Asegurar conexiones locales a los servicios

las conexiones locales a un servidor SIG, y los servicios que se ejecutan en él, se administran con el sistema operativo del equipo administrador de objetos de servidor (SOM). De la misma manera en que el sistema operativo le permite crear y eliminar archivos en su equipo pero no le permite hacerlo en el equipo de su colega, el sistema operativo en el SOM les permite a algunos usuarios acceder a los servicios que se ejecutan en los equipos servidores pero deniega el acceso a otros. Cuando inicia sesión en el equipo, el nombre de usuario y la contraseña que introduce lo identifican como usuario válido en la red. Basado en la cuenta del sistema operativo, puede realizar un conjunto de acciones determinadas, como por ejemplo, acceder a un servicio SIG.

Antes de empezar a usar el servidor SIG, debe determinar quiénes tienen acceso a él. Una vez hecho esto, podrá conectarse al servidor SIG y agregarle servicios.

Identificar quiénes pueden realizar conexiones locales al servidor

¿A quiénes debería permitir el acceso local al servidor SIG? La respuesta a esta pregunta depende del tipo de servicios que ejecute en el servidor y de la manera en que piensa utilizarlos. En algunos casos, los servicios que coloca en el servidor deben ser accesibles para todos los usuarios. En otros casos, puede restringir el acceso, si el servicio contiene información confidencial que sólo algunas personas pueden ver.

Como el administrador del servidor SIG, puede otorgar acceso local al servidor SIG agregando, , la cuenta de sistema operativo a la lista de los usuarios que deberían tener acceso al servidor,. En realidad, hay dos listas: una lista de usuarios que pueden utilizar los servicios que se ejecutan en el servidor y una lista de usuarios que pueden administrar el servidor propiamente dicho (es decir, agregar, eliminar y modificar los servicios del servidor). Debido a que, , es el sistema operativo el que controla el acceso al servidor, debe utilizar dos grupos de usuarios de sistemas operativos, los usuarios de ArcGIS Server y los administradores de ArcGIS Server, para administrar las dos listas de usuarios. El grupo de usuarios simplemente define el conjunto de usuarios que tiene acceso a un recurso particular, en este caso, el servidor SIG.

En general, la lista de cuentas que agrega a los grupos de usuarios y administradores de ArcGIS Server dependerá de los clientes que espera que se conecten al servidor. cada cuenta de sistema operativo, desde la que se ejecuta ArcGIS Desktop, al grupo de usuarios de ArcGIS Server, si desea que ese cliente tenga acceso al servidor SIG. Además, cada aplicación Web que cree se puede conectar al servidor SIG a través de una cuenta de sistema operativo particular. También debe agregar cada cuenta utilizada por las aplicaciones Web al grupo de usuarios de ArcGIS Server.

No es necesario agregar las cuentas SOM y SOC al administrador o a los grupos de usuarios. Sólo el sistema operativo utiliza estas cuentas, para iniciar y detener procesos en el servidor SIG.

Controlar el acceso a un servidor SIG

Cuando instala ArcGIS Server, la instalación crea automáticamente los grupos de usuarios (agsusers) y los grupos de administradores (agsadmin) de ArcGIS Server. Estos grupos se crean como grupos de sistema operativo locales en el equipo SOM y en cada equipo contenedor. La instalación de ArcGIS Server no agrega ningún usuario a estos grupos automáticamente, . De esta manera, deberá agregar los usuarios a estos grupos, dependiendo del tipo de acceso que tendrá cada usuario. Por supuesto, la primera cuenta que deberá agregar al grupo agsadmin es su propia cuenta.

Cuando las aplicaciones realizan conexiones al servidor SIG, se autentican contra los grupos agsusers y agsadmin en el servidor SIG.

manera de agregar cuentas de usuarios a estos grupos depende de la manera en que la organización administra los usuarios en general. Si la organización cuenta con un número de grupos de usuarios ya establecidos, puede agregar grupos particulares como miembros de los grupos agsadmin y agsusers. Al asignar usuarios basados en otros grupos, puede minimizar la cantidad de trabajo que debe realizar para cambiar el acceso al servidor SIG. Por ejemplo, si se contrata un nuevo empleado y se lo agrega a uno de los grupos existentes de la organización, se le otorgará acceso automático al servidor SIG, debido a que el empleado es miembro de un grupo que es miembro del grupo de usuarios de ArcGIS Server. Como alternativa, puede agregar usuarios individuales a los grupos agsadmin o agsusers.

Privilegios de los usuarios y administradores

Los miembros del grupo de usuarios de ArcGIS Server (agsusers) tienen privilegios a nivel de consumidor en el servidor SIG. Los consumidores pueden acceder a los servicios; sin embargo, no pueden realizar tareas administrativas como agregar, quitar o modificar servicios. También pueden modificar las propiedades del servidor mismo, como agregar o quitar equipos.

Los miembros del grupo de administradores de ArcGIS Server (agsadmin) tienen acceso y privilegios de administrador en el servidor SIG. Si se conecta como miembro del grupo de administradores, podrá:

Realizar una conexión local al servidor desde ArcGIS Desktop

Se ejecutará una aplicación cliente de escritorio para ArcGIS Server como la cuenta de usuario que inició la aplicación. Por ejemplo, si inició sesión en un equipo de escritorio como el usuario de dominio ANDY en el dominio AVWORLD, y está ejecutando una aplicación como ArcCatalog, la identidad de la aplicación es AVWORLD\ANDY. Cuando realice una conexión de ArcGIS Server local en esa sesión de ArcCatalog, se conectará como AVWORLD\ANDY. Mientras AVWORLD\ANDY sea miembro de agsusers en el SOM, podrá conectarse. Si AVWORLD\ANDY es miembro de agsadmin, tendrá privilegios de administrador en el servidor a través de esa conexión.

En general, se recomienda usar una cuenta con permisos más restrictivos cuando realiza las tareas diarias y una cuenta administrativa sólo cuando necesita administrar el servidor. En Windows, puede utilizar el comando runas para conectarse a ArcCatalog con una cuenta de sistema operativo distinta a la cuenta con la que inició sesión. Puede ejecutar el comando runas en la ventana de comando y, en algunas versiones de sistemas operativos, como una opción de menú contextual en el archivo ejecutable de ArcCatalog que se encuentra en la carpeta de Bin de la ubicación de instalación. Por ejemplo, en la ventana de comando, escriba:

runas /user:nombredeusuario "C:\Archivos de programa\ArcGIS\bin\ArcCatalog.exe"

O bien, navegue hasta el archivo ArcCatalog.exe en la carpeta de Bin o localice el acceso directo a ella, haga clic con el botón derecho del ratón en el ejecutable y haga clic en Ejecutar como. Consulte la documentación de Windows para obtener más información sobre el uso del comando runas.

Realizar una conexión local al servidor desde una aplicación Web

Si utiliza el Marco de trabajo para desarrolladores de aplicaciones Web (ADF) para crear aplicaciones Web que tengan acceso a servicio locales, debe especificar una identidad. Las credenciales que use para la identidad deben pertenecer al grupo agsadmin o al grupo agsusers en cada servidor local al que se conectará la aplicación. Cuando los usuarios finales accedan a la aplicación, no tendrán que introducir un nombre y una contraseña para acceder al servicio. En cambio, se usará la identidad. La información de la identidad cifrada se almacena en el archivo web.config de la aplicación.

Restringir el acceso a servicios específicos

La posibilidad de restringir algunos servicios (y no otros) en el mismo servidor SIG está disponible sólo a través de conexiones de Internet. Consulte la sección Asegurar las conexiones de Internet y aplicaciones Web para poder implementar esta opción.


7/10/2012