权限管理

从图一上我们知道，要保障ArcGIS Server的安全实际上要做两方面的工作：Secruing local connections（本地连接安全）和Securing Internet connections and web Applications（英特尔连接和Web应用的安全）。关于本地连接的安全控制这里不多说了，ArcGIS Server的Post Installer会自动创建agsuser和agsadmin两个组。如果是Server的User的话，必须添加到agsuser组里，如果是Server的administrator的话，必须得加入到agsadmin组里。其实，这部分的工作默认按照Post Installer的步骤就可以完成。所以这里关键是讨论后一部分的内容，如何利用ArcGIS Server93的Manager来保障Web Application和Web Services的安全，即用户和权限控制。
登录到ArcGIS Server Manager，相较于9.2，会发现左侧的目录树多添加了一栏：Security，如图二。展开Security，有三项，分别是Users，Roles和Settings。在使用Server Manager所自带的权限管理之前，首先必须切换到Setting，对Location进行设置。Location你可以指定放到SQL Server、Windows本地或者其它自定义的方式（包括其它的数据库和XML等）。自定义的方式在这里就不说了，有兴趣的话，可以参照：http://webhelp.esri.com/arcgisserver/9.3/dotNet/index.htm。我们这里只讨论两种典型的情况：用户和组存放在SQL Server Express以及使用本地用户和组。当然，在我们开始之前，有一些准备工作是需要做的。
(1)安装好ArcGIS Server，包括Manager, Web Services以及Token Services。
(2) 安装SSL证书，使你的Web Server可以通过Https的方式来进行访问。
如果你操作系统是Windows Server 2003和windows XP，你必须下载IIS 6.0 Resource Kit来安装数字证书，但这个证书是只供测试用。
1）  下载IIS 6.0 Resource Kit，并安装
2）  打开Start>Programs>IIS Resource>SelfSSL>SelfSSL，打开SelfSSL，在SelfSSL的命令行中敲入：SelfSSL /V:365 /N:CN=www.example.com /T
3）  敲入exit
打开IIS，选择默认网站，点击选属性，选择目录安全性，你会发现此时查看证书一栏可以用了。如图三，查看证书一栏可用了，这样就说明SSL证书已经安装好了
（3）       如果你选用在SQL Server Express中存储用户和角色，你还必须安装SQL Server Express。 ArcGIS 安装光盘中就带着。装一下就好

这样准备工作就做好了，我们将在下一个讲座中将具体的步骤和常见的问题跟大家做一个交流。

a1.JPG (52.18 KB)

图一

a2.JPG (35.33 KB)

图二

a3.JPG (36.63 KB)

图三

首先，我们讨论将用户跟角色存储在SQL Server Express中的情况
(1) Manager>Security>Setting>configue，将用户和角色存储到SQL Server Express中，如图一，首先出现的是选择用户的存储位置，我们选择SQL Server。点击Connect，测试与SQL Server Express的连接，这时要确保你的机器上安装了SQL Server Express，并且SQL Server Express的服务是启动的，出现图二，将Used
Trusted Connection和Add Everyone , Anonymous and Authenticated Users roles to database勾起来。在Create a new database中输入新建的数据库的名字，当然也可以放到已经存在的数据库里。选择Next，出现是否允许用户通过E-mail来重设密码，这里不选，如图三。点击完成，完成对Security存储位置的设置。

(2)Manager>Security>Users，我们要在这里为 ArcGIS Server添加一个权限用户。选择Add User，弹出添加用户的界面，添写相关的信息，如图四。这里需要注意的是用户的密码，必须设七位以上，而且至少有一位是非字符的，如@, #, $, or %等。


(3) Manager>Secrurity>Roles，这里我们要为ArcGIS Server添加一个角色，选择Add Role，弹出添加角色的界面，如图五，将步骤二所新建的用户添加到角色中去。


这样我们就能用所创建的用户和角色对Web Application和Web Services进行权限管理了。



(4)Web Application进行权限管理，Manager>Web Application,选择某一个Web Application中对应的 权限设置的对话框，将Enable security for this web application勾起来，将需要赋权限的值从左边选到右边的Allowed Roles中去，点击Save，如图六。这里打开刚刚设置的Web Application，例如：http://grace/securityapp2/,会出现登录对话框，如图七


(5) Web Services的权限管理。 Manager>Security>Settings。首先要将Security for Web Services Enable。当你点击Enable按钮的时候，他会激活之后无法在页面上disable，没有关系，继续，我们在稍后会讲到如何disable security for web services。 设置好了，Manager>Security>Web Services，用对Web Application加密类似的方法对Web Services进行加密。


因 为Manager页面上没有提供disable security for web services的方法，这里介绍一下。很简单，只要到ArcGIS 的安装目录下，例如C:"Program Files"ArcGIS找到"server"system文件夹，打开server.dat文件， 将<SecurityEnabled>true</SecurityEnabled>中的true改为false即可。



OK，关于用SQL Server Express中存储用户和角色对ArcGIS Server进行权限管理就讲到这里。下面简单讲一下利用windows用户和组对ArcGIS Server进行权限管理。步骤跟上面也差不多，所以会论述得相对简单一些。
打用windows用户和组管理，新建一个组，testgp，然后新建一个用户test，并将其加入到testgp组中。打开ArcGIS　server Manager，切换到Security>Setting，将User和Role的Location选成Windows users and groups。然后用跟上面一样的方法对Web Application和Services进行加密。所不同的是，在对Web Applciation进行加密的时候，需要在IIS中将匿名访问去掉即可，但至少选择一种验证方式，我们这里采用的是集成windows身份验证，如图九。
打开Manager>Application，跟SQL Server存储的操作是一样的，点击Save。此时，再点击Manager>Application中的链接，就会弹出认证的对话框，输入正确的用户名和密码即可。对Web Services的加密的操作也一样的。


在确保输入的用户名跟密码正确的情况下，如果在认证对话框中一直输入用户跟密码通不过，那么原因是在你的windows的权限设置上，请检查以下几个方面。


（1）guest帐户是否启动，是否设置密码。
（2）gpedit.msc修改组策略：是否在禁止从网络访问计算机中将guest用户删除。
（3）gpedit.msc安全策略：是否默认XP系统是本地用户以来宾方式通过验证改为XP经典的以本地用户方式。

p1.JPG (25.81 KB)

图一

p2.jpg (26.1 KB)

图二

p3.JPG (25.05 KB)

图三

p4.JPG (21.09 KB)

图四

p5.JPG (12.14 KB)

图五

p6.JPG (15.5 KB)

图六

p7.JPG (19.96 KB)

图七

p8.JPG (27.13 KB)

图八

p9.JPG (32.44 KB)

图九