Skip To Content

Autenticação SASL

Simple Authentication and Security Layer (SASL) é uma estrutura para autenticação e segurança de dados em protocolos de internet. A partir da versão 10.9, o ArcGIS Enterprise suporta o uso de SASL como meio de autenticação comWindows Active Directory ou outro provedor LDAP usando o mecanismo GSS/Kerberos v5 SASL.

Caso de uso

A autenticação SASL GSS é normalmente usada quando o controlador de domínio de uma organização é configurado para exigir assinatura para autenticação com o servidor LDAP. Este requisito se aplica apenas ao conectar no servidor LDAP nas portas 389 ou 3268 sem criptografia. Se LDAPS forem totalmente suportados com todos os controladores de domínio, esse requisito de assinatura não será necessário.

Configuração do controlador de domínio para requisitos de assinatura do servidor LDAP

Requisitos

Para configurar autenticação SASL com ArcGIS Enterprise, alguns requisitos devem ser atendidos.

Arquivo de configuração de Kerberos

Um arquivo de configuração de Kerberos é exigido para fornecer ao Portal for ArcGIS informações sobre o controlador de domínio Kerberos. Essas informações devem ser salvas em um arquivo de texto, por exemplo, krb5.conf. Uma cópia do arquivo de texto deve ser armazenada em um local onde a conta de serviço do Portal for ArcGIS possa acessá-lo. Exemplos disso incluem a pasta de instalação do portal ou o diretório de conteúdo do portal. O local padrão para o diretório de conteúdo do portal é c:\arcgisportal.

Este arquivo de configuração é padrão para Kerberos e deve incluir definições de configuração padrão e informações sobre um ou mais controladores de domínio Kerberos para cada território Kerberos. Um exemplo de arquivo de configuração é mostrado abaixo.

[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    default_ccache_name = KEYRING:persistent:%{uid}
    dns_lookup_kdc = true
    default_realm = EXAMPLE.COM
    default_checksum = rsa-md5

[realms]

EXAMPLE.COM = {
    kdc = domaincontroller.example.com
    admin_server = domaincontroller.example.com
}

[domain_realm]
    example.com = EXAMPLE.COM
    .example.com = EXAMPLE.COM

Novas propriedades de armazenamento de usuário e grupo com suporte para tipos de armazenamento de identidade do Windows e LDAP

  • "saslAuthenticationScheme"—Define o esquema de autenticação SASL usado porPortal for ArcGIS para conectar a controladores de domínio por LDAP. Na versão 10.9, o GSSAPI é o único esquema de autenticação SASL com suporte. Exemplo: "saslAuthenticationScheme": "GSSAPI"
  • "krb5ConfigFilePath"—Define o caminho para o arquivo de texto de configuração do Kerberos descrito acima. Este deve residir em um local com acesso de leitura para a conta de serviço do Portal for ArcGIS .

    Exemplo: "krb5ConfigFilePath": "c:\\arcgisportal\\krb5.conf"

Configurações do armazenamento de identidade do Portal for ArcGIS

O mecanismo de autenticação SASL GSS pode ser usado com tipos de armasenamento de identidade LDAP ouWindows e funcionará com autenticação de nível do portal e de séire da web. Isso também inclui manter e atualizar a associação de grupo do Active Directory ou LDAP.

Grupos e usuários do Windows

Quando configurar o Portal for ArcGIS para usar usuários e grupos do Windows com autenticação SASL, as propriedades "saslAuthenticationScheme" e "krb5ConfigFilePath" serão usadas. A propriedade "user" deve ser especificada no formato username@realm. O domínio sempre estará em letras maiúsculas no arquivo krb5.conf, mas não precisa estar na string de json. O "domainControllerAddress" também é exigido e deve incluir o nome de domínio completamente qualificado (FQDN) para um ou mais controladores de domínio Kerberos usados. Os endereços IP não são suportados para autenticação SASL. Se os usuários e grupos do Active Directory ou LDAP vierem de mais de um domínio, a propriedade "domainControllerMapping" deve ser usado para vincular o nome de domínio ao nome do host do controlador de domínio. Abaixo está um exemplo para as configurações do armazenamento de usuário e grupo com apenas um único domínio.

Amostra de configuração do armazenamento de usuário

{
  "type": "WINDOWS",
  "properties": {
    "saslAuthenticationScheme": "GSSAPI",
    "krb5ConfigFilePath": "C:\\arcgisportal\\krb5.conf",
    "user": "entuser@example.com",
    "userPassword": "encrypted_password",
    "isPasswordEncrypted": "true",
    "caseSensitive": "false",
    "userGivenNameAttribute": "givenName",
    "userSurnameAttribute": "sn",
    "userEmailAttribute": "mail",
    "domainControllerAddress": "domaincontroller.example.com"
  }
}

Amostra de configuração do armazenamento de grupo

{
  "type": "WINDOWS",
  "properties": {
    "saslAuthenticationScheme": "GSSAPI",
    "krb5ConfigFilePath": "C:\\arcgisportal\\krb5.conf",
    "user": "entuser@example.com",
    "userPassword": "encrypted_password",
    "isPasswordEncrypted": "true",
    "domainControllerAddress": " domaincontroller.example.com"
  }
}

Outras considerações

Ao entrar no portal com autenticação de nível do portal para usuários LDAP, o formato do nome de usuário deverá ser username@realm, por exemplo, testuser@example.com.

Ao usar a autenticação de nível do portal para usuários do Windows, o formato será o mesmo das versões anteriores: domain\username ou username@domain.

Configuração do controlador de domínio Kerberos

A configuração do controlador de domínio para requisitos do token de vinculação de canal do servidor LDAP não pode ser definida como Sempre devido a limitações do Java. Para detalhes, consulte JVM Erro 8245527. Deve ser definido para Quando suportado ou Nunca.

Configuração do controlador de domínio para vinculação de canal do servidor LDAP