Crear usuarios con Kerberos

cancel
Showing results for 
Search instead for 
Did you mean: 
fstnboy
Active Member

Crear usuarios con Kerberos

Buenas,

me gustaria saber si es posible crear usuarios en alfresco 3.2 estando usando Kerberos contra AD. El usuario me dice que en la version 3.1.1 le era posible crear usuarios alfresco.

Es tema de configuracion?
7 Replies
cesarista
Customer

Re: Crear usuarios con Kerberos

Hola:

Me imagino que en esa migración habeís tenido que cambiar la cadena de autenticación (que ahora va en alfresco-global.properties). Y en la cadena de autenticación, la primera de las autenticaciones se asume como de tipo mutable, es decir, se pueden crear usuarios. Igual va por ahí…

Si cuando dices usuarios alfresco, te refieres a usuarios que se autentican con la autenticación nativa de Alfresco, comprueba que tu variable authentication.chain comienza por alfresco y no por kerberos.

Luego, y dependiendo del sistema que hayas montado vas a poder hacer ciertas cosas, por ejemplo, puedes crear un usuario en un LDAP desde Alfresco pero no es posible editar la información de LDAP de usuario desde Alfresco.

Un saludo y me cuentas.

–C.
fstnboy
Active Member

Re: Crear usuarios con Kerberos

Umm, yo lo que tengo en el authentication chain es lo siguiente:


authentication.chain=kb:kerberos

En principio no dijeron nada de poder crear usuarios, entiendo q en produccion no podran crearlos, pero para hacer pruebas, quieren poder crear usuarios manualmente en alfresco con el "New User Wizard"
cesarista
Customer

Re: Crear usuarios con Kerberos

Según eso, deberían poder "crear" usuarios en el AD.

Un saludo.

–C.
fstnboy
Active Member

Re: Crear usuarios con Kerberos

Al final han cambiado de idea, y en vez de poder crear usuarios desde alfresco (con este me referia a crear usuarios alfresco, no en el directorio activo) lo que kieren es importar los usuarios del directorio activo para poder establecer los permisos desde un principio.

Bueno pues he configurado alfresco para que haga lo debido, me conecto al AD pero no consigo importar nada.

He aqui la configuracion:


authentication.chain=kb:kerberos,ldap1:ldap-ad

# Kerberos
#
#————-
kerberos.authentication.realm=DOMINIO.COM
kerberos.authentication.sso.enabled=true
kerberos.authentication.authenticateCIFS=true
kerberos.authentication.user.configEntryName=Alfresco
kerberos.authentication.cifs.configEntryName=AlfrescoCIFS
kerberos.authentication.cifs.password=alfrescotestcifs
kerberos.authentication.http.configEntryName=AlfrescoHTTP
kerberos.authentication.http.password=alfrescotesthttp
kerberos.authentication.defaultAdministratorUserNames=administrador

#
# LDAP Synchronization
# This flag enables use of this LDAP subsystem for authentication. It may be
# that this subsytem should only be used for synchronization, in which case
# this flag should be set to false.
#———————–
ldap.authentication.active=false
ldap.authentication.java.naming.security.authentication=simple
ldap.authentication.userNameFormat=%s@dominio.com
ldap.authentication.allowGuestLogin=true
ldap.authentication.java.naming.provider.url=ldap://10.X.X.X:389

ldap.synchronization.active=true

ldap.synchronization.java.naming.security.principal=intranet@dominio.com
ldap.synchronization.java.naming.security.credentials=password

ldap.synchronization.queryBatchSize=1000

ldap.authentication.escapeCommasInUid=false

ldap.synchronization.personQuery=(objectclass=user)
ldap.synchronization.personDifferentialQuery=(objectclass=user)

ldap.synchronization.modifyTimestampAttributeName=modifyTimestamp
ldap.synchronization.timestampFormat=yyyyMMddHHmmss'.0Z'
ldap.synchronization.userIdAttributeName=sAMAccountName
ldap.synchronization.userFirstNameAttributeName=givenName
ldap.synchronization.userLastNameAttributeName=sn

ldap.synchronization.userEmailAttributeName=mail

ldap.synchronization.userOrganizationalIdAttributeName=company
ldap.synchronization.defaultHomeFolderProvider=userHomesHomeFolderProvider

ldap.synchronization.groupIdAttributeName=cn
ldap.synchronization.groupType=group
ldap.synchronization.personType=use
ldap.synchronization.groupMemberAttributeName=member

#
# Synchronization Configuration
#——————————-
synchronization.synchronizeChangesOnly=false
synchronization.import.cron=0 30 0 * * ?
synchronization.syncOnStartup=true
synchronization.syncWhenMissingPeopleLogIn=true
synchronization.autoCreatePeopleOnLogin=true

Esto deberia importar todos los usuarios y grupos del directorio activo, no? Hay algo "raro"?
cesarista
Customer

Re: Crear usuarios con Kerberos

Si los datos de autenticación y sincronización son los correctos, verifica el cron de la sincronización, es decir cada cuanto tiempo se sincroniza, y traza el archivo de logs.

Añade esta opción en el log4j.properties por si hay problemas:


log4j.logger.org.alfresco.repo.security.sync=debug

Un saludo.

–C.
cesarista
Customer

Re: Crear usuarios con Kerberos

En cualquier caso, no se exactamente que version 3.2 te gastas Smiley Wink pero hay un par de cosas relacionadas reportadas en el jira:

https://issues.alfresco.com/jira/browse/ETHREEOH-2242
https://issues.alfresco.com/jira/browse/ETHREEOH-3770

Un saludo.

–C.
fstnboy
Active Member

Re: Crear usuarios con Kerberos

Bueno, ya he conseguido importar usuarios, poco a poco.

Ahora, no se si se podra, me gustaria filtrar los usuarios, es decir, el directorio activo me esta devolviendo 1190 usuarios, cuando en activo solo hay unos 400. Hay alguna forma de filtrarlos?

He visto el atributo userAccountControl, pero aun poniendolo me saca los 1190…


ldap.synchronization.personQuery=(&(objectclass=user)(userAccountControl\:1.2.840.113556.1.4.803\:=512))