topic Re: LDAPS in Alfresco Archive

LDAPS

msaenz — Fri, 21 Jan 2022 17:22:14 GMT

Buenas tardes compañeros, molestando con una pregunta

En la empresa donde trabajo se hizo una configuracion y sincronizacion para conectar alfresco con un directorio activo, eso funcionó de manera correcta

Sin embargo ahora se requiere realizar lo mismo pero con un directorio activo que cuenta con un certificado SSL. Mi pregunta es, donde tendría yo que insertar el certificado Ssl del directorio activo en mi alfresco para establecer la. Comunicación y que configuración adicional se necesita?

De antemano gracias, saludos!!

Re: LDAPS

angelborroy — Mon, 24 Jan 2022 10:41:45 GMT

La configuración adicional está disponible en el repositorio.

# LDAPS truststore configuration properties
ldap.authentication.truststore.path =
ldap.authentication.truststore.passphrase=
ldap.authentication.truststore.type=
# Set to 'ssl' to enable truststore configuration via subsystem's properties
ldap.authentication.java.naming.security.protocol=ssl

Puedes añadirla en alfresco-global.properties o usar variables de entorno.

Re: LDAPS

msaenz — Mon, 24 Jan 2022 17:53:12 GMT

Gracias por tu aporte como siempre oportuno Angel, una cuestión más si eres tan amable

Cuento con los archivos de los certificados, podrías explicarme en que sitio se deben colocar y como sería el path de los mismos desde al alfresco-global.properties he visto algunos tutoriales pero no me queda claro

De antemano gracias, saludos!!

Re: LDAPS

angelborroy — Tue, 25 Jan 2022 08:22:19 GMT

Necesitas crear un truststore para configurar Alfresco e importar tus certificados en ese almacén.

Una vez que lo tengas creado (puedes incluir una contraseña o no), las propiedades que debes informar son las que incluí en el comentario anterior.

# Ubicación física del truststore
ldap.authentication.truststore.path = /opt/alfresco/keystores/ldap-truststore.truststore
# Contraseña del almacén, si la tiene (en este ejemplo uso "pass")
ldap.authentication.truststore.passphrase=pass
# Tipo del truststore
ldap.authentication.truststore.type=JCEKS

Puedes crear el almacén utilizando la herramienta keytool de Java.

keytool -import -trustcacerts -noprompt -alias ldap.ca -file tu-certificado.pem \
  -keystore ldap-truststore.truststore -storetype JCEKS -storepass pass

Re: LDAPS

msaenz — Tue, 01 Feb 2022 03:31:38 GMT

Buenas noches Angel

Solicitando nuevamente tu apoyo, conforme lo que me comentaste tengo la siguiente configuración, pero me marca un error en los logs, indicando que no se encuentra el certificado. El error como tal es el que se describe a continuación

Failed to communicate with ldaps://VWTUTDCPP001.pemex.pmx.com:636. Reason javax.naming.CommunicationException, simple bind failed: VWTUTDCPP001.pemex.pmx.com:636, javax.net.ssl.SSLHandshakeException, sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target, sun.security.validator.ValidatorException, PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target, sun.security.provider.certpath.SunCertPathBuilderException, unable to find valid certification path to requested target

Parece que no encuentra el certificado en la ruta especificada, podrías indicarme si estoy realizando mal un paso de favor ? En el alfresco-global.properties tengo lo siguiente

ldap.authentication.truststore.path = /filestore/alfresco-content-services-test6/alf_data/keystore
ldap.authentication.truststore.passphrase=kT9X6oe68t
ldap.authentication.truststore.type=JCEKS

Anexo además una imagen de donde tengo guardado el certificado (el mismo está marcado en amarillo), que está en la ruta siguiente: instancia_alfresco/alf_data/keystore

Mmuchas gracias de antemano, saludos!!

Re: LDAPS

angelborroy — Tue, 01 Feb 2022 08:56:29 GMT

Entiendo que ese certificado almacenado en el fichero ssl.truststore incluye el certificado público del LDAPs.

Además, la propiedad requiere el nombre del fichero, no de la carpeta.

ldap.authentication.truststore.path = /filestore/alfresco-content-services-test6/alf_data/keystore/ssl.truststore

Re: LDAPS

msaenz — Tue, 01 Feb 2022 20:04:51 GMT

Gracias por tu respuesta Angel, me parece que me faltó explicación en mi comentario anterior de lo que realice, te describo los pasos que hice para tener mayor claridad

1) El certificado que me proporcionarion lleva por nombre VWTUTDCPP002.cer.

2)Cree un almacén de confianza llamado ldap-truststore.truststore con el siguiente comando : keytool -import -trustcacerts -noprompt -alias ldap.ca -file /filestore/alfresco-content-services-test6/alf_data/keystore/VWTUTDCPP002.cer -keystore /filestore/alfresco-content-services-test6/alf_data/keystore/ldap-truststore.truststore -storetype JCEKS -storepass kT9X6oe68t

3) Al parecer lo anterior no genera problemas, ya que me dice que el certificado fue agregado correctamente

4) En mi alfresco-global.properties agrego las siguientes líneas

ldap.authentication.truststore.path = /filestore/alfresco-content-services-test6/alf_data/keystore/ldap-truststore.truststore
ldap.authentication.truststore.passphrase=kT9X6oe68t
ldap.authentication.truststore.type=JCEKS
ldap.authentication.java.naming.security.protocol=ssl

5) Al reiniciar el servidor en los logs me pinta este nuevo error

Desconozco si estoy pasando algo por alto, espero puedas apoyarme de favor

De antemano gracias, saludos!!

Re: LDAPS

angelborroy — Wed, 02 Feb 2022 08:31:19 GMT

Entiendo que el certificado VWTUTDCPP002.cer no es autofirmado. Deberás incluir por tanto en el almacén ldap-truststore.truststore también el certificado público de la CA que emite ese certificado.