cancel
Showing results for 
Search instead for 
Did you mean: 

je suis en train de monter un prototype d'alfresco...

lascaux_2774
Confirmed Champ
Confirmed Champ
Bonjour,

je suis en train de monter un prototype d'alfresco tournant sous JBoss …
je suis actuellement sur la version 1.4 Community Network (j'attends la version Enterprise)

Mon besoin est le suivant :

j'ai 2 groupes d'utilisateurs definis dans l'active directory qui doivent avoir l'accès à Alfresco : ALFRESCO_READ, ALFRESCO_WRITE
je dois donc permettre aux users du domaine se connectant à alfresco d'etre accepté si ils sont reconnu dans l'un des 2 groupes sans passer par la phase login/password.

1) Faut-il utiliser NTML + LDAP ou LDAP authentication + synchro ? je n'arrive pas a trouver d'expliquer clair la dessus.

2) Peut-on assigner directement les droits lorsqu'un user est dupliqué dans Alfresco ?
A savoir :
- si l'utilisateur provient du groupe ALFRESCO_READ, il aura des droits en lecture sur les documents,
- si l'utilisateur provient du groupe ALFRESCO_WRITE, il aura des droits de publier des nouveaux documents.

Merci

Sylvain
7 REPLIES 7

lme
Champ in-the-making
Champ in-the-making
Bonjour,

Il faut bien dissocier 2 choses dans le LDAP. Il y a d'une part la partie authentification (qui fait simplement un bind sur le serveur LDAP avec le nom d'utilisateur et le mot de passe entrés sur la page de login), et une seconde partie qui est la synchro entre des utilisateurs et des groupes présents dans un LDAP et les utilisateurs d'Alfresco. Cette synchronisation est uniquement présente pour avoir une liste des utilisateurs (nom, prénom, adresse email) et des groupes peuplés automatiquement.

Dans un environnement Active Directory, il est préférable d'utiliser :
- authentification : NTLM, ça règle pas mal de problème par rapport à l'arborescence d'AD et ça permet le SSO
- synchro : LDAP, AD est un annuaire à la base et nous permet de récupérer la liste des utilisateurs et des groupes

Pour ton cas (2 groupes READ et WRITE), il n'est pas possible de restreindre l'accès à Alfresco à certains groupes. Si un utilisateur est présent dans AD, il pourra se loguer sur Alfresco. Point. Pour la synchro, c'est un peu plus compliqué, il est possible de définir des filtres de recherches pour l'import des utilisateurs et des groupes, donc c'est à voir en fonctione de l'arbo de AD.

A ma connaissance, il n'est pas possible d'assigner des droits automatiquement à un utilsateur. Par contre, on peut définir des droits pour les groupes ALFRESCO_READ et ALFRESCO_WRITE (qui sont synchronisés par le LDAP et qui devraient contenir tes utilisateurs) sur les espaces d'Alfresco. Il suffit de définir ces droits sur le company_home et de bien vérifier que les dossiers héritent leurs droits du dossier parent.

J'espère avoir répondu correctement à tes questions.

Laurent

lascaux_2774
Confirmed Champ
Confirmed Champ
Bonjour,

Merci beaucoup Laurent …

Donc si je comprends bien,
je dois mettre en place :
- authentification NTML (basé sur le domaine) -> tout le monde pourra acceder a Alfresco a partir du moment qu'ils feront parti du domaine -> le user sera créé dans alfresco.
- ne synchroniser que les groupes d'une organisation particulier (est-ce possible ?) style : cn=ALFRESCO_READ,ou=Services,ou=Departement,dc=domain,dc=tld !
et la se pose le probleme … comment definir la regle de filtrage pour 2 groupes ???

Si qq a des idées Smiley Happy

Sylvain

lme
Champ in-the-making
Champ in-the-making
Créer un groupe ALFRESCO qui contient 2 sous-groupes ALFRESCO_READ et ALFRESCO_WRITE. Il me semble qu'Alfresco est capable de gérer/importer plusieurs niveaux de groupes, mais je ne l'ai jamais testé.

Pour importer seulement ce groupe, dans le fichier ldap-authentication-context.xml :
        <property name="groupQuery">
            <value>(&&#40;objectclass=group)(cn=NOM_DU_GROUPE))</value>
        </property>
Ce filtre ne devrait rapporter que le groupe nommer NOM_DU_GROUPE. Encore une fois, je ne l'ai jamais testé Smiley Happy

Laurent

lascaux_2774
Confirmed Champ
Confirmed Champ
merci Laurent Smiley Happy
je vais tester ca !!

laurentalfresco
Champ in-the-making
Champ in-the-making
Celà est-il vraiment possible ?

lme
Champ in-the-making
Champ in-the-making
Celà est-il vraiment possible ?
Est-ce que tu peux préciser ta question ? A quelle partie de la discussion fais-tu référence ?

michaelh
Champ on-the-rise
Champ on-the-rise
Je pense qu'il parle du truc non ?



P.S : 600
Getting started

Tags


Find what you came for

We want to make your experience in Hyland Connect as valuable as possible, so we put together some helpful links.