Jak zabezpieczyć usługi WFS?

13

Obecnie mam za zadanie znaleźć sposób wdrożenia usług WFS na wielu klientach. Z usług mogą korzystać zarówno oprogramowanie GIS na komputery stacjonarne, np. MapInfo / ArcGIS, jak i rozwiązania Web GIS.

Czy w przypadku usługi WFS możliwe jest zdefiniowanie np. Nazwy użytkownika / hasła lub tokena, które należy przekazać w celu weryfikacji praw dostępu? (bezpieczeństwo na najwyższym poziomie nie jest konieczne)

Szukałem w specyfikacji OGC WFS, ale nie mogę znaleźć żadnych istotnych informacji na ten temat.

użytkownik 2847
źródło
1
Musi być ustawiony na poziomie serwera / domeny. Odwrotny serwer proxy może być również używany do zabezpieczania ważnych serwerów i usług - en.wikipedia.org/wiki/Reverse_proxy
Mapperz
Zobacz także odpowiedzi tutaj: gis.stackexchange.com/questions/5686/...
mwalker

Odpowiedzi:

11

WFS nie ma zabezpieczeń w ramach standardu, ale możesz bez problemu używać HTTPS. Usługa Web Feature OpenGIS (WFS) Realizacja Specyfikacja (04-094) [s. 6.3.4] mówi:

Zastosowanie HTTPS nie wpływa na opis żądań i odpowiedzi opisanych w niniejszej specyfikacji, ale może wymagać podjęcia dodatkowych działań zarówno na kliencie, jak i na usłudze w celu zainicjowania bezpiecznej komunikacji.

Zasadniczo wdrożenie dowolnej funkcji HTTPS zależy wyłącznie od Ciebie. Mapserver może poradzić sobie z HTTPS, o ile wiem , ale nigdy tego nie próbowałem. W rzeczywistości byłbym bardzo zainteresowany tym, co wymyślisz.

MerseyViking
źródło
Dzięki za odpowiedź MerseyViking. Wrócę i opublikuję aktualizację z moimi ustaleniami.
user2847
7

Jeśli chcesz dyskretnie zarządzać dostępem do tej usługi, za pomocą rozwiązania jednokrotnego logowania możesz zaimplementować następujące elementy. Obecnie nie ma usług typu open source, które wdrażają tego rodzaju rozwiązanie bezpieczeństwa.

Pierwsza część to usługa internetowa, która działa jako mediator między WFS a użytkownikiem. Ta usługa sieciowa będzie zarządzać dostępem użytkowników do warstw WFS i przeprowadzać niezbędne kontrole krzyżowe za pomocą kontroli dostępu do Active Directory lub Kerberos. Ta usługa przekaże do serwera WFS żądania, które są uwierzytelnione i dozwolone. To jest serwis internetowy Marshaling.

Drugą częścią jest wymuszenie na serwerze WFS, aby ufał tylko żądaniom z Marshaling Service. Jest to funkcja serwera WWW, która ogranicza adresy IP, z których będzie akceptować połączenia / żądania.

Istnieją usługi Marshaling na sprzedaż. Osobiście napisałem własny, aby zabezpieczyć instancję GeoServer, aby mogła ona zostać zintegrowana z bardzo dużym sklepem Microsoft. Dozwolone było przypisywanie użytkowników do grup i zarządzanie dostępem do zbiorów danych za pośrednictwem usługi Marshaling.

Gwarantujemy, że są bezpieczne i nie wpływają na wydajność komunikacji.

Jeśli chcesz diagramy tej infrastruktury dla lepszego zrozumienia lub nazwy niektórych dostawców daj mi znać (e-mail). Nie jestem w żaden sposób powiązany z dostawcami, po prostu znam ich nazwy. Wolę pisać własne;)

To może być dobry projekt Open Source :) :)

OptimizePrime
źródło
absolutnie się zgadzam, ale tak jak w 2018 roku, nikomu to nie obchodziło :(
Ilya Yevlampiev
jedynym możliwym rozwiązaniem jest zabezpieczenie serwletu przed serwerem gwt-openlayers dostarczanym wraz z serwerem gwt-openlayers i zapewnienie zabezpieczonego podstawowego uwierzytelnienia od serwletu do wfs-t (ale bez oauth i innych dobrych [praktyk z zadokowanego świata chmur wiosennych)
Ilya Yevlampiev