Release Notes 4.16

What’s New

ArcGIS 10.7 und 10.7.1 Unterstützung

Diese Version unterstützt nun ArcGIS Enterprise 10.7 und 10.7.1.

Java 11 Support

Diese Version erlaubt die Nutzung von Java 11 zusätzlich zu Java 8 um die security.manager Web Applikationen zu betreiben.

Update-Hinweise

Konfigurationsänderungen

  • Für die bereits seit einigen Versionen unterstützte  Konfigurationseigenschaft policymgr.default.wfs.geometryclasses ändern sich mit diesem Release die erlaubten Konfigurationswerte. Wenn Sie diese Eigenschaft in Ihre application.properties eingetragen haben, müssen Sie die Präfixe der Werte anpassen. Der neue Präfix lautet org.locationtech.jts.geom, so dass ein gültiger Wert zum Beispiel folgendermaßen lauten würde: org.locationtech.jts.geom.MultiPolygon, org.locationtech.jts.geom.Polygon.

Andere Änderungen

  • WFS 1.0.0 kann nicht mehr als Datenquelle für räumliche Berechtigungsgeometrien verwendet werden. Voraussetzung ist nun die Nutzung eines WFS mit Unterstützung für WFS 1.1.0.

  • Einige falsch geschriebene Schlüssel in den Internationalisierungsdateien wurden korrigiert. Wenn weitere Sprachdateien hinzugefügt wurden, so müssen folgende Schlüssel erneuert werden:

    • [SECMAN_INSTALL]/webapp/administration/WEB-INF/lib/ct-security-administrator-base-4.16.0.jar/securityAdminResources[_de].properties
      error.common.exceute.cmd  → error.common.execute.cmd

    • [SECMAN_INSTALL]/webapp/administration/WEB-INF/lib/ct-security-administrator-base-4.16.0.jar/wmtsAdminResources[_de].properties
      wmts.error.update.decription → This property was removed

    • [SECMAN_INSTALL]/webapp/administration/WEB-INF/lib/ct-security-administrator-base-4.16.0.jar/genericLicenseAdminResources[_de].properties
      license.generic.error.update.decription  → license.generic.error.update.description

Abkündigungen

Für folgende Features wird die Weiterentwicklung eingestellt und das Ende der Unterstützung für die Zukunft angekündigt:

  • Natives Authentifizierungsprotokoll des Web Security Service ("WSS-Schnittstelle")

  • (Json) Token Authentifizierungsprotokoll des Web Security Service(WSS). Wir empfehlen die Nutzung der - aktuell so genannten - "agstoken" Authentifizierungsmethode.

  • Absicherung von Web Coverage Server (WCS)

  • Absicherung von transaktionalen Web Feature Servern (WFS-T)

  • INSPIRE View und Download Service als eigener Dienste-Typ (die Funktionalität wird über die Dienste-Typen WMS und WFS weiterhin aufrecht erhalten)

  • Zugriff auf geschützte Dienste über die Gateway-Applikation (Tab "Zugänge" in der security.manager-Administration)

Bekannte Einschränkungen

Die folgende Liste enthält die zum Zeitpunkt der Freigabe der Version 4.16 bekannten Probleme und Hinweise:

Verzögerte Sichtbarkeit von parallelen Veränderungen an Nutzern und Rechten

Um Änderungen anderer Nutzer/Systeme in der auf der linken Seite angezeigten Baumstruktur des Administrators zu visualisieren, muss der Wurzelknoten der Baumstruktur ausgewählt werden und der Knopf Baum neuladen gedrückt werden.

Wertigkeit zweier Rechte

Werden zwei Rechte definiert, die auf einen Nutzer anwendbar sind, muss die korrekte Reihenfolge im security.manager Administrator (im Dialog „Rechteset") festgelegt werden. Beispiel: Es wird ein Recht definiert, das allen Nutzer Zugriff auf einen WMS gewährt, allerdings mit Copyright-Einschränkung. Für eine Nutzergruppe „registriert" wurde ein weiteres Recht für diesen WMS definiert, das den Zugriff ohne Copyright-Einschränkung gewährt. Beide Rechte sind gültig wenn Nutzer der Gruppe „registriert" den WMS zugreifen, es wird immer das erste anwendbare Recht benutzt. Um zu verhindern, dass die Nutzer der Gruppe „registriert" den gleichen Copyright-Vermerk sehen wie alle anderen, muss dieses Recht im Administration zuoberst aufgeführt werden.

Feature Types eines WFS müssen eindeutige Namen besitzen

Der security.manager unterscheidet nicht zwischen FeatureTypes mit dem gleichen Namen, aber unterschiedlichen Namespaces, z.B. wird x:city als identisch zu y:city gewertet. Daher ist es erforderlich, dass jeder FeatureType einen eindeutigen Namen besitzt.

Variable Feature-IDs bei der Verwendung von WFS als Quelle für räumliche Bedingungen

Beim Anlegen von räumlichen Obligationen muss auf die Korrektheit und Stabilität der angezeigten Feature-Ids geachtet werden. Feature-IDs der Form fid—​4d0f905b_126c17decf6_-7d52 weisen auf intern erzeugte Feature-IDs hin, welche sich mit jeder neuen Anfrage ändern und somit nicht zur Referenzierung von Features verwendet werden können. Wenn sich Feature-IDs mit jeder Anfrage an den WFS ändern, ist dies auf fehlende Feature-IDs in der WFS Antwort zurückzuführen. Hier muss die Konfiguration des WFS überprüft werden, damit korrekte und stabile Feature-IDs ausgeliefert werden.

Konfigurations-Dateien werden nicht korrekt erzeugt, wenn in einer Tomcat-Instanz installiert wird, die das Verzeichnis [TOMCAT_HOME]/conf/Catalina/localhost nicht enthält

Alternative 1: Das entsprechende Verzeichnis vor der Installation erstellen.

Alternative 2: Während der Installation werden die context.xml Dateien im [SECMAN_INSTALL]/webapps/post install Verzeichnis gespeichert. Diese können einfach in das Verzeichnis [TOMCAT_HOME]/conf/Catalina/localhost kopiert werden. Falls eine container-managed Datenbank verwendet wird, müssen die die XML-Dateien mit dem Suffix -jndi.xml kopiert werden.

Die folgenden Dateien müssen kopiert werden:

  • administration.xml

  • gateway.xml

  • wss.xml

Verwendung nicht offizieller EPSG-Codes bei ArcGIS-Server-Diensten

Je nach Konfiguration verwenden ArcGIS-Server-Dienste nicht offizielle EPSG-Codes für Gauß-Krüger-Referenzsysteme. Diese werden intern auf äquivalente offizielle EPSG-Codes abgebildet. Folgende Mappings werden hierbei verwendet:

  • EPSG:31492 → EPSG:31466

  • EPSG:31493 → EPSG:31467

  • EPSG:31494 → EPSG:31468

  • EPSG:31495 → EPSG:31469

Dieses Mapping wird nur für geschützte Dienste angewandt. Für die Definition von räumlichen Einschränkungen durch einen WFS dürfen nur offizielle EPSG-Codes verwendet werden.

Probleme bei räumlicher Autorisierung von WFS-Diensten auf Basis des ArcGIS Servers

ArcGIS Server WFS-Dienste unterstützen weder Multipolygon noch die Verwendung mehrerer Polygone in Filter-Ausdrücken. Daher kann für diese Dienste keine räumliche Autorisierung vorgenommen werden, wenn mehr als eine Geometrie für die räumliche Einschränkung definiert ist oder wenn in der eingehenden Anfrage bereits ein räumlicher Filter definiert ist.

Bei der Verwendung von Safari-Browsern kann es vorkommen, dass wiederholte Logins notwendig werden. Um dies zu vermeiden, wählen Sie unter EinstellungenSicherheitCookies akzeptieren (immer) aus.

WMS GetMap Anfrage mit SLD-Parameter wird blockiert, falls ein layerDefs Parameter angewandt werden würde

Wie in "Filtering features using the layerDefs parameter in WMS requests" beschrieben, werden die Parameter SLD und SLD-BODY vorrangig behandelt. In diesem Fall würde der layerDefs Parameter ignoriert werden.

Leerzeichen in Definition Querys werden vom ArcGIS Server WMS nicht unterstützt

Leerzeichen im layerDefs Parameter werden nicht unterstützt. Hinterlegen Sie entsprechend keine definition query Auflagen mit Leerzeichen.

Drucken von abgesicherten Diensten nur mit ags-relay URLs möglich

URLs von abgesicherten MapServer Diensten müssen mit ags-relay im URL-Schema benutzt werden:

http://[HOST]/wss/service/ags-relay/
  [EndpointID]/[AUTH_SCHEME]/arcgis/rest/services/
  [DIENSTNAME]/MapService

Zur Absicherung des ArcGIS Geocoders muss HTTP Chunked Transfer Encoding im security.manager deaktiviert sein

Der ArcGIS Geocoding-Server unterstützt kein HTTP Chunked Transfer Encoding. Wenn dieser Dienst abgesichert werden soll, muss HTTP Chunking in den security.manager-Einstellungen manuell deaktiviert werden. Stellen Sie dafür sicher, dass der Wert für die http.client.chunking-Property in der application.properties-Datei auf false gesetzt ist (SECMAN-658).

ArcGIS for INSPIRE Feature Download Services und räumliche Einschränkungen

ArcGIS for INSPIRE Feature Download Services unterstützen keine Polygone in Filter-Ausdrücken. Daher kann für diese Dienste keine räumliche Autorisierung vorgenommen werden.

Invalide XML-Antworten von ArcGIS for INSPIRE Feature Download Services

ArcGIS for INSPIRE Feature Download Services erzeugen unter Umständen invalide XML-Antworten, wenn eine GetFeature-Anfrage mehrere Stored Queries und/oder Query Elemente beinhaltet.

ArcGIS Server WFS und räumliche Einschränkungen sowie Einschränkungen durch OGC Filter-Ausdrücke

Beim Zugriff auf ArcGIS Server-basierte WFS kommt es insbesondere bei der Verwendung räumlicher Auflagen zu Fehlern. Betroffen sind die ArcGIS Server Versionen 10.3 und folgende, bei denen die WFS-Implementierung fehlerhaft oder unvollständig ist, so dass (räumliche) Einschränkungen nicht angewandt werden können. Je nach verwendeter WFS Version (1.0.0, 1.1.0, 2.0.0) kommt es zu unterschiedlichen Fehlermeldungen beim Dienstzugriff.

UMN MapServer WFS und räumliche Einschränkungen sowie Einschränkungen durch OGC Filter-Ausdrücke

Die WFS 1.0.0 und 1.1.0 Implementierungen des UMN MapServer unterstützen nicht alle spezifikationskonformen GML-Versionen, weswegen eine Durchsetzung von räumlichen Einschränkungen und Einschränkungen durch OGC Filter-Ausdrücke nicht möglich ist.

ArcGIS Server WFS und DescribeFeatureType-Requests

Bei einem ArcGIS Server WFS kann die Verwendung von DescribeFeatureType-Anfragen ohne Angabe von FeatureTypes zu einer Exception führen, wenn dieser Dienst viele FeatureTypes bzw. FeatureTypes mit langen FeatureType-Namen besitzt.

Performance und geschützte Dienste mit sehr großer Ressourcenzahl

Wenn ein geschützter Dienst (z.B. ein Map Service) eine große Zahl (> 60) von Ressourcen (z.B. Layer) besitzt, kann die Performance von Dienstanfragen wahrnehmbar sinken. Erwägen Sie die Aufteilung von solchen Kartendiensten in mehrere Dienste.

HTTP Basic Authentication in ArcMap und ArcGIS Pro

Wird ein geschützter Dienst über httpauth in ArcMap oder ArcGIS Pro geladen, schlägt das Login trotz korrekt eingebenem Nutzernamen und Passwort fehl, sobald Nutzername oder Passwort nicht-ASCII Zeichen, z.B. Umlaute, beinhalten.

ArcGIS Webadaptor mit Namen "rest" oder "services"

Wird der Webadaptor für den ArcGIS Server "rest" oder "services" genannt, z.B. http://[HOST]/rest/rest/services oder http://[HOST]/services/rest/services, kann der ArcGIS Server nicht durch den security.manager geschützt werden. Wenn der Name "rest" lautet, können keine Rechte angelegt werden, lautet der Name "services" werden keine Rechte durchgesetzt.

log4j 1.2.17 angreifbar durch Remote Code Execution (CVE-2019-17571)

Manche Sicherheitswerkzeuge detektieren eine bekannte Schwachstelle der verwendeten log4j Bibliothek. Nach CVE-2019-17571 stellt die Bibliothek eine Komponente zur Verfügung, die angreifbar ist für die Deserialisierung von nicht vertrauenswürdigen Daten. Diese Komponente wird nicht verwendet, sodass diese Schwachstelle nicht ausgenutzt werden kann.

ArcGIS Server MapServer /find Operation mit großen Ergebnismengen und räumliche Einschränkungen

In Verbindung mit räumlichen Einschränkungen kann es vorkommen, dass das Ergebnis der MapServer /find Operation nicht alle erwarteten Features enhält. Große Ergebnismengen der /find Operation werden gekappt, sofern diese das serverseitige Limit überschreiten. Räumliche Einschränkungen werden nur auf der gekappten Ergebnismenge angewandt.

Changelog

4.16.6

New Features and Improvements

SECMAN-2025

Block WFS request if no service parameter with value 'WFS' is provided

Fixed Issues

SECMAN-1093

SOAP QueryRelatedRecords request is not authorized correctly when SourceTableID points to layer

SECMAN-1122

Export Web Map Task fails if JSON contains null values

SECMAN-1332

Allow to create spatial obligations for protected services that require basic authentication

SECMAN-1545

GetFeatureInfo on WMS returns exception for disallowed areas

SECMAN-1762

Wrong WMS ServiceException code when requesting non-existing layers

SECMAN-1798

Installer option "Drop old database tables" does not work correctly on Oracle 18.4 XE

SECMAN-2001

Required database grant not documented

SECMAN-2005

Error when querying metadata from AGS Map Service

SECMAN-2007

Improve XSS protection means

SECMAN-2009

Prevent NPE if protected server does not provide a response body

SECMAN-2011

WMS should pass on mandatory parameters

4.16.5

New Features and Improvements

SECMAN-543

Allow for configurations of IP ranges in addition to hostnames

Fixed Issues

SECMAN-1714

INSPIRE Feature Download Service: GetFeature does not return features

SECMAN-1885

WFS GetFeature XML request fails when defining custom namespace prefix

SECMAN-1928

Logging interceptor logs wrong timestamps

SECMAN-1956

WFS DescribeFeatureType request fails if no namespace is defined within TYPNAME parameter

SECMAN-1961

Multiple users locked after failed logins by a single user

SECMAN-1971

Web app might fail to start because of API incompatibility

4.16.4

Fixed Issues

SECMAN-765

Printing via protected printing service from ArcGIS Desktop fails

SECMAN-1325

WMTS REST endpoint cannot be secured

SECMAN-1407

Installation folder is missing postinstall\sql\ssosession-db and postinstall\sql\upgrade folder

SECMAN-1903

Wrong SRS URN used if spatial filter added to WFS requests

SECMAN-1914

Cannot create policy for REST-only WMTS

4.16.3

New Features and Improvements

SECMAN-1896

Improve caching of spatial restriction geometries defined for WFS

Fixed Issues

SECMAN-979

WFS GetFeature request with BBOX fails when spatial obligation exists in different SRS

SECMAN-1538

Spatial obligation for WFS fails with XtraServer WFS 2.0

SECMAN-1895

Spatial obligation may not get enforced on WFS

4.16.2

New Features and Improvements

SECMAN-1470

Trim whitespaces when saving LDAP attribute value mappings

SECMAN-1875

Describe configuration for LDAP-S

Fixed Issues

SECMAN-1624

AGS feature services layer metadata may get wiped out on update

SECMAN-1802

Secured UMN Mapserver WFS 2.0.0 does not return feature types for version 1.x.0

SECMAN-1836

Installation fails on Linux if installation path contains spaces

SECMAN-1848

Printing doesn’t work with SSO-secured services when using subfolder in context path for WSS

SECMAN-1849

Attribute fields with "/" get replaced by URLs in ArcGIS Server query response

SECMAN-1851

WFS GetFeature request via HTTP POST fails

SECMAN-1860

Cannot create protected service for WMS when service URL contains query parameters

SECMAN-1870

No attribute values displayed when querying service with joined tables

SECMAN-1871

Map preview not displayed if HTTPS with untrusted certificate is used

SECMAN-1876

Error message when opening a newly added layer

SECMAN-1880

FeatureServer may expose forbidden features

SECMAN-1881

ArcGIS user account locked when using wrong password in enforcement point configuration

SECMAN-1884

User matching a role defined by dn value not displayed

4.16.1

New Features and Improvements

SECMAN-1830

Redirect to profile page if /register or /pwrecovery is accessed by authenticated user

Fixed Issues

SECMAN-823

ImageServer based WMS cannot be requested

SECMAN-1083

Policy Administration does not allow to fetch resources from AGS Token secured WMS, WFS, and WCS services

SECMAN-1368

Logout does not clear IdP cookies

SECMAN-1801

Wrong URL used when displaying queryRelatedRecords results on MapServer request

SECMAN-1803

Broken umlauts in installer

SECMAN-1808

WFS request fails when filter expression obligation is defined

SECMAN-1809

MapServer may allow access to restricted features

SECMAN-1810

Failure when parsing error response from ArcGIS Server >= 10.5

SECMAN-1812

Login with old password is possible after password change for a short time

SECMAN-1831

Spatial obligation not enforced on WFS point or line feature types

4.16.0

New Features and Improvements

SECMAN-1723

Compliance with ArcGIS Enterprise 10.7

SECMAN-1760

Compliance with ArcGIS Enterprise 10.7.1

SECMAN-1779

Ensure that ArcGIS Server SOAP URL is used when creating a protected service

SECMAN-1791

Remove servlet container selection dialog from installer

SECMAN-1795

Render URLs to ArcGIS Server services in policy and resource as clickable HTML links

SECMAN-1796

Support Java 11

Fixed Issues

SECMAN-954

URL replacement in HTML REST browsing output fails if ArcGIS Server residing on the same host like sec.man

SECMAN-1153

"Content-Disposition" header is not forwarded

SECMAN-1358

'resultRecordCount' parameter not respected for MapServer queries

SECMAN-1509

Improve salutation when sending email when user’s gender is not set

SECMAN-1696

URL replacement in ArcGIS Server HTML REST browsing output fails

SECMAN-1701

XtraServer authorization header is missing when accessing external resources

SECMAN-1703

security.manager can’t handle AGS labelExpression in some cases

SECMAN-1739

Accessing secured JSON file via URL protection increases CPU load dramatically

SECMAN-1740

Protected Feature Service returns "Access denied to some of the requested features" on /applyEdits

SECMAN-1742

Cannot navigate from a role to a user having that role

SECMAN-1754

Use '…​' instead of <…​> in sec.man logs to avoid incorrect HTML rendering in the AGS logger

SECMAN-1755

Features are shown outside of spatial restriction

SECMAN-1756

Button "Show Users" does not show up in role administration UI

SECMAN-1757

StoredQuery request fails

SECMAN-1761

WFS GET request fails when DEBUG log enabled

SECMAN-1764

Fix typo in properties name error.common.exceute.cmd

SECMAN-1776

Cannot create policy sets for AGS services containing umlauts in service name

SECMAN-1777

Fix typos in property names license.generic.error.update.decription and wmts.error.update.decription

SECMAN-1778

Special chars not encoded in AGS HTML browsing

SECMAN-1788

HTML product link points to an invalid location

SECMAN-1794

/query fails in HTML browsing