Простой уровень аутентификации и безопасности (SASL) - это среда для аутентификации и безопасности данных в интернет-протоколах. Начиная с версии 10.9, ArcGIS Enterprise поддерживает использование SASL в качестве средства аутентификации с помощью Windows Active Directory или других поставщиков LDAP, используя механизм SASL GSS/Kerberos v5.
Случай применения
Аутентификация SASL GSS обычно используется, когда контроллер домена организации настроен на запрос подписи для аутентификации с сервером LDAP. Это требование применяется только при подключении к серверу LDAP через порты 389 или 3268 без шифрования. Если LDAPS полностью поддерживается на всех контроллерах домена, запрос подписи не требуется.
Требования
Чтобы настроить аутентификацию SASL с помощью ArcGIS Enterprise, необходимо выполнить несколько требований.
Файл конфигурации Kerberos
Файл конфигурации Kerberos необходим для предоставления Portal for ArcGIS информации о контроллере домена Kerberos. Эту информацию необходимо сохранить в текстовом файле, например, krb5.conf. Копия текстового файла должна храниться в месте, где учетная запись сервиса Portal for ArcGIS может получить к нему доступ. Например, папка установки портала или директория ресурсов портала. Местоположение директории ресурсов портала по умолчанию - c:\arcgisportal.
Этот файл конфигурации является стандартным для Kerberos и должен включать параметры конфигурации по умолчанию и информацию об одном или нескольких контроллерах домена Kerberos для каждой области Kerberos. Ниже показан пример файла конфигурации.
[libdefaults] dns_lookup_realm = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true rdns = false default_ccache_name = KEYRING:persistent:%{uid} dns_lookup_kdc = true default_realm = EXAMPLE.COM default_checksum = rsa-md5 [realms] EXAMPLE.COM = { kdc = domaincontroller.example.com admin_server = domaincontroller.example.com } [domain_realm] example.com = EXAMPLE.COM .example.com = EXAMPLE.COM
Новые свойства хранилища пользователей и групп, поддерживаемые типами хранилищ удостоверений Windows и LDAP
- "saslAuthenticationScheme" - определяет схему аутентификации SASL, которую Portal for ArcGIS использует для подключения к контроллерам домена через LDAP. В версии 10.9 GSSAPI это единственная поддерживаемая схема аутентификации SASL. Пример: "saslAuthenticationScheme": "GSSAPI"
- "krb5ConfigFilePath" - определяет путь к текстовому файлу конфигурации Kerberos, описанному выше. Он должен находиться в местоположении с доступом на чтение для учетной записи сервиса Portal for ArcGIS.
Пример: "krb5ConfigFilePath": "c:\\arcgisportal\\krb5.conf"
Конфигурации хранилища удостоверений Portal for ArcGIS
Механизм аутентификации SASL GSS может использоваться с типами хранилища удостоверений Windows или LDAP и будет работать как с аутентификацией на уровне портала, так и с аутентификацией веб-уровня. Это также включает поддержание и обновление участия в корпоративной группе.
Пользователи и группы Windows
При настройке Portal for ArcGIS на использование пользователей и групп Windows с аутентификацией SASL необходимо задать свойства "saslAuthenticationScheme" и "krb5ConfigFilePath". Свойство "user" необходимо указать в формате username@realm. Область всегда будет в верхнем регистре в файле krb5.conf, но не обязательно в строке json. Также требуется "domainControllerAddress" и оно должно включать полное доменное имя (FQDN) для одного или нескольких используемых контроллеров домена Kerberos. IP-адреса не поддерживаются для аутентификации SASL. Если корпоративные пользователи и группы приходят из более чем одного домена, свойство "domainControllerMapping" следует использовать для связывания имени домена с именем хоста контроллера домена. Ниже приведен пример конфигураций хранилища пользователей и групп с одним доменом.
Пример конфигурации хранилища пользователей
{ "type": "WINDOWS", "properties": { "saslAuthenticationScheme": "GSSAPI", "krb5ConfigFilePath": "C:\\arcgisportal\\krb5.conf", "user": "entuser@example.com", "userPassword": "encrypted_password", "isPasswordEncrypted": "true", "caseSensitive": "false", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "userEmailAttribute": "mail", "domainControllerAddress": "domaincontroller.example.com" } }
Пример конфигурации хранилища групп
{ "type": "WINDOWS", "properties": { "saslAuthenticationScheme": "GSSAPI", "krb5ConfigFilePath": "C:\\arcgisportal\\krb5.conf", "user": "entuser@example.com", "userPassword": "encrypted_password", "isPasswordEncrypted": "true", "domainControllerAddress": " domaincontroller.example.com" } }
Другие соображения
При входе на портал с аутентификацией на уровне портала для пользователей LDAP формат имени пользователя должен быть username@realm, например, testuser@example.com.
При использовании аутентификации на уровне портала для пользователей Windows формат такой же, как и в предыдущих выпусках: domain\username или username@domain.
Настройка контроллера домена Kerberos
Параметр контроллера домена для требований к токену привязки канала сервера LDAP не может быть установлен на Всегда из-за ограничений Java. Подробнее см. Ошибка JVM 8245527. Для него должно быть установлено значение При поддержке или Никогда.