Hyland Community
Help
cancel
Turn on suggestions
Showing results for 
Search instead for 
Did you mean: 

Multiple LDAP no funciona

andre83
Champ in-the-making
Champ in-the-making

‎02-23-2016 09:29 AM

Buen día,

He realizado la configuración en Alfreco 5.0d para tener acceso sobre diferentes OU de un mismo AD, y al realizar la verificación no esta trayendo los usuarios del segundo ldap-ad-authentication.properties ubicado en la ruta: Alfresco\tomcat\shared\classes\alfresco\extension\subsystems\Authentication\ldap-ad\ad2  


Me base en el ejemplo de la documentación:  http://docs.alfresco.com/5.0/tasks/auth-example-twoldap-ad.html

Esta es mi configuración:

alfresco-global.properties:

ldap.authentication.active=true
# The default authentication chain
authentication.chain=alfinst:alfrescoNtlm,ad1:ldap-ad,ad2:ldap-ad
ntlm.authentication.sso.enabled=false

ad1–> ldap-ad-authentication.properties:

ldap.authentication.userNameFormat=%s@midominio.com
ldap.authentication.java.naming.factory.initial=com.sun.jndi.ldap.LdapCtxFactory
ldap.authentication.java.naming.provider.url=ldap://xxx.xx.x.xxx:xxx
ldap.authentication.java.naming.security.authentication=simple
ldap.authentication.escapeCommasInBind=false
ldap.authentication.escapeCommasInUid=false
ldap.authentication.defaultAdministratorUserNames=abril
ldap.synchronization.active=true
ldap.synchronization.java.naming.security.authentication=simple
ldap.synchronization.java.naming.security.principal=abril@midominio.com 
ldap.synchronization.java.naming.security.credentials=xxxxxxxxxx
ldap.synchronization.queryBatchSize=1000
ldap.synchronization.attributeBatchSize=1000
ldap.synchronization.groupQuery=(objectclass\=group)
ldap.synchronization.groupDifferentialQuery=(&(objectclass\=group)(!(whenChanged<\={0})))
ldap.synchronization.personQuery=(&(objectclass\=user)(userAccountControl\:1.2.840.113556.1.4.803\:\=512))
ldap.synchronization.personDifferentialQuery=(&(objectclass\=user)(userAccountControl\:1.2.840.113556.1.4.803\:\=512)(!(whenChanged<\={0})))
ldap.synchronization.groupSearchBase=ou=A,ou=U,ou=Col,dc=midominio,dc=com
ldap.synchronization.userSearchBase=ou=A,ou=U,ou=Col,dc=midominio,dc=com
ldap.synchronization.modifyTimestampAttributeName=whenChanged
ldap.synchronization.timestampFormat=yyyyMMddHHmmss'.0Z'
ldap.synchronization.userIdAttributeName=sAMAccountName
ldap.synchronization.userFirstNameAttributeName=givenName
ldap.synchronization.userLastNameAttributeName=sn
ldap.synchronization.userEmailAttributeName=mail
ldap.synchronization.userOrganizationalIdAttributeName=company
ldap.synchronization.defaultHomeFolderProvider=largeHomeFolderProvider
ldap.synchronization.groupIdAttributeName=cn
ldap.synchronization.groupDisplayNameAttributeName=displayName
ldap.synchronization.groupType=group
ldap.synchronization.personType=user
ldap.synchronization.groupMemberAttributeName=member
ldap.synchronization.enableProgressEstimation=true
ldap.authentication.java.naming.read.timeout=0


ad2–> ldap-ad-authentication.properties: Lo único que varia:

ldap.synchronization.groupSearchBase=ou=B,ou=Arg,dc=midominio,dc=com
ldap.synchronization.userSearchBase=ou=B,ou=Arg,dc=midominio,dc=com


He mirado en varios foros y lo que cambia es el nombre de las carpetas, de fondo es la misma configuración, no se que puede estar pasando, solicito orientación.
Una de las opciones esta en implementar un modulo pero no se si esto sirva ya que no lo vea avalado por ustedes, esta es:
https://github.com/magenta-aps/ldap-multi-search-base

Gracias por su atención.
Labels:
0 Kudos
10 REPLIES 10

angelborroy
Community Manager Community Manager
Community Manager

‎02-24-2016 04:54 AM

La configuración parece correcta y el ejemplo que has seguido es adecuado. Por otra parte, el módulo al que haces referencia no lo he utilizado, pero proviene de unos desarrolladores experimentados, así que debería funcionar.

Te recomendaría que como primera opción activases los logs de DEBUG para ldap, de esta manera podrás ver si está arrancado los dos subsistimos y qué operaciones está realizando.
Hyland Developer Evangelist
0 Kudos

andre83
Champ in-the-making
Champ in-the-making
In response to angelborroy

‎02-24-2016 08:44 AM

Buen día Ángel,

Gracias por tu observación, hice la activación de los logs en el log4j.properties que está en /tomcat/webapps/alfresco/WEB-INF/classes:

log4j.logger.org.alfresco.web.app.servlet.NTLMAuthenticationFilter=debug
log4j.logger.org.alfresco.repo.webdav.auth.NTLMAuthenticationFilter=debug
log4j.logger.org.alfresco.repo.security=debug
log4j.logger.org.alfresco.repo.security.sync=debug


En este log alfrescotomcat-stdout se observa un error, pero no me queda muy claro, porque al usar una sola conexion de Ldap si funciona:

2016-02-24 10:30:25,186  INFO  [management.subsystems.ChildApplicationContextFactory] [localhost-startStop-1] Starting 'Authentication' subsystem, ID: [Authentication, managed, ad2]
2016-02-24 10:30:25,207  DEBUG [authentication.ldap.LDAPInitialDirContextFactoryImpl] [localhost-startStop-1] after Properties Set
2016-02-24 10:30:25,209  WARN  [authentication.ldap.LDAPInitialDirContextFactoryImpl] [localhost-startStop-1] LDAP server supports anonymous bind ldap://xxx.xx.x.xxx:xxx
2016-02-24 10:30:25,211  INFO  [authentication.ldap.LDAPInitialDirContextFactoryImpl] [localhost-startStop-1] LDAP server does not fall back to anonymous bind for a string uid and password at ldap://xxx.xx.x.xxx:xxx
2016-02-24 10:30:25,214  INFO  [authentication.ldap.LDAPInitialDirContextFactoryImpl] [localhost-startStop-1] LDAP server does not fall back to anonymous bind for a simple dn and password at ldap://xxx.xx.x.xxx:xxx
2016-02-24 10:30:25,217  INFO  [management.subsystems.ChildApplicationContextFactory] [localhost-startStop-1] Startup of 'Authentication' subsystem, ID: [Authentication, managed, ad2] complete



Por otro lado quisiera saber si para poder implementar el modulo del https://github.com/magenta-aps/ldap-multi-search-base me podrías colaborar generando los AMPs compilados para versión 5, por que no manejo maven para realizar esta converison ya que los fuentes están como .zip.

Quedo atenta a tus comentarios.
0 Kudos

andre83
Champ in-the-making
Champ in-the-making
In response to angelborroy

‎02-24-2016 03:52 PM

Hola Angel,

Mil gracias por tu ayuda, realice el proceso para el despliegue pero no me reconoce el modulo, adjunto los pantallazos en un archivo para validarlos.

En todo caso mientras tanto voy a probar desinstalando alfresco e instalarlo nuevamente para probar si funciona el modulo. Smiley Frustrated

Si puedes darme alguna luz te agradezco mucho.


0.png
123 KB
0 Kudos

angelborroy
Community Manager Community Manager
Community Manager

‎02-25-2016 03:43 AM

El módulo está instalado, lo que ocurre es que es un módulo de repositorio (alfresco.war). Esa pantalla de la que adjuntas pantallazos solo muestra los módulos de share (share.war).
Hyland Developer Evangelist
0 Kudos

angelborroy
Community Manager Community Manager
Community Manager

‎02-25-2016 03:43 AM

El módulo está instalado, lo que ocurre es que es un módulo de repositorio (alfresco.war). Esa pantalla de la que adjuntas pantallazos solo muestra los módulos de share (share.war).
Hyland Developer Evangelist
0 Kudos

andre83
Champ in-the-making
Champ in-the-making

‎02-25-2016 11:25 AM

Hola Angel,

buenas Noticias, haciendo de nuevo la instalación teniendo en cuenta lo que dijiste del desplegué el modulo, y todo funciono bien!! Tengo 5 Ldap configurados y esta autenticando a los usuarios.

Te agradezco mucho toda tu orientación!!!! Smiley Happy

Una ultima consulta, si yo quisiera des-instalar este modulo, que pasos se deben seguir?, ya que cuando agrego nuevos ldap después de los que ya tengo… no los toma, por lo que supongo debo quitarlo y volverlo a poner para que tome una sola configuración.

Intente lo siguiente:
java -jar ./bin/alfresco-mmt.jar list tomcat/webapps/alfresco
java -jar ./bin/alfresco-mmt.jar uninstall ldap-multi-search-base tomcat/webapps/alfresco

Lo desinstala pero los usuarios sincronizados nuca se borran, al instalar nuevamente el amp no cambia la configuración, hay alguna manera de borrar el registro de la aplicacion? para no tener que desinstalar alfresco por completo.
0 Kudos

angelborroy
Community Manager Community Manager
Community Manager

‎02-25-2016 03:50 PM

Enhorabuena!

El comportamiento que comentas es raro. No obstante, para desinstalar un módulo utiliza 
java -jar bin/alfresco-mmt.jar uninstall <ModuleId> <WARFileLocation>‍
. Tienes más documentación en http://docs.alfresco.com/community/tasks/uninstall-amp.html
Hyland Developer Evangelist
0 Kudos

andre83
Champ in-the-making
Champ in-the-making

‎02-25-2016 03:59 PM

Hola Angel,

Intente lo siguiente:
java -jar ./bin/alfresco-mmt.jar list tomcat/webapps/alfresco
java -jar ./bin/alfresco-mmt.jar uninstall ldap-multi-search-base tomcat/webapps/alfresco

Lo desinstala pero los usuarios sincronizados nuca se borran, al instalar nuevamente el amp no cambia la configuración, hay alguna manera de borrar el registro de la aplicacion? para no tener que desinstalar alfresco por completo.
0 Kudos
Getting started

Tags

Find what you came for

We want to make your experience in Hyland Connect as valuable as possible, so we put together some helpful links.

Copyright © 2025 Khoros, LLC
Top