Usuarios externos en Alfresco y SSO passthru

cesarista · ‎1 Aug 2011

Hola:

Tengo una cadena de autenticacion del tipo:

<pre>
authentication.chain=alfrescoNtlm1:alfrescoNtlm,passthru1

assthru,ldap1:ldap-ad
</pre>

y dos conjuntos de usuarios, uno en Alfresco y otro en el directorio activo (AD), que sincronizo via LDAP. Hasta ahi va todo bien.

Me puedo loguear sin problema con los usuarios correspondientes y puedo administrar los usuarios "externos" con Alfresco desde su interfaz.

Cuando activo el SSO para los usuarios internos (AD) del AD veo que:
- Necesito que passthru sea el primero en la cadena autenticacion (mutable) –> y el SSO de usuarios internos funciona.
- El otro conjunto de usuarios "externos" no se autentica (?).
- Ademas no puedo administrarlos porque ya no es el subsistema mutable.

¿ Tiene esto sentido ? ¿ Puedo tener un conjunto de usuarios externos gestionados y administrados en Alfresco, y tener SSO de red contra el AD ?

Un saludo.

–C.

venzia · ‎11 Aug 2011

Hola Cesar .. no hace mucho (con lo cual aun lo tengo frequito) llevamos a cabo una instalación de alfresco con la siguiente cadena de autenticacion "authentication.chain=passthru1

assthru,ldap-ad1:ldap-ad,ldap1:ldap".
En nuestro caso los usuarios "extenos" vienen de otro ldap, en el tuyo de AlfrescoNtlm .. comprueba si con este orden te deja autenticar, aunque supongo que ya lo habras probado.
En caso que no des con la tecla dime y exprimo la docu que tengo al respecto.
Saludos y suerte!

Venzia IT Services & Consulting SL
AQuA Developers | Venzia Alfresco News | Venzia Community

cesarista · ‎11 Aug 2011

Gracias Javier,

La verdad es que no se si me he expresado muy bien arriba pero va en linea con tu respuesta. Cuando tengo esto, si me funciona el SSO de AD:

<pre>
authentication.chain=passthru1

assthru,ldap1:ldap-ad,alfrescoNtlm1:alfrescoNtlm
</pre>

pero no me funciona la autenticación con los usuarios externos en alfrescoNtlm1:alfrescoNtlm

Me da la sensación que el SSO activo hace que dos cadenas potenciales de usuarios compitan por el mismo (passthru1, alfrescoNtlm1) y solo tiene SSO la primera de ellas en la cadena. Además de esta manera la cadena mutable (en la que se pueden crear usuarios es passthru AD y no alfresco), lo cual no me sirve para gestionar/administrar los usuarios externos desde Alfresco. Pero no es mala saber que con otro ldap me puedo arreglar el problema la verdad.

Un saludo.

–C.

venzia · ‎11 Aug 2011

Me alegro que al menos ahora tengas otra "variante" ..
Y teniendo en cuenta q

Además de esta manera la cadena mutable (en la que se pueden crear usuarios es passthru AD y no alfresco), lo cual no me sirve para gestionar/administrar los usuarios externos desde Alfresco

obviamente de poco vale el caso en el que se pueda dejar funcionando si dichos usuarios "externos" no son gestionables desde Alfresco.
Ya por simple curiosidad voy a bucear en mi archivo por si veo algo al respecto.
Saludos!

Venzia IT Services & Consulting SL
AQuA Developers | Venzia Alfresco News | Venzia Community

cesarista · ‎6 Oct 2011

Hola de nuevo:

Al final lo oriente como comentabas pero sigo teniendo problemas con el SSO cuando tengo varios subsistemas de autenticacion (para la auth). Y aqui mi pregunta. ¿ Es posible configurar (lo habeis hecho alguna vez?) para Share un sistema de SSO con passthru y con otras cadenas de autenticacion disponibles (otros ldaps o lo que sea…) ?

Un saludo.

–C.

cesarista · ‎6 Oct 2011

Por cierto Javier:

En el orden que me mencionabas la cadena, con el passthru delante tenia problemas para autenticarme con los usuarios del ldap, de manera análoga a lo que me sucedía con alfrescoNtml (curioso este patron). Tuve que cambiar la cadena y poner el ldap primero.

Un saludo.

–C.

angelmartinboni · ‎23 Aug 2017

Buenas,

he leído este hilo porque tengo un problema parecido.

Resulta que en mi empresa tengo creado un usuario en Alfresco, que obviamente no está en LDAP porque es impersonal, digamos que es de pruebas. Lo usamos para lanzar webservices, pero falla cuando hace la autenticación contra LDAP y no contra Alfresco:

17:00:11,115 DEBUG [org.alfresco.repo.security.authentication.AuthenticationComponentImpl] Authenticating user "userPentaho"
17:00:11,119 DEBUG [org.alfresco.repo.security.authentication.AuthenticationComponentImpl] Setting the current user to "userPentaho"
17:00:11,120 DEBUG [org.alfresco.repo.security.authentication.AuthenticationComponentImpl] User "userPentaho" authenticated successfully
17:00:13,453 DEBUG [org.alfresco.repo.security.authentication.ldap.LDAPAuthenticationComponentImpl] Authenticating user "userPentaho"
17:00:13,479 DEBUG [org.alfresco.repo.security.authentication.ldap.LDAPAuthenticationComponentImpl] Failed to authenticate user "userPentaho"
org.alfresco.repo.security.authentication.AuthenticationException: 0722396591 Failed to resolve user: userPentaho

También salta un error de "closed socket"... y creo que por eso nos salta un error 500, por cierto.

¿Debería seguir hacia delante no? es decir, ve que en LDAP no está pero en Alfresco sí y listo ¿no?

En una instancia de Desarrollo, donde no salta ese error, no se se hace la autenticación contra LDAP y está así:

authentication.chain=alfrescoNtlm1:alfrescoNtlm,ldap-ad1:ldap-ad

...

#20161202 - Hemos desactivado la autenticaci\u00f3n con passthru
#ntlm.authentication.sso.enabled=true
ntlm.authentication.sso.enabled=false

...

ldap.authentication.defaultAdministratorUserNames=admin

No tengo muy claro en qué afecta el orden en el chain...

¿por qué intenta autenticarlo en LDAP y falla? cuando sabemos que no está y debería ignorarlo ¿no?

Gracias de antemano.

Saludos. Angel.

angelborroy · ‎23 Aug 2017

No entiendo muy bien la pregunta.

Si en tu cadena de autenticación aparece

authentication.chain=alfrescoNtlm1:alfrescoNtlm,ldap-ad1:ldap-ad

Alfresco intenta autenticar al usuario por id de usuario y contraseña contra su propia base de datos en primer lugar y después contra LDAP. En caso de que tengáis además un sistema SSO configurado, quizá estéis afectados por este problema:

https://github.com/keensoft/alf-21757-repo

Hyland Developer Evangelist

cristinamr · ‎23 Aug 2017

Podrías hacer una prueba rápida para ver si está creado ese usuario en tu alfresco: Pon en el authentication.chain solo ntlm, reinicia alfresco y prueba tu a mano logarte con ese usuario a ver si existe. Existen otras formas de comprobarlo como consultarlo desde el explorador de nodos o en base de datos directamente.

--
VenziaIT: helping companies since 2005! Our ECM products: AQuA & Seidoc

cesarista · ‎23 Aug 2017

Angel Borroy‌ Este problema al que haces referencia, sabes si es aplicable también al SSO de AlfrescoNtlm, además del de Kerberos ? Basicamente lo que me ha ocurrido alguna vez es que si activas el SSO de AlfrescoNtlm, no funciona webdav (reto NTML), ni el cliente móvil o la capa de servicios.

Saludos.

--C.