LDAPS

cancel
Showing results for 
Search instead for 
Did you mean: 
msaenz
Member II

LDAPS

Jump to solution

Buenas tardes compañeros, molestando con una pregunta

En la empresa donde trabajo se hizo una configuracion y sincronizacion para conectar alfresco con un directorio activo, eso funcionó de manera correcta

Sin embargo ahora se requiere realizar lo mismo pero con un directorio activo que cuenta con un certificado SSL. Mi pregunta es, donde tendría yo que insertar el certificado Ssl del directorio activo en mi alfresco para establecer la. Comunicación y que configuración adicional se necesita?

 

De antemano gracias, saludos!! 

1 Solution

Accepted Solutions
angelborroy
Alfresco Employee

Re: LDAPS

Jump to solution

Entiendo que el certificado VWTUTDCPP002.cer no es autofirmado. Deberás incluir por tanto en el almacén ldap-truststore.truststore también el certificado público de la CA que emite ese certificado.

Hyland Developer Evangelist

View solution in original post

7 Replies
angelborroy
Alfresco Employee

Re: LDAPS

Jump to solution

La configuración adicional está disponible en el repositorio.

# LDAPS truststore configuration properties
ldap.authentication.truststore.path =
ldap.authentication.truststore.passphrase=
ldap.authentication.truststore.type=
# Set to 'ssl' to enable truststore configuration via subsystem's properties
ldap.authentication.java.naming.security.protocol=ssl

Puedes añadirla en alfresco-global.properties o usar variables de entorno.

Hyland Developer Evangelist
msaenz
Member II

Re: LDAPS

Jump to solution

Gracias por tu aporte como siempre oportuno Angel, una cuestión más si eres tan amable 

 

Cuento con los archivos de los certificados, podrías explicarme en que sitio se deben colocar y como sería el path de los mismos desde al alfresco-global.properties he visto algunos tutoriales pero no me queda claro

 

De antemano gracias, saludos!! 

angelborroy
Alfresco Employee

Re: LDAPS

Jump to solution

Necesitas crear un truststore para configurar Alfresco e importar tus certificados en ese almacén.

Una vez que lo tengas creado (puedes incluir una contraseña o no), las propiedades que debes informar son las que incluí en el comentario anterior.

# Ubicación física del truststore
ldap.authentication.truststore.path = /opt/alfresco/keystores/ldap-truststore.truststore
# Contraseña del almacén, si la tiene (en este ejemplo uso "pass")
ldap.authentication.truststore.passphrase=pass
# Tipo del truststore
ldap.authentication.truststore.type=JCEKS

Puedes crear el almacén utilizando la herramienta keytool de Java.

keytool -import -trustcacerts -noprompt -alias ldap.ca -file tu-certificado.pem \
  -keystore ldap-truststore.truststore -storetype JCEKS -storepass pass

 

Hyland Developer Evangelist
msaenz
Member II

Re: LDAPS

Jump to solution

Buenas noches Angel 

Solicitando nuevamente tu apoyo, conforme lo que me comentaste tengo la siguiente configuración, pero me marca un error en los logs, indicando que no se encuentra el certificado. El error como tal es el que se describe a continuación 

Failed to communicate with ldaps://VWTUTDCPP001.pemex.pmx.com:636. Reason javax.naming.CommunicationException, simple bind failed: VWTUTDCPP001.pemex.pmx.com:636, javax.net.ssl.SSLHandshakeException, sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target, sun.security.validator.ValidatorException, PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target, sun.security.provider.certpath.SunCertPathBuilderException, unable to find valid certification path to requested target

Parece que no encuentra el certificado en la ruta especificada, podrías indicarme si estoy realizando mal un paso de favor ? En el alfresco-global.properties tengo lo siguiente 

ldap.authentication.truststore.path = /filestore/alfresco-content-services-test6/alf_data/keystore
ldap.authentication.truststore.passphrase=kT9X6oe68t
ldap.authentication.truststore.type=JCEKS

Anexo además una imagen de donde tengo guardado el certificado (el mismo está marcado en amarillo), que está en la ruta siguiente: instancia_alfresco/alf_data/keystore

 

Captura.PNG

Mmuchas gracias de antemano, saludos!!

angelborroy
Alfresco Employee

Re: LDAPS

Jump to solution

Entiendo que ese certificado almacenado en el fichero ssl.truststore incluye el certificado público del LDAPs.

Además, la propiedad requiere el nombre del fichero, no de la carpeta.

ldap.authentication.truststore.path = /filestore/alfresco-content-services-test6/alf_data/keystore/ssl.truststore
Hyland Developer Evangelist
msaenz
Member II

Re: LDAPS

Jump to solution

Gracias por tu respuesta Angel, me parece que me faltó explicación en mi comentario anterior de lo que realice, te describo los pasos que hice para tener mayor claridad

1) El certificado que me proporcionarion lleva por nombre VWTUTDCPP002.cer.

2)Cree un almacén de confianza llamado ldap-truststore.truststore con el siguiente comando : keytool -import -trustcacerts -noprompt -alias ldap.ca -file /filestore/alfresco-content-services-test6/alf_data/keystore/VWTUTDCPP002.cer -keystore /filestore/alfresco-content-services-test6/alf_data/keystore/ldap-truststore.truststore -storetype JCEKS -storepass kT9X6oe68t

3) Al parecer lo anterior no genera problemas, ya que me dice que el certificado fue agregado correctamente

4) En mi alfresco-global.properties agrego las siguientes líneas

ldap.authentication.truststore.path = /filestore/alfresco-content-services-test6/alf_data/keystore/ldap-truststore.truststore
ldap.authentication.truststore.passphrase=kT9X6oe68t
ldap.authentication.truststore.type=JCEKS
ldap.authentication.java.naming.security.protocol=ssl

5) Al reiniciar el servidor en los logs me pinta este nuevo error 

Captura.PNG

Desconozco si estoy pasando algo por alto, espero puedas apoyarme de favor

De antemano gracias, saludos!!
 

angelborroy
Alfresco Employee

Re: LDAPS

Jump to solution

Entiendo que el certificado VWTUTDCPP002.cer no es autofirmado. Deberás incluir por tanto en el almacén ldap-truststore.truststore también el certificado público de la CA que emite ese certificado.

Hyland Developer Evangelist