Release Notes 4.16
Update-Hinweise
Konfigurationsänderungen
-
Für die bereits seit einigen Versionen unterstützte Konfigurationseigenschaft
policymgr.default.wfs.geometryclasses
ändern sich mit diesem Release die erlaubten Konfigurationswerte. Wenn Sie diese Eigenschaft in Ihreapplication.properties
eingetragen haben, müssen Sie die Präfixe der Werte anpassen. Der neue Präfix lautetorg.locationtech.jts.geom
, so dass ein gültiger Wert zum Beispiel folgendermaßen lauten würde:org.locationtech.jts.geom.MultiPolygon, org.locationtech.jts.geom.Polygon
.
Andere Änderungen
-
WFS 1.0.0 kann nicht mehr als Datenquelle für räumliche Berechtigungsgeometrien verwendet werden. Voraussetzung ist nun die Nutzung eines WFS mit Unterstützung für WFS 1.1.0.
-
Einige falsch geschriebene Schlüssel in den Internationalisierungsdateien wurden korrigiert. Wenn weitere Sprachdateien hinzugefügt wurden, so müssen folgende Schlüssel erneuert werden:
-
[SECMAN_INSTALL]/webapp/administration/WEB-INF/lib/ct-security-administrator-base-4.16.0.jar/securityAdminResources[_de].properties
error.common.exceute.cmd
→error.common.execute.cmd
-
[SECMAN_INSTALL]/webapp/administration/WEB-INF/lib/ct-security-administrator-base-4.16.0.jar/wmtsAdminResources[_de].properties
wmts.error.update.decription
→ This property was removed -
[SECMAN_INSTALL]/webapp/administration/WEB-INF/lib/ct-security-administrator-base-4.16.0.jar/genericLicenseAdminResources[_de].properties
license.generic.error.update.decription
→license.generic.error.update.description
-
Abkündigungen
Für folgende Features wird die Weiterentwicklung eingestellt und das Ende der Unterstützung für die Zukunft angekündigt:
-
Natives Authentifizierungsprotokoll des Web Security Service ("WSS-Schnittstelle")
-
(Json) Token Authentifizierungsprotokoll des Web Security Service(WSS). Wir empfehlen die Nutzung der - aktuell so genannten - "agstoken" Authentifizierungsmethode.
-
Absicherung von Web Coverage Server (WCS)
-
Absicherung von transaktionalen Web Feature Servern (WFS-T)
-
INSPIRE View und Download Service als eigener Dienste-Typ (die Funktionalität wird über die Dienste-Typen WMS und WFS weiterhin aufrecht erhalten)
-
Zugriff auf geschützte Dienste über die Gateway-Applikation (Tab "Zugänge" in der security.manager-Administration)
Bekannte Einschränkungen
Die folgende Liste enthält die zum Zeitpunkt der Freigabe der Version 4.16 bekannten Probleme und Hinweise:
Verzögerte Sichtbarkeit von parallelen Veränderungen an Nutzern und Rechten
Um Änderungen anderer Nutzer/Systeme in der auf der linken Seite angezeigten Baumstruktur des Administrators zu visualisieren, muss der Wurzelknoten der Baumstruktur ausgewählt werden und der Knopf Baum neuladen gedrückt werden.
Wertigkeit zweier Rechte
Werden zwei Rechte definiert, die auf einen Nutzer anwendbar sind, muss die korrekte Reihenfolge im security.manager Administrator (im Dialog „Rechteset") festgelegt werden. Beispiel: Es wird ein Recht definiert, das allen Nutzer Zugriff auf einen WMS gewährt, allerdings mit Copyright-Einschränkung. Für eine Nutzergruppe „registriert" wurde ein weiteres Recht für diesen WMS definiert, das den Zugriff ohne Copyright-Einschränkung gewährt. Beide Rechte sind gültig wenn Nutzer der Gruppe „registriert" den WMS zugreifen, es wird immer das erste anwendbare Recht benutzt. Um zu verhindern, dass die Nutzer der Gruppe „registriert" den gleichen Copyright-Vermerk sehen wie alle anderen, muss dieses Recht im Administration zuoberst aufgeführt werden.
Feature Types eines WFS müssen eindeutige Namen besitzen
Der security.manager unterscheidet nicht zwischen FeatureTypes mit dem gleichen Namen, aber unterschiedlichen Namespaces, z.B. wird x:city
als identisch zu y:city
gewertet.
Daher ist es erforderlich, dass jeder FeatureType einen eindeutigen Namen besitzt.
Variable Feature-IDs bei der Verwendung von WFS als Quelle für räumliche Bedingungen
Beim Anlegen von räumlichen Obligationen muss auf die Korrektheit und Stabilität der angezeigten Feature-Ids geachtet werden.
Feature-IDs der Form fid—4d0f905b_126c17decf6_-7d52
weisen auf intern erzeugte Feature-IDs hin, welche sich mit jeder neuen Anfrage ändern und somit nicht zur Referenzierung von Features verwendet werden können.
Wenn sich Feature-IDs mit jeder Anfrage an den WFS ändern, ist dies auf fehlende Feature-IDs in der WFS Antwort zurückzuführen.
Hier muss die Konfiguration des WFS überprüft werden, damit korrekte und stabile Feature-IDs ausgeliefert werden.
Konfigurations-Dateien werden nicht korrekt erzeugt, wenn in einer Tomcat-Instanz installiert wird, die das Verzeichnis [TOMCAT_HOME]/conf/Catalina/localhost
nicht enthält
Alternative 1: Das entsprechende Verzeichnis vor der Installation erstellen.
Alternative 2: Während der Installation werden die context.xml
Dateien im [SECMAN_INSTALL]/webapps/post install
Verzeichnis gespeichert.
Diese können einfach in das Verzeichnis [TOMCAT_HOME]/conf/Catalina/localhost
kopiert werden.
Falls eine container-managed Datenbank verwendet wird, müssen die die XML-Dateien mit dem Suffix -jndi.xml
kopiert werden.
Die folgenden Dateien müssen kopiert werden:
-
administration.xml
-
gateway.xml
-
wss.xml
Verwendung nicht offizieller EPSG-Codes bei ArcGIS-Server-Diensten
Je nach Konfiguration verwenden ArcGIS-Server-Dienste nicht offizielle EPSG-Codes für Gauß-Krüger-Referenzsysteme. Diese werden intern auf äquivalente offizielle EPSG-Codes abgebildet. Folgende Mappings werden hierbei verwendet:
-
EPSG:31492 → EPSG:31466
-
EPSG:31493 → EPSG:31467
-
EPSG:31494 → EPSG:31468
-
EPSG:31495 → EPSG:31469
Dieses Mapping wird nur für geschützte Dienste angewandt. Für die Definition von räumlichen Einschränkungen durch einen WFS dürfen nur offizielle EPSG-Codes verwendet werden.
Probleme bei räumlicher Autorisierung von WFS-Diensten auf Basis des ArcGIS Servers
ArcGIS Server WFS-Dienste unterstützen weder Multipolygon noch die Verwendung mehrerer Polygone in Filter-Ausdrücken. Daher kann für diese Dienste keine räumliche Autorisierung vorgenommen werden, wenn mehr als eine Geometrie für die räumliche Einschränkung definiert ist oder wenn in der eingehenden Anfrage bereits ein räumlicher Filter definiert ist.
Cookie-Einstellung bei Safari-Browsern
Bei der Verwendung von Safari-Browsern kann es vorkommen, dass wiederholte Logins notwendig werden. Um dies zu vermeiden, wählen Sie unter Einstellungen → Sicherheit → Cookies akzeptieren (immer) aus.
WMS GetMap Anfrage mit SLD-Parameter wird blockiert, falls ein layerDefs
Parameter angewandt werden würde
Wie in "Filtering features using the layerDefs parameter in WMS requests" beschrieben, werden die Parameter SLD und SLD-BODY vorrangig behandelt. In diesem Fall würde der layerDefs Parameter ignoriert werden.
Leerzeichen in Definition Querys werden vom ArcGIS Server WMS nicht unterstützt
Leerzeichen im layerDefs Parameter werden nicht unterstützt. Hinterlegen Sie entsprechend keine definition query Auflagen mit Leerzeichen.
Drucken von abgesicherten Diensten nur mit ags-relay URLs möglich
URLs von abgesicherten MapServer Diensten müssen mit ags-relay im URL-Schema benutzt werden:
http://[HOST]/wss/service/ags-relay/ [EndpointID]/[AUTH_SCHEME]/arcgis/rest/services/ [DIENSTNAME]/MapService
Zur Absicherung des ArcGIS Geocoders muss HTTP Chunked Transfer Encoding im security.manager deaktiviert sein
Der ArcGIS Geocoding-Server unterstützt kein HTTP Chunked Transfer Encoding.
Wenn dieser Dienst abgesichert werden soll, muss HTTP Chunking in den security.manager-Einstellungen manuell deaktiviert werden.
Stellen Sie dafür sicher, dass der Wert für die http.client.chunking
-Property in der application.properties
-Datei auf false
gesetzt ist (SECMAN-658).
ArcGIS for INSPIRE Feature Download Services und räumliche Einschränkungen
ArcGIS for INSPIRE Feature Download Services unterstützen keine Polygone in Filter-Ausdrücken. Daher kann für diese Dienste keine räumliche Autorisierung vorgenommen werden.
Invalide XML-Antworten von ArcGIS for INSPIRE Feature Download Services
ArcGIS for INSPIRE Feature Download Services erzeugen unter Umständen invalide XML-Antworten, wenn eine GetFeature-Anfrage mehrere Stored Queries und/oder Query Elemente beinhaltet.
ArcGIS Server WFS und räumliche Einschränkungen sowie Einschränkungen durch OGC Filter-Ausdrücke
Beim Zugriff auf ArcGIS Server-basierte WFS kommt es insbesondere bei der Verwendung räumlicher Auflagen zu Fehlern. Betroffen sind die ArcGIS Server Versionen 10.3 und folgende, bei denen die WFS-Implementierung fehlerhaft oder unvollständig ist, so dass (räumliche) Einschränkungen nicht angewandt werden können. Je nach verwendeter WFS Version (1.0.0, 1.1.0, 2.0.0) kommt es zu unterschiedlichen Fehlermeldungen beim Dienstzugriff.
UMN MapServer WFS und räumliche Einschränkungen sowie Einschränkungen durch OGC Filter-Ausdrücke
Die WFS 1.0.0 und 1.1.0 Implementierungen des UMN MapServer unterstützen nicht alle spezifikationskonformen GML-Versionen, weswegen eine Durchsetzung von räumlichen Einschränkungen und Einschränkungen durch OGC Filter-Ausdrücke nicht möglich ist.
ArcGIS Server WFS und DescribeFeatureType-Requests
Bei einem ArcGIS Server WFS kann die Verwendung von DescribeFeatureType-Anfragen ohne Angabe von FeatureTypes zu einer Exception führen, wenn dieser Dienst viele FeatureTypes bzw. FeatureTypes mit langen FeatureType-Namen besitzt.
Performance und geschützte Dienste mit sehr großer Ressourcenzahl
Wenn ein geschützter Dienst (z.B. ein Map Service) eine große Zahl (> 60) von Ressourcen (z.B. Layer) besitzt, kann die Performance von Dienstanfragen wahrnehmbar sinken. Erwägen Sie die Aufteilung von solchen Kartendiensten in mehrere Dienste.
HTTP Basic Authentication in ArcMap und ArcGIS Pro
Wird ein geschützter Dienst über httpauth in ArcMap oder ArcGIS Pro geladen, schlägt das Login trotz korrekt eingegebenem Nutzernamen und Passwort fehl, sobald Nutzername oder Passwort nicht-ASCII Zeichen, z.B. Umlaute, beinhalten.
ArcGIS Webadaptor mit Namen "rest" oder "services"
Wird der Webadaptor für den ArcGIS Server "rest" oder "services" genannt, z.B. http://[HOST]/rest/rest/services
oder http://[HOST]/services/rest/services
, kann der ArcGIS Server nicht durch den security.manager geschützt werden.
Wenn der Name "rest" lautet, können keine Rechte angelegt werden, lautet der Name "services" werden keine Rechte durchgesetzt.
log4j 1.2.17 angreifbar durch Remote Code Execution (CVE-2019-17571)
Manche Sicherheitswerkzeuge detektieren eine bekannte Schwachstelle der verwendeten log4j Bibliothek. Nach CVE-2019-17571 stellt die Bibliothek eine Komponente zur Verfügung, die angreifbar ist für die Deserialisierung von nicht vertrauenswürdigen Daten. Diese Komponente wird nicht verwendet, sodass diese Schwachstelle nicht ausgenutzt werden kann.
ArcGIS Server MapServer /find
Operation mit großen Ergebnismengen und räumliche Einschränkungen
In Verbindung mit räumlichen Einschränkungen kann es vorkommen, dass das Ergebnis der MapServer /find
Operation nicht alle erwarteten Features enthält.
Große Ergebnismengen der /find
Operation werden gekappt, sofern diese das serverseitige Limit überschreiten.
Räumliche Einschränkungen werden nur auf der gekappten Ergebnismenge angewandt.
Changelog
4.16.6
New Features and Improvements
|
Block WFS request if no service parameter with value 'WFS' is provided |
Fixed Issues
|
SOAP QueryRelatedRecords request is not authorized correctly when SourceTableID points to layer |
|
Export Web Map Task fails if JSON contains null values |
|
Allow to create spatial obligations for protected services that require basic authentication |
|
GetFeatureInfo on WMS returns exception for disallowed areas |
|
Wrong WMS ServiceException code when requesting non-existing layers |
|
Installer option "Drop old database tables" does not work correctly on Oracle 18.4 XE |
|
Required database grant not documented |
|
Error when querying metadata from AGS Map Service |
|
Improve XSS protection means |
|
Prevent NPE if protected server does not provide a response body |
|
WMS should pass on mandatory parameters |
4.16.5
New Features and Improvements
|
Allow for configurations of IP ranges in addition to hostnames |
Fixed Issues
|
INSPIRE Feature Download Service: GetFeature does not return features |
|
WFS GetFeature XML request fails when defining custom namespace prefix |
|
Logging interceptor logs wrong timestamps |
|
WFS DescribeFeatureType request fails if no namespace is defined within TYPNAME parameter |
|
Multiple users locked after failed logins by a single user |
|
Web app might fail to start because of API incompatibility |
4.16.4
Fixed Issues
|
Printing via protected printing service from ArcGIS Desktop fails |
|
WMTS REST endpoint cannot be secured |
|
Installation folder is missing postinstall\sql\ssosession-db and postinstall\sql\upgrade folder |
|
Wrong SRS URN used if spatial filter added to WFS requests |
|
Cannot create policy for REST-only WMTS |
4.16.3
4.16.2
New Features and Improvements
|
Trim whitespaces when saving LDAP attribute value mappings |
|
Describe configuration for LDAP-S |
Fixed Issues
|
AGS feature services layer metadata may get wiped out on update |
|
Secured UMN Mapserver WFS 2.0.0 does not return feature types for version 1.x.0 |
|
Installation fails on Linux if installation path contains spaces |
|
Printing doesn’t work with SSO-secured services when using subfolder in context path for WSS |
|
Attribute fields with "/" get replaced by URLs in ArcGIS Server query response |
|
WFS GetFeature request via HTTP POST fails |
|
Cannot create protected service for WMS when service URL contains query parameters |
|
No attribute values displayed when querying service with joined tables |
|
Map preview not displayed if HTTPS with untrusted certificate is used |
|
Error message when opening a newly added layer |
|
FeatureServer may expose forbidden features |
|
ArcGIS user account locked when using wrong password in enforcement point configuration |
|
User matching a role defined by dn value not displayed |
4.16.1
New Features and Improvements
|
Redirect to profile page if /register or /pwrecovery is accessed by authenticated user |
Fixed Issues
|
ImageServer based WMS cannot be requested |
|
Policy Administration does not allow to fetch resources from AGS Token secured WMS, WFS, and WCS services |
|
Logout does not clear IdP cookies |
|
Wrong URL used when displaying queryRelatedRecords results on MapServer request |
|
Broken umlauts in installer |
|
WFS request fails when filter expression obligation is defined |
|
MapServer may allow access to restricted features |
|
Failure when parsing error response from ArcGIS Server >= 10.5 |
|
Login with old password is possible after password change for a short time |
|
Spatial obligation not enforced on WFS point or line feature types |
4.16.0
New Features and Improvements
|
Compliance with ArcGIS Enterprise 10.7 |
|
Compliance with ArcGIS Enterprise 10.7.1 |
|
Ensure that ArcGIS Server SOAP URL is used when creating a protected service |
|
Remove servlet container selection dialog from installer |
|
Render URLs to ArcGIS Server services in policy and resource as clickable HTML links |
|
Support Java 11 |
Fixed Issues
|
URL replacement in HTML REST browsing output fails if ArcGIS Server residing on the same host like sec.man |
|
"Content-Disposition" header is not forwarded |
|
'resultRecordCount' parameter not respected for MapServer queries |
|
Improve salutation when sending email when user’s gender is not set |
|
URL replacement in ArcGIS Server HTML REST browsing output fails |
|
XtraServer authorization header is missing when accessing external resources |
|
security.manager can’t handle AGS labelExpression in some cases |
|
Accessing secured JSON file via URL protection increases CPU load dramatically |
|
Protected Feature Service returns "Access denied to some of the requested features" on /applyEdits |
|
Cannot navigate from a role to a user having that role |
|
Use '…' instead of <…> in sec.man logs to avoid incorrect HTML rendering in the AGS logger |
|
Features are shown outside of spatial restriction |
|
Button "Show Users" does not show up in role administration UI |
|
StoredQuery request fails |
|
WFS GET request fails when DEBUG log enabled |
|
Fix typo in properties name error.common.exceute.cmd |
|
Cannot create policy sets for AGS services containing umlauts in service name |
|
Fix typos in property names license.generic.error.update.decription and wmts.error.update.decription |
|
Special chars not encoded in AGS HTML browsing |
|
HTML product link points to an invalid location |
|
/query fails in HTML browsing |