Autenticación SASL—Portal for ArcGIS | Documentación de ArcGIS Enterprise

El nivel de seguridad y autenticación simples (SASL) es una estructura de autenticación y protección de datos en los protocolos de internet. En la versión 10.9, ArcGIS Enterprise permite utilizar SASL como medio de autenticación con Active Directory Windows u otros proveedores LDAP que utilizan GSS/Kerberos v5 con SASL.

Caso de uso

La autenticación GSS SASL suele utilizarse cuando el controlador de dominio de una organización se configura para que solicite la firma de autenticación con el servidor LDAP. Este requisito solo se aplica a la conexión al servidor LDAP mediante los puertos 389 o 3268 sin cifrado. Si LDAPS no es plenamente compatible en todos los controladores de dominio, la firma no es necesaria.

Configuración del controlador de dominio según los requisitos de firma del servidor LDAP

Requisitos

Para configurar la autenticación SASL con ArcGIS Enterprise, deben cumplirse unos cuantos requisitos.

Archivo de configuración Kerberos

Se necesita un archivo de configuración Kerberos para proporcionar Portal for ArcGIS con información sobre el controlador de dominio Kerberos. Esta información debe guardarse en un archivo de texto, como, por ejemplo, krb5.conf. Se debe guardar una copia del archivo de texto en una ubicación a la que tenga acceso la cuenta del servicio Portal for ArcGIS. La carpeta de instalación del portal o el directorio de contenido del portal son ejemplos de esto. La ubicación predeterminada del directorio de contenido del portal es c:\arcgisportal.

El archivo de configuración es estándar para Kerberos y debe incluir la configuración predeterminada junto con la información de uno o varios controladores de dominio Kerberos de cada dominio Kerberos. A continuación se muestra un ejemplo de archivo de configuración.

[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    default_ccache_name = KEYRING:persistent:%{uid}
    dns_lookup_kdc = true
    default_realm = EXAMPLE.COM
    default_checksum = rsa-md5

[realms]

EXAMPLE.COM = {
    kdc = domaincontroller.example.com
    admin_server = domaincontroller.example.com
}

[domain_realm]
    example.com = EXAMPLE.COM
    .example.com = EXAMPLE.COM

Nuevas propiedades de almacenamiento de usuarios y grupos compatibles con tipos de almacenes de identidades LDAP y Windows

"saslAuthenticationScheme": define el esquema de autenticación SASL que utiliza Portal for ArcGIS para conectarse a los controladores de dominio a través de LDAP. En 10.9, GSSAPI es el único esquema de autenticación SASL admitido. Ejemplo: "saslAuthenticationScheme": "GSSAPI"
"krb5ConfigFilePath": define la ruta del archivo de texto de configuración de Kerberos que se describe antes. Este debe residir en una ubicación con acceso de lectura para la cuenta del servicio Portal for ArcGIS.
Ejemplo: "krb5ConfigFilePath": "c:\\arcgisportal\\krb5.conf"

Configuraciones de almacenamiento de identidades de Portal for ArcGIS

El mecanismo de autenticación SASL GSS puede utilizarse con tipos de almacenes de identidades LDAP o Windows y funcionará con autenticaciones de nivel de portal y de nivel web. También incluye el mantenimiento y la actualización de la pertenencia a grupos de Active Directory o LDAP.

Usuarios y grupos de Windows

Cuando Portal for ArcGIS se configura para utilizar usuarios y grupos de Windows con autenticación SASL, las propiedades "saslAuthenticationScheme" y "krb5ConfigFilePath" son necesarias. La propiedad "user" debe especificarse en el formato username@realm. El dominio siempre estará en mayúsculas en el archivo krb5.conf, pero no ocurrirá lo mismo en la cadena de texto JSON. El "domainControllerAddress" también se necesita y debe incluir el nombre de dominio completo (FQDN) correspondiente al controlador o los controladores de dominio Kerberos que se utilizan. La dirección IP no es compatible con la autenticación SASL. Si los usuarios y grupos de Active Directory o LDAP proceden de más de un dominio, la propiedad "domainControllerMapping" se debe usar para vincular el nombre de dominio al nombre de host del controlador de dominio. A continuación se ofrece un ejemplo de ambas configuraciones de almacén de usuarios y grupos con un solo dominio.

Configuración de almacén de usuarios de ejemplo

{
  "type": "WINDOWS",
  "properties": {
    "saslAuthenticationScheme": "GSSAPI",
    "krb5ConfigFilePath": "C:\\arcgisportal\\krb5.conf",
    "user": "entuser@example.com",
    "userPassword": "encrypted_password",
    "isPasswordEncrypted": "true",
    "caseSensitive": "false",
    "userGivenNameAttribute": "givenName",
    "userSurnameAttribute": "sn",
    "userEmailAttribute": "mail",
    "domainControllerAddress": "domaincontroller.example.com"
  }
}

Configuración de almacén de grupos de ejemplo

{
  "type": "WINDOWS",
  "properties": {
    "saslAuthenticationScheme": "GSSAPI",
    "krb5ConfigFilePath": "C:\\arcgisportal\\krb5.conf",
    "user": "entuser@example.com",
    "userPassword": "encrypted_password",
    "isPasswordEncrypted": "true",
    "domainControllerAddress": " domaincontroller.example.com"
  }
}

Otras consideraciones

Cuando se inicia sesión en un portal con autenticación de nivel de portal para usuarios LDAP, el formato del nombre de usuario debe ser username@realm; por ejemplo, testuser@example.com.

Al usar la autenticación de nivel del portal para usuarios de Windows, el formato es el mismo que en las versiones anteriores: domain\username o username@domain.

Configuración del controlador de dominio Kerberos

La configuración del controlador de dominio según los requisitos de token de enlace de canal del servidor LDAP no puede establecerse en Siempre debido a las limitaciones de Java. Consulte los detalles en Error JVM 8245527. Debe ajustarse en Cuando se admite o Nunca.

Configuración del controlador de dominio para enlace de canal del servidor LDAP

¿Algún comentario sobre este tema?