Доменная авторизация

Question

Добрый день!

В организации был когда то установлен ArcGis Server 10.0. С технической поддержкой пока проблемы и обновиться до актуальной версии сложно.

Но задачи ставят и решать их нужно. Одна из них доменная авторизация.

Вкратце о сервере: ArcGis Server 10.0 Enterprise Advanced. Windows Server 2008 R2 Standard. Доступ идет только по Интранет (корп. сеть).
Опубликован и работает ряд сервисов, массовый доступ к которым идет через геопортал. По новым требованиям безопасности необходима единая авторизация и разграничение доступа во всех информационных ресурсах, в том числе и на ArcGis Server.

Что хотелось бы сделать:
Разграничить доступ к ГИС-сервисам пользователям из домена.На геопортале (написан ) одним пользователям разрешено видеть общие сервисы с топографией, другим более детальный доступ. Без авторизации работает.

Что получается сделать:
Без авторизации в Manager «увидеть» доменных пользователей и роли в домене.Учетная запись админа (пусть будет Ivanov_i_i) добавлена в группы arsadmin.Доступ к Manager возможен как с учетной записью domain\ivanov_i_i так и local\ ivanov_i_i.НО: получить доступ к пользователям и ролям из домена не возможно (сравните с п1.). Пишет, что «Пользователи домена не доступны» или «Роли домена не доступны».

Вопросы:
Нужно ли включать «Настройки безопасности для ГИС-сервисов» и всегда нужно ли ее включать.Есть ли справка на русском для ArcGis Server 10.0?Как раздавать права конкретным пользователям к каждому сервису.Где и как назначать роли? Если в Windows – то создать отдельные группы в домене и в них включать пользователей или это как то в Manager делать? Но в Manager я нигде подходящих кнопок не видел.

Заранее спасибо за помощь и консультации.


Прошу прощения если вопросы повторяются. (((

Answer 1

Добрый день!
Понимаю, что данная тема неоднократно обсуждалась, но вот консолидированных ответов не нашел. Григорий, откликнитесь пожалуйста.

Answer 2

Anton Anton
Вопросы: 1.
Нужно ли включать «Настройки безопасности для ГИС-сервисов» и всегда нужно ли ее включать.
2. Есть ли справка на русском для ArcGis Server 10.0?
3. Как раздавать права конкретным пользователям к каждому сервису.
4. Где и как назначать роли? Если в Windows – то создать отдельные группы в домене и в них включать пользователей или это как то в Manager делать? Но в Manager я нигде подходящих кнопок не видел

Ответы:
1. Включать ли «Настройки безопасности для ГИС-сервисов» определять Вам. Когда Вы перейдете на управление доступом к сервисам ArcGIS Server с помощью Windows AD - вы по сути включаете Windows авторизацию. Если Вы не включите при этом https, то логины-пароли будут ходить в открытом виде по Вашей сети. Если это позволительно, то включать https не обязательно. В любом случае лучше сначала настроить всё в "отрытом" виде, а потом, когда всё заработает,включать шифрование.
2. В онлайне справки на русском нет. Частично справка для 10.0была в составе пакета "локализации". Но в любом случае лучше первоисточник.
3. Права к сервисам раздаются не пользователям, а ролям. А вот конкретный пользователь может входить в ту или иную роль.
4. Если Вы выберите опцию "Implementing security with Windows users and roles", то заводить пользователей и роли Вам придется средствами Windows. А вот доступ роли к сервису нужно будет выполнять в Manager.
Можете предварительно потренироваться - установите у себя на локальном компьютере (или виртуалке) ArcGIS Server и заведите локальные роли и локальных пользователей. http://help.arcgis.com/en/arcgisserver/10.0/help/arcgis_server_dotnet_help/0093/0093000000ps000000.htm.
Если что-то не получается - можно отключить авторизацию и вернуть всё в исходное состояние - см. раздел Disabling security for services:
http://help.arcgis.com/en/arcgisserver/10.0/help/arcgis_server_dotnet_help/0093/0093000000q4000000.htm
Вы должны понимать, что если Вы включите windows-авторизацию, то доступ к сервисам, смогут получать только windows-пользователи, т.е. "открытых всем сервисов" и "анонимного" доступа к сервисам не будет.
Также не все браузеры могут правильно работать с windows-авторизацией.
Я рекомендую Вам использовать опцию - пользователи из домена, а роли хранить в SQL-сервере. Тогда будет проще управлять доступом к сервисам в Manager.
Если домен AD большой, то Manager может "зависать" при чтении всего большого списка пользователей - придется при добавлении пользователя в роль сразу выполнять поиск по имени, а не пытаться восстановить список.

Answer 3

Григорий, спасибо за детальное консультирование.
Вопрос еще такой есть - если ограничиватьдоступ кпорталутолько средствами IIS 7.5? Не трогать безопасность для сервисов.
Какие то особенности в авторизации для доменных пользователей в данном случае?
Пробую делать следующим образом:
1. WEB-серверу (пусть будет GIS) в секции ASP.NET настраиваю Правила авторизации.
2. Ставлю Запрет для Всех пользователей и Разрешить для отдельной группы пользователей.
3. Проходит наследование прав по цепочке: Сайт-Приложения.
Проблема в следующем:
Для приложений получаем при первом обращении к нему - запрет на просмотр, а после обновления портала в браузере - доступ оказывается открытым.
Есть ли какие особенности для настройки доступа к приложениям на сильверлайте?

Answer 4

Я не знаю, что такое Ваш портал.
Вам лучше разбираться с Вашими разработчиками портала.
Вы можете вообще оставить все ГИС-сервисы открытыми, поместить ГИС-сервер на отдельный сервер.
И "спрятать" его от клиентов за веб-сервером.
Веб-сервернастроить на перенаправление нужных запросов "во внутрь".
Тогда все настройки доступа как к сервисам, так и к приложениям, Вы сможете настраивать средствами только веб-сервера.
Примерно вот так, как на картинке здесь:
http://resources.arcgis.com/en/help/main/10.2/0154/01540000035p000000.htm
Для IIS реализуется средствами URL-rewrite и ARR:
http://www.iis.net/downloads/microsoft/application-request-routing
http://www.iis.net/downloads/microsoft/url-rewrite
http://blogs.msdn.com/b/vyunev/archive/2011/09/28/iis-url-rewrite-module-2-10.aspx?Redirected=true