Skip To Content

SASL-Authentifizierung

Simple Authentication and Security Layer (SASL) ist ein Framework für die Authentifizierung und die Datensicherheit in Internetprotokollen. Ab Version 10.9 unterstützt ArcGIS Enterprise die Verwendung von SASL für die Authentifizierung bei Windows Active Directory oder anderen LDAP-Anbietern über den GSS/Kerberos-v5-SASL-Mechanismus.

Anwendungsfall

Die SASL-GSS-Authentifizierung wird üblicherweise eingesetzt, wenn der Domänencontroller einer Organisation so konfiguriert ist, dass für die Authentifizierung mit dem LDAP-Server eine Signatur erforderlich ist. Diese Anforderung gilt nur, wenn die Verbindung mit dem LDAP-Server über die Ports 389 oder 3268 ohne Verschlüsselung hergestellt wird. Falls LDAPS auf allen Domänencontrollern vollständig unterstützt wird, ist diese Signaturanforderung nicht erforderlich.

Einstellung des Domänencontrollers für die Signaturanforderungen von LDAP-Servern

Anforderungen

Zum Konfigurieren der SASL-Authentifizierung in ArcGIS Enterprise müssen einige Anforderungen erfüllt sein.

Kerberos-Konfigurationsdatei

Eine Kerberos-Konfigurationsdatei ist erforderlich, um Portal for ArcGIS Informationen zum Kerberos-Domänencontroller bereitzustellen. Diese Informationen müssen in einer Textdatei wie krb5.conf gespeichert werden. Eine Kopie der Textdatei muss an einem Speicherort gespeichert werden, auf den das Konto des Portal for ArcGIS-Service zugreifen kann. Dies kann z. B. der Portal-Installationsordner oder das Portal-Inhaltsverzeichnis sein. Der Standardspeicherort des Portal-Inhaltsverzeichnisses ist c:\arcgisportal.

Diese Konfigurationsdatei ist für Kerberos Standard. Sie sollte die standardmäßigen Konfigurationseinstellungen und Informationen zu einem oder mehreren Kerberos-Domänencontrollern für die einzelnen Kerberos-Bereiche enthalten. Nachfolgend ist ein Beispiel für eine Konfigurationsdatei dargestellt.

[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    default_ccache_name = KEYRING:persistent:%{uid}
    dns_lookup_kdc = true
    default_realm = EXAMPLE.COM
    default_checksum = rsa-md5

[realms]

EXAMPLE.COM = {
    kdc = domaincontroller.example.com
    admin_server = domaincontroller.example.com
}

[domain_realm]
    example.com = EXAMPLE.COM
    .example.com = EXAMPLE.COM

Neue Benutzer- und Gruppenspeichereigenschaften, die für Windows- und LDAP-Identitätsspeichertypen unterstützt werden

  • "saslAuthenticationScheme": Definiert das SASL-Authentifizierungsschema, das von Portal for ArcGIS für die Verbindung mit Domänencontrollern über LDAP verwendet wird. In Version 10.9 ist GSSAPI das einzige unterstützte SASL-Authentifizierungsschema. Beispiel: "saslAuthenticationScheme": "GSSAPI"
  • "krb5ConfigFilePath": Definiert den Pfad zur oben beschriebenen Kerberos-Konfigurationstextdatei. Sie muss sich in einem Speicherort mit Lesezugriff für das Konto des Portal for ArcGIS-Service befinden.

    Beispiel: "krb5ConfigFilePath": "c:\\arcgisportal\\krb5.conf"

Portal for ArcGIS-Identitätsspeicherkonfigurationen

Der SASL-GSS-Authentifizierungsmechanismus kann mit Windows- oder LDAP-Identitätsspeichertypen verwendet werden und funktioniert für Authentifizierungen auf Portal- und Webebene. Er umfasst auch das Verwalten und Aktualisieren der Enterprise-Gruppenmitgliedschaft.

Windows-Benutzer und -Gruppen

Beim Konfigurieren von Portal for ArcGIS zur Verwendung von Windows-Benutzern und -Gruppen mit SASL-Authentifizierung sind die Eigenschaften "saslAuthenticationScheme" und "krb5ConfigFilePath" erforderlich. Die Eigenschaft "user" muss im Format username@realm angegeben werden. Der Bereich muss in der Datei "krb5.conf" immer in Großbuchstaben angegeben sein. Für die JSON-Zeichenfolge ist dies nicht erforderlich. Darüber hinaus ist "domainControllerAddress" erforderlich und muss den vollständig qualifizierten Domänennamen (FQDN) für einen oder mehrere verwendete Kerberos-Domänennamencontroller enthalten. IP-Adressen werden für die SASL-Authentifizierung nicht unterstützt. Wenn die Enterprise-Benutzer und -Gruppen zu unterschiedlichen Domänen gehören, sollte die Eigenschaft "domainControllerMapping" verwendet werden, um den Domänennamen mit dem Domänencontroller-Hostnamen zu verknüpfen. Nachfolgend ist ein Beispiel für die Benutzer- und Gruppenspeicherkonfigurationen mit nur einer Domäne dargestellt.

Beispiel für Benutzerspeicherkonfiguration

{
  "type": "WINDOWS",
  "properties": {
    "saslAuthenticationScheme": "GSSAPI",
    "krb5ConfigFilePath": "C:\\arcgisportal\\krb5.conf",
    "user": "entuser@example.com",
    "userPassword": "encrypted_password",
    "isPasswordEncrypted": "true",
    "caseSensitive": "false",
    "userGivenNameAttribute": "givenName",
    "userSurnameAttribute": "sn",
    "userEmailAttribute": "mail",
    "domainControllerAddress": "domaincontroller.example.com"
  }
}

Beispiel für Gruppenspeicherkonfiguration

{
  "type": "WINDOWS",
  "properties": {
    "saslAuthenticationScheme": "GSSAPI",
    "krb5ConfigFilePath": "C:\\arcgisportal\\krb5.conf",
    "user": "entuser@example.com",
    "userPassword": "encrypted_password",
    "isPasswordEncrypted": "true",
    "domainControllerAddress": " domaincontroller.example.com"
  }
}

Weitere Überlegungen

Beim Anmelden am Portal mit Authentifizierung auf Portal-Ebene für LDAP-Benutzer muss das Format username@realm sein, z. B.: testuser@example.com.

Beim Verwenden der Authentifizierung auf Portal-Ebene für Windows-Benutzer ist das Format so wie in früheren Versionen: domain\username oder username@domain.

Einstellung des Kerberos-Domänencontrollers

Die Einstellung des Domänencontrollers für die Token-Anforderungen der LDAP-Serverkanalbindung kann aufgrund von Java-Beschränkungen nicht auf Always festgelegt werden. Details finden Sie unter JVM Bug 8245527. Sie muss stattdessen auf When supported oder Never festgelegt werden.

Einstellung des Domänencontrollers für die LDAP-Serverkanalbindung