4.7.1 Les acteurs dans GeoServer
- L'administrateur gère le paramétrage, la sécurité des données et des services (création des rôles et des utilisateurs), l’ajout d’extensions
- L'utilisateur authentifié peut disposer de droits de lecture / écriture / administration sur différents espaces de travail / entrepôts / couches
- L'utilisateur public peut consulter et requêter des données publiques.
4.7.2 Sécurité des données
Geoserver permet de définir des rôles, des utilisateurs, des groupes et des règles.
Nous allons ici créer un rôle disposant des droits d'administration sur l'espace de travail anfsist, et d'un utilisateur héritant de ce rôle. Cet utilisateur nous servira par la suite dans le TP Geonetwork pour publier une couche dans l'espace de travail anfsist depuis le Geonetwork.
Création d’un rôle ANFSIST_ADMIN
-
Cliquer sur Sécurité > Utilisateurs, Groupes et Rôles (Security > Users, Groups, Roles)
-
Onglet Rôles (Roles) : Cliquer sur Ajouter un nouveau rôle (Add new role)
Attribut (Attribut ang) | Valeur |
---|---|
Nom (Name) | ANFSIST_ADMIN |
Parent | Laisser vide |
- Cliquer sur Sauvegarder (Save)
Création d’une règle donnant les droits d’administration sur l’espace de travail anfsist au rôle ANFSIST_ADMIN
-
Cliquer sur Sécurité > Sécurité des données (Security > Data)
-
Cliquer sur Ajouter une nouvelle règle (Add new rule)
Attribut (Attribut ang) | Valeur | Commentaire |
---|---|---|
Espace de travail (workspace) | anfsist | |
Layer and groups | * | = tous |
Mode d'accès (Access mode) | Admin | |
Rôles (roles) | Ajouter le rôle ANFSIST_ADMIN |
- Cliquer sur Sauvegarder (Save)
Création d’un utilisateur adminsist avec le role ANFSIST_ADMIN
-
Cliquer sur Sécurité > Utilisateurs, Groupes et Rôles (Security > Users, Groups, Roles)
-
Onglet Utilisateurs / Groupes (Users/Groups) : Cliquer sur Ajouter un nouvel utilisateur (Add new user)
Attribut (Attribut ang) | Valeur | Commentaire |
---|---|---|
Nom (Name) | adminsist | |
Mot de passe (Password) | anfsist | |
Rôles (roles) | Ajouter les rôles ANFSIST_ADMIN et ADMIN | Le rôle ADMIN est indispensable pour que les utilisateurs de ce rôle puissent publier les données depuis le Geonetwork : en effet la géopublication se fait via le service REST et celui-ci est par défaut restreint au role ADMIN [*]. |
- Cliquer sur Sauvegarder (Save)
[*] Le service REST est limité par défaut au rôle ADMIN, mais il peut néanmoins être étendu à d'autres rôles en éditant le fichier de configuration /var/lib/tomcat-geoserver/webapps/geoserver/data/security/rest.properties
.
Plus d'informations ici : http://docs.geoserver.org/stable/en/user/security/rest.html
4.7.3 Sécurité des services
GeoServer peut limiter l'accès basé sur les services WFS, WMS, etc et leurs opérations spécifiques (GetCapabilities, GetMap, etc.).
Il est conseillé de bloquer les services à risques :
- WFS : transaction, lockFeature, GetFeatureWithLock
- WPS (pour qu’un utilisateur n’utilise pas toutes les ressources en faisant tourner des processus)
Exemple : Blocage du service WFS transaction,sauf pour les admin
-
Cliquer sur Sécurité > Sécurité du service (Security > Services)
-
Cliquer sur Ajouter une nouvelle règle (Add new rule)
Attribut (Attribut ang) | Valeur |
---|---|
Service | WFS |
Méthode (Method) | Transaction |
Mode d'accès (Access mode) | Admin |
Rôles (roles) | Ajouter le rôle ADMIN |
- Cliquer sur Sauvegarder (Save)
4.7.4 GeoFence : gestion avancée des droits
L'extension GeoFence permet une gestion plus fine des droits, en autorisant la définition de règles par service et par couche.