El nivel de seguridad y autenticación simples (SASL) es una estructura de autenticación y protección de datos en los protocolos de internet. En la versión 10.9, ArcGIS Enterprise permite utilizar SASL como medio de autenticación con Active Directory Windows u otros proveedores LDAP que utilizan GSS/Kerberos v5 con SASL.
Caso de uso
La autenticación GSS SASL suele utilizarse cuando el controlador de dominio de una organización se configura para que solicite la firma de autenticación con el servidor LDAP. Este requisito solo se aplica a la conexión al servidor LDAP mediante los puertos 389 o 3268 sin cifrado. Si LDAPS no es plenamente compatible en todos los controladores de dominio, la firma no es necesaria.
Requisitos
Para configurar la autenticación SASL con ArcGIS Enterprise, deben cumplirse unos cuantos requisitos.
Archivo de configuración Kerberos
Se necesita un archivo de configuración Kerberos para proporcionar Portal for ArcGIS con información sobre el controlador de dominio Kerberos. Esta información debe guardarse en un archivo de texto, como, por ejemplo, krb5.conf. Se debe guardar una copia del archivo de texto en una ubicación a la que tenga acceso la cuenta del servicio Portal for ArcGIS. La carpeta de instalación del portal o el directorio de contenido del portal son ejemplos de esto. La ubicación predeterminada del directorio de contenido del portal es c:\arcgisportal.
El archivo de configuración es estándar para Kerberos y debe incluir la configuración predeterminada junto con la información de uno o varios controladores de dominio Kerberos de cada dominio Kerberos. A continuación se muestra un ejemplo de archivo de configuración.
[libdefaults] dns_lookup_realm = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true rdns = false default_ccache_name = KEYRING:persistent:%{uid} dns_lookup_kdc = true default_realm = EXAMPLE.COM default_checksum = rsa-md5 [realms] EXAMPLE.COM = { kdc = domaincontroller.example.com admin_server = domaincontroller.example.com } [domain_realm] example.com = EXAMPLE.COM .example.com = EXAMPLE.COM
Nuevas propiedades de almacenamiento de usuarios y grupos compatibles con tipos de almacenes de identidades LDAP y Windows
- "saslAuthenticationScheme": define el esquema de autenticación SASL que utiliza Portal for ArcGIS para conectarse a los controladores de dominio a través de LDAP. En 10.9, GSSAPI es el único esquema de autenticación SASL admitido. Ejemplo: "saslAuthenticationScheme": "GSSAPI"
- "krb5ConfigFilePath": define la ruta del archivo de texto de configuración de Kerberos que se describe antes. Este debe residir en una ubicación con acceso de lectura para la cuenta del servicio Portal for ArcGIS.
Ejemplo: "krb5ConfigFilePath": "c:\\arcgisportal\\krb5.conf"
Configuraciones de almacenamiento de identidades de Portal for ArcGIS
El mecanismo de autenticación SASL GSS puede utilizarse con tipos de almacenes de identidades LDAP o Windows y funcionará con autenticaciones de nivel de portal y de nivel web. Esto también incluye el mantenimiento y la actualización de la afiliación a grupos corporativos.
Usuarios y grupos de Windows
Cuando Portal for ArcGIS se configura para utilizar usuarios y grupos de Windows con autenticación SASL, las propiedades "saslAuthenticationScheme" y "krb5ConfigFilePath" son necesarias. La propiedad "user" debe especificarse en el formato username@realm. El dominio siempre estará en mayúsculas en el archivo krb5.conf, pero no ocurrirá lo mismo en la cadena de texto JSON. El "domainControllerAddress" también se necesita y debe incluir el nombre de dominio completo (FQDN) correspondiente al controlador o los controladores de dominio Kerberos que se utilizan. La dirección IP no es compatible con la autenticación SASL. Si los usuarios y grupos corporativos proceden de varios dominios, la propiedad "domainControllerMapping" debe utilizarse para vincular el nombre del dominio con el nombre de host del controlador de dominio. A continuación se ofrece un ejemplo de ambas configuraciones de almacén de usuarios y grupos con un solo dominio.
Configuración de almacén de usuarios de ejemplo
{ "type": "WINDOWS", "properties": { "saslAuthenticationScheme": "GSSAPI", "krb5ConfigFilePath": "C:\\arcgisportal\\krb5.conf", "user": "entuser@example.com", "userPassword": "encrypted_password", "isPasswordEncrypted": "true", "caseSensitive": "false", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "userEmailAttribute": "mail", "domainControllerAddress": "domaincontroller.example.com" } }
Configuración de almacén de grupos de ejemplo
{ "type": "WINDOWS", "properties": { "saslAuthenticationScheme": "GSSAPI", "krb5ConfigFilePath": "C:\\arcgisportal\\krb5.conf", "user": "entuser@example.com", "userPassword": "encrypted_password", "isPasswordEncrypted": "true", "domainControllerAddress": " domaincontroller.example.com" } }
Otras consideraciones
Cuando se inicia sesión en un portal con autenticación de nivel de portal para usuarios LDAP, el formato del nombre de usuario debe ser username@realm; por ejemplo, testuser@example.com.
Al usar la autenticación de nivel del portal para usuarios de Windows, el formato es el mismo que en las versiones anteriores: domain\username o username@domain.
Configuración del controlador de dominio Kerberos
La configuración del controlador de dominio según los requisitos de token de enlace de canal del servidor LDAP no puede establecerse en Siempre debido a las limitaciones de Java. Consulte los detalles en Error JVM 8245527. Debe ajustarse en Cuando se admite o Nunca.