المصادقة البسيطة وطبقة الأمان (SASL) هي إطار عمل المصادقة وأمن البيانات في بروتوكولات الإنترنت. بالنسبة لإصدار 10.9، يدعم ArcGIS Enterprise استخدام SASL كوسيلة مصادقة باستخدام دليل Windows النشط أو موفري LDAP الآخرين باستخدام آلية GSS/Kerberos v5 SASL.
حالة الاستخدام
تُستخدَم مصادقة SASL GSS عادةً عندما يتم تكوين وحدة تحكم نطاق خاصة بمؤسسة ما لطلب التوقيع للمصادقة مع خادم LDAP. ينطبق هذا المطلب فقط عند الاتصال بخادم LDAP من خلال منفذي 389 أو 3268 بدون تشفير. إذا كان LDAP مدعومًا بالكامل في جميع وحدات تحكم النطاق، فلن يكون شرط التوقيع هذا مطلوبًا.
المتطلبات
لتكوين مصادقة SASL مع ArcGIS Enterprise، يجب استيفاء بعض المتطلبات.
ملف التكوين Kerberos
ملف تكوين Kerberos مطلوب لتزويد Portal for ArcGIS بالمعلومات بشأن وحدة تحكم نطاق Kerberos. يجب حفظ هذه المعلومات في ملف نصي، على سبيل المثال، krb5.conf. يجب تخزين نسخة من الملف النصي في مكان يمكن لحساب خدمة Portal for ArcGIS الوصول إليه. تتضمن أمثلة ذلك مجلد تثبيت البوابة الإلكترونية أو دليل محتوى البوابة الإلكترونية. الموقع الافتراضي لدليل محتوى البوابة الإلكترونية هو /arcgis/portal/usr.
يكون ملف التكوين هذا قياسيًا لـ Kerberos ويجب أن يتضمن إعدادات التكوين الافتراضية ومعلومات بشأن واحدة أو أكثر من وحدات تحكم نطاق Kerberos لكل مجال من مجالات Kerberos. يُوضَّح بالأسفل مثال على ملف التكوين.
[libdefaults] dns_lookup_realm = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true rdns = false default_ccache_name = KEYRING:persistent:%{uid} dns_lookup_kdc = true default_realm = EXAMPLE.COM default_checksum = rsa-md5 [realms] EXAMPLE.COM = { kdc = domaincontroller.example.com admin_server = domaincontroller.example.com } [domain_realm] example.com = EXAMPLE.COM .example.com = EXAMPLE.COM
خصائص مخزن المستخدم والمجموعة الجديدة مدعومة بأنواع مخزن هوية Windows وLDAP
- "saslAuthenticationScheme"—يعرّف نظام مصادقة SASL المستخدم بواسطة Portal for ArcGIS للاتصال بوحدات تحكم النطاق من خلال LDAP. في الإصدار 10.9، يدعم GSSAPI فقط نظام مصادقة SASL. مثال: "saslAuthenticationScheme": "GSSAPI"
- "krb5ConfigFilePath"—يعرّف المسار إلى الملف النصي لتكوين Kerberos الموضح بالأعلى. يجب أن يوجد هذا في موقع يتمتع بحق الوصول للقراءة لحساب خدمة Portal for ArcGIS.
مثال: "krb5ConfigFilePath": "/data/arcgis/krb5.conf"
تكوينات مخزن هوية Portal for ArcGIS
يمكن استخدام آلية مصادقة SASL GSS مع أي من أنواع مخزن هوية Windows أو LDAP وستعمل مع كل من مصادقة طبقة البوابة الإلكترونية وطبقة الويب. يتضمن هذا أيضًا صيانة وتحديث عضوية مجموعة الدليل النشط أو LDAP.
مستخدمو LDAP ومجموعاته
عند تكوين Portal for ArcGIS لاستخدام مستخدمي ومجموعات LDAP مع مصادقة SASL، تجب إضافة كل من خصائص "saslAuthenticationScheme" و"krb5ConfigFilePath" وتغيير تنسيق اسم المستخدم المدرج في خاصية "user" إلى username@realm. يجب أن يحتوي كل من ldapURLForUsers وldapURLForRoles على اسم النطاق المؤهل بالكامل (FQDN) لوحدة التحكم في نطاق Kerberos. عنوان IP غير مدعوم هنا. إذا تقرر استخدام مصادقة طبقة البوابة الإلكترونية، يجب تعيين "usernameAttribute" على "userPrincipalName" لتكون أسماء المستخدمين بالتنسيق الصحيح. فيما يلي مثال لكل من تكوينات مخزن المستخدم والمجموعة مع LDAP.
نموذج تكوين مخزن المستخدم
{ "type": "LDAP", "properties": { "ldapURLForUsers": "ldap://kdc1.example.com:389/OU=users,DC=example,DC=com", "saslAuthenticationScheme": "GSSAPI", "krb5ConfigFilePath": "/data/arcgis/krb5.conf", "user": "entuser@example.com", "userPassword": "encrypted_password", "isPasswordEncrypted": "true", "usernameAttribute": "sAMAccountName", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "userEmailAttribute": "mail", "caseSensitive": "false” } }
نموذج تكوين مخزن المجموعة
{ "type": "LDAP", "properties": { "ldapURLForUsers": "ldap://kdc1.example.com:389/OU=users,DC=example,DC=com", “ldapURLForRoles”: "ldap://kdc1.example.com:389/OU=groups,DC=example,DC=com", "saslAuthenticationScheme": "GSSAPI", "krb5ConfigFilePath": "/data/arcgis/krb5.conf", "user": "entuser@example.com", "userPassword": "encrypted_password", "isPasswordEncrypted": "true", "usernameAttribute": "sAMAccountName", "caseSensitive": "false” } }
الاعتبارات الأخرى
عند تسجيل الدخول إلى البوابة الإلكترونية باستخدام مصادقة طبقة البوابة الإلكترونية لمستخدمي LDAP، يجب أن يكون تنسيق اسم المستخدم username@realm، على سبيل المثال، testuser@example.com.
إعداد وحدة التحكم في نطاق Kerberos
لا يمكن تعيين إعداد وحدة التحكم في النطاق لمتطلبات رمز ربط قناة خادم LDAP المميز على دائمًا بسبب قيود Java. لمعرفة التفاصيل، راجع JVM Bug 8245527. يجب التعيين إما على عند الدعم أو مطلقًا.