Anleitung: Implementieren von Sicherheit mit Windows-Benutzern und -Rollen

Komplexität: Einsteiger Erforderliche Daten: ArcGIS Tutorial Data Setup

In dieser Anleitung wird erläutert, wie Sicherheit für Webanwendungen und GIS-Services implementiert wird. In dieser Anleitung sind Benutzer als Windows-Betriebssystemkonten auf dem lokalen Webserver-Computer oder in der Domäne gespeichert, der der Webserver angehört. Rollen für Benutzer sind als Gruppen auf dem lokalen Server oder in der Domäne definiert. "Windows-Benutzer und -Gruppen" ist eine von mehreren Optionen für Benutzer und Rollen. Diese Option wird in der Regel verwendet, wenn die Benutzer des Servers in das lokale Netzwerk eingebunden sind, statt eine Verbindung über das Internet herzustellen. Diese Vorgehensweise empfiehlt sich, wenn GIS-Benutzer ihre bereits im Netzwerk für sie vorhandenen Konten nutzen können sollen.

In dieser Anleitung erfahren Sie, wie Sie dem System Benutzer und Gruppen nach Bedarf hinzufügen, den Speicherort für Benutzer und Rollen in Manager konfigurieren, Berechtigungen für eine Webanwendung und einen GIS-Web-Service festlegen und Sicherheit für GIS-Web-Services aktivieren.

VorsichtVorsicht:

Am Ende dieser Anleitung aktivieren Sie Sicherheit für GIS-Web-Services. Nach der Aktivierung von Service-Sicherheit können nur Benutzer, die Sie auf Grundlage ihrer Windows-Gruppenmitgliedschaft dazu autorisiert haben, auf Services auf dem System zugreifen. Ab diesem Zeitpunkt müssen Sie zudem Berechtigungen für alle Services verwalten. Sie sollten Sicherheit für Services nur dann aktivieren, wenn Sie für alle Services den Zugriff auf autorisierte Benutzer beschränken möchten und bereit sind, weiterhin Berechtigungen zu verwalten.

In dieser Anleitung werden die folgenden Schritte erläutert:

  1. Hinzufügen von Benutzern und Gruppen mit Betriebssystemwerkzeugen.
  2. Konfigurieren des Speicherorts für Benutzer und Rollen in Manager.
  3. Anzeigen von Benutzern und Rollen.
  4. Speichern einer Webanwendung.
  5. Festlegen von Berechtigungen für GIS-Web-Services.
  6. Deaktivieren des anonymen Zugriffs auf GIS-Web-Services.
  7. Anwenden von Sicherheit auf GIS-Web-Services.

Hinzufügen von Benutzern und Gruppen mit Betriebssystemwerkzeugen

Um Berechtigungen auf Grundlage von Windows-Benutzern und -Gruppen zuzuweisen, müssen Sie dem System möglicherweise Benutzer und Gruppen hinzufügen. In den nachstehenden Anweisungen werden die grundlegenden Schritte erläutert. Details finden Sie in der Windows-Dokumentation.

Wenn auf dem Webserver oder in der Domäne bereits Benutzer und Gruppen definiert sind und Sie diese verwenden möchten, um Berechtigungen für Anwendungen und Services zuzuweisen, können Sie diesen Abschnitt überspringen.

Schritte:
  1. Um dem lokalen Webserver Benutzer und Gruppen hinzuzufügen, wählen Sie Start > Systemsteuerung > Verwaltung > Computerverwaltung (klicken Sie alternativ auf dem Desktop mit der rechten Maustaste auf das Symbol Arbeitsplatz, und wählen Sie Verwalten). Erweitern Sie in der Konsole Computerverwaltung die Einträge System und Lokale Benutzer und Gruppen. Klicken Sie auf den Ordner Benutzer, um die Liste der Benutzer anzuzeigen.
    • Unter Windows Vista oder Server 2008 wählen Sie stattdessen Start > Systemsteuerung > Verwaltung > Server-Manager. Erweitern Sie im Server-Manager den Eintrag Konfiguration und dann den Eintrag Lokale Benutzer und Gruppen. Klicken Sie auf den Ordner Benutzer, um die Liste der Benutzer anzuzeigen.
  2. Klicken Sie mit der rechten Maustaste auf den Ordner Benutzer, und wählen Sie Neuer Benutzer.
    Computerverwaltung: Hinzufügen eines neuen Benutzers
  3. Geben Sie den Benutzernamen ein, z. B. walkthrough1. Geben Sie ein Kennwort ein, und bestätigen Sie es (z. B. walkthrough1). Sie können die Anforderung, dass der Benutzer das Kennwort bei der nächsten Anmeldung ändern muss, deaktivieren. Legen Sie die gewünschten Optionen fest, und klicken Sie dann auf Erstellen.
  4. Fügen Sie mindestens einen anderen Benutzer hinzu, z. B. walkthrough2. Schließen Sie das Dialogfeld Neuer Benutzer.
  5. Klicken Sie in der Struktur Computerverwaltung (bzw. Server-Manager) mit der rechten Maustaste auf den Ordner Gruppen, und wählen Sie Neue Gruppe.
  6. Geben Sie den Gruppennamen ein, z. B. WTGroup1. Fügen Sie optional eine Beschreibung hinzu. Fügen Sie der Gruppe Mitglieder hinzu:
    1. Klicken Sie unter dem Bereich Mitglieder auf Hinzufügen.
    2. Klicken Sie im Dialogfeld Benutzer, Computer oder Gruppen wählen auf die Schaltfläche Pfade, wählen Sie im Popup-Dialogfeld den Namen des lokalen Computers aus, und klicken Sie auf OK.
    3. Geben Sie im Dialogfeld Benutzer, Computer oder Gruppen wählen unter dem Feld Geben Sie die zu verwendenden Objektnamen ein den Namen des ersten Benutzers ein, den Sie oben hinzugefügt haben (walkthrough1).
      Computerverwaltung: Hinzufügen einer neuen Gruppe
    4. Klicken Sie auf Namen überprüfen, um zu überprüfen, ob der Benutzer vorhanden ist (klicken Sie ggf. auf die Schaltfläche Erweitert und auf Jetzt suchen, um alle Benutzer aufzulisten; Sie können den Benutzer aus dieser Liste wählen).
    5. Klicken Sie auf OK, um das Dialogfeld Benutzer, Computer oder Gruppen wählen zu schließen und zum Dialogfeld Gruppe hinzufügen zurückzukehren. Im Dialogfeld Neue Gruppe wird jetzt der von Ihnen ausgewählte Benutzer aufgelistet.
  7. Klicken Sie auf Erstellen, um die neue Gruppe zu erstellen.
  8. Erstellen Sie eine weitere Gruppe, z. B. WTGroup2, und fügen Sie den zweiten oben erstellten Benutzer (walkthrough2) hinzu. Schließen Sie das Dialogfeld Neue Gruppe. Sie können auch die Konsole Computerverwaltung schließen.

Konfigurieren des Speicherorts für Benutzer und Rollen in Manager

Um Berechtigungen für Webanwendungen und Web-Services zuzuweisen, müssen Sie zuerst ArcGIS Server mitteilen, wo die Benutzer und die Rollen gespeichert sind. In dieser Anleitung sind Benutzer als Betriebssystemkonten auf dem Webserver-Computer oder in der Domäne und Rollen als Windows-Gruppen auf dem Webserver-Computer oder in der Domäne definiert.

Schritte:
  1. Starten Sie ArcGIS Server Manager, und melden Sie sich an.
  2. Erweitern Sie in Manager den Bereich Sicherheit, und klicken Sie auf Einstellungen.
  3. Klicken Sie auf die Schaltfläche Konfigurieren (führen Sie diesen Schritt auch dann aus, wenn im Feld Speicherort bereits "Windows-Benutzer und -Gruppen" angegeben ist; der Assistent führt zusätzliche wichtige Konfigurationsschritte aus).
    Assistent "Sicherheitseinstellungen": Konfigurieren
  4. Wählen Sie im Fenster zur Auswahl des Speicherorts für Benutzer-Store Windows-Benutzer aus.
    Assistent "Sicherheitseinstellungen": Festlegen von "Windows-Benutzer"
    Klicken Sie auf Weiter.
  5. Wählen Sie im Fenster zur Auswahl des Speicherorts für Rollen-Store Windows-Gruppen aus. Klicken Sie auf Fertig stellen. Der Assistent wird geschlossen, und der Eintrag im Feld Speicherort lautet Windows-Benutzer und -Gruppen.

Beachten Sie, dass Sicherheit für Services auf Nicht aktiviert festgelegt ist. Aktivieren Sie die Sicherheit zum jetzigen Zeitpunkt nicht. Sie aktivieren die Sicherheit im letzten Schritt dieser Anleitung. Die Aktivierung der Sicherheit wird im letzten Schritt durchgeführt, weil Sie zuerst Berechtigungen für die Web-Services festlegen müssen. Nach der Aktivierung der Sicherheit können nur Benutzer, deren Rollen Sie zugelassen haben, auf die GIS-Web-Services zugreifen.

Anzeigen von Benutzern und Rollen

Wenn es sich bei den Benutzern und Rollen um Windows-Benutzer und -Gruppen handelt, können Sie sie in Manager anzeigen. Um Benutzer oder Gruppen hinzuzufügen, zu bearbeiten oder zu löschen, müssen Sie Windows-Betriebssystemwerkzeuge verwenden, wie im ersten Abschnitt dieser Anleitung beschrieben.

Schritte:
  1. Klicken Sie in Manager auf die Registerkarte Sicherheit auf der linken Seite, und klicken Sie auf Benutzer. Im Fenster "Benutzer" wird eine Liste von Benutzern auf dem lokalen Webserver angezeigt.
    Liste von Windows-Benutzern in Manager
  2. Wenn mehr Benutzer vorhanden sind, als in einem einzigen Fenster angezeigt werden können, klicken Sie auf die Schaltfläche mit dem doppelten Nach-rechts-Pfeil (>>), um weitere Benutzer anzuzeigen. Sie können auch einen teilweisen oder vollständigen Benutzernamen in das Feld Anzeigen am oberen Rand des Fensters eingeben und auf Suchen klicken, um die Liste der Benutzer zu filtern.
  3. Um die Gruppenmitgliedschaft eines Benutzers anzuzeigen, klicken Sie auf das Pluszeichen (+) neben dem Namen. Die Liste zeigt die Gruppen auf dem lokalen System an, deren Mitglied der Benutzer ist.
  4. Wenn der Computer Mitglied einer Domäne ist, können Sie Benutzer in der Domäne anzeigen, indem Sie auf das Optionsfeld Domäne neben Benutzer anzeigen für klicken. Anschließend können Sie die Domänengruppenmitgliedschaft für diese Benutzer anzeigen (in der Liste wird keine Mitgliedschaft in lokalen Systemgruppen aufgeführt).
  5. Zeigen Sie Rollen an, indem Sie auf der Registerkarte Sicherheit von Manager auf Rollen klicken. In diesem Fall werden in der Liste Windows-Gruppen auf dem lokalen Webserver angezeigt. Wenn der Computer Mitglied einer Domäne ist, klicken Sie auf Domäne, um Gruppen in der Domäne anzuzeigen. Sie können zwischen Seiten mit Listen von Gruppen wechseln oder nach Gruppen filtern/suchen, genauso wie im Dialogfeld Benutzer.
    Liste von Windows-Gruppen in Manager
  6. Klicken Sie auf das Pluszeichen neben einer Gruppe, um die Benutzer anzuzeigen, die Mitglieder der Gruppe sind.

Sichern einer Webanwendung

Nun sichern Sie eine Webanwendung, indem Sie den Zugriff auf bestimmte Rollen (in diesem Fall Windows-Gruppen) beschränken. Die Vorgehensweise wird in den abschließenden Abschnitten dieser Anleitung erläutert.

Schritte:
  1. Erstellen Sie eine neue Webanwendung in Manager. Es kann sich um eine einfache Anwendung handeln, die lediglich einen Karten-Service und keine zusätzlichen Werkzeuge oder Tasks bietet. Wenn Sie eine Anwendung erstellen müssen, können Sie die Schritte im Lernprogramm: Erstellen einer Webanwendung ausführen. Wenn auf dem Webserver ein SSL-Zertifikat installiert ist, können Sie beim Erstellen der Anwendung festlegen, dass die Anwendung HTTPS verwenden soll (verwenden Sie im Anwendungsassistenten die Option Erweitert im ersten Fenster). Sie können eine vorhandene Anwendung verwenden, allerdings müssen sich alle Benutzer der Anwendung als Benutzer einer Rolle anmelden, die in dieser Anleitung zulässig ist.
  2. Klicken Sie in Manager auf Anwendungen, um die Webanwendungen aufzulisten. Suchen Sie die zu sichernde Anwendung in der Liste. In der Spalte Berechtigungen wird das Symbol für "Entsperrt" angezeigt.
    Symbol "Entsperrt" für ungesicherte Anwendung
    Dies weist darauf hin, dass der Zugriff auf diese Anwendung nicht beschränkt ist, sodass sich Benutzer derzeit nicht anmelden müssen.
    Dialogfeld mit Anwendungsliste
  3. Klicken Sie auf das Berechtigungssymbol.
    Symbol "Entsperrt" für ungesicherte Anwendung
    Daraufhin wird das Dialogfeld Berechtigungen für die Webanwendung geöffnet.
  4. Aktivieren Sie das Kontrollkästchen Sicherheit für diese Webanwendung aktivieren. Hiermit werden die Listen der verfügbaren und zulässigen Rollen aktiviert.
  5. Wenn Sie Rollen auf Grundlage von Domänengruppen zulassen möchten, klicken Sie auf das Optionsfeld Domäne unter Rollen anzeigen für. Klicken Sie andernfalls auf Lokaler Server, um Gruppen auf dem lokalen Computer anzuzeigen. Sie können sowohl Domänengruppen als auch lokale Gruppen als zulässige Rollen hinzufügen.
  6. Markieren Sie die Rolle WTGroup1 (oder eine andere Rolle, die Sie zuvor hinzugefügt haben) in der Liste Verfügbare Rollen. Klicken Sie auf die Schaltfläche Hinzufügen, um die Rolle der Liste Zulässige Rollen hinzuzufügen. Fügen Sie der Liste der zulässigen Rollen optional weitere Rollen hinzu.
  7. Klicken Sie auf Speichern, um die Berechtigungen zu speichern und zur Liste der Anwendungen zurückzukehren. Beachten Sie, dass sich das Berechtigungssymbol nun den Status "Gesperrt" darstellt.
    Symbol "Gesperrt" für gesicherte Anwendung
    Dies weist darauf hin, dass Benutzer sich jetzt anmelden müssen, um auf die Anwendung zuzugreifen.
  8. Legen Sie die Authentifizierungsmethode für die Anwendung mit IIS-Manager fest:
    1. Öffnen Sie IIS-Manager über Start > Einstellungen > Systemsteuerung > Verwaltung > Internet-Informationsdienste.
    2. Erweitern Sie die linke Struktur von IIS-Manager unter Websites oder Sites. Erweitern Sie Default Web Site, um die soeben gesicherte Webanwendung zu suchen.
    3. Unter Windows XP oder Server 2003: (1) Klicken Sie mit der rechten Maustaste auf die Webanwendung, und klicken Sie im Kontextmenü auf Eigenschaften. Das Dialogfeld Eigenschaften für die Anwendung wird geöffnet.
      IIS-Manager: Anwendungseigenschaften
      (2) Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Verzeichnissicherheit. Klicken Sie in diesem Fenster unter Authentifizierung und Zugriffsteuerung auf Bearbeiten. Das Dialogfeld Authentifizierungsmethoden wird geöffnet. (3) Deaktivieren Sie das Kontrollkästchen Anonymen Zugriff aktivieren. Aktivieren Sie dann mindestens eine der Methoden unter Authentifizierter Zugriff. Zu Demonstrationszwecken dieser Anleitung können Sie Standardauthentifizierung wählen (klicken Sie auf Ja, wenn eine Warnmeldung angezeigt wird). Weitere Informationen zu Authentifizierungsmethoden finden Sie auf der Seite Übersicht über Internet-Sicherheit.
      Authentifizierungsmethoden für Anwendungen
      (4) Klicken Sie auf OK, um das Dialogfeld Authentifizierungsmethoden zu schließen und zum Dialogfeld Eigenschaften der Anwendung zurückzukehren. Unter Windows Vista oder Server 2008: (1) Klicken Sie in der Struktur auf die Anwendung. Doppelklicken Sie auf der rechten Seite von IIS-Manager auf Authentifizierung. (2) Klicken Sie auf das Element Anonyme Authentifizierung, um es zu markieren, und klicken Sie dann in der Liste Aktionen auf der rechten Seite von IIS-Manager auf Deaktivieren. Aktivieren Sie dann mindestens eine andere Authentifizierungsmethode. Weitere Informationen zu Authentifizierungsmethoden finden Sie auf der Seite Übersicht über Internet-Sicherheit.
    4. Wenn auf dem Webserver ein SSL-Zertifikat installiert ist, können Sie erzwingen, dass die Anwendung HTTPS verwendet. Dies sorgt für eine geschützte Anmeldung, wenn die Standardauthentifizierung festgelegt ist. Unter Windows XP oder Server 2003: Klicken Sie Im Dialogfeld "Eigenschaften" für die Anwendung auf die Registerkarte Verzeichnissicherheit. Klicken Sie im Bereich Sichere Kommunikation dieses Fensters auf Bearbeiten (bei deaktivierter Schaltfläche ist kein SSL-Zertifikat installiert). Klicken Sie im Dialogfeld Sichere Kommunikation auf Sicherer Kanal (SSL) erforderlich. Klicken Sie auf OK, um die Einstellung zu speichern. Klicken Sie auf OK, um das Dialogfeld Eigenschaften zu schließen. Unter Windows Vista oder Server 2008: Klicken Sie in IIS-Manager in der linken Struktur auf die Anwendung, um sie auszuwählen. Doppelklicken Sie auf der rechten Seite von IIS-Manager auf SSL-Einstellungen. Aktivieren Sie im daraufhin geöffneten Fenster SSL-Einstellungen das Kontrollkästchen SSL erforderlich.
    5. Schließen Sie die IIS-Manager-Konsole.
  9. Testen Sie die Anwendung, indem Sie in der Liste der Webanwendungen auf den zugehörigen URL-Hyperlink klicken. Die Anwendung wird in einem neuen Browserfenster geöffnet, und Sie werden in einem Popup-Fenster zur Anmeldung aufgefordert. Geben Sie den Benutzernamen und das Kennwort für einen Benutzer ein, der ein Mitglied der von Ihnen zugelassenen Rolle ist (z. B. der vorstehend hinzugefügte Benutzer walkthrough1). Klicken Sie dann auf OK. Nach erfolgreicher Anmeldung wird die Seite der ArcGIS Server-Webanwendung geöffnet. Schließen Sie die Anwendung, wenn Sie fertig sind.

Festlegen von Berechtigungen für GIS-Web-Services

Sie können mit Manager nicht nur Webanwendungen sichern, sondern auch den Zugriff auf GIS-Web-Services beschränken. In diesem Abschnitt erfahren Sie, wie Berechtigungen für Services festgelegt werden. Diese Berechtigungen werden erst dann tatsächlich durchgesetzt, nachdem Sie den folgenden Abschnitt zum Anwenden von Sicherheit auf Services abgeschlossen haben. Dieser Arbeitsablauf ermöglicht es Ihnen, Berechtigungen für Services zu konfigurieren und anschließend Sicherheit anzuwenden, sodass Benutzer im Sicherheitsprozess weiterhin auf Services zugreifen können.

In dieser Anleitung wird Sicherheit so konfiguriert, dass standardmäßig alle Mitglieder der Gruppe "Benutzer" auf Services auf dem Server zugreifen können (diese Gruppe schließt normalerweise alle Benutzerkonten auf dem lokalen Server ein). Anschließend wird ein Ordner konfiguriert, um nur einer Teilmenge von Rollen den Zugriff auf Services im Ordner zu erlauben. Diese Vorgehensweise empfiehlt sich möglicherweise für eine Site mit einer Mischung aus gesicherten und offenen Services. Ihr Unternehmen kann sich auch für eine andere Vorgehensweise als die unten dargestellte entscheiden.

Wenn es sich bei den Benutzern und Rollen der Services um Windows-Benutzer und -Gruppen handelt, ist ein anonymer Zugriff auf Services, bei dem Benutzer keine Anmeldeinformationen eingeben müssen, nicht möglich. Anders ausgedrückt müssen alle Benutzer der Services über ein Windows-Konto verfügen und den Benutzernamen und das Kennwort eingeben, wenn sie dazu aufgefordert werden.

Schritte:
  1. Stellen Sie in Manager sicher, dass mindestens ein Service im Stammordner des Servers vorhanden ist. Fügen Sie anderenfalls einen Service hinzu. Informationen zum Erstellen des Services finden Sie im Lernprogramm Veröffentlichen eines Karten-Services.
  2. Fügen Sie den Services des Servers einen Ordner hinzu, indem Sie auf Ordner verwalten klicken. Klicken Sie in der daraufhin angezeigten Dropdown-Liste auf Hinzufügen.
    Hinzufügen eines Service-Ordners
    Geben Sie im Textfeld Ordner hinzufügen einen Ordnernamen wie z. B. SecurityWalkthrough ein. Klicken Sie auf OK, um den Ordner hinzuzufügen.
  3. Fügen Sie dem neuen Ordner einen Service hinzu. Fügen Sie den Service mithilfe von GIS-Ressource veröffentlichen hinzu. Achten Sie darauf, den neuen Ordner (SecurityWalkthrough) als Speicherort anzugeben. (Sie können auch den Assistenten Neuen Service hinzufügen verwenden; vergewissern Sie sich in diesem Fall jedoch, dass die Liste Services in den Ordner SecureServices enthält. Sie können den Service auch mithilfe von ArcCatalog hinzufügen.) Sie können den Service und den Ordner ggf. nach Durcharbeitung der Anleitung löschen.
  4. Legen Sie Berechtigungen für den Stammordner fest, um allen Mitgliedern der Gruppe "Benutzer" den Zugriff auf Services zu erlauben. Diese Vorgehensweise empfiehlt sich, wenn Sie standardmäßig allen Benutzern den Zugriff erlauben, jedoch den Zugriff auf bestimmte Services oder Ordner beschränken und für diese eine gültige Anmeldung erfordern möchten. Um diese Berechtigung festzulegen, stellen Sie sicher, dass im Feld Services in "Servername (Stamm)" angegeben ist, wobei "Servername" der Computername des Servers ist (klicken Sie ggf. auf die Dropdown-Liste, um dieses Element auszuwählen). Klicken Sie dann auf Ordner verwalten, und wählen Sie in der Dropdown-Liste den Eintrag Berechtigungen aus. Das Dialogfeld "Berechtigungen" wird geöffnet und zeigt den Ordnernamen (Stamm) an.
  5. Wählen Sie im Dialogfeld Berechtigungen die Rolle "Benutzer" (Gruppe) aus, und klicken Sie auf Hinzufügen. Die Benutzerrolle wird in die Liste Zulässige Rollen verschoben. Die Benutzerrolle deckt in der Regel alle Benutzer ab, die über ein Konto auf dem lokalen Server verfügen. Wenn Sie Benutzer aus der Windows-Domäne zulassen möchten, können Sie diese optional hinzufügen, indem Sie auf die Option Domäne oben in der Liste klicken (die Gruppe "Domänenbenutzer" schließt in der Regel alle Benutzer in die Domäne ein). Beachten Sie die Warnung, dass Sicherheit für Services nicht aktiviert ist. Sie aktivieren die Sicherheit im nächsten Abschnitt. Klicken Sie auf Speichern, um die Berechtigungsliste zu speichern.
    Festlegen von Service-Berechtigungen
  6. Beschränken Sie die Berechtigungen für den zuvor erstellten Ordner. Wählen Sie in der Liste Services in den Ordner (SecurityWalkthrough) aus. Klicken Sie dann auf Ordner verwalten und anschließend auf Berechtigungen.
  7. Klicken Sie im Dialogfeld Berechtigungen in der Liste Zulässige Rollen auf die Rolle "Benutzer", und klicken Sie auf Entfernen. Die Rolle wird in die Liste Verfügbare Rollen verschoben. Wenn Sie weitere Rollen (z. B., Domänenbenutzer) hinzugefügt haben, entfernen Sie diese ebenfalls. Klicken Sie dann auf eine bestimmte zuzulassende Rolle, entweder auf dem lokalen Server oder in der Domäne, z. B. WTGroup1. Sie können ggf. mehrere Rollen als zulässig hinzufügen. Klicken Sie auf Speichern, um die Berechtigungsliste zu speichern.

Die Berechtigungen für Services sind jetzt konfiguriert. Die Sicherheit wurde jedoch noch nicht durchgesetzt. Anders ausgedrückt: An diesem Punkt kann jeder Benutzer nach wie vor auf Services im Ordner SecureServices zugreifen, ohne sich anzumelden. Im nächsten Abschnitt wird Sicherheit aktiviert; hierdurch werden die von Ihnen konfigurierten Zugriffsberechtigungen durchsetzt.

Deaktivieren des anonymen Zugriffs auf GIS-Web-Services

Die Benutzer der GIS-Web-Services sollen Windows-Anmeldedaten eingeben, um auf Services zugreifen zu können. Client-Anwendungen fordern nur dann zur Eingabe von Anmeldedaten auf, wenn sie eine Authentifizierungsaufforderung vom Webserver erhalten. In diesem Abschnitt der Anleitung wird der IIS-Webserver so konfiguriert, dass er die Anmeldedaten des Benutzers abfragt.

HinweisHinweis:

Sie sollten diesen Abschnitt nur dann durcharbeiten, wenn Sie die Anforderung stellen möchten, dass alle Benutzer der GIS-Web-Services über Windows-Konten auf dem lokalen Server oder in der Domäne verfügen.

Schritte:
  1. Öffnen Sie IIS-Manager über Systemsteuerung > Verwaltung > Internet-Informationsdienste.
  2. Navigieren Sie auf den Websites des lokalen Computers zu der Website, die die ArcGIS-Instanz enthält (in der Regel Standardwebsite). Suchen Sie den Instanzordner (standardmäßig ArcGIS), und erweitern Sie ihn.
  3. Die Methode zum Deaktivieren des anonymen Zugriffs hängt vom System ab.
    • Unter Windows Server 2003 oder XP:
      1. Klicken Sie mit der rechten Maustaste auf die Webanwendung Services, und klicken Sie auf Eigenschaften.
      2. Klicken Sie auf die Registerkarte Verzeichnissicherheit. Klicken Sie unter Authentifizierung und Zugriffsteuerung auf Bearbeiten.
      3. Deaktivieren Sie das Kontrollkästchen Anonymen Zugriff erlauben. Aktivieren Sie mindestens eine der Methoden unter Authentifizierter Zugriff. Weitere Informationen zu Authentifizierungsmethoden finden Sie unten. Klicken Sie dann zweimal auf OK, um zur IIS-Manager-Konsole zurückzukehren.
    • Unter Windows Server 2008 oder Vista:
      1. Klicken Sie mit der linken Maustaste auf die Anwendung Services, um die Eigenschaften-Links auf der rechten Seite von IIS-Manager anzuzeigen.
      2. Doppelklicken Sie auf das Element Authentifizierung unter der IIS-Gruppe. Die Liste der Authentifizierungsmethoden für die Anwendung wird angezeigt.
      3. Klicken Sie in der Liste der Authentifizierungsmethoden mit der rechten Maustaste auf Anonyme Authentifizierung, und klicken Sie im Kontextmenü auf Deaktivieren.
      4. Aktivieren Sie mindestens eine andere Authentifizierungsmethode. Weitere Informationen zu Authentifizierungsmethoden finden Sie unten.
  4. Wiederholen Sie die oben beschriebenen Schritte 3 bis 5, legen Sie jedoch die Eigenschaften für die Webanwendung Rest innerhalb des ArcGIS-Ordners fest.

Weitere Informationen zu Authentifizierungsmethoden finden Sie in der IIS-Dokumentation und anderen Ressourcen, z. B. auf der MSDN-Seite Authentication Methods Supported in IIS 6.0.

Anwenden von Sicherheit auf GIS-Web-Services

Der abschließende Schritt zum Sichern von GIS-Web-Services besteht darin, Sicherheit auf die Services anzuwenden. In diesem Schritt werden GIS-Web-Services so beschränkt, dass nur Benutzer, deren Rollen Sie zugelassen haben, auf die Services zugreifen können. Bis Sie diesen Schritt ausführen, sind die von Ihnen angewendeten Berechtigungen nicht tatsächlich in Kraft, und alle Benutzer können auf sämtliche Services zugreifen. Sie sollten die hier aufgeführten Schritte erst dann ausführen, nachdem Sie Berechtigungen konfiguriert haben, wie im Abschnitt oben beschrieben.

VorsichtVorsicht:

Nachdem Sie Sicherheit für Services aktiviert haben, können Sie diese nicht in Manager deaktivieren (auf der Server-Hilfeseite zum Sichern von Services finden Sie ggf. Informationen zum manuellen Deaktivieren von Sicherheit. Sicherheit für Services sollte ein unidirektionaler Prozess sein. Wenn Sie noch nicht bereit sind, Sicherheit für GIS-Web-Services zu aktivieren, können Sie diesen Abschnitt der Anleitung überspringen.

Schritte:
  1. Klicken Sie auf der linken Seite von Manager auf die Registerkarte Sicherheit, und klicken Sie dann im Abschnitt Sicherheit auf Einstellungen. Das Einstellungsfenster für Sicherheit wird angezeigt.
  2. Lesen Sie im Fenster Sicherheitseinstellungen die Informationen unter Sicherheit für GIS-Services. Beachten Sie, dass Sicherheit auf Nicht aktiviert festgelegt wird, wenn Sie ArcGIS Server installieren.
    Aktivieren von Sicherheit für Services
  3. Klicken Sie auf Aktivieren. In einer Warnmeldung werden Sie daran erinnert, Berechtigungen festzulegen, bevor Sie Sicherheit für Services aktivieren. Klicken Sie zur Bestätigung auf die Schaltfläche Sicherheit für Services aktivieren. Sie kehren zum Fenster Sicherheitseinstellungen zurück, und der Indikator zeigt jetzt an, dass Sicherheit aktiviert ist.
  4. Klicken Sie auf der linken Seite von Manager auf die Registerkarte Services. In der Liste der Services zeigen die Berechtigungssymbole jetzt den Status "Gesperrt" an.
    Symbol "Gesperrt" für gesicherte Services
    . Ein Symbol mit einem roten Ausrufezeichen
    Warnsymbol für sicheren Service ohne zugelassene Rollen
    gibt an, dass die Berechtigungsliste des Services leer ist. Auf diese Services können keine Benutzer zugreifbar, bis der Liste Zulässige Rollen jedes Services mindestens eine Rolle hinzugefügt wird.
  5. Um zu überprüfen, ob Sicherheit für Services in Kraft ist, stellen Sie mithilfe von ArcCatalog eine Verbindung mit den Services her. Starten Sie ArcCatalog entweder auf dem lokalen Computer oder auf einem Computer, der auf den Webserver für ArcGIS Server zugreifen kann.
  6. Erweitern Sie in ArcCatalog den Knoten GIS-Server im Kataloginhaltsverzeichnis. Doppelklicken Sie auf das Element ArcGIS Server hinzufügen.
  7. Klicken Sie auf GIS-Services verwenden. Klicken Sie auf Weiter.
  8. Klicken Sie im nächsten Fenster auf Internet als Verbindungstyp, und geben Sie die URL des Servers ein, z. B. http://myserver/arcgis/services. Geben Sie im Teil Authentifizierung des Dialogfeldes den Benutzernamen und das Kennwort für ein Konto ein, das in der Gruppe "Benutzer" enthalten ist, nicht jedoch in WTGroup1, z. B. MYSERVER\walkthrough2 (wenn Sie Sicherheit mit anderen Benutzern und Rollen konfiguriert haben, verwenden Sie ein Konto, das über keine Berechtigung für den gesicherten Ordner SecurityWalkthrough verfügt). Klicken Sie auf Fertig stellen. Das Dialogfeld wird geschlossen, und eine neue Verbindung wird in der Liste GIS-Server angezeigt, z. B. "arcgis on myserver"
  9. Erweitern Sie den Knoten für die neue Verbindung. Der Service wird im Stamm des Servers angezeigt. Der Ordner, den Sie in der vorherigen Verbindung gesichert haben (SecurityWalkthrough), wird jedoch nicht angezeigt. Da Sie der Rolle "Benutzer" den Zugriff auf den Stammordner erlaubt haben, sind Services im Stamm und allen Ordnern, die dessen Einstellungen nicht überschrieben haben, für alle Benutzer sichtbar. Da Sie die Verbindung nicht mit einer entsprechenden Anmeldung hergestellt haben, steht der Ordner SecureServices dieser Verbindung nicht zur Verfügung.
  10. Fügen Sie in ArcCatalog eine weitere GIS-Server-Verbindung hinzu; führen Sie dazu die oben beschriebenen Schritte 6 bis 8 aus. Geben Sie die gleiche Server-URL ein, in Schritt 8 jedoch den Benutzernamen und das Kennwort. Verwenden Sie die Anmeldedaten, die Sie zuvor für den Benutzer (z. B. walkthrough1) in der Rolle erstellt haben, der Sie die Verwendung des Ordners SecurityWalkthrough erlaubt haben. Klicken Sie auf Fertig stellen, um die Verbindung hinzuzufügen.
  11. Erweitern Sie diese Verbindung (z. B. "arcgis auf myserver [2]"). Sie sehen jetzt den Ordner SecurityWalkthrough sowie alle Services und Ordner, auf die Benutzer zugreifen dürfen.
  12. Schließen Sie ArcCatalog und Manager, wenn Sie fertig sind.

Mit diesen Schritten haben Sie die Webanwendung und GIS-Web-Services auf Grundlage von Windows-Benutzer und -Gruppen gesichert. Weitere Details zum Konfigurieren von Sicherheit finden Sie auf den anderen Seiten zu Sicherheit in diesem Abschnitt der ArcGIS Server-Hilfe.

Sie können gesicherte Services in verschiedenen Clients verwenden, einschließlich ArcGIS Desktop, Web ADF-Anwendungen und JavaScript-API-Anwendungen. Um einer Web ADF-Anwendung einen gesicherten Service hinzuzufügen, fügen Sie eine neue ArcGIS Server Internet-Verbindung hinzu, und geben Sie den entsprechenden Benutzernamen und das Kennwort im Textfeld "Identität" im Verbindungsdialogfeld von Manager oder Visual Studio ein.

Entfernen Sie ggf. alle Services, Ordner, Benutzer oder Rollen, die Sie während der Durcharbeitung dieser Anleitung erstellt haben. Denken Sie daran, dass Sie nach der Aktivierung von Sicherheit für Services Berechtigungen für alle Ordner und Services verwalten müssen. Wenn Sie einen Service, jedoch keine berechtigten Rollen hinzufügen, kann kein Benutzer auf diesen Service zugreifen (ein Warnsymbol

Warnsymbol für sicheren Service ohne zugelassene Rollen
wird angezeigt, um Sie über dieses Problem zu informieren). Um mindestens einen Standardsatz von Berechtigungen sicherzustellen, können Sie z. B. dem Stamm des Ordners, in dem die Services enthalten sind, oder einem Unterordner Berechtigungen hinzuzufügen. Services erben die Berechtigungen des Ordners, in dem sie enthalten sind; dies vereinfacht das Konfigurieren von Sicherheit für Services.


3/6/2012