امنیت کلید اشتراکی-موسسه چشم انداز هزاره سوم ملل-آموزش کاربردی GIS و RS
کلید اشتراکی، رشتهای است که برای تولید یک علامت امن استفاده میشود. سرور برای رمزگذاری از متد AES استفاده میشود. AES یک الگوریتم رمزگذاری کلید متقارن است. برای رمزگذاری و رمزگشایی علامت از این کلید استفاده میشود. طول کلید اشتراکی 16 کاراکتر است. اگر کسی بخواهد این کلید را به دست آورد، میتواند علامت را رمزگشایی کند. تغییر کلید اشتراکی، راه حل خوبی برای پیشگیری از این مسائل است. میتوانید در ArcGIS for Server Manager، میتوانید کلید اشتراکی و طول عمر علامتها را تغییر دهید. ArcGIS for Server Manager را بازکنید. به سربرگ Security بروید. از قسمت Token Settings روی آیکون مداد کلیک کنید. گزینهها را بر اساس سطح امنیتی که میخواهید تنظیم کنید. میتوانید کلید اشتراکی را نیز در اینجا تغییر دهید. اگر اپلیکیشنهایی که ایجاد کردید از کلید اشتراکی برای تولید علامت استفاده میکنند، باید همهی اپلیکیشنها را با کلید اشتراکی جدید، به روز رسانی کنید.
امنیت Web server با Web-tier
علامت ArcGIS یک متد احراز هویت مؤثر و کارآمدی است که بهصورت توکار در سرور قرار دارد؛ اما این متد، موثرترین مکانیسم امنیتی نیست. در بعضی مواقع، نقشها و کاربرانی دارید که روی LDAP یا دامنهی ویندوز تنظیم شدهاند و قراردادن آنها در ArcGIS for Server مشکل است. سرور برای اتصال سایت سرور به دامنهی ویندوز یک کانال دارد. میتوانید پیکربندیها را به این دامنه وارد کنید. اگر کسی یک سرویس ایمن را درخواست کند، وب سرور احراز هویت را انجام میدهد.
فعال سازی امنیت وب
برای پیکربندی امنیت وب سرور، ArcGIS for Server Manager را بازکنید. سربرگ Security را بزنید. در قسمت Configuration Settings روی آیکون مداد کلیک کنید. گزینهی (Users and roles from an existing enterprise system (LDAP or Windows Domain را انتخاب و روی Next کلیک کنید.
سرور گزینهای فراهم میکند که در این گزینه از یک حساب کاربری موجود استفاده میکند و یا حتی میتوانید سرور LDAP خودتان را پیکربندی کنید. برای این تمرین، از دامنهی ویندوز استفاده میکنیم. گزینهی Windows Domain را انتخاب کنید و روی Next کلیک کنید.
حال باید کاربری که در دامنهی ویندوز وجود دارد را اضافه کنید و باید کل پیکربندی شامل کاربران، مجوزها و نقشها را از دامنه بیرون بکشید. به خاطر داشته باشید که این کاربر باید مجوزهای خواندن اطلاعات دامنه را داشته باشد. نام کاربری و رمز کاربر را وارد کنید. سپس روی Test Connection کلیک کنید. اگر اتصال با موفقیت ایجاد شد، روی Next کلیک کنید.
اعلانی با مضمون ” استفاده از احراز هویت GIS server tier یا استفاده از احراز هویت Web Tier ” ظاهر میشود. GIS server tier اساساً احراز هویت علامت است و بهجای اینکه کاربران و نقشها را دوباره ایجاد و تولید کند، از کاربران دامنه استفاده میکند. در حالی که در Web Tier، وب سرور احراز هویت را انجام میدهد. در این مثال، IIS احراز هویت را انجام میدهد. برای پیکربندی Web Tier باید مقداری تنظیمات در Web Adaptor انجام داد. در این مثال Web Tier را انتخاب میکنیم. روی Next کلیک کنید. سپس روی Finish کلیک کنید.
پیکربندی IIS
تنظیمات پیکربندی تغییر کرده است و همهی کاربران و نقشها به دامنهی ویندوز اشاره میکنند. این کار حجم بالایی از وظایف مدیریتی را انجام خواهد داد و در مدیریت و کنترل امنیت کمک خواهد کرد. ابتدا چند کار باید انجام شود. احراز هویت Web tier به یک وب سرور اختصاصی برای تعامل و ارتباط با آن نیاز دارد. پس قبل از تغییر پارامترهای امنیتی باید یک Web Adaptor نصب کنید. از پنجرهی Control Panel گزینهی Internet Information Services Manager را بازکنید. گرهی Default Web Site را بازکنید و Web Adaptor را انتخاب کنید. در مثال ما arcgis است. سپس روی Authentication دو بار کلیک کنید. Anonymous Authentication را غیر فعال کنید. Windows Authentication را فعال کنید. در این روش باید همهی احراز هویتها را به وب سرور بیاورید.
اضافه کردن کاربران و نقشهای جدید
نمیتوانید برای تغییر نقشها از تنظیمات کاربر و نقش موجود در ArcGIS for Server استفاده کنید. کاربر و نقش باید از پنجرهی Windows Domain Manager تنظیم و مدیریت میشوند. با این پنجره کاربران و نقشها را به دامنهی ویندوز اضافه خواهید کرد. یک نقش View_Parcels ایجاد کنید.
امنیت GIS سرویسها
روی آیکون قفل روبروی سرویس مورد نظرتان کلیک کنید و نقش GIS\View_Parcels را به سرویس Parcels تخصیص دهید.
اتصال به سرویس ایمن
با استفاده از بخش ” فعال سازی امنیت علامت ArcGIS” یک نقش جدید اضافه کنید و به دامنهی کاربرتان تخصیص دهید. سپس با حساب کاربر دامنهای که آن نقش را دارد به ماشین وارد شوید. نام نقش را GIS\View_Parcels بگذارید. بعد از انجام پیکربندیهای مربوطه، دقت داشته باشید که وب سرور هیچ چالشی با اعتبارات (نام کاربری و رمز عبور) نخواهد داشت. وب سرور میداند که یک کاربر دامنه هستید. با استفاده از URL زیر:
http://GIS-SERVER01/wa/rest/services/Parcels/MapServer میتوانید به سرویس وب Parcels دسترسی داشته باشید. در آدرس ذکر شده، wa همان Web Adaptor مورداستفادهی شما است. کاربران دامنه که برای مشاهدهی وبسرویس Parcels احراز هویت نشدهاند، با پیغام خطای Error: User does not have permissions to access ‘parcels.mapserver’ مواجه میشوند.
چکیدهی ArcGIS for Server Manager
در نسخههای 0.1 و10.2، پلتفرم ArcGIS for Server برای استفاده از وبسرویسها کاملاً بازنویسی شد و به یک معماری سرویس گرای Restful ارتقاء پیدا کرد. این قابلیتها و تواناییها روی مدل توزیع مولفهی شی بازنویسی شدهاند. این مدل در نسخهی 9.2 استفاده میشد و امنیت پائین و محدودیتهایی داشت. زمانی که Esri از این مدل فاصله گرفت، موارد زیادی در سرور مانند ArcGIS for Server Manager منعطف شدند. میتوانیم هر متدی را با استفاده از API صدا بزنیم که به توسعهدهندگان فضای بیشتری را برای کار با سرور میدهد.
برگرفته از کتاب نصب، اجرا و مدیریت Arc GIS for server
نویسنده: دکتر محمد بافقی زاده
نشر: انتشارات اکادمیک
بدون دیدگاه