Simple Authentication and Security Layer (SASL) ist ein Framework für die Authentifizierung und die Datensicherheit in Internetprotokollen. Ab Version 10.9 unterstützt ArcGIS Enterprise die Verwendung von SASL für die Authentifizierung bei Windows Active Directory oder anderen LDAP-Anbietern über den GSS/Kerberos-v5-SASL-Mechanismus.
Anwendungsfall
Die SASL-GSS-Authentifizierung wird üblicherweise eingesetzt, wenn der Domänencontroller einer Organisation so konfiguriert ist, dass für die Authentifizierung mit dem LDAP-Server eine Signatur erforderlich ist. Diese Anforderung gilt nur, wenn die Verbindung mit dem LDAP-Server über die Ports 389 oder 3268 ohne Verschlüsselung hergestellt wird. Falls LDAPS auf allen Domänencontrollern vollständig unterstützt wird, ist diese Signaturanforderung nicht erforderlich.
Anforderungen
Zum Konfigurieren der SASL-Authentifizierung in ArcGIS Enterprise müssen einige Anforderungen erfüllt sein.
Kerberos-Konfigurationsdatei
Eine Kerberos-Konfigurationsdatei ist erforderlich, um Portal for ArcGIS Informationen zum Kerberos-Domänencontroller bereitzustellen. Diese Informationen müssen in einer Textdatei wie krb5.conf gespeichert werden. Eine Kopie der Textdatei muss an einem Speicherort gespeichert werden, auf den das Konto des Portal for ArcGIS-Service zugreifen kann. Dies kann z. B. der Portal-Installationsordner oder das Portal-Inhaltsverzeichnis sein. Der Standardspeicherort des Portal-Inhaltsverzeichnisses ist c:\arcgisportal.
Diese Konfigurationsdatei ist für Kerberos Standard. Sie sollte die standardmäßigen Konfigurationseinstellungen und Informationen zu einem oder mehreren Kerberos-Domänencontrollern für die einzelnen Kerberos-Bereiche enthalten. Nachfolgend ist ein Beispiel für eine Konfigurationsdatei dargestellt.
[libdefaults] dns_lookup_realm = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true rdns = false default_ccache_name = KEYRING:persistent:%{uid} dns_lookup_kdc = true default_realm = EXAMPLE.COM default_checksum = rsa-md5 [realms] EXAMPLE.COM = { kdc = domaincontroller.example.com admin_server = domaincontroller.example.com } [domain_realm] example.com = EXAMPLE.COM .example.com = EXAMPLE.COM
Neue Benutzer- und Gruppenspeichereigenschaften, die für Windows- und LDAP-Identitätsspeichertypen unterstützt werden
- "saslAuthenticationScheme": Definiert das SASL-Authentifizierungsschema, das von Portal for ArcGIS für die Verbindung mit Domänencontrollern über LDAP verwendet wird. In Version 10.9 ist GSSAPI das einzige unterstützte SASL-Authentifizierungsschema. Beispiel: "saslAuthenticationScheme": "GSSAPI"
- "krb5ConfigFilePath": Definiert den Pfad zur oben beschriebenen Kerberos-Konfigurationstextdatei. Sie muss sich in einem Speicherort mit Lesezugriff für das Konto des Portal for ArcGIS-Service befinden.
Beispiel: "krb5ConfigFilePath": "c:\\arcgisportal\\krb5.conf"
Portal for ArcGIS-Identitätsspeicherkonfigurationen
Der SASL-GSS-Authentifizierungsmechanismus kann mit Windows- oder LDAP-Identitätsspeichertypen verwendet werden und funktioniert für Authentifizierungen auf Portal- und Webebene. Er umfasst auch das Verwalten und Aktualisieren der Enterprise-Gruppenmitgliedschaft.
Windows-Benutzer und -Gruppen
Beim Konfigurieren von Portal for ArcGIS zur Verwendung von Windows-Benutzern und -Gruppen mit SASL-Authentifizierung sind die Eigenschaften "saslAuthenticationScheme" und "krb5ConfigFilePath" erforderlich. Die Eigenschaft "user" muss im Format username@realm angegeben werden. Der Bereich muss in der Datei "krb5.conf" immer in Großbuchstaben angegeben sein. Für die JSON-Zeichenfolge ist dies nicht erforderlich. Darüber hinaus ist "domainControllerAddress" erforderlich und muss den vollständig qualifizierten Domänennamen (FQDN) für einen oder mehrere verwendete Kerberos-Domänennamencontroller enthalten. IP-Adressen werden für die SASL-Authentifizierung nicht unterstützt. Wenn die Enterprise-Benutzer und -Gruppen zu unterschiedlichen Domänen gehören, sollte die Eigenschaft "domainControllerMapping" verwendet werden, um den Domänennamen mit dem Domänencontroller-Hostnamen zu verknüpfen. Nachfolgend ist ein Beispiel für die Benutzer- und Gruppenspeicherkonfigurationen mit nur einer Domäne dargestellt.
Beispiel für Benutzerspeicherkonfiguration
{ "type": "WINDOWS", "properties": { "saslAuthenticationScheme": "GSSAPI", "krb5ConfigFilePath": "C:\\arcgisportal\\krb5.conf", "user": "entuser@example.com", "userPassword": "encrypted_password", "isPasswordEncrypted": "true", "caseSensitive": "false", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "userEmailAttribute": "mail", "domainControllerAddress": "domaincontroller.example.com" } }
Beispiel für Gruppenspeicherkonfiguration
{ "type": "WINDOWS", "properties": { "saslAuthenticationScheme": "GSSAPI", "krb5ConfigFilePath": "C:\\arcgisportal\\krb5.conf", "user": "entuser@example.com", "userPassword": "encrypted_password", "isPasswordEncrypted": "true", "domainControllerAddress": " domaincontroller.example.com" } }
Weitere Überlegungen
Beim Anmelden am Portal mit Authentifizierung auf Portal-Ebene für LDAP-Benutzer muss das Format username@realm sein, z. B.: testuser@example.com.
Beim Verwenden der Authentifizierung auf Portal-Ebene für Windows-Benutzer ist das Format so wie in früheren Versionen: domain\username oder username@domain.
Einstellung des Kerberos-Domänencontrollers
Die Einstellung des Domänencontrollers für die Token-Anforderungen der LDAP-Serverkanalbindung kann aufgrund von Java-Beschränkungen nicht auf Always festgelegt werden. Details finden Sie unter JVM Bug 8245527. Sie muss stattdessen auf When supported oder Never festgelegt werden.