امنیت کلید اشتراکی

امنیت کلید اشتراکی-موسسه چشم انداز هزاره سوم ملل-آموزش کاربردی GIS و RS

کلید اشتراکی، رشته‌ای است که برای تولید یک علامت امن استفاده می‌شود. سرور برای رمزگذاری از متد AES استفاده می‌شود. AES یک الگوریتم رمزگذاری کلید متقارن است. برای رمزگذاری و رمزگشایی علامت از این کلید استفاده می‌شود. طول کلید اشتراکی 16 کاراکتر است. اگر کسی بخواهد این کلید را به دست آورد، می‌تواند علامت را رمزگشایی کند. تغییر کلید اشتراکی، راه حل خوبی برای پیشگیری از این مسائل است. می‌توانید در ArcGIS for Server Manager، می‌توانید کلید اشتراکی و طول عمر علامت‌ها را تغییر دهید. ArcGIS for Server Manager را بازکنید. به سربرگ Security بروید. از قسمت Token Settings روی آیکون مداد کلیک کنید. گزینه‌ها را بر اساس سطح امنیتی که می‌خواهید تنظیم کنید. می‌توانید کلید اشتراکی را نیز در اینجا تغییر دهید. اگر اپلیکیشن‌هایی که ایجاد کردید از کلید اشتراکی برای تولید علامت استفاده می‌کنند، باید همه‌ی اپلیکیشن‌ها را با کلید اشتراکی جدید، به روز رسانی کنید.

امنیت Web server با Web-tier

 علامت ArcGIS یک متد احراز هویت مؤثر و کارآمدی است که به‌صورت توکار در سرور قرار دارد؛ اما این متد، موثرترین مکانیسم امنیتی نیست. در بعضی مواقع، نقش‌ها و کاربرانی دارید که روی LDAP یا دامنه‌ی ویندوز تنظیم شده‌اند و قراردادن آن‌ها در ArcGIS for Server مشکل است. سرور برای اتصال سایت سرور به دامنه‌ی ویندوز یک کانال دارد. می‌توانید پیکربندی‌ها را به این دامنه وارد کنید. اگر کسی یک سرویس ایمن را درخواست کند، وب سرور احراز هویت را انجام می‌دهد.

فعال سازی امنیت وب

برای پیکربندی امنیت وب سرور، ArcGIS for Server Manager را بازکنید. سربرگ Security را بزنید. در قسمت Configuration Settings روی آیکون مداد کلیک کنید. گزینه‌ی (Users and roles from an existing enterprise system (LDAP or Windows Domain را انتخاب و روی Next کلیک کنید.

سرور گزینه‌ای فراهم می‌کند که در این گزینه از یک حساب کاربری موجود استفاده می‌کند و یا حتی می‌‌توانید سرور LDAP خودتان را پیکربندی کنید. برای این تمرین، از دامنه‌ی ویندوز استفاده می‌کنیم. گزینه‌ی Windows Domain را انتخاب کنید و روی Next کلیک کنید.

حال باید کاربری که در دامنه‌ی ویندوز وجود دارد را اضافه کنید و باید کل پیکربندی شامل کاربران، مجوزها و نقش‌ها را از دامنه بیرون بکشید. به خاطر داشته باشید که این کاربر باید مجوزهای خواندن اطلاعات دامنه را داشته باشد. نام کاربری و رمز کاربر را وارد کنید. سپس روی Test Connection کلیک کنید. اگر اتصال با موفقیت ایجاد شد، روی Next کلیک کنید.

اعلانی با مضمون ” استفاده از احراز هویت GIS server tier یا استفاده از احراز هویت Web Tier ” ظاهر می‌شود. GIS server tier اساساً احراز هویت علامت است و به‌جای اینکه کاربران و نقش‌ها را دوباره ایجاد و تولید کند، از کاربران دامنه استفاده می‌کند. در حالی که در Web Tier، وب سرور احراز هویت را انجام می‌دهد. در این مثال، IIS احراز هویت را انجام می‌دهد. برای پیکربندی Web Tier باید مقداری تنظیمات در Web Adaptor انجام داد. در این مثال Web Tier را انتخاب می‌کنیم. روی Next کلیک کنید. سپس روی Finish کلیک کنید.

پیکربندی IIS

تنظیمات پیکربندی تغییر کرده است و همه‌ی کاربران و نقش‌ها به دامنه‌ی ویندوز اشاره می‌کنند. این کار حجم بالایی از وظایف مدیریتی را انجام خواهد داد و در مدیریت و کنترل امنیت کمک خواهد کرد. ابتدا چند کار باید انجام شود. احراز هویت Web tier به یک وب سرور اختصاصی برای تعامل و ارتباط با آن نیاز دارد. پس قبل از تغییر پارامترهای امنیتی باید یک Web Adaptor نصب کنید. از پنجره‌ی Control Panel گزینه‌ی Internet Information Services Manager را بازکنید. گره‌ی Default Web Site را بازکنید و Web Adaptor را انتخاب کنید. در مثال ما arcgis است. سپس روی Authentication دو بار کلیک کنید. Anonymous Authentication را غیر فعال کنید. Windows Authentication را فعال کنید. در این روش باید همه‌ی احراز هویت‌ها را به وب سرور بیاورید.

اضافه کردن کاربران و نقش‌های جدید

 نمی‌توانید برای تغییر نقش‌ها از تنظیمات کاربر و نقش‌ موجود در ArcGIS for Server استفاده کنید. کاربر و نقش باید از پنجره‌ی Windows Domain Manager تنظیم و مدیریت می‌شوند. با این پنجره کاربران و نقش‌ها را به دامنه‌ی ویندوز اضافه خواهید کرد. یک نقش View_Parcels ایجاد کنید.

امنیت GIS سرویس‌ها

روی آیکون قفل روبروی سرویس مورد نظرتان کلیک کنید و نقش GIS\View_Parcels را به سرویس Parcels تخصیص دهید.

اتصال به سرویس ایمن

با استفاده از بخش ” فعال سازی امنیت علامت ArcGIS” یک نقش جدید اضافه کنید و به دامنه‌ی کاربرتان تخصیص دهید. سپس با حساب کاربر دامنه‌ای که آن نقش را دارد به ماشین وارد شوید. نام نقش را GIS\View_Parcels بگذارید. بعد از انجام پیکربندی‌های مربوطه، دقت داشته باشید که وب سرور هیچ چالشی با اعتبارات (نام کاربری و رمز عبور) نخواهد داشت. وب سرور می‌داند که یک کاربر دامنه هستید. با استفاده از URL زیر:

http://GIS-SERVER01/wa/rest/services/Parcels/MapServer می‌توانید به سرویس وب Parcels دسترسی داشته باشید. در آدرس ذکر شده، wa همان Web Adaptor مورداستفاده‌ی شما است. کاربران دامنه که برای مشاهده‌ی وب‌سرویس Parcels احراز هویت نشده‌اند، با پیغام خطای Error: User does not have permissions to access ‘parcels.mapserver’ مواجه می‌شوند.

چکیده‌ی ArcGIS for Server Manager

در نسخه‌های 0.1 و10.2، پلتفرم ArcGIS for Server برای استفاده از وب‌سرویس‌ها کاملاً بازنویسی شد و به یک معماری سرویس گرای Restful ارتقاء پیدا کرد. این قابلیت‌ها و توانایی‌ها روی مدل توزیع مولفه‌ی شی بازنویسی شده‌اند. این مدل در نسخه‌ی 9.2 استفاده می‌شد و امنیت پائین و محدودیت‌هایی داشت. زمانی که Esri از این مدل فاصله گرفت، موارد زیادی در سرور مانند ArcGIS for Server Manager منعطف شدند. می‌توانیم هر متدی را با استفاده از API صدا بزنیم که به توسعه‌دهندگان فضای بیشتری را برای کار با سرور می‌دهد.

برگرفته از کتاب نصب، اجرا و مدیریت Arc GIS for server

نویسنده: دکتر محمد بافقی زاده

نشر: انتشارات اکادمیک