Skip To Content

Uwierzytelnianie SASL

Simple Authentication and Security Layer (SASL) to środowisko służące do uwierzytelniania i zapewniania bezpieczeństwa danych w protokołach internetowych. Oprogramowanie ArcGIS Enterprise od wersji 10.9 obsługuje SASL jako sposób uwierzytelniania z użyciem usługi Windows Active Directory lub innych dostawców LDAP z wykorzystaniem mechanizmu GSS/Kerberos v5 SASL.

Przypadek zastosowania

Uwierzytelnianie SASL GSS jest zwykle używane, gdy kontroler domeny instytucji jest skonfigurowany tak, aby wymagał podpisywania w celu uwierzytelnienia na serwerze LDAP. To wymaganie dotyczy tylko łączenia się z serwerem LDAP przez porty 389 lub 3268 bez szyfrowania. Jeśli protokół LDAPS jest w pełni obsługiwany przez wszystkie kontrolery domeny, to wymaganie dotyczące podpisywania nie obowiązuje.

Ustawienie kontrolera domeny na potrzeby wymagań dotyczących podpisywania dla serwera LDAP

Wymagania

Aby skonfigurować uwierzytelnianie SASL dla oprogramowania ArcGIS Enterprise, muszą być spełnione następujące wymagania.

Plik konfiguracyjny protokołu Kerberos

Plik konfiguracyjny protokołu Kerberos jest wymagany w celu dostarczenia do oprogramowania Witryna Portal for ArcGIS informacji o kontrolerze domeny Kerberos. Informacje te muszą być zapisane w pliku tekstowym, na przykład krb5.conf. Kopia tego pliku tekstowego musi być przechowywana w miejscu dostępnym dla konta usługi Witryna Portal for ArcGIS. Może to być na przykład folder instalacyjny portalu lub katalog zasobów portalu. Domyślna lokalizacja katalogu zasobów portalu to c:\arcgisportal.

Jest to standardowy plik konfiguracyjny dla protokołu Kerberos. Powinien on zawierać domyślne ustawienia konfiguracyjne oraz informacje o jednym lub wielu kontrolerach domeny Kerberos dla każdej dziedziny Kerberos. Poniżej przedstawiono przykładowy plik konfiguracyjny.

[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    default_ccache_name = KEYRING:persistent:%{uid}
    dns_lookup_kdc = true
    default_realm = EXAMPLE.COM
    default_checksum = rsa-md5

[realms]

EXAMPLE.COM = {
    kdc = domaincontroller.example.com
    admin_server = domaincontroller.example.com
}

[domain_realm]
    example.com = EXAMPLE.COM
    .example.com = EXAMPLE.COM

Nowe właściwości magazynu użytkowników i magazynu grup obsługiwane z typami magazynów tożsamości Windows i LDAP

  • "saslAuthenticationScheme" — definiuje schemat uwierzytelniania SASL używany przez oprogramowanie Witryna Portal for ArcGIS do łączenia się kontrolerami domen za pomocą protokołu LDAP. Jedynym obsługiwanym schematem uwierzytelniania SASL w wersji 10.9 jest GSSAPI. Przykład: "saslAuthenticationScheme": "GSSAPI"
  • "krb5ConfigFilePath" — definiuje ścieżkę do opisanego powyżej tekstowego pliku konfiguracyjnego protokołu Kerberos. Musi on znajdować się w lokalizacji, do której konto usługi Witryna Portal for ArcGIS ma uprawnienia do odczytu.

    Przykład: "krb5ConfigFilePath": "c:\\arcgisportal\\krb5.conf"

Konfiguracje magazynu tożsamości oprogramowania Witryna Portal for ArcGIS

Mechanizmu uwierzytelniania SASL GSS można używać zarówno z typem magazynu tożsamości Windows, jak i LDAP, a także z uwierzytelnianiem w warstwie portalu oraz w warstwie internetowej. Obejmuje to również utrzymywanie i odświeżanie członkostwa w grupach Active Directory lub LDAP.

Użytkownicy i grupy w systemie Windows

Podczas konfigurowania oprogramowania Witryna Portal for ArcGIS pod kątem użycia użytkowników i grup w systemie Windows z uwierzytelnianiem SASL wymagane są właściwości "saslAuthenticationScheme" i "krb5ConfigFilePath". Właściwość "user" musi być określona w formacie username@realm. Dziedzina zawsze musi być podana wielkimi literami w pliku krb5.conf, ale nie musi tak być zapisana w ciągu znakowym json. Wymagany jest również adres "domainControllerAddress", który musi zawierać w pełni kwalifikowaną nazwy domeny (FQDN) dla jednego lub większej liczby używanych kontrolerów domeny Kerberos. Adresy IP nie są obsługiwane na potrzeby uwierzytelniania SASL. Jeśli użytkownicy i grupy Active Directory lub LDAP pochodzą z więcej niż jednej domeny, właściwość "domainControllerMapping" powinna być użyta do powiązania nazwy domeny z nazwą hosta kontrolera domeny. Poniżej znajduje się przykład konfiguracji magazynu użytkowników i grup z tylko jedną domeną.

Przykładowa konfiguracja magazynu użytkowników

{
  "type": "WINDOWS",
  "properties": {
    "saslAuthenticationScheme": "GSSAPI",
    "krb5ConfigFilePath": "C:\\arcgisportal\\krb5.conf",
    "user": "entuser@example.com",
    "userPassword": "encrypted_password",
    "isPasswordEncrypted": "true",
    "caseSensitive": "false",
    "userGivenNameAttribute": "givenName",
    "userSurnameAttribute": "sn",
    "userEmailAttribute": "mail",
    "domainControllerAddress": "domaincontroller.example.com"
  }
}

Przykładowa konfiguracja magazynu grup

{
  "type": "WINDOWS",
  "properties": {
    "saslAuthenticationScheme": "GSSAPI",
    "krb5ConfigFilePath": "C:\\arcgisportal\\krb5.conf",
    "user": "entuser@example.com",
    "userPassword": "encrypted_password",
    "isPasswordEncrypted": "true",
    "domainControllerAddress": " domaincontroller.example.com"
  }
}

Dodatkowe uwagi

Przy logowaniu do portalu z uwierzytelnianiem w warstwie portalu dla użytkowników LDAP nazwa użytkownika musi być w formacie username@realm, na przykład testuser@example.com.

Gdy używane jest uwierzytelnianie w warstwie portalu dla użytkowników systemu Windows, format jest taki sam jak w poprzednich wersjach: domain\username lub username@domain.

Ustawienie kontrolera domeny Kerberos

Ustawienie kontrolera domeny na potrzeby wymagań tokena powiązania kanału serwera LDAP nie może mieć wartości Always (Zawsze) z powodu ograniczeń środowiska Java. Więcej informacji zawiera opis błędu 8245527 maszyny JVM. Należy ustawić wartość When supported (Gdy jest obsługiwane) lub Never (Nigdy).

Ustawienie kontrolera domeny na potrzeby powiązania kanału serwera LDAP