Autenticazione Semplice and Layer Sicurezza (SASL) è un framework per l'autenticazione e la sicurezza dei dati nei protocolli internet. Come di 10.9, ArcGIS Enterprise supporta usando SASL come una media di autenticazione con Windows Active Directory o altri fornitori LDAP usando il meccanismo GSS/Kerberos v5 SASL.
Caso d'uso
L'autenticazione SASL GSS è tipicamente usata quando il controller di dominio di un'organizzazione è configurato per richiedere la firma per l'autenticazione con il server LDAP. Questo requisito si applica solo quando connesso al server LDAP oltre le porte 389 o 3268 senza crittografia. Se LDAPS è pienamente supportato tramite tutti i controller di dominio, questo requisito di accesso non è necessario.
Requisiti
Per configurare l'autenticazione SASL con ArcGIS Enterprise, molti requisiti devono essere rispettati.
File di configurazione Kerberos
Un file di configurazione Kerberos è richiesto per fornire Portal for ArcGIS con informazioni sul controller di dominio Kerberos. Queste informazioni devono essere salvati in un file di testo, per esempio, krb5.conf. Una copia del file di testo deve essere archiviata in una posizione dove l'account di servizio Portal for ArcGIS può accedervi. Esempi di questo includono la cartella d'installazione del portale o la directory del contenuto del portal.e La posizione predefinita per la directory di contenuto del portale è /arcgis/portal/usr.
Questo file di configurazione è standard per Kerberos e dovrebbe includere impostazioni di configurazione predefinite e informazioni su uno o più controller di dominio Kerberos per ogni regno Kerberos. Un file di configurazione d'esempio è mostrato di seguito.
[libdefaults] dns_lookup_realm = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true rdns = false default_ccache_name = KEYRING:persistent:%{uid} dns_lookup_kdc = true default_realm = EXAMPLE.COM default_checksum = rsa-md5 [realms] EXAMPLE.COM = { kdc = domaincontroller.example.com admin_server = domaincontroller.example.com } [domain_realm] example.com = EXAMPLE.COM .example.com = EXAMPLE.COM
Nuove proprietà dell'archivio utenti e gruppi supportate con i tipi di archivio di identità Windows e LDAP
- "saslAuthenticationScheme": definisce lo schema di autenticazione SASL usato da Portal for ArcGIS per connettersi ai controller di dominio tramite LDAP. A 10.9, GSSAPI è supportato solo dallo schema di autenticazione SASL. Esempio: "saslAuthenticationScheme": "GSSAPI"
- "krb5ConfigFilePath": definisce il percorso al file di testo di configurazione Kerberos descritto sopra. Questo deve risiedere in una posizione con accesso in lettura per l'account del servizio Portal for ArcGIS.
Esempio: "krb5ConfigFilePath": "/data/arcgis/krb5.conf"
Configurazioni archivio di identità Portal for ArcGIS
Il meccanismo di autenticazione SASL GSS può essere usato con entrambi i tipi di negozi di identità Windows o LDAP e funzionerà con autenticazioni sia a livello di portale che di web. Questo include anche il mantenimento e l'aggiornamento dell'appartenenza al gruppo di Active Directory o LDAP.
Utenti e gruppi LDAP
Quando si configura Portal for ArcGIS per usare utenti e gruppi LDAP con autenticazione SASL, le proprietà "saslAuthenticationScheme" e "krb5ConfigFilePath" devono essere aggiunte e il formato del nome utente elencato nella proprietà "user" deve essere modificato a username@realm. ldapURLForUsers e ldapURLForRoles devono contenere il nome di dominio pienamente qualificato (FQDN) per il controller di dominio Kerberos. Un indirizzo IP non è supportato qui. Se verrà utilizzata l'autenticazione a livello di portale, il "usernameAttribute" dovrebbe essere impostato su "userPrincipalName" in modo che i nomi utente siano nel formato corretto. Sotto è riportato un esempio di configurazioni di archivio utente e gruppo con LDAP.
Configurazione archivio utente campione
{ "type": "LDAP", "properties": { "ldapURLForUsers": "ldap://kdc1.example.com:389/OU=users,DC=example,DC=com", "saslAuthenticationScheme": "GSSAPI", "krb5ConfigFilePath": "/data/arcgis/krb5.conf", "user": "entuser@example.com", "userPassword": "encrypted_password", "isPasswordEncrypted": "true", "usernameAttribute": "sAMAccountName", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "userEmailAttribute": "mail", "caseSensitive": "false” } }
Configurazione archivio gruppi campione
{ "type": "LDAP", "properties": { "ldapURLForUsers": "ldap://kdc1.example.com:389/OU=users,DC=example,DC=com", “ldapURLForRoles”: "ldap://kdc1.example.com:389/OU=groups,DC=example,DC=com", "saslAuthenticationScheme": "GSSAPI", "krb5ConfigFilePath": "/data/arcgis/krb5.conf", "user": "entuser@example.com", "userPassword": "encrypted_password", "isPasswordEncrypted": "true", "usernameAttribute": "sAMAccountName", "caseSensitive": "false” } }
Altre considerazioni
Quando si accede al portale con l'autenticazione di tipo portale per gli utenti LDAP, la forma del nome del sito deve essere username@realm, per esempio, testuser@example.com.
L'impostazione del controller di dominio Kerberos
L'impostazione del controller di dominio per i requisiti del token di binding del canale del server LDAP non può essere impostata su Sempre a causa delle limitazioni di Java. Per dettagli, consultare Bug JVM 8245527. Deve essere impostato su Quando o Mai.