Simple Authentication and Security Layer (SASL) to środowisko służące do uwierzytelniania i zapewniania bezpieczeństwa danych w protokołach internetowych. Oprogramowanie ArcGIS Enterprise od wersji 10.9 obsługuje SASL jako sposób uwierzytelniania z użyciem usługi Windows Active Directory lub innych dostawców LDAP z wykorzystaniem mechanizmu GSS/Kerberos v5 SASL.
Przypadek zastosowania
Uwierzytelnianie SASL GSS jest zwykle używane, gdy kontroler domeny instytucji jest skonfigurowany tak, aby wymagał podpisywania w celu uwierzytelnienia na serwerze LDAP. To wymaganie dotyczy tylko łączenia się z serwerem LDAP przez porty 389 lub 3268 bez szyfrowania. Jeśli protokół LDAPS jest w pełni obsługiwany przez wszystkie kontrolery domeny, to wymaganie dotyczące podpisywania nie obowiązuje.
Wymagania
Aby skonfigurować uwierzytelnianie SASL dla oprogramowania ArcGIS Enterprise, muszą być spełnione następujące wymagania.
Plik konfiguracyjny protokołu Kerberos
Plik konfiguracyjny protokołu Kerberos jest wymagany w celu dostarczenia do oprogramowania Portal for ArcGIS informacji o kontrolerze domeny Kerberos. Informacje te muszą być zapisane w pliku tekstowym, na przykład krb5.conf. Kopia tego pliku tekstowego musi być przechowywana w miejscu dostępnym dla konta usługi Portal for ArcGIS. Może to być na przykład folder instalacyjny portalu lub katalog zasobów portalu. Domyślna lokalizacja katalogu zasobów portalu to /arcgis/portal/usr.
Jest to standardowy plik konfiguracyjny dla protokołu Kerberos. Powinien on zawierać domyślne ustawienia konfiguracyjne oraz informacje o jednym lub wielu kontrolerach domeny Kerberos dla każdej dziedziny Kerberos. Poniżej przedstawiono przykładowy plik konfiguracyjny.
[libdefaults] dns_lookup_realm = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true rdns = false default_ccache_name = KEYRING:persistent:%{uid} dns_lookup_kdc = true default_realm = EXAMPLE.COM default_checksum = rsa-md5 [realms] EXAMPLE.COM = { kdc = domaincontroller.example.com admin_server = domaincontroller.example.com } [domain_realm] example.com = EXAMPLE.COM .example.com = EXAMPLE.COM
Nowe właściwości magazynu użytkowników i magazynu grup obsługiwane z typami magazynów tożsamości Windows i LDAP
- "saslAuthenticationScheme" — definiuje schemat uwierzytelniania SASL używany przez oprogramowanie Portal for ArcGIS do łączenia się kontrolerami domen za pomocą protokołu LDAP. Jedynym obsługiwanym schematem uwierzytelniania SASL w wersji 10.9 jest GSSAPI. Przykład: "saslAuthenticationScheme": "GSSAPI"
- "krb5ConfigFilePath" — definiuje ścieżkę do opisanego powyżej tekstowego pliku konfiguracyjnego protokołu Kerberos. Musi on znajdować się w lokalizacji, do której konto usługi Portal for ArcGIS ma uprawnienia do odczytu.
Przykład: "krb5ConfigFilePath": "/data/arcgis/krb5.conf"
Konfiguracje magazynu tożsamości oprogramowania Portal for ArcGIS
Mechanizmu uwierzytelniania SASL GSS można używać zarówno z typem magazynu tożsamości Windows, jak i LDAP, a także z uwierzytelnianiem w warstwie portalu oraz w warstwie internetowej. Obejmuje to również utrzymywanie i odświeżanie członkostwa w grupach Active Directory lub LDAP.
Użytkownicy i grupy LDAP
Podczas konfigurowania oprogramowania Portal for ArcGIS pod kątem użycia użytkowników i grup LDAP z uwierzytelnianiem SASL należy dodać obie właściwości "saslAuthenticationScheme" i "krb5ConfigFilePath", a format nazwy użytkownika podanej we właściwości "user" należy zmienić na nazwaużytkownika@dziedzina. Właściwości ldapURLForUsers i ldapURLForRoles muszą zawierać w pełni kwalifikowaną nazwę domeny (FQDN) dla kontrolera domeny Kerberos. Adres IP nie jest tu obsługiwany. Jeśli będzie używane uwierzytelnianie w warstwie portalu, dla właściwości "usernameAttribute" należy ustawić wartość "userPrincipalName", aby nazwy użytkowników miały poprawny format. Poniżej przedstawiono przykładowe konfiguracje magazynu użytkowników i magazynu grup LDAP.
Przykładowa konfiguracja magazynu użytkowników
{ "type": "LDAP", "properties": { "ldapURLForUsers": "ldap://kdc1.example.com:389/OU=users,DC=example,DC=com", "saslAuthenticationScheme": "GSSAPI", "krb5ConfigFilePath": "/data/arcgis/krb5.conf", "user": "entuser@example.com", "userPassword": "encrypted_password", "isPasswordEncrypted": "true", "usernameAttribute": "sAMAccountName", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "userEmailAttribute": "mail", "caseSensitive": "false” } }
Przykładowa konfiguracja magazynu grup
{ "type": "LDAP", "properties": { "ldapURLForUsers": "ldap://kdc1.example.com:389/OU=users,DC=example,DC=com", “ldapURLForRoles”: "ldap://kdc1.example.com:389/OU=groups,DC=example,DC=com", "saslAuthenticationScheme": "GSSAPI", "krb5ConfigFilePath": "/data/arcgis/krb5.conf", "user": "entuser@example.com", "userPassword": "encrypted_password", "isPasswordEncrypted": "true", "usernameAttribute": "sAMAccountName", "caseSensitive": "false” } }
Dodatkowe uwagi
Przy logowaniu do portalu z uwierzytelnianiem w warstwie portalu dla użytkowników LDAP nazwa użytkownika musi być w formacie username@realm, na przykład testuser@example.com.
Ustawienie kontrolera domeny Kerberos
Ustawienie kontrolera domeny na potrzeby wymagań tokena powiązania kanału serwera LDAP nie może mieć wartości Always (Zawsze) z powodu ograniczeń środowiska Java. Więcej informacji zawiera opis błędu 8245527 maszyny JVM. Należy ustawić wartość When supported (Gdy jest obsługiwane) lub Never (Nigdy).