Sécurisation des connexions locales aux services

Sous Windows : Les connexions locales à un serveur SIG (et les services qui s'exécutent sur ce serveur) sont gérées par le système d'exploitation de la machine gestionnaire des objets serveur (SOM, Server Object Manager). De la même façon que le système d'exploitation vous permet de créer et de supprimer des fichiers sur votre propre ordinateur (mais vous empêche de le faire sur l'ordinateur de vos collègues), le système d'exploitation de la machine SOM accorde à certains utilisateurs des droits d'accès aux services qui s'exécutent sur les serveurs, et pas à d'autres. Lorsque vous ouvrez une session sur votre ordinateur, le nom d'utilisateur et le mot de passe que vous spécifiez vous identifient en tant qu'utilisateur valide sur votre réseau. Sur la base de votre compte de système d'exploitation, vous êtes autorisé à effectuer un certain nombre d'opérations, comme accéder à un serveur SIG.

Sur Linux et Solaris : les connexions locales à un serveur SIG sont gérées par le gestionnaire d'objets serveur (SOM). ArcGIS Java Server pour la plate-forme Linux et Solaris est fourni avec Sun One Directory Server, qui est installé avec le gestionnaire SOM. Le gestionnaire SOM du serveur SIG utilise ce serveur d'annuaire pour maintenir un référentiel d'utilisateurs et de groupes qui peuvent utiliser et gérer le serveur SIG par le biais d'une connexion locale.

Pour pouvoir commencer à utiliser votre serveur SIG, vous devez définir qui peut y accéder. Une fois cette opération effectuée, vous pourrez vous connecter à votre serveur SIG et y ajouter des services.

Identifier qui peut établir des connexions locales avec le serveur

A qui devez-vous accorder les droits d'accès local à votre serveur SIG ? La réponse à cette question dépend des types de services que vous exécutez sur votre serveur et de la façon dont vous envisagez de les utiliser. Dans certains cas, les services que vous placez sur votre serveur doivent être mis à la disposition de tous. Dans d'autres cas, vous pouvez limiter l'accès à un service qui contient des informations sensibles que seules certaines personnes doivent pouvoir consulter.

En tant qu'administrateur du serveur SIG, vous pouvez autoriser les utilisateurs à accéder au serveur SIG – sous Windows – en ajoutant leur compte de système d'exploitation à la liste des utilisateurs qui doivent avoir accès au serveur, tandis que sur Linux/Solaris en les ajoutant à la liste des utilisateurs locaux dans le Gestionnaire. En réalité, il existe deux listes : une liste d'utilisateurs qui peuvent utiliser les services qui s'exécutent sur le serveur et une liste d'utilisateurs qui peuvent administrer le serveur lui-même (c'est-à-dire, ajouter, supprimer et modifier les services de serveur). Comme, sous Windows, le système d'exploitation contrôle en définitive l'accès au serveur, vous utilisez deux groupes d'utilisateurs du système d'exploitation (utilisateurs ArcGIS Server et administrateurs ArcGIS Server) pour gérer les deux listes d'utilisateurs. Un groupe d'utilisateurs définit simplement l'ensemble des utilisateurs qui ont accès à une ressource particulière (dans ce cas, à un serveur SIG). Sur Linux/Solaris, ces informations de groupe sont également gérées par le biais du Gestionnaire ArcGIS Server, afin que vous puissiez affecter le groupe lorsque vous ajoutez un nouvel utilisateur local ou modifiez le groupe.

En général, la liste des comptes que vous ajoutez aux groupes des utilisateurs et des administrateurs ArcGIS Server dépend des clients qui sont censés se connecter au serveur. Lors de la connexion à un serveur SIG Windows, chaque compte de système d'exploitation sous lequel ArcGIS Desktop est exécuté devra être ajouté au groupe des utilisateurs ArcGIS Server, si vous voulez que ce client accède au serveur SIG. En outre, chaque application Web que vous créez peut se connecter au serveur SIG par le biais d'un compte de système d'exploitation particulier. Tous les comptes utilisés par vos applications Web doivent également être ajoutés au groupe des utilisateurs ArcGIS Server.

Vous n'avez pas besoin d'ajouter les comptes SOM et SOC, qui correspondent au même compte que le propriétaire de l'installation sur Linux/Solaris, aux groupes des administrateurs ou des utilisateurs. Ces comptes sont utilisés uniquement par le système d'exploitation pour démarrer et arrêter les processus sur le serveur SIG. En revanche, pour une configuration distribuée sur Linux/Solaris ou pour exécuter des scripts afin de générer/mettre à jour un cache sur une machine Linux/Solaris, vous devez ajouter ce compte utilisateur aux comptes SIG locaux dans le Gestionnaire.

Contrôle de l'accès à un serveur SIG

Lorsque vous installez ArcGIS Server, le programme d'installation crée automatiquement les groupes des utilisateurs (agsusers) et des administrateurs (agsadmin) ArcGIS Server. Ces groupes sont créés en tant que groupes locaux du système d'exploitation sous Windows sur la machine gestionnaire des objets serveur et sur chaque machine conteneur. Sur Linux/Solaris, ce groupe est géré dans le Gestionnaire, qui existe uniquement sur la machine SOM. Le programme d'installation d'ArcGIS Server n'ajoute pas automatiquement d'utilisateur dans ces groupes si ce n'est pour l'utilisateur "admin" dans le groupe agsadmin sur Linux/Solaris. Par conséquent, vous devez ajouter les utilisateurs dans ces groupes, selon le type d'accès dont doit disposer chaque utilisateur. Bien entendu, le premier compte que vous devez ajouter dans le groupe agsadmin est votre propre compte, ou utilisez simplement admin.

Sous Windows :

Sur Linux/Solaris :

Lorsque des applications établissent des connexions locales au serveur SIG, elles sont authentifiées par rapport aux groupes agsusers et agsadmin sur le serveur SIG.

Si vous utilisez ArcGIS Server sur Windows, la manière dont vous choisissez d'ajouter des comptes d'utilisateurs dans ces groupes dépend de la façon dont votre organisation gère les utilisateurs en général. Si votre organisation dispose de plusieurs groupes d'utilisateurs déjà établis, vous pouvez décider d'ajouter des groupes particuliers comme membres des groupes agsadmin et agsusers. En allouant des utilisateurs en fonction d'autres groupes, vous pouvez réduire au maximum la quantité de travail requise pour modifier l'accès à votre serveur SIG. Par exemple, si un nouvel employé est embauché et ajouté à l'un des groupes existants de votre organisation, les droits d'accès à votre serveur SIG sont automatiquement attribués à l'employé, car il est membre d'un groupe qui est membre du groupe des utilisateurs ArcGIS Server. Vous pouvez également ajouter des utilisateurs individuels dans les groupes agsadmin et agsusers.

Privilèges des utilisateurs et des administrateurs

Les membres du groupe des utilisateurs ArcGIS Server (agsusers) possèdent des privilèges de niveau consommateur sur le serveur SIG. Les consommateurs peuvent afficher les services et y accéder ; toutefois, ils ne peuvent pas effectuer des tâches administratives, comme par exemple ajouter, supprimer ou modifier des services. Ils ne peuvent pas non plus modifier les propriétés du serveur lui-même (comme ajouter ou supprimer des machines).

Les membres du groupe des administrateurs ArcGIS Server (agsadmin) sont dotés des droits d'accès et des privilèges d'administrateur sur le serveur SIG. Lorsque vous êtes connecté en tant que membre du groupe des administrateurs, vous pouvez effectuer les tâches suivantes :

Etablissement d'une connexion locale avec le serveur à partir d'ArcGIS Desktop

Une application bureautique cliente d'ArcGIS Server s'exécutera sous le compte d'utilisateur utilisé pour démarrer l'application. Par exemple, si vous avez ouvert une session sur un ordinateur de bureau en tant qu'utilisateur de domaine ANDY dans le domaine AVWORLD, et que vous exécutez une application telle qu'ArcCatalog, l'identité de l'application est AVWORLD\ANDY. Lorsque vous établissez une connexion locale à ArcGIS Server dans cette session ArcCatalog, vous vous connectez en tant que AVWORLD\ANDY. Tant que AVWORLD\ANDY est membre du groupe agsusers sur le gestionnaire des objets serveur, vous êtes en mesure de vous connecter. Pour se connecter à un serveur SIG Linux/Solaris, le domaine (AVWORLD, dans ce cas) est ignoré. Tant qu'ANDY est membre du groupe des utilisateurs (agsusers) sur le serveur SIG, vous êtes en mesure de vous connecter. Si AVWORLD\ANDY est membre du groupe agsadmin, vous disposez des privilèges d'administrateur sur le serveur par le biais de cette connexion.

En général, il est conseillé d'utiliser un compte disposant de droits d'accès plus restrictifs lorsque vous effectuez vos tâches journalières et d'utiliser le compte d'administrateur uniquement lorsque vous devez administrer votre serveur. Sous Windows, vous pouvez utiliser la commande runas pour vous connecter à ArcCatalog sous un compte de système d'exploitation différent de votre compte de connexion actuel. Vous pouvez exécuter la commande runas à l'invite de commandes et, dans certaines versions du système d'exploitation, en tant qu'option du menu contextuel sur le fichier exécutable ArcCatalog, situé dans le dossier bin de votre emplacement d'installation. Par exemple, à l'invite de commandes, tapez :

runas /utilisateur:nomutilisateur "C:\Program Files\ArcGIS\bin\ArcCatalog.exe"

Vous pouvez également accéder au fichier ArcCatalog.exe dans le dossier bin ou localiser le raccourci qui y renvoie, cliquer avec le bouton droit sur le fichier exécutable, puis sélectionner Exécuter en tant que. Consultez la documentation Windows pour plus d'informations sur l'utilisation de la commande runas.

Etablissement d'une connexion locale avec le serveur à partir d'une application Web

Lorsque vous utilisez l'infrastructure de développement d'applications (ADF, Application Developer Framework) Web pour créer des applications Web qui accèdent aux services locaux, vous devez spécifier un nom d'utilisateur et un mot de passe. Les informations d'identification que vous utilisez doivent appartenir au groupe agsadmin ou agsusers sur chaque serveur local auquel votre application se connectera. Lorsque des utilisateurs finaux accèdent à l'application, ils n'auront pas à entrer un nom d'utilisateur et un mot de passe pour accéder au service. A la place, les informations d'identification chiffrées stockées dans le fichier faces-config.xml de l'application sont utilisées.

Limitation de l'accès à des services spécifiques

La limitation de l'accès à certains services mais pas à d'autres sur un même serveur SIG est uniquement possible par le biais de connexions Internet. Reportez-vous à la section Sécurisation des connexions Internet et des applications Web pour apprendre comment procéder.


2/28/2012