cancel
Showing results for 
Search instead for 
Did you mean: 

Authentification ldap et synchronisation [RESOLU]

fmarin
Champ in-the-making
Champ in-the-making
bonjour

J'utilise une instance Alfresco Community 4.2.c, j'ai mis en place un ldap (sur ubuntu 12.04) peuplé avec Ldap Account Manager, et une synchronisation avec Alfresco et Share

L'identification est bien fonctionnelle (reposant sur une chaîne "ldap - ntlm"), mais je n'arrive pas à synchroniser les groupes, et ne trouve pas le moyen de récupérer des propriétés du ldap telles que mail externe ou interne, téléphone, organisation, …)

dans mon alfresco-global.properties :

ldap.authentication.active=true
authentication.chain=external1:external,alfrescoNtlm1:alfrescoNtlm,ldap1:ldap


dans mon ~/tomcat/shared/classes/alfresco/extension/subsystems/Authentication/ldap/ldap1/ldap-authentication.properties :


#mes modifications
ldap.authentication.java.naming.provider.url=ldap://localhost:389
ldap.authentication.defaultAdministratorUserNames=admin
ldap.synchronization.java.naming.security.principal=cn\=monCnAdministrateur,dc\=monDomaine,dc\=fr
ldap.synchronization.java.naming.security.credentials=monMotDePasse
ldap.synchronization.groupQuery=(objectclass\=groupOfUniquesNames)
ldap.synchronization.groupDifferentialQuery=(&(objectclass\=groupOfUniquesNames)(!(modifyTimestamp<\={0})))
ldap.synchronization.groupSearchBase=ou\=group,dc\=monDomain,dc\=fr
ldap.synchronization.userSearchBase=ou\=People,dc\=monDomain,dc\=fr
ldap.synchronization.defaultHomeFolderProvider=userHomesHomeFolderProvider
ldap.synchronization.groupDisplayNameAttributeName=cn
ldap.synchronization.groupType=groupOfUniquesNames
ldap.synchronization.groupMemberAttributeName=uniqueMember
ldap.synchronization.userIdAttributeName=uid
ldap.synchronization.userFirstNameAttributeName=givenName
ldap.synchronization.userLastNameAttributeName=sn
ldap.synchronization.userEmailAttributeName=mail
ldap.synchronization.userOrganizationalIdAttributeName=physicalDeliveryOfficeName:



Vous noterez que j'utilise également le SSO de Jasig, que j'essaie d'utiliser en fait, mais c'est une autre histoire

Frédéric

ps : le résultat dans le log de tomcat …

[security.sync.ChainingUserRegistrySynchronizer] [localhost-startStop-1] …

   …/…   Synchronizing users and groups with user registry 'ldap1'
   …/…   Retrieving all groups from user registry 'ldap1'
   …/…   ldap1 Group Analysis: Commencing batch of 0 entries
   …/…   ldap1 Group Analysis: Completed batch of 0 entries
   …/…   Retrieving users changed since 21 mai 2014 10:52:03 from user registry 'ldap1'
   …/…   ldap1 User Creation and Association: Commencing batch of 1 entries
   …/…   ldap1 User Creation and Association: Processed 1 entries out of 1. 100 % complete. Rate: 0 per second. 0 failures detected.
   …/…   ldap1 User Creation and Association: Completed batch of 1 entries
   …/…   Finished synchronizing users and groups with user registry 'ldap1'
   …/…   1 user(s) and 0 group(s) processed
[management.subsystems.ChildApplicationContextFactory] [localhost-startStop-1] Startup of 'Synchronization' subsystem, ID: [Synchronization, default] complete
4 REPLIES 4

cleseach
Star Contributor
Star Contributor
Bonjour Frédéric,

Il va être très compliqué de te répondre sans en connaître davantage sur l'organisation de ton annuaire.
Une petite description s'impose donc 🙂

Autre remarque : je ne suis pas certain qu'Alfresco 4.2.c soit la meilleure cible pour un usage en production. Je te conseille donc vivement de partir sur une 4.2.f

Cordialement,
Charles Le Seac'h

fmarin
Champ in-the-making
Champ in-the-making
je suis totalement d'accord avec toi en ce qui concerne l'usage de la 4.2.f en production … Smiley Happy (et c'est bien dans mes objectifs)

humm … j'aurais pu mettre la description … Smiley Happy

quelquechose comme cela te convient il ?

root@opmasus:/home/opm# ldapsearch -xLLL
dn: dc=alfeo,dc=fr
objectClass: top
objectClass: dcObject
objectClass: organization
o: alfeo
dc: alfeo

dn: cn=admin,dc=alfeo,dc=fr
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator

dn: ou=People,dc=alfeo,dc=fr
objectClass: organizationalUnit
ou: People

dn: ou=group,dc=alfeo,dc=fr
objectClass: organizationalUnit
ou: group

dn: ou=machines,dc=alfeo,dc=fr
objectClass: organizationalUnit
ou: machines

dn: cn=UnixAlfeo,ou=group,dc=alfeo,dc=fr
objectClass: posixGroup
gidNumber: 10000
cn: UnixAlfeo

dn: cn=dir,ou=group,dc=alfeo,dc=fr
objectClass: posixGroup
gidNumber: 10001
cn: dir
memberUid: cboch

dn: cn=codir,ou=group,dc=alfeo,dc=fr
objectClass: posixGroup
gidNumber: 10002
cn: codir
memberUid: cboch

dn: uid=cboch,ou=People,dc=alfeo,dc=fr
objectClass: posixAccount
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
homeDirectory: /home/cboch
loginShell: /bin/bash
uid: cboch
cn: Charles Boch
uidNumber: 10002
gidNumber: 10002
sn: Boch
givenName: Charles
mail: contact@mydomain.com
o: alfeo
initials: cb


Frédéric

cleseach
Star Contributor
Star Contributor
Bonjour Frédéric,

En ce qui concerne ton problème de synchronisation des groupes, il provient très certainement du fait que ton fichier de configuration spécifie que les groupes à synchroniser sont de la classe "groupOfUniquesNames" alors que les tiens sont des "posixGroup".

Cordialement,
Charles Le Seac'h

fmarin
Champ in-the-making
Champ in-the-making
et merci pour la suggestion

j'étais resté sur l'idée que mon annuaire ldap était totalement standard …

du coup j'ai fait le pointage de toutes les données de synchronisation et effectivement, cela synchronise mieux (notamment avec posixGroup pour les groupes Smiley Happy )

Frédéric