可以将FME服务器的安全框架配置为使用Active Directory进行用户身份验证和用户分组。以这种方式,服务器管理员可以利用现有的用户帐户数据库和相关的安全权限。
在活动目录,用户帐户通过将其放置在一个或多个安全组中来获得安全权限。集成通过有效地将Active Directory安全组映射到FME服务器角色来工作。在Web用户界面中,然后给一个角色一组它可以访问的资源和对这些资源的权限。因此,如果一个安全组可以访问特定的资源,它的成员用户也是如此。
注意:FME服务器包含fmesuperuser角色,它允许完全访问所有服务器资源。无法以与其他角色相同的方式将Active Directory用户帐户或安全组映射到此角色。有关更多信息,看到在Active Directory中启用fmesuperuser权限。
开始
若要配置FME服务器以使用Active Directory,这些步骤是必需的:
- 标识安全组或用户帐户。
- 添加安全组或用户帐户作为角色。
- 使活动目录集成到FME服务器配置文件中。
- 验证Active Directory连接。
本文档假定您没有修改FME服务器安全组件,并且您正在使用与FME服务器一起提供的默认安全设置(即,内置的数据库安全模块)。
标识安全组或用户帐户
确定要允许访问FME服务器的安全组或用户帐户,并编制它们的专有名称(DNs)列表。
您可以从域管理员或通过Active Directory浏览器获取DNs,例如ADExplorer (http://technet.microsoft.com/en-us/sysinternals/bb963907)安全组的DN采用常规形式:
CN = groupname,OU = organizationunit…,DC = mydomain,DC = com
用户帐户的DN采用常规形式:
cn=username,ou=organizationUnit,…,dc=mydomain,dc=com
添加安全组或用户帐户作为角色
通过FME服务器Web用户界面,将每个安全组或用户帐户的DN添加为用户角色。对于每个用户角色,指定角色可以访问的FME服务器资源。
- 使用网页浏览器,例如,访问FME服务器Web界面,http://localhost/fmeserver。
- 如果您尚未通过身份验证,输入您的凭据,并点击登录。
- 菜单上,点击管理>管理>安全。
- 在安全页面上,单击角色标签。
- 点击新的,然后指定安全组或用户帐户的DN。
-
点击好吧添加新用户角色。
用户成员关系在Active Directory中维护。
- 单击角色策略选项卡,并选择新添加的角色。
- 指定要使此安全组可访问的FME服务器资源,然后点击申请更改。
- 对要添加的每个安全组或用户帐户重复步骤4到8。
使活动目录
编辑FME服务器配置文件fmecommonconfig.txt(
注意:在一个分布式安装FME服务器,必须在所有承载FME服务器组件的机器上配置fmeCommonConfig.txt。
注意:有关为activedirectory集成配置FME服务器配置文件的详细信息,看到Active Directory连接的建议配置。
- 打开FME服务器配置文件,fmeCommonConfig.txt,位于FME服务器安装目录的子目录服务器中。
-
在身份验证标题下,注释掉(#)如下行:
SECURITY_LOGIN_TYPE =数据库
-
取消评论以下行:
security_login_type=活动目录
SECURITY_AD_SERVER_AUTODETECT = true
SECURITY_AD_USE_SASL_AUTHENTICATION = true
SECURITY_AD_SASL_OPTION_MECHANISM = GSSAPI
SECURITY_AD_PREAUTH_USERNAME =
SECURITY_AD_PREAUTH_PASSWORD =
FME服务器将尝试自动检测Active Directory。如果失败了,使用以下行提供Active Directory的主机和端口:
SECURITY_AD_SERVER_AUTODETECT = false
安全\服务器\计数=1
安全服务器主机1=
SECURITY_AD_SERVER_PORT1 =
(通常是389,或使用SSL时为636) 注意:在出现故障时,可以指定多个Active Directory主机。如果前一个主机失败,将与其他每个主机联系。所有指定的主机必须识别FME服务器中被授予角色访问权限的相同安全组或用户帐户。有关更多信息,看到SECURITY_AD_SERVER_COUNT。
-
如果要通过安全套接字层(SSL)连接到Active Directory:
- 添加以下行:
- (可选)如果您正在使用CA证书进行身份验证,导入证书并指示FME服务器将其添加到受信任证书列表中。
SECURITY_AD_USE_SSL = true
- (推荐)提供你的服务帐户凭证SECURITY_AD_PREAUTH_USERNAME和SECURITY_AD_PREAUTH_PASSWORD。FME服务器的某些特性需要一个服务帐户,包括令牌验证,单点登录身份验证,以及访问FME服务器REST API。有关更多信息,看到Active Directory连接的建议配置:
- 保存配置文件。
-
重新启动FME服务器。
- 使用Active Directory凭据登录。
安全\预授权\用户名=<account_name>
SECURITY_AD_PREAUTH_PASSWORD = <acount_password>
注意:这些凭据应与用于登录到FME服务器服务。如果不是,的某些页可能有困难FME服务器Web用户界面(如通知或资源)
注意:仅为security_ad_preauth_username参数指定服务帐户名。不包括域名。例如,没有指定域名\用户名。仅指定用户名。
验证Active Directory连接
要验证Active Directory连接已正确配置,在使用FME Server配置的Active Directory用户帐户下登录到FME Server Web用户界面,并进行相关检查在这里,取决于该帐户角色的权限。
使用Active Directory进行安全管理
当使用Active Directory进行用户身份验证和授权时,安全管理接口有一些修改。
- “用户帐户”视图显示可以访问FME服务器组件的Active Directory用户的实时列表。
- 用户角色视图继续显示所有可用的用户角色,包括那些不是Active Directory安全组或用户帐户的。
用户账户查看
用户帐户视图是可以访问FME服务器组件的Active Directory用户的实时列表。服务器管理员无法修改此列表,因为它是从Active Directory中提取的。该列表包括用户角色中指定的启用Active Directory安全组所涉及的所有用户。
注意:FME服务器通过使用轻量级目录访问协议(LDAP)虚拟列表视图(VLV)控件填充此视图。您的Active Directory服务器必须启用此功能才能显示实时用户帐户视图。
用户角色视图
User Roles视图是可以访问FME服务器组件的Active Directory安全组的实时列表。服务器管理员可以修改这个列表,存储在本地安全数据库中,添加Active Directory安全组或删除现有组。
注意:用户角色可以接受Active Directory安全组或用户帐户。可以通过用户界面添加非安全组的用户角色;然而,他们将被忽略。使用Active Directory时用户角色无效的示例包括:
- 活动目录分发组
- 内置数据库用户角色(例如,fmeadmin)
故障排除
在某些服务器环境中,基于活动目录的安全性可能更容易设置,由于安全层次结构的高度可变性。如果您在配置FME服务器的安全框架以使用Active Directory时遇到困难,有关选项,请查看以下故障排除提示。
启用调试日志记录
为FME服务器的安全框架启用调试日志允许在许多Active Directory操作期间进行更详细的日志记录。检查日志消息可能有助于了解失败的操作。
- 打开FME服务器配置文件,fmeCommonConfig.txt,位于FME服务器安装目录的子目录服务器中。
- 在保安管理项目下,定位参数SECURITY_DEBUG并将其设置为true。
-
重新启动FME服务器。
- 检查日志文件以获得与Active Directory操作相关的附加信息。
使用Active Directory配置工具
与FME服务器安装绑定的是一个Active Directory配置实用程序,位于:
这个实用程序允许您测试各种Active Directory配置参数,并使用相同的API与域控制器和FME服务器联系。
该实用工具提供以下菜单选项:
- 连接到Active Directory服务器
- 浏览活动目录
- 测试NT用户身份验证
- 在FME服务器中应用设置
这允许您测试连接参数并验证是否可以建立到Active Directory服务器的连接。
这允许您验证所有目录浏览选项是否正常工作。
这允许您使用标准NT用户名/密码测试身份验证。
这将输出此实用程序中使用的配置参数集。按照屏幕上的说明将这些参数迁移到FME服务器配置文件中。