ArcGIS for Server安全与LDAP配置

1、安全性概述

ArcGIS Server使用基于角色的访问控制来管理对受保护资源的访问。访问GIS资源的权限只能分配给角色。单独的用户只能通过从其角色继承来获取权限。对GIS资源访问权限的身份验证一般有两种方式:基于ArcGIS令牌的身份验证;Web服务器身份验证。

(1)ArcGIS Server账号

安装ArcGIS for Server时指定的操作系统账号称为ArcGIS Server账号。ArcGIS Server账号的几种用途:

  • 启动和停止支持 GIS 服务器和服务的进程。
  • 读取服务后的 GIS 数据。
  • 读取文件并将文件写入到 ArcGIS Server 目录;例如,创建地图缓存时,ArcGIS Server 帐户会将缓存切片写入服务器缓存目录中。
  • 读取文件并将文件写入到配置存储中;例如,在管理器中创建新的集群时,ArcGIS Server 帐户会将集群配置信息写入配置存储中的文件。
  • 读取文件并将文件写入 ArcGIS Server 安装位置与系统临时目录中;例如,该帐户会写入可用于排除服务器故障的日志文件。
  • 读取日志消息并将日志消息写入日志目录中。

(2)集群部署时与ArcGIS Server账号相关的注意事项

  • 每个 GIS 服务器都必须具有本地帐户和密码且它们完全相同。
  • 授予ArcGIS for Server安装目录中所有文件夹的读取权限,以及以下文件夹的完全控制权限:

<ArcGIS for Server 安装目录 >\framework

<ArcGIS for Server 安装目录 >\geronimo

<ArcGIS for Server 安装目录 >\usr

<ArcGIS for Server 安装目录 >\bin

<ArcGIS for Server 安装目录 >\XMLSchema

  • 授予服务器目录(arcgisserver\directories)的读写权限。
  • 授予配置存储目录(arcgisserver\config-store)的读写权限。
  • 授予日志目录(logs)的读写权限。
  • 授予注册到ArcGIS Server的数据库连接文件所在目录的读写权限。
  • 授予注册到ArcGIS Server的GIS数据目录的读写权限。

2、用户和角色的存储

ArcGIS Server中的用户和角色的存储主要有3中:

(1)使用内置存储的用户和角色

ArcGIS Server默认使用的是内置存储。该存储使用的是基于文件的格式。

(2)使用企业系统中的用户和角色

ArcGIS Server可采用在外部 Microsoft Active Directory 或 LDAP 服务器中管理的用户和角色实施安全性保护。ArcGIS Server将活动目录或 LDAP 服务器用作只读存储。

(3)使用企业系统中的用户和内置存储中的角色

ArcGIS Server可采用在外部 Microsoft Active Directory 或 LDAP 服务器中管理的用户和在 ArcGIS Server 内置存储中管理的角色来实施安全性保护。ArcGIS Server将活动目录或 LDAP 服务器用作只读存储。

此外,还可通过扩展实现自定义管理用户和角色的存储。

3、身份验证

前面提到,ArcGIS Server中身份验证有两种方式:基于ArcGIS令牌的身份验证;Web服务器身份验证。

基于ArcGIS令牌的身份验证主要是使用Web API开发的应用程序所采用的方式。ArcGIS Server可配置为委托第三方Web服务器(如Microsoft IIS或IBM Websphere)进行用户身份验证。这种方式下,可充分利用 Web 服务器所提供的标准身份验证机制,例如HTTP Digest 身份验证和 PKI 客户端认证身份验证等。

使用Web服务器身份验证必须在Web服务器上安装Web Adaptor,且必须启用管理选项。配置Web服务器身份验证后,ArcGIS Server将指派Web Adaptor进行身份验证。用户成功通过身份验证后, Web Adaptor会对用户信息进行加密并追加到请求中,然后转发至 ArcGIS Server。ArcGIS Server 接收用户信息并进行解密,以验证用户是否有权访问所请求的GIS服务。

4、使用OpenLDAP中的用户

OpenLDAP的部署与配置参考相关技术文档,其中定义的用户信息如下:

dn: dc=esrigz,dc=com

objectClass: domain

objectClass: top

o: esri guangzhou

dc: esrigz

 
 

dn: ou=Manager,dc=esrigz,dc=com

objectClass: organizationalUnit

ou: Manager

description: Container for manager entries

 
 

dn: ou=User,dc=esrigz,dc=com

objectClass: top

objectClass: organizationalUnit

ou: User

description: User container

 
 

dn: uid=xinli,ou=Manager,dc=esrigz,dc=com

uid: xinli

objectClass: inetOrgPerson

labeledURI: http://www.esri.com

userPassword: esri

sn: li

cn: xinli li

 
 

dn: uid=yun,ou=Manager,dc=esrigz,dc=com

uid: yun

objectClass: inetOrgPerson

mail: yun@mail.com

labeledURI: http://www.esri.com

sn: xin

cn: yun xin

userPassword: esri

 
 

dn: uid=arcgis,ou=User,dc=esrigz,dc=com

objectClass: inetOrgPerson

uid: arcgis

userPassword: esri

labeledURI: http://www.esri.com

sn: esri

cn: arcgis esri

mail: arcgis@mail.com

(1)在ArcGIS Server Manager站点中配置使用LDAP存储用户

端口:OpenLDAP安装时设置的端口,默认是389。

基本DN:记录用户信息的目录服务器节点标识名。如上面用户信息存储在Manager和User角色下。这里只能填其中一个。

URL:系统自动获取。

RDN属性:相对标识名,用于标识用户名称。

管理员的DN:LDAP服务器管理员的DN。

(2)测试LDAP用户信息的读取

在manager中点击用户即可查看LDAP中的用户信息。

 
 

  

ArcGIS for Server安全与LDAP配置的更多相关文章

  1. ArcGIS for Server使用AD中的用户配置

    ArcGIS for Server使用AD中的用户配置 1.概述 默认情况下,ArcGIS Server使用内置存储模式来管理用户和角色.该模式使用基于文件格式来存储信息.当然,ArcGIS Serv ...

  2. ArcGIS for Server的安装及站点中的集群配置 分类: ArcGIS for server 2015-07-18 14:14 16人阅读 评论(0) 收藏

       坚信并为之坚持是一切希望的原因. (不足之处,欢迎批评指正!) --------------------环境:Windows server2008R2虚拟机两台----------------- ...

  3. ArcGIS for Server内置JS Viewer的离线部署和配置

    很多情况下,在地图服务发布完毕后,我们往往利用 ArcGIS for Server内置的 JS Viewer来查看和检测所发布的地图服务是否满足我们的要求.具体操作如下: 点击开始 -> 所有程 ...

  4. 2013Esri全球用户大会之ArcGIS for Server&Portal for ArcGIS

    Q1:ArcGIS 10.2 for Server有哪些新特性? ArcGIS 10.2对于ArcGIS for Server来说是一个引人注目的版本.它建立在ArcGIS 10.1扎实雄厚的基础上, ...

  5. ArcGIS平台中PostgreSQL数据连接配置总结

    通常用户在使用要素服务时,要求数据必须是存放在空间数据库中的.同时,需要将数据库注册到ArcGIS for Server,这样在发布服务时就不需要进行数据拷贝,从而可以节省磁盘空间及服务发布时间.以下 ...

  6. centos6.5环境openldap实战之ldap配置详解及web管理工具lam(ldap-account-manager)使用详解

    ldap常用名称解释 1.环境搭建 操作系统:centos6.5 x86_64 关闭防火墙.selinux 开启时间同步 # crontab -e 加入 # time sync */5 * * * * ...

  7. ldap 配置过程详解

    ldap常用名称解释 1.环境搭建 操作系统:centos6.5 x86_64关闭防火墙.selinux开启时间同步# crontab -e加入# time sync*/5 * * * * /usr/ ...

  8. 基于ArcGIS for Server的服务部署分析 分类: ArcGIS for server 云计算 2015-07-26 21:28 11人阅读 评论(0) 收藏

    谨以此纪念去年在学海争锋上的演讲. ---------------------------------------------------- 基于ArcGIS for Server的服务部署分析 -- ...

  9. ArcGIS Enterprise 10.5.1 静默安装部署记录(Centos 7.2 minimal)- 4、安装 ArcGIS for Server

    安装ArcGIS for Server 解压server安装包,tar -xzvf ArcGIS_Server_Linux_1051_156429.tar.gz 切换到arcgis账户静默安装serv ...

随机推荐

  1. 把查询的结果组织为一串字符(eg:板板鞋,兵乓球,篮球,足球)

    --把查询的结果组织为一串字符(板板鞋,兵乓球,篮球,足球) drop table a create table a( name varchar(20)) insert into a select ' ...

  2. day--43 HTML标签和CSS基本小结

    HTML标签和CSS基本小结一:常用标签 01:块标签 p,h1--h6 ,hr ,div 02:内联标签 b,i,u,s 小提示:块标签可以嵌套内置元素或者某些块级元素,但内联元素不能包含块级元素 ...

  3. python tkinter 基本操作与事件

    基本操作 import tkinter as tk # 引入tk 包 win=tk.Tk() # 引入窗口对象 win.title("窗口标题") # 窗口标题 win.geome ...

  4. mfix mpi并行死锁问题探究

    目前还没找到具体原因,只能先记录一下.(问题原因找到了) 分别用ubuntu14.04和ubuntu16.04测试,用的是笔记本,笔记本为双核四线程,用2线程并行计算:发现ubuntu16.04会在0 ...

  5. Django-admin 的使用

    admin 组件的使用 Django 提供功能十分强大的后台管理组件 admin 来实现自动管理. admin 是一个组件,与 APP 一样,项目启动一开始就加载了.在 setting.py 中的 I ...

  6. 洛谷P1443 马的遍历(bfs,注意输出格式)

    题目描述 有一个n*m的棋盘(1<n,m<=400),在某个点上有一个马,要求你计算出马到达棋盘上任意一个点最少要走几步 输入输出格式 输入格式: 一行四个数据,棋盘的大小和马的坐标 输出 ...

  7. bzoj1934 Vote 善意的投票 最小割(最大匹配)

    题目传送门 题目大意:很多小朋友,每个小朋友都有自己的立场,赞成或者反对,如果投了和自己立场不同的票会得到一个能量.又有很多朋友关系,如果一个人和他的一个朋友投的票不同,也会得到一个能量,现在问,通过 ...

  8. vue点击tab跳转页面,给点击的tab添加样式,且解决刷新以后点击的tab样式消失问题

    <ul class="nij"> <li v-for="item in nav" @click="selectNav(item.ti ...

  9. HTML5必须知道的那些事

    [转自] http://www.cnblogs.com/hamy/archive/2012/02/21/2362110.html 再普及一次HTML5基础,HTML5必须知道的那些事,HTML5扫盲. ...

  10. PIE SDK栅格增强控制

    1. 功能简介 亮度是指发光体(反光体)表面发光(反光)强弱的物理量:对比度指的是一幅图像中明暗区域最亮的白和最暗的黑之间不同亮度层级的测量:透明度是描述光线透过的程度 栅格数据增强控制主要是通过对亮 ...