PostgreSQL数据库进行总结,包括Linux版的ArcGIS for Server和PostgreSQL以及Windows版的ArcGIS for Server和PostgreSQL. 1 前提条件 1.1 ArcGIS平台软件支持

2014Esri全球用户大会之ArcGIS for Server&amp;Portal for ArcGIS

1.ArcGIS10.3 for Server新特性 相当多! 首先,ArcGIS 10.3版本为GIS和地图在组织内传递带来了非常令人兴奋的新功能. 很大程度上,这意味着带来了更多的apps.ArcGIS for Server带来的这些即拿即用的apps,可以令人们更好的转变工作方式. 更多更好的HTML web应用:ArcGIS 10.3带来更多可配置.即拿即用的web应用模板.这些模板能在几分钟内利用手中的数据进行配置,快速的进行地图配置.ArcGIS10.3 for Server包含一个

使用地图切片并最终将地图发布在arcgis for server

1.记录好下载的离线地图切片文件夹所在的位置(上个随笔有介绍如何下载离线地图) 2.打开arcmap 3.新建一个空的模板 4.点击add data 5.选择我们下载的切片点击add 6.界面如图所示 7.生成发布所需的文件并在arcgis for server上进行发布 依次点击File-Share As-Service,选择第二项:Save a Service definition file 选择第二项,如下图所示 存放到一个容易找到的目录下 点击Analyze进行分析 没有错误,即可点击S

[转]arcgis for server 10.2 下载及安装

转自:https://blog.csdn.net/nominior/article/details/80211963 https://blog.csdn.net/mrib/article/details/76996193 文章分为: 0. 参考资料 1.笔者软件环境 2.所需资源及下载地址 3.安装过程 4.网站创建 5. ArcGIS Server Manager无法进入问题的部分解决方案 0.参考资料https://blog.csdn.net/mrib/article/details/769

ArcGIS for Server 10.3.X 新型紧凑型缓存的解读和应用

早在2010年年底,牛魔王中王在其博客空间牛魔王的作坊中对ArcGIS 10中推出的紧凑型缓存格式进行了详细的解读,详见<ArcGIS 切片缓存紧凑文件格式分析与使用>.紧随着的4年时间里,ArcGIS for Server本身经历了10.10.1.X和10.2.X各版本的逐级更替,特别是软件架构发生了显著的变化.然而,就紧凑型缓存本身而言,牛魔王中王的解读一直都是适用的.衷心地向我们的大牛致敬! 直到2014年年底ArcGIS 10.3正式发布,Esri才推出了新的紧凑型缓存格式以增强用户的