topic Re: CAS Server e Alfresco 4.2.f Community in Alfresco Archive

CAS Server e Alfresco 4.2.f Community

toxkras — Mon, 12 Jan 2015 15:14:26 GMT

Ciao,ho bisogno del vostro supporto. Sto lavorando su un progetto riguardante un sito (che sfrutta un suo DB) e che utilizza Alfresco come repository per i suoi documenti. Quando l'utente si collega al sito deve poter accedere ai suoi documenti che sono salvati in Alfresco.Gli utenti effettueranno l

Re: CAS Server e Alfresco 4.2.f Community

openpj — Tue, 13 Jan 2015 08:39:00 GMT

Puoi configurare CAS con Alfresco seguendo queste indicazioni scritte dal buon Martin Bergljung:
http://ecmstuff.blogspot.co.uk/2011/06/configuring-alfresco-for-sso-with-cas.html

Una soluzione alternativa, ed anche molto più semplice da configurare, potrebbe essere quella di configurare Alfresco con l'external authentication. In pratica tramite questa configurazione fa in modo che Alfresco accetti direttamente un header HTTP con lo username dell'utente da considerare già autenticato.

Quando arriva la richiesta ad Alfresco, il repository "si fida" di ciò che gli viene proxato da CAS e quindi considera l'utente autenticato. Questa soluzione però prevede che Alfresco sia proxato da un sistema che decora la richiesta HTTP con un header HTTP.

Diciamo che l'architettura si complica un pochettino, ma a livello di configurazione su Alfresco sono praticamente 2 properties

Di seguito la documentazione:
http://docs.alfresco.com/4.2/concepts/auth-external-intro.html

Spero ti aiuti a risolvere

Re: CAS Server e Alfresco 4.2.f Community

toxkras — Tue, 13 Jan 2015 11:40:40 GMT

Ciao Open,
ho configurato le seguenti properties nel file alfresco-global.properties:
<blockcode>
external.authentication.enabled=true
external.authentication.defaultAdministratorUserNames=admin
external.authentication.proxyUserName=alfresco-system
external.authentication.proxyHeader=X-Alfresco-Remote-User
</blockcode>

ma eseguendo la seguente istruzione a riga di comando:
<blockcode>
curl -X GET -L -H "X-Alfresco-Remote-User: <nome_utente>" http://localhost:8080/alfresco/
</blockcode>
ottengo nella pagina HTML risultante "Login(guest)" anzichè "Logout(<nome_utente>)".
Cosa sto tralasciando?
Grazie

Re: CAS Server e Alfresco 4.2.f Community

openpj — Tue, 13 Jan 2015 13:30:00 GMT

Credo che manchi la property per l'authentication chaining che attiva di fatto l'external authentication, tipo la seguente:


authentication.chain=external1:external,alfrescoNtlm1:alfrescoNtlm
‍‍‍

Re: CAS Server e Alfresco 4.2.f Community

toxkras — Tue, 13 Jan 2015 13:39:47 GMT

L'ho aggiunta poco dopo aver risposto al tuo post ma non è cambiato nulla… In questo video vengono fatte delle operazioni leggermente diverse (dura 40 minuti ma il succo è verso il minuto 21), ha senso? Io a parte le istruzioni in alfresco-global.properties non ho modificato niente altro.

Re: CAS Server e Alfresco 4.2.f Community

toxkras — Tue, 13 Jan 2015 14:05:52 GMT

Ho rimosso il valore dalla property
<blockcode>
external.authentication.proxyUserName=
</blockcode>
e ora in effetti la pagina che ottengo a linea di comando con l'istruzione "curl" indicata in precedenza indica che l'utente è loggato. Ho notato però che anche inserendo un utente inesistente in Alfresco (ad esempio blablabla) il risultato che ottengo è "Logout(blablabla)". Com'è possibile? C'è un modo, inoltre, per effettuare la richiesta di un documento la cui visibilità è ristretta solo all'utente "pippo" (esistente in Alfresco) e vedere quindi il risultato che ottengo sia per l'utente "pippo" che "blablabla"?
Grazie

Re: CAS Server e Alfresco 4.2.f Community

openpj — Tue, 13 Jan 2015 14:37:38 GMT

Si, puoi impostare la seguente property nell'alfresco-global.properties per evitare questo comportamento:


create.missing.people=false
‍‍‍

Re: CAS Server e Alfresco 4.2.f Community

toxkras — Tue, 13 Jan 2015 15:35:34 GMT

Grazie Open, adesso effettivamente se un utente non esiste funziona. Volevo chiederti un'altra cosa: esiste un modo, dopo aver eseguito le istruzioni precedenti, per effettuare ad esempio il download di un documento?
Vorrei effettuare il test con un utente "pippo" esistente su Alfresco e verificare se lui effettivamente riesce a scaricare un documento a lui visibile e poi ripetere il test per un utente "pluto" sempre esistente su Alfresco ma che non ha visibilità sul documento.
Grazie

Re: CAS Server e Alfresco 4.2.f Community

openpj — Tue, 13 Jan 2015 15:45:15 GMT

Sinceramente non capisco perché tu debba testare uno scenario simile.

Se l'utente ha come ruolo almeno Consumer sul contenuto, sicuramente lo potrà scaricare, altrimenti no.
Questi test li fa Alfresco e sono test di piattaforma

In ogni caso la servlet che viene usata da Alfresco è la DownloadContentServlet e trovi le url alla seguente pagina:
https://wiki.alfresco.com/wiki/URL_Addressability#DownloadContentServlet

Re: CAS Server e Alfresco 4.2.f Community

toxkras — Tue, 13 Jan 2015 16:51:02 GMT

Lo so che possono sembrare questioni stupide ma purtroppo non ho conoscenze approfondite su questi temi e dai forum spesso non riesco ad ottenere informazioni chiare 🙂 Ho un'ultima questione: come posso mettere in sicurezza questo genere di chiamate? leggo di certificati ma non ho ben chiaro il funzionamento. Se qualcuno intercetta la chiamata o magari prova a connettersi con un specifico nome utente esistente su Alfresco potrebbe accedere ai documenti in Alfresco…
Spero di non abusare della tua pazienza 🙂