Simple Authentication and Security Layer (SASL) to środowisko służące do uwierzytelniania i zapewniania bezpieczeństwa danych w protokołach internetowych. Oprogramowanie ArcGIS Enterprise od wersji 10.9 obsługuje SASL jako sposób uwierzytelniania z użyciem usługi Windows Active Directory lub innych dostawców LDAP z wykorzystaniem mechanizmu GSS/Kerberos v5 SASL.
Przypadek zastosowania
Uwierzytelnianie SASL GSS jest zwykle używane, gdy kontroler domeny instytucji jest skonfigurowany tak, aby wymagał podpisywania w celu uwierzytelnienia na serwerze LDAP. To wymaganie dotyczy tylko łączenia się z serwerem LDAP przez porty 389 lub 3268 bez szyfrowania. Jeśli protokół LDAPS jest w pełni obsługiwany przez wszystkie kontrolery domeny, to wymaganie dotyczące podpisywania nie obowiązuje.
Wymagania
Aby skonfigurować uwierzytelnianie SASL dla oprogramowania ArcGIS Enterprise, muszą być spełnione następujące wymagania.
Plik konfiguracyjny protokołu Kerberos
Plik konfiguracyjny protokołu Kerberos jest wymagany w celu dostarczenia do oprogramowania Witryna Portal for ArcGIS informacji o kontrolerze domeny Kerberos. Informacje te muszą być zapisane w pliku tekstowym, na przykład krb5.conf. Kopia tego pliku tekstowego musi być przechowywana w miejscu dostępnym dla konta usługi Witryna Portal for ArcGIS. Może to być na przykład folder instalacyjny portalu lub katalog zasobów portalu. Domyślna lokalizacja katalogu zasobów portalu to c:\arcgisportal.
Jest to standardowy plik konfiguracyjny dla protokołu Kerberos. Powinien on zawierać domyślne ustawienia konfiguracyjne oraz informacje o jednym lub wielu kontrolerach domeny Kerberos dla każdej dziedziny Kerberos. Poniżej przedstawiono przykładowy plik konfiguracyjny.
[libdefaults] dns_lookup_realm = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true rdns = false default_ccache_name = KEYRING:persistent:%{uid} dns_lookup_kdc = true default_realm = EXAMPLE.COM default_checksum = rsa-md5 [realms] EXAMPLE.COM = { kdc = domaincontroller.example.com admin_server = domaincontroller.example.com } [domain_realm] example.com = EXAMPLE.COM .example.com = EXAMPLE.COM
Nowe właściwości magazynu użytkowników i magazynu grup obsługiwane z typami magazynów tożsamości Windows i LDAP
- "saslAuthenticationScheme" — definiuje schemat uwierzytelniania SASL używany przez oprogramowanie Witryna Portal for ArcGIS do łączenia się kontrolerami domen za pomocą protokołu LDAP. Jedynym obsługiwanym schematem uwierzytelniania SASL w wersji 10.9 jest GSSAPI. Przykład: "saslAuthenticationScheme": "GSSAPI"
- "krb5ConfigFilePath" — definiuje ścieżkę do opisanego powyżej tekstowego pliku konfiguracyjnego protokołu Kerberos. Musi on znajdować się w lokalizacji, do której konto usługi Witryna Portal for ArcGIS ma uprawnienia do odczytu.
Przykład: "krb5ConfigFilePath": "c:\\arcgisportal\\krb5.conf"
Konfiguracje magazynu tożsamości oprogramowania Witryna Portal for ArcGIS
Mechanizmu uwierzytelniania SASL GSS można używać zarówno z typem magazynu tożsamości Windows, jak i LDAP, a także z uwierzytelnianiem w warstwie portalu oraz w warstwie internetowej. Obejmuje to również utrzymywanie i odświeżanie członkostwa w grupach Active Directory lub LDAP.
Użytkownicy i grupy w systemie Windows
Podczas konfigurowania oprogramowania Witryna Portal for ArcGIS pod kątem użycia użytkowników i grup w systemie Windows z uwierzytelnianiem SASL wymagane są właściwości "saslAuthenticationScheme" i "krb5ConfigFilePath". Właściwość "user" musi być określona w formacie username@realm. Dziedzina zawsze musi być podana wielkimi literami w pliku krb5.conf, ale nie musi tak być zapisana w ciągu znakowym json. Wymagany jest również adres "domainControllerAddress", który musi zawierać w pełni kwalifikowaną nazwy domeny (FQDN) dla jednego lub większej liczby używanych kontrolerów domeny Kerberos. Adresy IP nie są obsługiwane na potrzeby uwierzytelniania SASL. Jeśli użytkownicy i grupy Active Directory lub LDAP pochodzą z więcej niż jednej domeny, właściwość "domainControllerMapping" powinna być użyta do powiązania nazwy domeny z nazwą hosta kontrolera domeny. Poniżej znajduje się przykład konfiguracji magazynu użytkowników i grup z tylko jedną domeną.
Przykładowa konfiguracja magazynu użytkowników
{ "type": "WINDOWS", "properties": { "saslAuthenticationScheme": "GSSAPI", "krb5ConfigFilePath": "C:\\arcgisportal\\krb5.conf", "user": "entuser@example.com", "userPassword": "encrypted_password", "isPasswordEncrypted": "true", "caseSensitive": "false", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "userEmailAttribute": "mail", "domainControllerAddress": "domaincontroller.example.com" } }
Przykładowa konfiguracja magazynu grup
{ "type": "WINDOWS", "properties": { "saslAuthenticationScheme": "GSSAPI", "krb5ConfigFilePath": "C:\\arcgisportal\\krb5.conf", "user": "entuser@example.com", "userPassword": "encrypted_password", "isPasswordEncrypted": "true", "domainControllerAddress": " domaincontroller.example.com" } }
Dodatkowe uwagi
Przy logowaniu do portalu z uwierzytelnianiem w warstwie portalu dla użytkowników LDAP nazwa użytkownika musi być w formacie username@realm, na przykład testuser@example.com.
Gdy używane jest uwierzytelnianie w warstwie portalu dla użytkowników systemu Windows, format jest taki sam jak w poprzednich wersjach: domain\username lub username@domain.
Ustawienie kontrolera domeny Kerberos
Ustawienie kontrolera domeny na potrzeby wymagań tokena powiązania kanału serwera LDAP nie może mieć wartości Always (Zawsze) z powodu ograniczeń środowiska Java. Więcej informacji zawiera opis błędu 8245527 maszyny JVM. Należy ustawić wartość When supported (Gdy jest obsługiwane) lub Never (Nigdy).