在ArcGIS Server的安全设置中,一个关键的概念是安全信息存储策略矩阵,该矩阵展示了不同用户角色和数据库之间的关系。矩阵主要涉及四种不同的用户存储选项:Default Apache Derby (读写),External DB (读写),LDAP (只读),以及MS-Active Directory (只读)。以下是矩阵的解读:
1. **用户管理**:
- **Users**列代表用户身份的存储方式。当用户身份存储在LDAP时,表示用户的认证和授权将通过轻量目录访问协议(Lightweight Directory Access Protocol)进行,这意味着用户信息存储在外部的目录服务中,如Linux或Solaris的LDAP服务器。
2. **角色配置**:
- **ROLES**列则展示了与用户相关的角色可能在哪些位置存储。当角色存储在Default Apache Derby中,表示角色定义可能存储在默认的本地数据库中。如果选择External DB,则角色可以在外部数据库中,这样可以实现角色管理的灵活性。如果角色也存储在LDAP或MS-Active Directory中,说明角色可以通过这些外部身份管理系统来管理和应用。
3. **权限控制**:
- 这个矩阵体现了访问控制的策略,确保特定用户只能访问他们被授权的角色所能访问的资源和服务。例如,如果一个用户在LDAP中,他们的角色可以在本地数据库、外部数据库或LDAP本身中,这将决定他们能够访问哪些Web应用程序或Web服务。
4. **安全场景**:
- 安全设置还包括了操作系统安全、数据传输安全、代码安全(防止SQL注入和跨站脚本攻击)以及网络钓鱼等常见安全威胁。ArcGIS Server提供了一系列的配置选项来应对这些挑战,确保数据和系统免受潜在的攻击。
5. **安全区域**:
- ArcGIS Server还区分了不同的安全区域,如内部网络(仅限局域网访问)、发布者和管理员区域、使用特定操作系统(如Windows或Linux)的用户,以及通过HTTP接口访问的互联网区域。每个区域都有其特定的安全要求和访问控制规则。
6. **用户组和访问控制**:
- 用户必须隶属于agsusers或agsadmin组,且不采用角色模型,这表明ArcGIS Server基于用户直接的身份而不是预定义的角色来进行访问控制。用户根据其在特定组中的身份获得相应的权限。
这个安全信息存储策略矩阵帮助管理员在ArcGIS Server环境中制定精细的权限策略,确保数据安全和系统的稳定运行。理解并正确配置这些设置对于维护高效和安全的地理信息服务至关重要。