Skip To Content

Uwierzytelnianie SASL

Simple Authentication and Security Layer (SASL) to środowisko służące do uwierzytelniania i zapewniania bezpieczeństwa danych w protokołach internetowych. Oprogramowanie ArcGIS Enterprise od wersji 10.9 obsługuje SASL jako sposób uwierzytelniania z użyciem usługi Windows Active Directory lub innych dostawców LDAP z wykorzystaniem mechanizmu GSS/Kerberos v5 SASL.

Przypadek zastosowania

Uwierzytelnianie SASL GSS jest zwykle używane, gdy kontroler domeny instytucji jest skonfigurowany tak, aby wymagał podpisywania w celu uwierzytelnienia na serwerze LDAP. To wymaganie dotyczy tylko łączenia się z serwerem LDAP przez porty 389 lub 3268 bez szyfrowania. Jeśli protokół LDAPS jest w pełni obsługiwany przez wszystkie kontrolery domeny, to wymaganie dotyczące podpisywania nie obowiązuje.

Ustawienie kontrolera domeny na potrzeby wymagań dotyczących podpisywania dla serwera LDAP

Wymagania

Aby skonfigurować uwierzytelnianie SASL dla oprogramowania ArcGIS Enterprise, muszą być spełnione następujące wymagania.

Plik konfiguracyjny protokołu Kerberos

Plik konfiguracyjny protokołu Kerberos jest wymagany w celu dostarczenia do oprogramowania Witryna Portal for ArcGIS informacji o kontrolerze domeny Kerberos. Informacje te muszą być zapisane w pliku tekstowym, na przykład krb5.conf. Kopia tego pliku tekstowego musi być przechowywana w miejscu dostępnym dla konta usługi Witryna Portal for ArcGIS. Może to być na przykład folder instalacyjny portalu lub katalog zasobów portalu. Domyślna lokalizacja katalogu zasobów portalu to /arcgis/portal/usr.

Jest to standardowy plik konfiguracyjny dla protokołu Kerberos. Powinien on zawierać domyślne ustawienia konfiguracyjne oraz informacje o jednym lub wielu kontrolerach domeny Kerberos dla każdej dziedziny Kerberos. Poniżej przedstawiono przykładowy plik konfiguracyjny.

[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    default_ccache_name = KEYRING:persistent:%{uid}
    dns_lookup_kdc = true
    default_realm = EXAMPLE.COM
    default_checksum = rsa-md5

[realms]

EXAMPLE.COM = {
    kdc = domaincontroller.example.com
    admin_server = domaincontroller.example.com
}

[domain_realm]
    example.com = EXAMPLE.COM
    .example.com = EXAMPLE.COM

Nowe właściwości magazynu użytkowników i magazynu grup obsługiwane z typami magazynów tożsamości Windows i LDAP

  • "saslAuthenticationScheme" — definiuje schemat uwierzytelniania SASL używany przez oprogramowanie Witryna Portal for ArcGIS do łączenia się kontrolerami domen za pomocą protokołu LDAP. Jedynym obsługiwanym schematem uwierzytelniania SASL w wersji 10.9 jest GSSAPI. Przykład: "saslAuthenticationScheme": "GSSAPI"
  • "krb5ConfigFilePath" — definiuje ścieżkę do opisanego powyżej tekstowego pliku konfiguracyjnego protokołu Kerberos. Musi on znajdować się w lokalizacji, do której konto usługi Witryna Portal for ArcGIS ma uprawnienia do odczytu.

    Przykład: "krb5ConfigFilePath": "/data/arcgis/krb5.conf"

Konfiguracje magazynu tożsamości oprogramowania Witryna Portal for ArcGIS

Mechanizmu uwierzytelniania SASL GSS można używać zarówno z typem magazynu tożsamości Windows, jak i LDAP, a także z uwierzytelnianiem w warstwie portalu oraz w warstwie internetowej. Obejmuje to również utrzymywanie i odświeżanie członkostwa w grupach Active Directory lub LDAP.

Użytkownicy i grupy LDAP

Podczas konfigurowania oprogramowania Witryna Portal for ArcGIS pod kątem użycia użytkowników i grup LDAP z uwierzytelnianiem SASL należy dodać obie właściwości "saslAuthenticationScheme" i "krb5ConfigFilePath", a format nazwy użytkownika podanej we właściwości "user" należy zmienić na nazwaużytkownika@dziedzina. Właściwości ldapURLForUsers i ldapURLForRoles muszą zawierać w pełni kwalifikowaną nazwę domeny (FQDN) dla kontrolera domeny Kerberos. Adres IP nie jest tu obsługiwany. Jeśli będzie używane uwierzytelnianie w warstwie portalu, dla właściwości "usernameAttribute" należy ustawić wartość "userPrincipalName", aby nazwy użytkowników miały poprawny format. Poniżej przedstawiono przykładowe konfiguracje magazynu użytkowników i magazynu grup LDAP.

Przykładowa konfiguracja magazynu użytkowników

{
  "type": "LDAP",
  "properties": {
    "ldapURLForUsers": "ldap://kdc1.example.com:389/OU=users,DC=example,DC=com",
    "saslAuthenticationScheme": "GSSAPI",
    "krb5ConfigFilePath": "/data/arcgis/krb5.conf",
    "user": "entuser@example.com",
    "userPassword": "encrypted_password",
    "isPasswordEncrypted": "true",
    "usernameAttribute": "sAMAccountName",
    "userGivenNameAttribute": "givenName",
    "userSurnameAttribute": "sn",
    "userEmailAttribute": "mail",
    "caseSensitive": "false”
  }
}

Przykładowa konfiguracja magazynu grup

{
  "type": "LDAP",
  "properties": {
    "ldapURLForUsers": "ldap://kdc1.example.com:389/OU=users,DC=example,DC=com",
    “ldapURLForRoles”: "ldap://kdc1.example.com:389/OU=groups,DC=example,DC=com",
    "saslAuthenticationScheme": "GSSAPI",
    "krb5ConfigFilePath": "/data/arcgis/krb5.conf",
    "user": "entuser@example.com",
    "userPassword": "encrypted_password",
    "isPasswordEncrypted": "true",
    "usernameAttribute": "sAMAccountName",
    "caseSensitive": "false”
  }
}

Dodatkowe uwagi

Przy logowaniu do portalu z uwierzytelnianiem w warstwie portalu dla użytkowników LDAP nazwa użytkownika musi być w formacie username@realm, na przykład testuser@example.com.

Ustawienie kontrolera domeny Kerberos

Ustawienie kontrolera domeny na potrzeby wymagań tokena powiązania kanału serwera LDAP nie może mieć wartości Always (Zawsze) z powodu ograniczeń środowiska Java. Więcej informacji zawiera opis błędu 8245527 maszyny JVM. Należy ustawić wartość When supported (Gdy jest obsługiwane) lub Never (Nigdy).

Ustawienie kontrolera domeny na potrzeby powiązania kanału serwera LDAP