Hyland Community
Help
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

Usuarios externos en Alfresco y SSO passthru

cesarista
World-Class Innovator
World-Class Innovator

‎08-01-2011 08:38 AM

Hola:

Tengo una cadena de autenticacion del tipo:

<pre>
authentication.chain=alfrescoNtlm1:alfrescoNtlm,passthru1Smiley Tongueassthru,ldap1:ldap-ad
</pre>

y dos conjuntos de usuarios, uno en Alfresco y otro en el directorio activo (AD), que sincronizo via LDAP. Hasta ahi va todo bien.

Me puedo loguear sin problema con los usuarios correspondientes y puedo administrar los usuarios "externos" con Alfresco desde su interfaz.

Cuando activo el SSO para los usuarios internos (AD) del AD veo que:
- Necesito que passthru sea el primero en la cadena autenticacion (mutable) –> y el SSO de usuarios internos funciona.
- El otro conjunto de usuarios "externos" no se autentica (?).
- Ademas no puedo administrarlos porque ya no es el subsistema mutable.

¿ Tiene esto sentido ? ¿ Puedo tener un conjunto de usuarios externos gestionados y administrados en Alfresco, y tener SSO de red contra el AD ?

Un saludo.

–C.
Labels:
0 Kudos
44 REPLIES 44

venzia
Star Collaborator
Star Collaborator

‎08-11-2011 08:47 AM

Hola Cesar .. no hace mucho (con lo cual aun lo tengo frequito) llevamos a cabo una instalación de alfresco con la siguiente cadena de autenticacion "authentication.chain=passthru1Smiley Tongueassthru,ldap-ad1:ldap-ad,ldap1:ldap".
En nuestro caso los usuarios "extenos" vienen de otro ldap, en el tuyo de AlfrescoNtlm .. comprueba si con este orden te deja autenticar, aunque supongo que ya lo habras probado.
En caso que no des con la tecla dime y exprimo la docu que tengo al respecto.
Saludos y suerte!
Venzia IT Services & Consulting SL
AQuA Developers | Venzia Alfresco News | Venzia Community
0 Kudos

cesarista
World-Class Innovator
World-Class Innovator

‎08-11-2011 09:20 AM

Gracias Javier,

La verdad es que no se si me he expresado muy bien arriba pero va en linea con tu respuesta. Cuando tengo esto, si me funciona el SSO de AD:

<pre>
authentication.chain=passthru1Smiley Tongueassthru,ldap1:ldap-ad,alfrescoNtlm1:alfrescoNtlm
</pre>

pero no me funciona la autenticación con los usuarios externos en alfrescoNtlm1:alfrescoNtlm

Me da la sensación que el SSO activo hace que dos cadenas potenciales de usuarios compitan por el mismo (passthru1, alfrescoNtlm1) y solo tiene SSO la primera de ellas en la cadena. Además de esta manera la cadena mutable (en la que se pueden crear usuarios es passthru AD y no alfresco), lo cual no me sirve para gestionar/administrar los usuarios externos desde Alfresco. Pero no es mala saber que con otro ldap me puedo arreglar el problema la verdad.

Un saludo.

–C.
0 Kudos

venzia
Star Collaborator
Star Collaborator

‎08-11-2011 11:21 AM

Me alegro que al menos ahora tengas otra "variante" ..
Y teniendo en cuenta q
Además de esta manera la cadena mutable (en la que se pueden crear usuarios es passthru AD y no alfresco), lo cual no me sirve para gestionar/administrar los usuarios externos desde Alfresco
obviamente de poco vale el caso en el que se pueda dejar funcionando si dichos usuarios "externos" no son gestionables desde Alfresco.
Ya por simple curiosidad voy a bucear en mi archivo por si veo algo al respecto.
Saludos!
Venzia IT Services & Consulting SL
AQuA Developers | Venzia Alfresco News | Venzia Community
0 Kudos

cesarista
World-Class Innovator
World-Class Innovator

‎10-06-2011 08:25 AM

Hola de nuevo:

Al final lo oriente como comentabas pero sigo teniendo problemas con el SSO cuando tengo varios subsistemas de autenticacion (para la auth). Y aqui mi pregunta. ¿ Es posible configurar (lo habeis hecho alguna vez?) para Share un sistema de SSO con passthru y con otras cadenas de autenticacion disponibles (otros ldaps o lo que sea…) ?

Un saludo.

–C.
0 Kudos

cesarista
World-Class Innovator
World-Class Innovator

‎10-06-2011 08:29 AM

Por cierto Javier:

En el orden que me mencionabas la cadena, con el passthru delante tenia problemas para autenticarme con los usuarios del ldap, de manera análoga a lo que me sucedía con alfrescoNtml (curioso este patron). Tuve que cambiar la cadena y poner el ldap primero.

Un saludo.

–C.
0 Kudos

angelmartinboni
Confirmed Champ
Confirmed Champ
In response to cesarista

‎08-23-2017 07:39 AM

Buenas,

he leído este hilo porque tengo un problema parecido.

Resulta que en mi empresa tengo creado un usuario en Alfresco, que obviamente no está en LDAP porque es impersonal, digamos que es de pruebas. Lo usamos para lanzar webservices, pero falla cuando hace la autenticación contra LDAP y no contra Alfresco:

17:00:11,115 DEBUG [org.alfresco.repo.security.authentication.AuthenticationComponentImpl] Authenticating user "userPentaho"
17:00:11,119 DEBUG [org.alfresco.repo.security.authentication.AuthenticationComponentImpl] Setting the current user to "userPentaho"
17:00:11,120 DEBUG [org.alfresco.repo.security.authentication.AuthenticationComponentImpl] User "userPentaho" authenticated successfully
17:00:13,453 DEBUG [org.alfresco.repo.security.authentication.ldap.LDAPAuthenticationComponentImpl] Authenticating user "userPentaho"
17:00:13,479 DEBUG [org.alfresco.repo.security.authentication.ldap.LDAPAuthenticationComponentImpl] Failed to authenticate user "userPentaho"
org.alfresco.repo.security.authentication.AuthenticationException: 0722396591 Failed to resolve user: userPentaho

También salta un error de "closed socket"... y creo que por eso nos salta un error 500, por cierto.

¿Debería seguir hacia delante no? es decir, ve que en LDAP no está pero en Alfresco sí y listo ¿no?

En una instancia de Desarrollo, donde no salta ese error, no se se hace la autenticación contra LDAP y está así:

authentication.chain=alfrescoNtlm1:alfrescoNtlm,ldap-ad1:ldap-ad

...

#20161202 - Hemos desactivado la autenticaci\u00f3n con passthru
#ntlm.authentication.sso.enabled=true
ntlm.authentication.sso.enabled=false

...

ldap.authentication.defaultAdministratorUserNames=admin

No tengo muy claro en qué afecta el orden en el chain...

¿por qué intenta autenticarlo en LDAP y falla? cuando sabemos que no está y debería ignorarlo ¿no?

Gracias de antemano.

Saludos. Angel.

0 Kudos

angelborroy
Community Manager Community Manager
Community Manager

‎08-23-2017 08:37 AM

No entiendo muy bien la pregunta. 

Si en tu cadena de autenticación aparece

authentication.chain=alfrescoNtlm1:alfrescoNtlm,ldap-ad1:ldap-ad

Alfresco intenta autenticar al usuario por id de usuario y contraseña contra su propia base de datos en primer lugar y después contra LDAP. En caso de que tengáis además un sistema SSO configurado, quizá estéis afectados por este problema:

https://github.com/keensoft/alf-21757-repo

Hyland Developer Evangelist
0 Kudos

cesarista
World-Class Innovator
World-Class Innovator
In response to angelborroy

‎08-23-2017 11:52 AM

Angel Borroy‌ Este problema al que haces referencia, sabes si es aplicable también al SSO de AlfrescoNtlm, además del de Kerberos ? Basicamente lo que me ha ocurrido alguna vez es que si activas el SSO de AlfrescoNtlm, no funciona webdav (reto NTML), ni el cliente móvil o la capa de servicios.

Saludos.

--C.

0 Kudos

angelborroy
Community Manager Community Manager
Community Manager
In response to cesarista

‎08-23-2017 01:07 PM

‌ es aplicable a cualquier subsistema de autenticación SSO.

Si te fijas, el parche consiste básicamente en comentar los filtros de autenticación en WebDAV y en API.

Hyland Developer Evangelist
Getting started

Tags

Find what you came for

We want to make your experience in Hyland Connect as valuable as possible, so we put together some helpful links.

Copyright © 2024 Khoros, LLC