Bonjour,
Je cherche à intégrer Typo3 et Alfresco, de façon à afficher sur le portail les documents de l'utilisateur stockés dans Alfresco. C'est un nouveau projet, on utilise la version 4 (mais si vous me dites que notre problème est résolu par une nightly, c'est potentiellement suffisant pour l'instant
).
Typo3 et Alfresco s'appuient sur le même serveur LDAP, l'authentification fonctionne des deux côtés (avec un mot de passe ou directement en NTLM).
J'ai également configuré Alfresco avec une authentification externe en premier dans la chaine d'authentication, de façon à ce qu'un header X-Alfresco-Remote-User dans la requête HTTP permette d'être directement authentifié. J'ai testé, si je tape directement sur l'interface web d'Alfresco avec ce header défini, ça fonctionne.
Reste à "brancher" Typo3 et Alfresco ensemble, via CMIS.
Pour ça, j'ai installé l'extension atol_cmis de typo3, et l'ai configurée avec le login/mdp de l'admin alfresco (par défaut cette extension est configurée avec un user/mdp statique qu'elle pousse vers les endpoints CMIS Alfresco en utilisant une authentification HTTP Basic via curl). Ça fonctionne. J'ai également essayé avec mon login/mdp LDAP (non défini dans la base locale d'utilisateurs Alfresco), ça fonctionne aussi.
Seulement ce que je voudrais, c'est utiliser le nom de l'utilisateur connecté à Typo3 (et non pas toujours le même, pour que mon visiteur ne voie que ses propres documents, et pas toute l'arborescence). Je ne peux pas stocker le mot de passe de l'utilisateur en session, parce qu'il ne le saisit pas s'il utilise NTLM (la majorité des cas).
J'ai donc patché l'extension pour ne pas faire d'authentification Http-Basic, et envoyer à la place le nom d'utilisateur dans un header X-Alfresco-Remote-User (i.e. utiliser l'authentification 'external'). Le header est bien envoyé (vérifié en capturant le trafic réseau), par contre le moteur CMIS d'Alfresco renvoie un 401 Unauthorized et exige une authentification Basic (i.e. il ignore complètement l'authenticateur external dans la chaine d'authentication Alfresco).
Le connecteur CMIS est-il compatible avec l'authentification external ?
Si oui, quelle configuration faut-il utiliser pour qu'il la prenne en compte ?
Pour l'instant ma config est celle récupérée dans le Wiki, à savoir :
A défaut, j'ai pensé à trois stratégies :
- soit en demandant un filtrage plus précis à Alfresco (il me semble qu'une requête CMIS utilise un langage proche de SQL, du style "select * from cmis:document" ==> je me demande s'il est possible d'y ajouter un truc du style "inner join ACLs on … where ACLs.userName=xxxx" ?). Je ne connais pas assez CMIS pour savoir faire ça, mais si vous m'indiquez une solution je saurai l'implémenter dans l'appel depuis Typo3.
- soit en récupérant les ACLs des documents lus depuis Alfresco, et en n'affichant que ceux qui ont une permission cms:read pour l'utilisateur connecté (la solution à défaut de tout le reste, mais cela suppose qu'Alfresco va renvoyer beaucoup plus de document que ceux affichés au final, donc j'aimerais éviter)
- patcher Alfresco pour que ça fonctionne (mais je ne connais pas du tout le code d'Alfresco, ni CMIS).
Qu'en pensez-vous ?
Existe-t-il une solution qui fonctionne "out of the box" (i.e. sans trop de développement) pour coupler CMIS et auth external ?
Merci
Je cherche à intégrer Typo3 et Alfresco, de façon à afficher sur le portail les documents de l'utilisateur stockés dans Alfresco. C'est un nouveau projet, on utilise la version 4 (mais si vous me dites que notre problème est résolu par une nightly, c'est potentiellement suffisant pour l'instant
).Typo3 et Alfresco s'appuient sur le même serveur LDAP, l'authentification fonctionne des deux côtés (avec un mot de passe ou directement en NTLM).
J'ai également configuré Alfresco avec une authentification externe en premier dans la chaine d'authentication, de façon à ce qu'un header X-Alfresco-Remote-User dans la requête HTTP permette d'être directement authentifié. J'ai testé, si je tape directement sur l'interface web d'Alfresco avec ce header défini, ça fonctionne.
Reste à "brancher" Typo3 et Alfresco ensemble, via CMIS.
Pour ça, j'ai installé l'extension atol_cmis de typo3, et l'ai configurée avec le login/mdp de l'admin alfresco (par défaut cette extension est configurée avec un user/mdp statique qu'elle pousse vers les endpoints CMIS Alfresco en utilisant une authentification HTTP Basic via curl). Ça fonctionne. J'ai également essayé avec mon login/mdp LDAP (non défini dans la base locale d'utilisateurs Alfresco), ça fonctionne aussi.
Seulement ce que je voudrais, c'est utiliser le nom de l'utilisateur connecté à Typo3 (et non pas toujours le même, pour que mon visiteur ne voie que ses propres documents, et pas toute l'arborescence). Je ne peux pas stocker le mot de passe de l'utilisateur en session, parce qu'il ne le saisit pas s'il utilise NTLM (la majorité des cas).
J'ai donc patché l'extension pour ne pas faire d'authentification Http-Basic, et envoyer à la place le nom d'utilisateur dans un header X-Alfresco-Remote-User (i.e. utiliser l'authentification 'external'). Le header est bien envoyé (vérifié en capturant le trafic réseau), par contre le moteur CMIS d'Alfresco renvoie un 401 Unauthorized et exige une authentification Basic (i.e. il ignore complètement l'authenticateur external dans la chaine d'authentication Alfresco).
Le connecteur CMIS est-il compatible avec l'authentification external ?
Si oui, quelle configuration faut-il utiliser pour qu'il la prenne en compte ?
Pour l'instant ma config est celle récupérée dans le Wiki, à savoir :
authentication.chain=external1:external,alfrescoNtlm1:alfrescoNtlm,passthru1:passthru,ldap1:ldap-ad
##
external.authentication.enabled=true
external.authentication.defaultAdministratorUserNames=Administrateur
external.authentication.proxyUserName=
##
ntlm.authentication.sso.enabled=false
ntlm.authentication.mapUnknownUserToGuest=false
alfresco.authentication.authenticateCIFS=false
##
passthru.authentication.authenticateCIFS=true
passthru.authentication.domain=MyDOM
passthru.authentication.servers=mydom.fr
passthru.authentication.defaultAdministratorUserNames=Administrateur
##
ldap.authentication.active=false
ldap.synchronization.active=true
ldap.authentication.allowGuestLogin=false
ldap.authentication.userNameFormat=%s@mydom.fr
ldap.authentication.java.naming.provider.url=ldap://mydom.fr:389
ldap.authentication.defaultAdministratorUserNames=Administrateur
ldap.synchronization.groupSearchBase=ou=Groupes,dc=mydom,dc=fr
ldap.synchronization.userSearchBase=ou=Web-Ax-Users,dc=mydom,dc=fr
# Ci-dessous mettre un user/mdp valide pour se connecter à l’AD
ldap.synchronization.java.naming.security.principal=sync@mydom.fr
ldap.synchronization.java.naming.security.credentials=xxxxxxxxxxxxx<mot de passe>
A défaut, j'ai pensé à trois stratégies :
- soit en demandant un filtrage plus précis à Alfresco (il me semble qu'une requête CMIS utilise un langage proche de SQL, du style "select * from cmis:document" ==> je me demande s'il est possible d'y ajouter un truc du style "inner join ACLs on … where ACLs.userName=xxxx" ?). Je ne connais pas assez CMIS pour savoir faire ça, mais si vous m'indiquez une solution je saurai l'implémenter dans l'appel depuis Typo3.
- soit en récupérant les ACLs des documents lus depuis Alfresco, et en n'affichant que ceux qui ont une permission cms:read pour l'utilisateur connecté (la solution à défaut de tout le reste, mais cela suppose qu'Alfresco va renvoyer beaucoup plus de document que ceux affichés au final, donc j'aimerais éviter)
- patcher Alfresco pour que ça fonctionne (mais je ne connais pas du tout le code d'Alfresco, ni CMIS).
Qu'en pensez-vous ?
Existe-t-il une solution qui fonctionne "out of the box" (i.e. sans trop de développement) pour coupler CMIS et auth external ?
Merci
