Simple Authentication and Security Layer (SASL) é uma estrutura para autenticação e segurança de dados em protocolos de internet. A partir da versão 10.9, o ArcGIS Enterprise suporta o uso de SASL como meio de autenticação comWindows Active Directory ou outro provedor LDAP usando o mecanismo GSS/Kerberos v5 SASL.
Caso de uso
A autenticação SASL GSS é normalmente usada quando o controlador de domínio de uma organização é configurado para exigir assinatura para autenticação com o servidor LDAP. Este requisito se aplica apenas ao conectar no servidor LDAP nas portas 389 ou 3268 sem criptografia. Se LDAPS forem totalmente suportados com todos os controladores de domínio, esse requisito de assinatura não será necessário.
Requisitos
Para configurar autenticação SASL com ArcGIS Enterprise, alguns requisitos devem ser atendidos.
Arquivo de configuração de Kerberos
Um arquivo de configuração de Kerberos é exigido para fornecer ao Portal for ArcGIS informações sobre o controlador de domínio Kerberos. Essas informações devem ser salvas em um arquivo de texto, por exemplo, krb5.conf. Uma cópia do arquivo de texto deve ser armazenada em um local onde a conta de serviço do Portal for ArcGIS possa acessá-lo. Exemplos disso incluem a pasta de instalação do portal ou o diretório de conteúdo do portal. O local padrão para o diretório de conteúdo do portal é /arcgis/portal/usr .
Este arquivo de configuração é padrão para Kerberos e deve incluir definições de configuração padrão e informações sobre um ou mais controladores de domínio Kerberos para cada território Kerberos. Um exemplo de arquivo de configuração é mostrado abaixo.
[libdefaults] dns_lookup_realm = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true rdns = false default_ccache_name = KEYRING:persistent:%{uid} dns_lookup_kdc = true default_realm = EXAMPLE.COM default_checksum = rsa-md5 [realms] EXAMPLE.COM = { kdc = domaincontroller.example.com admin_server = domaincontroller.example.com } [domain_realm] example.com = EXAMPLE.COM .example.com = EXAMPLE.COM
Novas propriedades de armazenamento de usuário e grupo com suporte para tipos de armazenamento de identidade do Windows e LDAP
- "saslAuthenticationScheme"—Define o esquema de autenticação SASL usado porPortal for ArcGIS para conectar a controladores de domínio por LDAP. Na versão 10.9, o GSSAPI é o único esquema de autenticação SASL com suporte. Exemplo: "saslAuthenticationScheme": "GSSAPI"
- "krb5ConfigFilePath"—Define o caminho para o arquivo de texto de configuração do Kerberos descrito acima. Este deve residir em um local com acesso de leitura para a conta de serviço do Portal for ArcGIS .
Exemplo: "krb5ConfigFilePath": "/data/arcgis/krb5.conf"
Configurações do armazenamento de identidade do Portal for ArcGIS
O mecanismo de autenticação SASL GSS pode ser usado com tipos de armasenamento de identidade LDAP ouWindows e funcionará com autenticação de nível do portal e de séire da web. Isso também inclui manter e atualizar a associação de grupo do Active Directory ou LDAP.
Grupos e usuários LDAP
Quando configurar o Portal for ArcGIS para usar usuários e grupos LDAP com autenticação SASL, as propriedades"saslAuthenticationScheme" e "krb5ConfigFilePath" deverão ser adicionadas e o formato do nome de usuário listado na propriedade "user" deverá ser alterado para username@realm. ldapURLForUsers e ldapURLForRoles devem conter o nome de domínio completamente qualificado (FQDN) para o controlador de domínio Kerberos. Um endereço IP não é suportado aqui. Se a autenticação de nível do portal for usada, o "usernameAttribute" deverá ser enviado para"userPrincipalName" para que os nomes de usuário fiquem no formato correto. Abaixo está um exemplo de configurações do armazenamento de usuário e grupo com LDAP.
Amostra de configuração do armazenamento de usuário
{ "type": "LDAP", "properties": { "ldapURLForUsers": "ldap://kdc1.example.com:389/OU=users,DC=example,DC=com", "saslAuthenticationScheme": "GSSAPI", "krb5ConfigFilePath": "/data/arcgis/krb5.conf", "user": "entuser@example.com", "userPassword": "encrypted_password", "isPasswordEncrypted": "true", "usernameAttribute": "sAMAccountName", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "userEmailAttribute": "mail", "caseSensitive": "false” } }
Amostra de configuração do armazenamento de grupo
{ "type": "LDAP", "properties": { "ldapURLForUsers": "ldap://kdc1.example.com:389/OU=users,DC=example,DC=com", “ldapURLForRoles”: "ldap://kdc1.example.com:389/OU=groups,DC=example,DC=com", "saslAuthenticationScheme": "GSSAPI", "krb5ConfigFilePath": "/data/arcgis/krb5.conf", "user": "entuser@example.com", "userPassword": "encrypted_password", "isPasswordEncrypted": "true", "usernameAttribute": "sAMAccountName", "caseSensitive": "false” } }
Outras considerações
Ao entrar no portal com autenticação de nível do portal para usuários LDAP, o formato do nome de usuário deverá ser username@realm, por exemplo, testuser@example.com.
Configuração do controlador de domínio Kerberos
A configuração do controlador de domínio para requisitos do token de vinculação de canal do servidor LDAP não pode ser definida como Sempre devido a limitações do Java. Para detalhes, consulte JVM Erro 8245527. Deve ser definido para Quando suportado ou Nunca.