Administrar cuentas de usuario del servidor SIG en Linux/Solaris

La administración del usuario de ArcGIS Server en Linux/Solaris es diferente a la de ArcGIS Server en Windows. En Linux/Solaris, ArcGIS Server tiene distintos niveles de cuentas de usuario:

Vista general de las cuentas de ArcGIS Server en Linux/Solaris

La siguiente ilustración muestra las cuentas que se utilizan para administrar ArcGIS Server en Linux.

Cuentas de usuario del nivel de SO: cuentas que utiliza ArcGIS Server en el nivel del sistema operativo

Usuarios locales del servidor SIG: para conexiones locales

Para conexiones locales, ArcGIS Server en Linux/Solaris maneja solicitudes y respuestas en un entorno seguro como se describe en el siguiente diagrama:

ArcGIS Server en Linux/Solaris tiene un Servidor de directorio Sun incorporado que se instala con el componente SOM. ArcGIS Server utiliza este servidor de directorio para mantener un repositorio de usuarios que pueden acceder a ArcGIS Server en una conexión local.

Hay dos niveles de acceso de usuario: usuario (pertenece al grupo agsuser) y administrativo (pertenece al grupo agsadmin). En la ejecución, cuando la solicitud de un usuario entra al sistema, el SOM utiliza el servidor de directorio para autenticar al usuario y determinar el grupo al que pertenece el usuario: agsusers o agsadmin. A continuación, asigna al usuario a la cuenta del nivel de SO adecuada. La solicitud se acepta o se rechaza basándose en la pertenencia del usuario a alguna de estas cuentas.

Listas de usuarios locales del servidor SIG

El SOM administra y maneja los usuarios locales del servidor SIG a través de un servidor de directorio Sun One que se instala con el servidor. ArcGIS Server utiliza este servidor de directorio para mantener un repositorio de usuarios que puedan utilizar y administrar ArcGIS Server en una conexión local. Cuando se desinstala ArcGIS Server, el servidor de directorio queda completamente vacío y se elimina toda la información del usuario. Estas no son cuentas de nivel de SO. Puede administrar estos usuarios a través del Administrador de ArcGIS Server.

  • admin: este usuario se crea durante el proceso de instalación. Tiene un rol de administrador (agsadmin). La contraseña predeterminada para admin es "admin". Cuando inicia sesión en el Administrador por primera vez, inicie sesión como admin. Este usuario no se puede quitar de la lista de usuarios.
  • agsadmin: este usuario se crea cuando se realiza la instalación en el nivel de SO que se mencionó antes. También se crea en el nivel del servidor SIG. Este usuario no se puede quitar de la lista de usuarios. La contraseña predeterminada es "agsadmin", la misma que en el nivel de SO. Se recomienda cambiar la contraseña inmediatamente después de la instalación de ArcGIS Server.
  • agsuser: este usuario se crea cuando se realiza la instalación en el nivel de SO que se mencionó antes. También se crea en el nivel del servidor SIG. Este usuario no se puede quitar de la lista de usuarios del servidor SIG. La contraseña predeterminada es "agsuser", la misma que en el nivel de SO. Se recomienda cambiar la contraseña inmediatamente después de la instalación de ArcGIS Server.
  • El propietario de instalación: este usuario no es crea en el nivel del servidor SIG cuando se realiza la instalación. Para una configuración distribuida, o si desea crear/actualizar una memoria caché desde una línea de comandos, debe agregar este usuario en el nivel del servidor SIG. La contraseña en el nivel del servidor SIG para este usuario debe coincidir con la contraseña en el nivel de SO.
  • Otros usuarios: estos son los usuarios agregados por el grupo agsadmin en el Administrador después de que se instaló ArcGIS Server y se está ejecutando. Los usuarios virtuales se pueden agregar como miembros del grupo de la cuenta "agsadmin" o "agsuser".
    • Los usuarios en el grupo agsadmin pueden:
      1. iniciar sesión en el Administrador de ArcGIS Server para administrar ArcGIS Server. Agregar o modificar las propiedades del servidor.
      2. acceder y modificar la configuración de los servicios SIG, como: iniciar/parar el servicio, cambiar la configuración del servicio, como el número de instancias del servidor, la configuración del grupo de recursos, etc.
      3. ejecutar herramientas de servidor en un servicio, como crear/actualizar tareas de memoria caché.
    • Los usuarios en el grupo agsuser pueden:
      1. establecer conexiones de Internet y LAN con ArcGIS Server en ArcCatalog o en las aplicaciones Web para consumir los servicios SIG.
PrecauciónPrecaución:
Se recomienda cambiar la contraseña para las cuentas admin, agsadmin y agsuser inmediatamente después de la configuración inicial de ArcGIS Server.

Administrar usuarios locales del servidor SIG en el Administrador

En el Administrador, puede administrar estas cuentas de usuario y asignarlas a los grupos de usuarios Usuario (agsadmin) o Administrador (agsusers) para acceder a ArcGIS Server.

En el administrador de ArcGIS Server, para navegar a la página Usuarios de SIG locales, haga clic en la pestaña Servidor SIG y en Usuarios de SIG locales en el panel de la izquierda.

Para agregar una nueva cuenta de usuario, haga clic en Agregar usuarios. Aquí también puede definir el grupo al cual pertenece la cuenta.

Para quitar un usuario, en la página de la lista de usuarios, marque la casilla de verificación junto al usuario o los usuarios que desee quitar y haga clic en Eliminar.

Para editar una cuenta de usuario, haga clic en el botón Editar para la cuenta que desea editar y cambie la contraseña, el nombre o el grupo de usuario.

NotaNota:

Para editar la contraseña/el grupo del usuario con el que inició sesión en el Administrador, debe cerrar la sesión en el Administrador y volver a iniciarla.

Cómo establecer la conmutación por error del usuario local entre dos equipos SOM

En ArcGIS Server en Linux/Solaris, los componentes SOC se registran con un equipo SOM para realizar la administración de usuario. Si la funcionalidad de administración de usuario del equipo SOM está desconectada, los equipos SOC registrados no podrán ser utilizados por otros equipos SOM. Estos equipos SOC deben hacer referencia al otro equipo SOM para que la administración del usuario siga funcionando (consulte el siguiente gráfico).

ArcGIS Server en Linux/Solaris proporciona una secuencia de comandos para que un equipo SOC haga referencia de forma automática a un equipo SOM secundario para administración de usuarios si el equipo SOM primario está desconectado. Para hacer esto, introduzca lo siguiente:

cd <ArcGIS Server Installation Directory>/server10.0/servercore/tools/failover ./addIdentityServer.sh

Cómo sincronizar automáticamente los usuarios locales de ArcGIS Server entre dos equipos SOM

Si está configurada la conmutación por error del usuario del servidor SIG local, los usuarios locales en el SOM secundario se deben sincronizar con el SOM principal para asegurarse de que funciona la autenticación de usuario. Con ArcGIS Server en Linux/Solaris, los usuarios de conexión local se pueden sincronizar automáticamente entre dos equipos SOM. Esta entidad es muy útil para configurar una implementación en varios equipos.

En el gráfico anterior, los equipos SOC1, SOC2, SOC3, y SOC4 están registrados con SOM1 para autenticación. Con la conmutación por error de autenticación del usuario local configurada, si SOM1 está desconectado, estos equipos SOC harán referencia a SOM2 para la autenticación de usuario local. SOM2 necesita tener la información que necesitan estos SOC. Si no está sincronizada la información de usuario/contraseña/grupo de usuario en SOM1 y SOM2, es probable que estos equipos SOC no trabajen correctamente. ArcGIS Server en Linux/Solaris proporciona una nueva función para sincronizar de forma automática la información de autenticación de los usuarios locales entre SOM1 y SOM2. Para hacer esto, introduzca lo siguiente: 

cd <ArcGIS Server Installation Directory>/server10.0/servercore/tools/failover/userautosync ./userautosync usage: ./userautosync <command> [command options] # There are five commands: add, remove, status, stop, and start. 			      remove - remove the automatic user synchronization SOM machine 			      status - list the SOM machine that is the automatic user synchronization partner 			      stop - stop automatic user synchronization with the partner SOM machine 			      start - start automatic user synchronization with the partner SOM machine 			      add - [The other SOM machine name]
  • userautosync add:

El comando agregar configura la sincronización automática de usuarios entre dos equipos SOM. Los usuarios en SOM1 y SOM2 se combinarán en ambos SOM. Si un usuario existe en ambos equipos, se toma la información de usuario que se actualizó/agregó última.

userautosync add [The other SOM machine name]

Por ejemplo, en SOM1, ejecutar 

<ArcGIS Server Installation Directory>/server10.0/servercore/tools/failover/userautosync/userautosync add SOM2

El resultado será el siguiente:

Tabla 1: Sincronización de usuario local inicial cuando ejecuta "userautosync add" en SOM1

Usuarios locales en SOM1

+

Usuarios locales en SOM2

-->

Usuarios locales en SOM1 y SOM2 después de configurar autosync

admin

admin

admin (el mismo que en SOM1)

agsadmin

agsadmin

agsadmin (el mismo que en SOM1)

agsuser

agsuser

agsuser (el mismo que en SOM1)

cherry

Cherry

cherry (el mismo que en SOM1)

david

david

david (el mismo que en SOM1)

peter

anthony

peter (de SOM1)

anthony (de SOM2)

NotaNota:
El nombre de usuario no distingue mayúsculas de minúsculas. Por lo tanto "cherry" en SOM1 y "Cherry" en SOM2 se tratan como el mismo usuario.

Después de la sincronización inicial, todo cambio posterior en SOM1 o SOM2 se transmite automáticamente al otro equipo SOM. Por ejemplo, si se agrega un usuario nuevo al SOM2, la información de ese usuario se agregará al SOM1 después de que se realiza la acción de incorporación en SOM2. Si cambia la contraseña o el grupo de usuario de un usuario en SOM1, los cambios tendrán efecto en SOM2 después de que la acción de cambio se realiza en SOM1.

  • archivo userautosync.properties

En lugar de sincronizar después de los cambios en cualquiera de los equipos SOM, también puede definir un rango de tiempo para que se produzca la sincronización automática del usuario a través del archivo <directorio de instalación de ArcGIS Server>/server10.0/servercore/tools/failover/userautosync/userautosync.properties. Puede definir la programación de tiempo con la hora de inicio, la hora de finalización y los días de la semana comenzando con el domingo. Por ejemplo:

programación = 0400-0500 0123

permite la sincronización sólo entre las 4:00 a.m. y las 5:00 a.m. los días domingo, lunes, martes y miércoles.

Cuando se modifica este archivo de propiedades, también se debe modificar en el otro equipo. Este archivo de propiedades debe ser igual en ambos equipos.

Cuando se ejecuta userautosync con la programación, para cualquier cambio anterior a la programación de sincronización, si hay conflictos entre SOM1 y SOM2, se tomará el último cambio. Por ejemplo, si la programación se realiza los lunes de 4:00 a.m. a 5:00 a.m., los cambios que ocurrieron antes de las 4:00 a.m. los lunes serán los siguientes:

Tabla 2: ejecutar "userautosync add" en SOM 1 a las 3:30 a.m. el lunes 14/06/2010 para "programación = 0400-0500 1" (de 4:00 a.m. a 5:00 a.m. todos los lunes)

Usuarios locales en SOM1

+

Usuarios locales en SOM2

-->

Resultado: después de las 4:00 a.m. el lunes 14/06/2010 en SOM1 y SOM2

admin/admin(agsadmin) --> admin/test(agsadmin) el jueves, 10/06/2010

admin/admin(agsadmin)

admin/admin(agsadmin)

agsadmin/test(agsadmin)

agsadmin/test(agsadmin)

agsadmin/test(agsadmin)

agsuser/test(agsuser)

agsuser/test(agsuser)

agsuser/test(agsuser)

cherry/cherry(agsadmin) --> cherry/cherry(agsuser) a las 2:00 p.m. del sábado 12/06/10

cherry se eliminó a las 2:05 p.m. el sábado, 12/06/10

anthony/anthony(agsadmin)

peter/peter(agsadmin) introducido a las 3:00 p.m. el domingo, 13/06/2010

peter/peter(agsadmin)-->peter/peter(agsuser) a las 3:05 p.m. el domingo, 13/06/2010

peter/test(agsadmin)

peter/peter(agsadmin) --> peter/test(agsadmin) a las 3:40 p.m. el domingo, 13/06/2010

anthony/anthony(agsadmin) introducido el miércoles, 09/06/2010

Si inicia la sincronización automática al ejecutar "userautosync add" fuera del horario programado, el resultado de sincronización inicial será distinto en SOM1 y SOM2. Si ejecuta el comando en SOM1, inicialmente, el usuario local en SOM1 se empujará a SOM2 pero los usuarios locales en SOM2 NO pasarán a SOM1. Por ejemplo, con "programación = 0400-0500 1", ejecute "userautosync add" en SOM1 en cualquier momento fuera de las 4 a 5 a.m. el lunes, a las 3:30 a.m. el 14/06/2010 por ejemplo, el resultado de la sincronización inicial será:

Tabla 3: ejecutar "userautosync add" en SOM 1 a las 3:30 a.m. el lunes 14/06/2010 para "programación = 0400-0500 1" (de 4:00 a.m. a 5:00 a.m. todos los lunes)
Los usuarios locales en SOM1 antes de ejecutar "userautosync add" a las 3:30 a.m.

Los usuarios locales en SOM2 antes de ejecutar "userautosync add" a las 3:30 a.m.

-->

 Los usuarios locales en SOM1 después de ejecutar "userautosync add" a las 3:30 a.m. Los usuarios locales en SOM2 después de ejecutar "userautosync add" a las 3:30 a.m.

admin/test(agsadmin)

admin/test(agsadmin)

admin/test(agsadmin)

admin/test(agsadmin)

agsadmin/test(agsadmin)

agsadmin/agsadmin(agsadmin)

agsadmin/test(agsadmin)

agsadmin/test(agsadmin)

agsuser/test(agsuser)

agsuser/test(agsuser)

agsuser/test(agsuser)

agsuser/test(agsuser)

cherry/cherry(agsadmin)

adam/adam(agsuser)

cherry/cherry(agsadmin)

cherry/cherry(agsadmin)

peter/peter(agsuser)

ags/ags(agsadmin)

peter/peter(agsuser)

peter/peter(agsuser)

adam/adam(agsuser)

ags/ags(agsadmin)

Después de las 4 a.m., userautosync tendrá efecto en la Tabla 2.

Si ejecuta "userautosync add" durante el tiempo programado, la sincronización automática tendrá efecto enseguida en la Tabla 1. Después, la sincronización automática sólo actuará durante el tiempo programado. Para los cambios que ocurran en otros momentos, el efecto es igual a la tabla 2.

Si modificó el archivo de propiedades cuando userautosync se estaba ejecutando, debe ejecutar "userautosync stop" e "userautosync start" para que cause efecto. El resultado cuando se ejecuta "userautosync start" será el mismo que con las reglas anteriores.

  • userautosync remove:

Este comando quitará la sincronización automática de usuario con el otro equipo SOM.

userautosync remove
  • userautosync status:

Este comando mostrará el estado de la configuración de la sincronización automática. Si ya está configurada, mostrará el otro equipo SOM y si se ejecuta la sincronización automática o no.

userautosync status
  • userautosync stop:

Este comando detiene la sincronización automática si ya se configuró y se está ejecutando. La sincronización automática todavía está configurada. Si userautosync sólo está desconectado en un equipo, el otro equipo seguirá intentando encontrar al SOM que esté desconectado. El patrón de reintento es el siguiente: 10 segundos, 20, 40, 80, hasta que el intervalo alcanza 5 minutos. Continuará reintentando cada 5 minutos. Si se detuvieron los dos equipos, cuando vuelven a iniciarse, intentarán alcanzar al otro equipo para sincronizar automáticamente los usuarios.

userautosync stop
  • userautosync start:

Este comando inicia la sincronización automática si ya se configuró y no se está ejecutando.

userautosync start

"userautosync start" tiene el mismo efecto que "userautosync add". Por ejemplo, si utiliza "userautosync start" en SOM1, obtendrá el resultado de la Tabla 1.

  • Archivo de registro.

Existe un archivo de registro denominado user_sync.log en la carpeta <directorio de instalación de ArcGIS Server>/server10.0/servercore/tools/failover/userautosync. Los cambios en la administración del usuario local se registran en este archivo de registro.

Si ArcGIS Server está desconectado, userautosync se detiene pero sigue configurado. Userautosync se comportará igual que al ejecutar "userautosync stop".

Puertos que utiliza Userautosync

El puerto que utiliza el proceso de userautosync es 62001. Éste se utiliza para enviar información de sincronización entre los dos servidores de identidad de SOM. Mientras el "servidor de identidad" utiliza el puerto 62000 para escuchar solicitudes de autenticación desde los SOC.

El proceso de "monitor" utiliza 2422 como el puerto predeterminado. Esto se documenta en el archivo de configuración del monitor en < directorio de instalación de ArcGIS Server>/server10.0/java/tools/monitor/monitor.xml. El administrador del sistema puede modificar cualquier valor si quita comentarios y actualiza la siguiente información en el monitor.xml del equipo local.

 <!--<ListenerPort>2422</ListenerPort>-->

Si modifica este número de puerto a un valor no predeterminado y si este equipo local actualmente es un host SOC para otros hosts SOM, entonces esta modificación de número de puerto se debe registrar en el archivo de propiedades MonitorClient < directorio de instalación de ArcGIS Server >/server10.0/java/tools/monitor/lib/monitor_client.xml en los hosts SOM.

<!-- <MonitorPorts> 	            <Machine name="[MACHINE-NAME]" port="[PORT#]" />										  </MonitorPorts> -->

Además, si el host local tiene instalado SOM y SOC, registre también las modificaciones del número de puerto en las propiedades de MonitorClient en el host local. Esto se necesita para que los hosts SOM ejecuten operaciones remotas de manera correcta como por ejemplo "diagnóstico" en el equipo local a través del Monitor. Sólo es posible si los hosts de SOM conocen el número de puerto en el cual escucha este Monitor.

Para cambiar el valor de puerto predeterminado de 62001, siga los pasos que se enumeran debajo:

  1. Detenga servidor
  2. Edite <directorio de instalación de ArcGIS Server>/server10.0/servercore/agsidsvr/agsldap/slapd-<nombre de host>/config/dse.ldif
  3. Cambie el valor del puerto nsslapd al nuevo número de puerto que desee utilizar.
  4. Edite /etc/remotesa/remotesa.config
  5. Cambie el valor de MWR_LDAPPORT al valor nuevo
  6. Reinicie el servidor

Cómo sincronizar manualmente los usuarios locales del servidor SIG: importar y exportar usuarios locales del servidor SIG en Linux/Solaris

Los usuarios locales también se pueden sincronizar a través de una herramienta con una secuencia de comandos denominada "import_export_users.sh" que está ubicada en <directorio de instalación de ArcGIS Server>/server10.0/scripts. Esta secuencia de comandos permite exportar usuarios locales del servidor SIG a un archivo de texto. Estos usuarios en un archivo de texto se pueden importar en cualquier instancia de ArcGIS Server para la plataforma Linux o Solaris con la misma herramienta. Esta herramienta sólo está disponible para instalaciones SOM. Los usuarios que se incluyen en este archivo de texto se pueden importar en cualquier implementación de ArcGIS Server para la plataforma Java que tenga las mismas herramientas disponibles.

También puede aprovechar esta funcionalidad para mantener un respaldo de usuarios locales del servidor SIG o replicar información de usuario en varias de las instancias del servidor.

Cómo importar y exportar los usuarios locales del servidor SIG en Linux/Solaris

Puede ejecutar la secuencia de comandos "<directorio de instalación de ArcGIS Server>/server10.0/scripts/import_export_users.sh". Si ejecuta la secuencia de comandos sin parámetros de entrada, se imprimirá el uso de la herramienta.

# ./import_export_users.sh NAME     import_export_users.sh SYNOPSIS    ./import_export_users.sh [OPTION] FILENAME  DESCRIPTION    This utility is for exporting ArcGIS Server users to a file importing users into ArcGIS Server.    -i       import users from a file specified by FILENAME into ArcGIS Server    -e       export ArcGIS Servers users to a file specified by FILENAME    -f       overwrite user(s) if exist during import.       This option can only be used with the import option.    -w       import users exported from Windows platform specified by FILENAME       This option can only be used with the import option.    -n       no logging    -o NEW_LOGFILE_PATH       path to a directory in which the log file will be written (by default the utility will log results       in /<ARCGISHOME>/server/user/log/import_export.log)

Exportar usuarios locales del servidor SIG

Los usuarios de ArcGIS Server se pueden exportar con la opción -e seguida del nombre del archivo que debe incluir a los usuarios. La salida de la herramienta resume la exportación. Puede consultar el archivo de registro mencionado para obtener más información acerca de los usuarios que se exportaron correctamente y si existieron errores. Puede desactivar el registro con la opción -n. Por defecto, los registros se ubican en <directorio de instalación de ArcGIS Server>/server10.0/server/user/log. Sin embargo, puede cambiar la ruta del directorio mediante la opción -o.

Ejemplo:

 [user@machine <ArcGIS Server Installation directory>/server10.0/scripts]#  ./import_export_users.sh -e /tmp/users.dat EXPORT SUMMARY ------------------- 5 users exported successfully. Check log file for detailed information at /server/user/log/import_export_Sat_Sep_29_13-24-53_2007.log

[user@machine <directorio de instalación de ArcGIS Server>/server10.0/scripts]# ./import_export_users.sh -e /tmp/users.dat

Importar usuarios locales del servidor SIG

Los usuarios que se exportaron por ArcGIS Server en Linux o Solaris se pueden importar con la opción -i seguida del nombre del archivo que contiene a los usuarios. La salida de la herramienta resume la importación. Puede consultar el archivo de registro mencionado para obtener más información acerca de los usuarios que se importaron correctamente y si existieron errores. Puede desactivar el registro con la opción -n. Por defecto, los registros se ubican en <directorio de instalación de ArcGIS Server>/server10.0/server/user/log. Sin embargo, puede cambiar la ruta del directorio mediante la opción -o.

Ejemplo:

 [user@machine <ArcGIS Server Installation directory>/server10.0scripts]#  ./import_export_users.sh -i /tmp/users.dat IMPORT SUMMARY --------------------------- 5 users imported successfully. Check log file for detailed information at /server/user/log/import_export_Sat_Sep_29_13-24-53_2007.log


Copyright © 1995-2011 Esri. Todos los derechos reservados.
3/6/2012