Web + Доменная авторизация

0 голосов
спросил 30 Авг, 12 от aleksey.shulga (1,160 баллов) в категории Программные продукты Esri
Всем привет!

Стоит задача сделать доступ к опубликованным проектам без запроса логина/пароля. Все пользователи работают в домене.
Делал как по инструкции: Web-авторизация, общий ключ для связи, нужных пользователей в роли, роли в безопасность сервиса (пробовал и на папки его содержащие). В итоге никак не хочет работать. Пишет следующее:
      Error: WEB_ADAPTOR Authentication, User Credential is not set by the web adaptor for this request, check if the web adaptor is secured
      Code: 403

Уже не знаю, где чего указать, подправить. Помогите, пожалуйста, разобраться.

44 Ответы

0 голосов
ответил 04 Сен, 12 от TDenis (42,620 баллов)
Григорий,
поясните, пожалуйста, а почему надо переключать аутентификацию на гис-сервер? Мне не понятно.

Когда authentication tier настроен на уровень адаптера, то доменная аутентификация проводится на адаптере средствами IIS. После чего адаптер отсылает имя аутентифицированного пользователя гис-серверу.

Гис-сервер выполняет авторизацию. И судя по вот этому документу, авторизация в любом случае производится именно на нём:
However, the authorization of the request (by looking up roles and permissions) is still enforced by the GIS server.

Т.е. имя пользователя выясняет адаптер, роли проверяет гис-сервер.

Вроде с такими настройками всё должно работать.
В чём ошибка?
0 голосов
ответил 04 Сен, 12 от TDenis (42,620 баллов)
ASR12,
Вы открыли корневую папку? :)
0 голосов
ответил 04 Сен, 12 от TDenis (42,620 баллов)
ASR12,
видимо придётся ждать SP1, либо попросить техподдержку, может дадут hotfix для NIM080829.
0 голосов
ответил 04 Сен, 12 от aleksey.shulga (1,160 баллов)
Да, Денис, права на корень выставлены такие же как на сервис. Даже удалял все права отовсюду, сохранял, выставлял заново сразу на корень - автоматом прописывались на сервис. Результат тот же. Если логин в роле пользователей - доступ закрыт. Как только повышаю тип роли - все ок.

Я ранее приводил цитату из того, что будет подправлено в SP1, так вот мне кажется речь идет о моей ситуации.    
0 голосов
ответил 04 Сен, 12 от TDenis (42,620 баллов)
Да, Денис, права на корень выставлены такие же как на сервис.

Так нет, речь же не про то, чтобы выставить такие же права.
Надо в корне открыть доступ вообще всем, а перекрывать уже на уровне сервиса (или на уровне вложенных папок).
0 голосов
ответил 04 Сен, 12 от TDenis (42,620 баллов)
так вот мне кажется речь идет о моей ситуации.

Ага, похоже.
0 голосов
ответил 04 Сен, 12 от aleksey.shulga (1,160 баллов)
Надо в корне открыть доступ вообще всем, а перекрывать уже на уровне сервиса (или на уровне вложенных папок).

    При данном уровне авторизации, невозможно изменить настройки безопасности (переключение на "публичный" невозможно):


image
0 голосов
ответил 04 Сен, 12 от Grigoriy (127,020 баллов)
Попробуйте не через Manager, а через REST: http://localhost:6080/arcgis/admin/services/permissions
На корневую папку добавить права встроенной учетке esriEveryone
Проверить также можно в файле:
\\хранилка\каталог\config-store\services\FolderInfo.sec
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<security>
<resource url="/">
    <permission isAllowed="true" principal="esriEveryone">
      <constraint/>
    </permission>
</resource>
</security>
Если править файл, то сначала его скопировать (на всякий случай), потом остановить сервер, исправить, запустить сервер.
Если не поможет - придется или ждать SP1, или выдавать права на уровне IIS, не используя авторизацию ArcGIS Server.

    
    
0 голосов
ответил 04 Сен, 12 от aleksey.shulga (1,160 баллов)
    Добавление esriEveryone к корню приводит к открытию доступа всем пользователям. При переопределении у конкретного сервиса типа доступа на "Закрытый", роль уровня "Пользователь" также не работает (как и было до этого).
0 голосов
ответил 04 Сен, 12 от Grigoriy (127,020 баллов)
В принципе, если работает привелегия PUBLISH, то её можно смело давать роли. Через Web-Adaptor эта привелегия ничего кроме, как получить доступ к сервису, не сможет. Она будет иметь смысл при прямом подключении к серверу по порту 6080 (или 6443).
Фаерволом можете ограничить IP-адреса компьютеров, с которых можно подключаться по этим портам.
Ну или вообще их закрыть.
Добро пожаловать на сайт Вопросов и Ответов, где вы можете задавать вопросы по GIS тематике и получать ответы от других членов сообщества.
...