Web + Доменная авторизация

Question

Всем привет!

Стоит задача сделать доступ к опубликованным проектам без запроса логина/пароля. Все пользователи работают в домене.
Делал как по инструкции: Web-авторизация, общий ключ для связи, нужных пользователей в роли, роли в безопасность сервиса (пробовал и на папки его содержащие). В итоге никак не хочет работать. Пишет следующее:
      Error: WEB_ADAPTOR Authentication, User Credential is not set by the web adaptor for this request, check if the web adaptor is secured
      Code: 403

Уже не знаю, где чего указать, подправить. Помогите, пожалуйста, разобраться.

Answer 1

Григорий,
поясните, пожалуйста, а почему надо переключать аутентификацию на гис-сервер? Мне не понятно.

Когда authentication tier настроен на уровень адаптера, то доменная аутентификация проводится на адаптере средствами IIS. После чего адаптер отсылает имя аутентифицированного пользователя гис-серверу.

Гис-сервер выполняет авторизацию. И судя по вот этому документу, авторизация в любом случае производится именно на нём:
However, the authorization of the request (by looking up roles and permissions) is still enforced by the GIS server.

Т.е. имя пользователя выясняет адаптер, роли проверяет гис-сервер.

Вроде с такими настройками всё должно работать.
В чём ошибка?

Answer 2

ASR12,
Вы открыли корневую папку? :)

Answer 3

ASR12,
видимо придётся ждать SP1, либо попросить техподдержку, может дадут hotfix для NIM080829.

Answer 4

Да, Денис, права на корень выставлены такие же как на сервис. Даже удалял все права отовсюду, сохранял, выставлял заново сразу на корень - автоматом прописывались на сервис. Результат тот же. Если логин в роле пользователей - доступ закрыт. Как только повышаю тип роли - все ок.

Я ранее приводил цитату из того, что будет подправлено в SP1, так вот мне кажется речь идет о моей ситуации.    

Answer 5

Да, Денис, права на корень выставлены такие же как на сервис.

Так нет, речь же не про то, чтобы выставить такие же права.
Надо в корне открыть доступ вообще всем, а перекрывать уже на уровне сервиса (или на уровне вложенных папок).

Answer 6

так вот мне кажется речь идет о моей ситуации.

Ага, похоже.

Answer 7

Надо в корне открыть доступ вообще всем, а перекрывать уже на уровне сервиса (или на уровне вложенных папок).

    При данном уровне авторизации, невозможно изменить настройки безопасности (переключение на "публичный" невозможно):

Answer 8

Попробуйте не через Manager, а через REST: http://localhost:6080/arcgis/admin/services/permissions
На корневую папку добавить права встроенной учетке esriEveryone
Проверить также можно в файле:
\\хранилка\каталог\config-store\services\FolderInfo.sec
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<security>
<resource url="/">
    <permission isAllowed="true" principal="esriEveryone">
      <constraint/>
    </permission>
</resource>
</security>
Если править файл, то сначала его скопировать (на всякий случай), потом остановить сервер, исправить, запустить сервер.
Если не поможет - придется или ждать SP1, или выдавать права на уровне IIS, не используя авторизацию ArcGIS Server.

    
    

Answer 9

    Добавление esriEveryone к корню приводит к открытию доступа всем пользователям. При переопределении у конкретного сервиса типа доступа на "Закрытый", роль уровня "Пользователь" также не работает (как и было до этого).

Answer 10

В принципе, если работает привелегия PUBLISH, то её можно смело давать роли. Через Web-Adaptor эта привелегия ничего кроме, как получить доступ к сервису, не сможет. Она будет иметь смысл при прямом подключении к серверу по порту 6080 (или 6443).
Фаерволом можете ограничить IP-адреса компьютеров, с которых можно подключаться по этим портам.
Ну или вообще их закрыть.