https://connect.hyland.com/t5/alfresco-archive/alfresco-ldap-kerberos/m-p/84484#M56873 <HTML><HEAD></HEAD><BODY><SPAN>Hola a todos.</SPAN><BR /><SPAN>Llevo muy poco tiempo con Alfresco y necesito integrar LDAP con Alfresco.</SPAN><BR /><SPAN>La versión que se ha elegido es la Labs 3b (Full Setup) que incluye Tomcat, JDK, …</SPAN><BR /><SPAN>Alfresco está montado sobre un equipo con Windows XP (ServidorALF) y el Active Directory se encuentra en otra máquina con Windows 2003 (ServidorAD). Ambos en el mismo dominio ("XXX.Local")</SPAN><BR /><SPAN>Llevo varios días documentándome sobre el tema y probando, pero no he encontrado la forma de que funcione.</SPAN><BR /><SPAN>Conseguí instalar correctamente Alfresco + CIFS, pero al intentar la integración con LDAP (siguiendo los pasos que se indican en: </SPAN><A href="http://wiki.alfresco.com/wiki/Configuring_the_CIFS_and_web_servers_for_Kerberos/AD_integration" rel="nofollow noopener noreferrer">http://wiki.alfresco.com/wiki/Configuring_the_CIFS_and_web_servers_for_Kerberos/AD_integration</A><SPAN> ) nada de nada.</SPAN><BR /><SPAN>La verdad es que no se qué he podido haber hecho mal.</SPAN><BR /><SPAN>Basándome en las indicaciones del post anterior mis pasos fueron:</SPAN><BR /><SPAN>Primero debo decir que todas las operaciones que se realizaron en el equipo con AD se hicieron mediante conexión a escritorio remoto (no se si esto puede ser una fuente de problemas, como pasa por ejemplo al instalar SQL SERVER 2005, que ha de hacerse directamente sobre la propia máquina)</SPAN><BR /><SPAN>1) Crear 2 cuentas de usuario en ServidorAD. "Alfresco CIFS" y "Alfresco HTTP" tal y como indica en el documento.</SPAN><BR /><SPAN>2) Crear las key tables para los 2 usuarios creados en el paso anterior con la herramienta ktpass:</SPAN><BR /><SPAN>ktpass -princ cifs/servidorAlf.xxx.local@XXX.LOCAL&gt; -pass ClaveUsrCifs -mapuser xxx.local\alfrescocifs</SPAN><BR /><SPAN>-crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -mapop set +desonly -out c:\temp\alfrescocifs.keytab</SPAN><BR /><SPAN>y</SPAN><BR /><SPAN>ktpass -princ HTTP/servidorAlf.xxx.local.@XXX.LOCAL -pass ClaveUsrHttp -mapuser xxx.local\alfrescohttp</SPAN><BR /><SPAN>-crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -mapop set +desonly -out c:\temp\alfrescohttp.keytab</SPAN><BR /><SPAN>3) Crear los SPN para los 2 usuarios creados usando la herramienta setspn:</SPAN><BR /><SPAN>setspn -a cifs/servidorAlf alfrescocifs</SPAN><BR /><SPAN>setspn -a cifs/servidorAlf.xxx.local alfrescocifs</SPAN><BR /><SPAN>y</SPAN><BR /><SPAN>setspn -a http/servidorAlf alfrescohttp</SPAN><BR /><SPAN>setspn -a http/servidorAlf.xxx.local alfrescohttp</SPAN><BR /><SPAN>4) Copiar los key tables a ServidorAlf (Realmente los moví: los borré de ServidorAD).</SPAN><BR /><SPAN>5) Crear un fichero llamado krb5.ini de la siguiente forma:</SPAN><BR /><SPAN>[libdefaults]</SPAN><BR /><SPAN> default_realm = XXX.LOCAL</SPAN><BR /><BR /><SPAN>[realms]</SPAN><BR /><SPAN> XXX.LOCAL = {</SPAN><BR /><SPAN>&nbsp; kdc = servidorAD.XXX.LOCAL</SPAN><BR /><SPAN>&nbsp; admin_server = servidorAD.XXX.LOCAL</SPAN><BR /><SPAN>&nbsp; default_domain = XXX.LOCAL</SPAN><BR /><SPAN> }</SPAN><BR /><BR /><SPAN>[domain_realm]</SPAN><BR /><SPAN> xxx.local = XXX.LOCAL</SPAN><BR /><SPAN> .xxx.local = XXX.LOCAL</SPAN><BR /><SPAN>Este fichero lo almaceno en ServidorAD (dentro de C:\WINDOWS. Tambien me cree una carpeta "C:\WINNT" y lo copié aquí también, por si fallaba por no coincidir con la ruta del documento, pero nada)</SPAN><BR /><SPAN>6) Crear un fichero en java.login.config&nbsp; llamado java.login.config (En ServidorAD) de esta forma:</SPAN><BR /><SPAN>AlfrescoCIFS {</SPAN><BR /><SPAN>&nbsp;&nbsp; com.sun.security.auth.module.Krb5LoginModule required</SPAN><BR /><SPAN>&nbsp;&nbsp; storeKey=true</SPAN><BR /><SPAN>&nbsp;&nbsp; useKeyTab=true</SPAN><BR /><SPAN>&nbsp;&nbsp; keyTab="C:/etc/alfrescocifs.keytab"</SPAN><BR /><SPAN>&nbsp;&nbsp; principal="cifs/servidorAlf.xxx.local";</SPAN><BR /><SPAN>};</SPAN><BR /><BR /><SPAN>AlfrescoHTTP {</SPAN><BR /><SPAN>&nbsp;&nbsp; com.sun.security.auth.module.Krb5LoginModule required</SPAN><BR /><SPAN>&nbsp;&nbsp; storeKey=true</SPAN><BR /><SPAN>&nbsp;&nbsp; useKeyTab=true</SPAN><BR /><SPAN>&nbsp;&nbsp; keyTab="C:/etc/alfrescohttp.keytab"</SPAN><BR /><SPAN>&nbsp;&nbsp; principal="HTTP/servidorAlf.xxx.local&gt;";</SPAN><BR /><SPAN>};</SPAN><BR /><BR /><SPAN>7) Añadir en el fichero de configuración de java (java.security) la siguiente línea (en ServidorAD)</SPAN><BR /><SPAN>login.config.url.1=file:${java.home}/lib/security/java.login.config</SPAN><BR /><SPAN><span class="lia-unicode-emoji" title=":smiling_face_with_sunglasses:">😎</span> configurar el servidor Cifs para kerberos (file-servers.xml, en ServidorAlf)</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp; &lt;authenticator type="enterprise"&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;KDC&gt;ServidorAD.XXX.LOCAL&lt;/KDC&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;Realm&gt;XXX.LOCAL&lt;/Realm&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;Password&gt;ClaveUsrCifs&lt;/Password&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;Principal&gt;cifs/SeridorAlf.xxx.local@XXX.LOCAL&lt;/Principal&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp; &lt;/authenticator&gt;</SPAN><BR /><SPAN>9) Configurar el servidor web para kerberos (web.xml, en ServidorAlf)</SPAN><BR /><SPAN>&nbsp;&nbsp; &lt;filter&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp; &lt;filter-name&gt;Authentication Filter&lt;/filter-name&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp; &lt;filter-class&gt;org.alfresco.web.app.servlet.KerberosAuthenticationFilter&lt;/filter-class&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp; &lt;init-param&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;param-name&gt;KDC&lt;/param-name&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;param-value&gt;ServidorAD.XXX.LOCAL&lt;/param-value&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp; &lt;/init-param&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp; &lt;init-param&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;param-name&gt;Realm&lt;/param-name&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;param-value&gt;XXX.LOCAL&lt;/param-value&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp; &lt;/init-param&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp; &lt;init-param&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;param-name&gt;Password&lt;/param-name&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;param-value&gt;ClaveUsrHttp&lt;/param-value&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp; &lt;/init-param&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp; &lt;init-param&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;param-name&gt;Principal&lt;/param-name&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;param-value&gt;HTTP/ServidorAlf.xxx.local@XXX.LOCAL&lt;/param-value&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp; &lt;/init-param&gt;</SPAN><BR /><SPAN>&nbsp; &lt;/filter&gt;</SPAN><BR /><SPAN>10) Configurar el servidor WebDAV&nbsp; para kerberos (web.xml, en ServidorAlf)</SPAN><BR /><SPAN>&nbsp; &lt;filter&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp; &lt;filter-name&gt;WebDAV Authentication Filter&lt;/filter-name&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp; &lt;filter-class&gt;org.alfresco.repo.webdav.auth.KerberosAuthenticationFilter&lt;/filter-class&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp; &lt;init-param&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;param-name&gt;KDC&lt;/param-name&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;param-value&gt;ServidorAD.XXX.LOCAL&lt;/param-value&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp; &lt;/init-param&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp; &lt;init-param&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;param-name&gt;Realm&lt;/param-name&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;param-value&gt;XXX.LOCAL&lt;/param-value&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp; &lt;/init-param&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp; &lt;init-param&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;param-name&gt;Password&lt;/param-name&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;param-value&gt;ClaveUsrHttp&lt;/param-value&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp; &lt;/init-param&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp; &lt;init-param&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;param-name&gt;Principal&lt;/param-name&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;param-value&gt;HTTP/ServidorAlf.xxx.local@XXX.LOCAL&lt;/param-value&gt;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp; &lt;/init-param&gt;</SPAN><BR /><SPAN>&nbsp; &lt;/filter&gt;</SPAN><BR /><BR /><SPAN>Espero que alguien pueda ayudarme con esto.</SPAN><BR /><BR /><SPAN>Muchas gracias.</SPAN></BODY></HTML> Thu, 23 Oct 2008 16:34:40 GMT jmruiza 2008-10-23T16:34:40Z https://connect.hyland.com/t5/alfresco-archive/alfresco-ldap-kerberos/m-p/84484#M56873 Hola a todos.Llevo muy poco tiempo con Alfresco y necesito integrar LDAP con Alfresco.La versión que se ha elegido es la Labs 3b (Full Setup) que incluye Tomcat, JDK, …Alfresco está montado sobre un equipo con Windows XP (ServidorALF) y el Active Directory se encuentra en otra máquina con Windows 20 Thu, 23 Oct 2008 16:34:40 GMT https://connect.hyland.com/t5/alfresco-archive/alfresco-ldap-kerberos/m-p/84484#M56873 jmruiza 2008-10-23T16:34:40Z https://connect.hyland.com/t5/alfresco-archive/alfresco-ldap-kerberos/m-p/84485#M56874 <HTML><HEAD></HEAD><BODY><SPAN>Buenas,</SPAN><BR /><BR /><SPAN>Así a priori veo los siguientes problemas en los pasos que has seguido:</SPAN><BR /><BR /><SPAN>1. krb5.ini -&gt; este fichero debes configurarlo en la máquina donde ejecutes Alfresco, no en la de AD.</SPAN><BR /><SPAN>2. java.login.config -&gt; este fichero debes crearlo y configurarlo en la máquina virtual de java que utiliza Alfresco, no en el servidor de AD. La ruta (de memoria) es SDK_HOME/jre/lib/security/java.login.config</SPAN><BR /><BR /><SPAN>Por último recuerda que para poder utilizar Kerberos debes realizar la prueba desde una sesión de usuario abierta en el dominio, ya que de esa manera en la autenticación se enviará el ticket Kerberos que has obtenido al hacer logon en el dominio. Si no lo haces desde una sesión del dominio te pasará que el cliente no tiene ticket Kerberos e intentará una autenticación NTLM (te pedirá usuario y pass).</SPAN><BR /><BR /><SPAN>Suerte</SPAN></BODY></HTML> Fri, 31 Oct 2008 16:06:21 GMT https://connect.hyland.com/t5/alfresco-archive/alfresco-ldap-kerberos/m-p/84485#M56874 xian_5749 2008-10-31T16:06:21Z https://connect.hyland.com/t5/alfresco-archive/alfresco-ldap-kerberos/m-p/84486#M56875 <HTML><HEAD></HEAD><BODY><SPAN>xian muchas gracias por responder.</SPAN><BR /><BR /><SPAN>Al final nos hemos decantado por NTLM. Aunque ahora se nos ha presentado un error con CIFS, que parece ser un bug.</SPAN><BR /><SPAN>He encontrado un .patch que parece solucionarlo, pero ahora el problema es que no se cómo aplicar este .patch en windows.</SPAN></BODY></HTML> Wed, 05 Nov 2008 17:22:04 GMT https://connect.hyland.com/t5/alfresco-archive/alfresco-ldap-kerberos/m-p/84486#M56875 jmruiza 2008-11-05T17:22:04Z https://connect.hyland.com/t5/alfresco-archive/alfresco-ldap-kerberos/m-p/84487#M56876 <HTML><HEAD></HEAD><BODY><SPAN>¿Es posible usar kerberos con usuarios locales de máquina?</SPAN><BR /><BR /><SPAN>Gracias</SPAN></BODY></HTML> Wed, 07 Apr 2010 20:10:49 GMT https://connect.hyland.com/t5/alfresco-archive/alfresco-ldap-kerberos/m-p/84487#M56876 sutone 2010-04-07T20:10:49Z