topic Re: Crear usuarios con Kerberos in Alfresco Archive

Crear usuarios con Kerberos

fstnboy — Wed, 10 Feb 2010 15:58:16 GMT

Buenas,me gustaria saber si es posible crear usuarios en alfresco 3.2 estando usando Kerberos contra AD. El usuario me dice que en la version 3.1.1 le era posible crear usuarios alfresco.Es tema de configuracion?

Re: Crear usuarios con Kerberos

cesarista — Wed, 10 Feb 2010 17:22:34 GMT

Hola:

Me imagino que en esa migración habeís tenido que cambiar la cadena de autenticación (que ahora va en alfresco-global.properties). Y en la cadena de autenticación, la primera de las autenticaciones se asume como de tipo mutable, es decir, se pueden crear usuarios. Igual va por ahí…

Si cuando dices usuarios alfresco, te refieres a usuarios que se autentican con la autenticación nativa de Alfresco, comprueba que tu variable authentication.chain comienza por alfresco y no por kerberos.

Luego, y dependiendo del sistema que hayas montado vas a poder hacer ciertas cosas, por ejemplo, puedes crear un usuario en un LDAP desde Alfresco pero no es posible editar la información de LDAP de usuario desde Alfresco.

Un saludo y me cuentas.

–C.

Re: Crear usuarios con Kerberos

fstnboy — Thu, 11 Feb 2010 08:13:33 GMT

Umm, yo lo que tengo en el authentication chain es lo siguiente:


authentication.chain=kb:kerberos
‍‍‍

En principio no dijeron nada de poder crear usuarios, entiendo q en produccion no podran crearlos, pero para hacer pruebas, quieren poder crear usuarios manualmente en alfresco con el "New User Wizard"

Re: Crear usuarios con Kerberos

cesarista — Thu, 11 Feb 2010 09:42:08 GMT

Según eso, deberían poder "crear" usuarios en el AD.

Un saludo.

–C.

Re: Crear usuarios con Kerberos

fstnboy — Thu, 11 Feb 2010 12:24:19 GMT

Al final han cambiado de idea, y en vez de poder crear usuarios desde alfresco (con este me referia a crear usuarios alfresco, no en el directorio activo) lo que kieren es importar los usuarios del directorio activo para poder establecer los permisos desde un principio.

Bueno pues he configurado alfresco para que haga lo debido, me conecto al AD pero no consigo importar nada.

He aqui la configuracion:


authentication.chain=kb:kerberos,ldap1:ldap-ad

# Kerberos
#
#————-
kerberos.authentication.realm=DOMINIO.COM
kerberos.authentication.sso.enabled=true
kerberos.authentication.authenticateCIFS=true
kerberos.authentication.user.configEntryName=Alfresco
kerberos.authentication.cifs.configEntryName=AlfrescoCIFS
kerberos.authentication.cifs.password=alfrescotestcifs
kerberos.authentication.http.configEntryName=AlfrescoHTTP
kerberos.authentication.http.password=alfrescotesthttp
kerberos.authentication.defaultAdministratorUserNames=administrador

#
# LDAP Synchronization
# This flag enables use of this LDAP subsystem for authentication. It may be
# that this subsytem should only be used for synchronization, in which case
# this flag should be set to false.
#———————–
ldap.authentication.active=false
ldap.authentication.java.naming.security.authentication=simple
ldap.authentication.userNameFormat=%s@dominio.com
ldap.authentication.allowGuestLogin=true
ldap.authentication.java.naming.provider.url=ldap://10.X.X.X:389

ldap.synchronization.active=true

ldap.synchronization.java.naming.security.principal=intranet@dominio.com
ldap.synchronization.java.naming.security.credentials=password

ldap.synchronization.queryBatchSize=1000

ldap.authentication.escapeCommasInUid=false

ldap.synchronization.personQuery=(objectclass=user)
ldap.synchronization.personDifferentialQuery=(objectclass=user)

ldap.synchronization.modifyTimestampAttributeName=modifyTimestamp
ldap.synchronization.timestampFormat=yyyyMMddHHmmss'.0Z'
ldap.synchronization.userIdAttributeName=sAMAccountName
ldap.synchronization.userFirstNameAttributeName=givenName
ldap.synchronization.userLastNameAttributeName=sn

ldap.synchronization.userEmailAttributeName=mail

ldap.synchronization.userOrganizationalIdAttributeName=company
ldap.synchronization.defaultHomeFolderProvider=userHomesHomeFolderProvider

ldap.synchronization.groupIdAttributeName=cn
ldap.synchronization.groupType=group
ldap.synchronization.personType=use
ldap.synchronization.groupMemberAttributeName=member

#
# Synchronization Configuration
#——————————-
synchronization.synchronizeChangesOnly=false
synchronization.import.cron=0 30 0 * * ?
synchronization.syncOnStartup=true
synchronization.syncWhenMissingPeopleLogIn=true
synchronization.autoCreatePeopleOnLogin=true
‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

Esto deberia importar todos los usuarios y grupos del directorio activo, no? Hay algo "raro"?

Re: Crear usuarios con Kerberos

cesarista — Thu, 11 Feb 2010 13:53:17 GMT

Si los datos de autenticación y sincronización son los correctos, verifica el cron de la sincronización, es decir cada cuanto tiempo se sincroniza, y traza el archivo de logs.

Añade esta opción en el log4j.properties por si hay problemas:


log4j.logger.org.alfresco.repo.security.sync=debug
‍‍‍

Un saludo.

–C.

Re: Crear usuarios con Kerberos

cesarista — Thu, 11 Feb 2010 14:03:33 GMT

En cualquier caso, no se exactamente que version 3.2 te gastas pero hay un par de cosas relacionadas reportadas en el jira:

https://issues.alfresco.com/jira/browse/ETHREEOH-2242
https://issues.alfresco.com/jira/browse/ETHREEOH-3770

Un saludo.

–C.

Re: Crear usuarios con Kerberos

fstnboy — Thu, 11 Feb 2010 15:58:04 GMT

Bueno, ya he conseguido importar usuarios, poco a poco.

Ahora, no se si se podra, me gustaria filtrar los usuarios, es decir, el directorio activo me esta devolviendo 1190 usuarios, cuando en activo solo hay unos 400. Hay alguna forma de filtrarlos?

He visto el atributo userAccountControl, pero aun poniendolo me saca los 1190…


ldap.synchronization.personQuery=(&(objectclass=user)(userAccountControl\:1.2.840.113556.1.4.803\:=512))
‍‍‍