topic Re: Usuarios externos en Alfresco y SSO passthru in Alfresco Archive

Usuarios externos en Alfresco y SSO passthru

cesarista — Mon, 01 Aug 2011 12:38:36 GMT

Hola:Tengo una cadena de autenticacion del tipo:<pre>authentication.chain=alfrescoNtlm1:alfrescoNtlm,passthru1assthru,ldap1:ldap-ad</pre>y dos conjuntos de usuarios, uno en Alfresco y otro en el directorio activo (AD), que sincronizo via LDAP. Hasta ahi va todo bien.Me puedo loguear si

Re: Usuarios externos en Alfresco y SSO passthru

venzia — Thu, 11 Aug 2011 12:47:42 GMT

Hola Cesar .. no hace mucho (con lo cual aun lo tengo frequito) llevamos a cabo una instalación de alfresco con la siguiente cadena de autenticacion "authentication.chain=passthru1assthru,ldap-ad1:ldap-ad,ldap1:ldap".
En nuestro caso los usuarios "extenos" vienen de otro ldap, en el tuyo de AlfrescoNtlm .. comprueba si con este orden te deja autenticar, aunque supongo que ya lo habras probado.
En caso que no des con la tecla dime y exprimo la docu que tengo al respecto.
Saludos y suerte!

Re: Usuarios externos en Alfresco y SSO passthru

cesarista — Thu, 11 Aug 2011 13:20:31 GMT

Gracias Javier,

La verdad es que no se si me he expresado muy bien arriba pero va en linea con tu respuesta. Cuando tengo esto, si me funciona el SSO de AD:

<pre>
authentication.chain=passthru1assthru,ldap1:ldap-ad,alfrescoNtlm1:alfrescoNtlm
</pre>

pero no me funciona la autenticación con los usuarios externos en alfrescoNtlm1:alfrescoNtlm

Me da la sensación que el SSO activo hace que dos cadenas potenciales de usuarios compitan por el mismo (passthru1, alfrescoNtlm1) y solo tiene SSO la primera de ellas en la cadena. Además de esta manera la cadena mutable (en la que se pueden crear usuarios es passthru AD y no alfresco), lo cual no me sirve para gestionar/administrar los usuarios externos desde Alfresco. Pero no es mala saber que con otro ldap me puedo arreglar el problema la verdad.

Un saludo.

–C.

Re: Usuarios externos en Alfresco y SSO passthru

venzia — Thu, 11 Aug 2011 15:21:45 GMT

Me alegro que al menos ahora tengas otra "variante" ..
Y teniendo en cuenta q

Además de esta manera la cadena mutable (en la que se pueden crear usuarios es passthru AD y no alfresco), lo cual no me sirve para gestionar/administrar los usuarios externos desde Alfresco

obviamente de poco vale el caso en el que se pueda dejar funcionando si dichos usuarios "externos" no son gestionables desde Alfresco.
Ya por simple curiosidad voy a bucear en mi archivo por si veo algo al respecto.
Saludos!

Re: Usuarios externos en Alfresco y SSO passthru

cesarista — Thu, 06 Oct 2011 12:25:18 GMT

Hola de nuevo:

Al final lo oriente como comentabas pero sigo teniendo problemas con el SSO cuando tengo varios subsistemas de autenticacion (para la auth). Y aqui mi pregunta. ¿ Es posible configurar (lo habeis hecho alguna vez?) para Share un sistema de SSO con passthru y con otras cadenas de autenticacion disponibles (otros ldaps o lo que sea…) ?

Un saludo.

–C.

Re: Usuarios externos en Alfresco y SSO passthru

cesarista — Thu, 06 Oct 2011 12:29:42 GMT

Por cierto Javier:

En el orden que me mencionabas la cadena, con el passthru delante tenia problemas para autenticarme con los usuarios del ldap, de manera análoga a lo que me sucedía con alfrescoNtml (curioso este patron). Tuve que cambiar la cadena y poner el ldap primero.

Un saludo.

–C.

Re: Usuarios externos en Alfresco y SSO passthru

angelmartinboni — Wed, 23 Aug 2017 11:39:01 GMT

Buenas,

he leído este hilo porque tengo un problema parecido.

Resulta que en mi empresa tengo creado un usuario en Alfresco, que obviamente no está en LDAP porque es impersonal, digamos que es de pruebas. Lo usamos para lanzar webservices, pero falla cuando hace la autenticación contra LDAP y no contra Alfresco:

17:00:11,115 DEBUG [org.alfresco.repo.security.authentication.AuthenticationComponentImpl] Authenticating user "userPentaho"
17:00:11,119 DEBUG [org.alfresco.repo.security.authentication.AuthenticationComponentImpl] Setting the current user to "userPentaho"
17:00:11,120 DEBUG [org.alfresco.repo.security.authentication.AuthenticationComponentImpl] User "userPentaho" authenticated successfully
17:00:13,453 DEBUG [org.alfresco.repo.security.authentication.ldap.LDAPAuthenticationComponentImpl] Authenticating user "userPentaho"
17:00:13,479 DEBUG [org.alfresco.repo.security.authentication.ldap.LDAPAuthenticationComponentImpl] Failed to authenticate user "userPentaho"
org.alfresco.repo.security.authentication.AuthenticationException: 0722396591 Failed to resolve user: userPentaho

También salta un error de "closed socket"... y creo que por eso nos salta un error 500, por cierto.

¿Debería seguir hacia delante no? es decir, ve que en LDAP no está pero en Alfresco sí y listo ¿no?

En una instancia de Desarrollo, donde no salta ese error, no se se hace la autenticación contra LDAP y está así:

authentication.chain=alfrescoNtlm1:alfrescoNtlm,ldap-ad1:ldap-ad

...

#20161202 - Hemos desactivado la autenticaci\u00f3n con passthru
#ntlm.authentication.sso.enabled=true
ntlm.authentication.sso.enabled=false

...

ldap.authentication.defaultAdministratorUserNames=admin

No tengo muy claro en qué afecta el orden en el chain...

¿por qué intenta autenticarlo en LDAP y falla? cuando sabemos que no está y debería ignorarlo ¿no?

Gracias de antemano.

Saludos. Angel.

Re: Usuarios externos en Alfresco y SSO passthru

angelborroy — Wed, 23 Aug 2017 12:37:57 GMT

No entiendo muy bien la pregunta.

Si en tu cadena de autenticación aparece

authentication.chain=alfrescoNtlm1:alfrescoNtlm,ldap-ad1:ldap-ad

Alfresco intenta autenticar al usuario por id de usuario y contraseña contra su propia base de datos en primer lugar y después contra LDAP. En caso de que tengáis además un sistema SSO configurado, quizá estéis afectados por este problema:

https://github.com/keensoft/alf-21757-repo

Re: Usuarios externos en Alfresco y SSO passthru

cristinamr — Wed, 23 Aug 2017 15:30:07 GMT

Podrías hacer una prueba rápida para ver si está creado ese usuario en tu alfresco: Pon en el authentication.chain solo ntlm, reinicia alfresco y prueba tu a mano logarte con ese usuario a ver si existe. Existen otras formas de comprobarlo como consultarlo desde el explorador de nodos o en base de datos directamente.

Re: Usuarios externos en Alfresco y SSO passthru

cesarista — Wed, 23 Aug 2017 15:52:13 GMT

Angel Borroy‌ Este problema al que haces referencia, sabes si es aplicable también al SSO de AlfrescoNtlm, además del de Kerberos ? Basicamente lo que me ha ocurrido alguna vez es que si activas el SSO de AlfrescoNtlm, no funciona webdav (reto NTML), ni el cliente móvil o la capa de servicios.

Saludos.

--C.

Re: Usuarios externos en Alfresco y SSO passthru

angelborroy — Wed, 23 Aug 2017 17:07:56 GMT

‌ es aplicable a cualquier subsistema de autenticación SSO.

Si te fijas, el parche consiste básicamente en comentar los filtros de autenticación en WebDAV y en API.

Re: Usuarios externos en Alfresco y SSO passthru

cesarista — Wed, 23 Aug 2017 17:49:30 GMT

Gracias ‌

Saludos.

--C.

Re: Usuarios externos en Alfresco y SSO passthru

angelmartinboni — Thu, 24 Aug 2017 06:56:21 GMT

Gracias Angel y a los demás por vuestras respuestas tan tempranas.

Voy a intentar verificar si en mi instancia de explotación está igual configurado el authetication.chain...

De todas formas, no entiendo porqué a veces salta un error 500, creemos que es por la parte de la traza donde me dice "socket closed" que no sé a que es debido... ¿se os ocurre algo?

Gracias.

Re: Usuarios externos en Alfresco y SSO passthru

angelborroy — Thu, 24 Aug 2017 07:02:28 GMT

Pueden producirse errores 500 cuando el usuario cancela una petición en Share.

Re: Usuarios externos en Alfresco y SSO passthru

angelmartinboni — Thu, 24 Aug 2017 07:46:43 GMT

Entiendo Angel, pero la terea en la que nosotros estamos teniendo problema es a la hora de ejecutar unos webservices en modo autmático, se van generando solos como jobs...

Te dejo un trozo del log, en el penúltimo "caused by" sale lo del closed socket:

19:00:31,785 DEBUG [security.authentication.AuthenticationComponentImpl] Authenticating user "userPentaho"
19:00:31,790 DEBUG [security.authentication.AuthenticationComponentImpl] Setting the current user to "userPentaho"
19:00:31,791 DEBUG [security.authentication.AuthenticationComponentImpl] User "userPentaho" authenticated successfully
20:00:11,062 DEBUG [authentication.ldap.LDAPAuthenticationComponentImpl] Authenticating user "userPentaho"
20:00:41,094 DEBUG [authentication.ldap.LDAPAuthenticationComponentImpl] Failed to authenticate user "userPentaho"
org.alfresco.error.AlfrescoRuntimeException: 0722397392 Failed to resolve user ID: userPentaho
   at org.alfresco.repo.security.sync.ldap.LDAPUserRegistry.resolveDistinguishedName(LDAPUserRegistry.java:921)
   at org.alfresco.repo.security.authentication.ldap.LDAPAuthenticationComponentImpl.authenticateImpl(LDAPAuthenticationComponentImpl.java:113)
   at org.alfresco.repo.security.authentication.AbstractAuthenticationComponent.authenticate(AbstractAuthenticationComponent.java:158)
   at org.alfresco.repo.security.authentication.AuthenticationServiceImpl.authenticate(AuthenticationServiceImpl.java:65)
   at org.alfresco.repo.security.authentication.AbstractChainingAuthenticationService.authenticate(AbstractChainingAuthenticationService.java:180)
   at sun.reflect.GeneratedMethodAccessor777.invoke(Unknown Source)
   at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
   at java.lang.reflect.Method.invoke(Method.java:597)
   at org.springframework.aop.support.AopUtils.invokeJoinpointUsingReflection(AopUtils.java:307)
   at org.springframework.aop.framework.ReflectiveMethodInvocation.invokeJoinpoint(ReflectiveMethodInvocation.java:183)
   at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:150)
   at net.sf.acegisecurity.intercept.method.aopalliance.MethodSecurityInterceptor.invoke(MethodSecurityInterceptor.java:80)
   at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:172)
   at org.alfresco.repo.security.permissions.impl.ExceptionTranslatorMethodInterceptor.invoke(ExceptionTranslatorMethodInterceptor.java:44)
   at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:172)
   at org.alfresco.repo.audit.AuditMethodInterceptor.proceedWithAudit(AuditMethodInterceptor.java:232)
   at org.alfresco.repo.audit.AuditMethodInterceptor.proceed(AuditMethodInterceptor.java:199)
   at org.alfresco.repo.audit.AuditMethodInterceptor.invoke(AuditMethodInterceptor.java:152)
   at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:172)
   at org.springframework.transaction.interceptor.TransactionInterceptor.invoke(TransactionInterceptor.java:107)
   at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:172)
   at org.springframework.aop.framework.JdkDynamicAopProxy.invoke(JdkDynamicAopProxy.java:202)
   at $Proxy56.authenticate(Unknown Source)
   at org.alfresco.repo.web.scripts.servlet.BasicHttpAuthenticatorFactory$BasicHttpAuthenticator.authenticate(BasicHttpAuthenticatorFactory.java:176)
   at org.alfresco.repo.web.scripts.RepositoryContainer.executeScript(RepositoryContainer.java:302)
   at org.springframework.extensions.webscripts.AbstractRuntime.executeScript(AbstractRuntime.java:352)
   at org.springframework.extensions.webscripts.AbstractRuntime.executeScript(AbstractRuntime.java:189)
   at org.springframework.extensions.webscripts.servlet.WebScriptServlet.service(WebScriptServlet.java:118)
   at javax.servlet.http.HttpServlet.service(HttpServlet.java:717)
   at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:290)
   at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:206)
   at org.alfresco.web.app.servlet.GlobalLocalizationFilter.doFilter(GlobalLocalizationFilter.java:58)
   at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:235)
   at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:206)
   at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:233)
   at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:191)
   at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:127)
   at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:102)
   at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:109)
   at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:293)
   at org.apache.coyote.http11.Http11Processor.process(Http11Processor.java:859)
   at org.apache.coyote.http11.Http11Protocol$Http11ConnectionHandler.process(Http11Protocol.java:602)
   at org.apache.tomcat.util.net.JIoEndpoint$Worker.run(JIoEndpoint.java:489)
   at java.lang.Thread.run(Thread.java:662)
Caused by: javax.naming.PartialResultException [Root exception is javax.naming.ServiceUnavailableException: chap.junta-andalucia.es:389; socket closed; remaining name '']
   at com.sun.jndi.ldap.LdapNamingEnumeration.hasMoreImpl(LdapNamingEnumeration.java:224)
   at com.sun.jndi.ldap.LdapNamingEnumeration.hasMoreReferrals(LdapNamingEnumeration.java:362)
   at com.sun.jndi.ldap.LdapNamingEnumeration.hasMoreImpl(LdapNamingEnumeration.java:208)
   at com.sun.jndi.ldap.LdapNamingEnumeration.hasMore(LdapNamingEnumeration.java:171)
   at org.alfresco.repo.security.sync.ldap.LDAPUserRegistry.resolveDistinguishedName(LDAPUserRegistry.java:913)
   ... 43 more
Caused by: javax.naming.ServiceUnavailableException: chap.junta-andalucia.es:389; socket closed; remaining name ''
   at com.sun.jndi.ldap.Connection.readReply(Connection.java:419)
   at com.sun.jndi.ldap.LdapClient.getSearchReply(LdapClient.java:611)
   at com.sun.jndi.ldap.LdapClient.search(LdapClient.java:534)
   at com.sun.jndi.ldap.LdapCtx.doSearch(LdapCtx.java:1962)
   at com.sun.jndi.ldap.LdapCtx.searchAux(LdapCtx.java:1824)
   at com.sun.jndi.ldap.LdapCtx.c_search(LdapCtx.java:1749)
   at com.sun.jndi.toolkit.ctx.ComponentDirContext.p_search(ComponentDirContext.java:368)
   at com.sun.jndi.toolkit.ctx.PartialCompositeDirContext.search(PartialCompositeDirContext.java:338)
   at com.sun.jndi.ldap.LdapReferralContext.search(LdapReferralContext.java:639)
   at com.sun.jndi.ldap.LdapSearchEnumeration.getReferredResults(LdapSearchEnumeration.java:169)
   at com.sun.jndi.ldap.LdapNamingEnumeration.hasMoreReferrals(LdapNamingEnumeration.java:345)
   at com.sun.jndi.ldap.LdapNamingEnumeration.hasMoreImpl(LdapNamingEnumeration.java:208)
   ... 47 more

Gracias de antemano.

Saludos. Angel.

Re: Usuarios externos en Alfresco y SSO passthru

angelborroy — Thu, 24 Aug 2017 07:57:59 GMT

¿Cómo hacéis esa autenticación para los webservices?

Este error se produce cuando intentan validar el usuario "userPentaho" contra el LDAP, probablemente porque no ha superado la primera autenticación AlfrescoNTML.

Re: Usuarios externos en Alfresco y SSO passthru

angelmartinboni — Thu, 24 Aug 2017 08:30:50 GMT

Pues mira Angel, la autenticación la hacemos a través de Pentaho, que lo que hace es invocar a una URL http y logearse, y pasados unos segundos salta el error 500 ese.

Tampoco es porque devuelva una salida muy grande.

Es que debería hacer que si en LDAp no lo encuentra o casca, que valide con Alfresco ¿no? aunque eso sería un parche, no sabemos porqué falla.

Re: Usuarios externos en Alfresco y SSO passthru

angelborroy — Thu, 24 Aug 2017 08:57:29 GMT

Lo primero de todo: aseguraos de que tenéis bien configurado el "authentication.chain". Lo que hace es, precisamente, validar contra el siguiente subsistema de autenticación en caso de que falle uno de ellos.

Re: Usuarios externos en Alfresco y SSO passthru

angelmartinboni — Thu, 24 Aug 2017 09:02:56 GMT

Nuestro authetication.chain es el siguiente en Explotación (DONDE FALLA):

authentication.chain=ldap-ad1:ldap-ad,alfrescoNtlm1:alfrescoNtlm

y en Pruebas es (NO FALLA):

authentication.chain=alfrescoNtlm1:alfrescoNtlm,ldap-ad1:ldap-ad

Parece que está claro que cambiando el orden se arreglaría, pero el caso es que no debería cascar como casca ¿no? debería autenticar por LDAP y si no, pues que que lo haga por Alfresco, pero sin que devuelva ese error 500 ¿no?

Re: Usuarios externos en Alfresco y SSO passthru

angelborroy — Thu, 24 Aug 2017 09:12:10 GMT

En producción está funcionando de la misma manera que en Pruebas. El error aparece porque tenéis el nivel de DEBUG para el log de autenticación, pero el proceso debe estar funcionando de la misma manera.