AnsweredAssumed Answered

Chaîne d'authentification multiple et customisée

Question asked by jc09 on Sep 11, 2009
Latest reply on Oct 13, 2009 by jc09
Bonjour,

Pour commencer, voici un schéma représentant la problématique d'authentification à laquelle je dois faire face par rapport à l'intégration d'Alfresco.

[img]http://easycaptures.com/fs/uploaded/354/3205637094.jpg[/img]

Pour faire simple, l'élément appelé OVD est utilisé comme un annuaire LDAP et le lien qu'il possède pour "taper" dans les différents annuaires décrits en dessous (dont AD par exemple) est déjà en place.
J'ai donc simplement besoin de configurer les 2 accès Alfresco : par l'UI et par le CIFS.

Selon les informations données sur cette page - Recommended combinations - je pense, dans un premier temps, que la combinaison qui se rapproche le plus de ma situation semble être dans la dernière colonne du tableau soit :

Authentication by LDAP Server
CIFS    Not supported
FTP    (authentication service)
NFS    (user name mapping)
UI    default authentication filter
WebDAV    default authentication filter
WebServices    (authentication service)
AuthenticationService    LDAP authentication component
LDAP Sync    Optional

Notes:

    * No password information is stored in alfresco. Authentication always takes place against the LDAP server.
    * The authentication filters will send passwords and user ids in the request header. Tickets are part of the request context.
    * FTP will send the password in plain text.
    * WebSevices will send passwords, user ids and tickets as part of the SOAP message.
    * CIFS is not generally supported (unless you can use the passthru configuration to AD or Samba). It could be possible to allow CIFS if the plain text password or MD4 hash were stored in the LDAP server - this is not currently supported and would require SSL to LDAP for passwrod security.
    * To create a secure environment you would need to use SSL for all web access (UI, WebDAV, WebServices) and disable FTP. You would need to use SSL between alfresco and LDAP for simple authentication or an appropriate SASL authentication mechanism such as digest-md5.
    * You may want to use SSL for LDAP synchronisation.

En résumé :
=> LDAP Authentication + synchronisation
=> CIFS en passthru avec AD

Dans un second temps, j'ai déjà commencé à regarder comment mes chaînes d'authentifications pourraient être mise en place en m'inspirant principalement des informations contenues dans ces pages : Alfresco Authentication Subsystems et Alfresco Subsystems.

Toutefois, je n'en ai pour le moment pas compris, ni maitrisés tous les tenants et aboutissants.
Hormis le fait de déclarer un fichier alfresco-global.properties en redéfinissant la propriété authentication.chain=instance_name1:type1,…,instance_namen:typen
et en déclarant chacun des "sous-systèmes" de la manière suivante alfresco/extension/subsystems/<category>/<type>/<id>/*.properties, je ne vois pas par le suite comment se fait le lien entre les différents sous-systèmes et donc leurs interactions dans la chaîne d'authentification.

Dans un troisième temps, j'ai pu constater qu'il y avait apparemment plusieurs façon de parvenir à modifier les chaînes d'authentification dans Alfresco notamment (toujours selon des pages wiki ou d'autres discussions sur le forum Alfresco) en modifiant directement les fichiers tels que : chaining-authentication-context.xml, ldap-authentication-context.xml, ldap-authentication.properties, ldap-synchronisation-context.xml, ldap-synchronisation.properties, file-servers-custom.xml, etc…

Pour finir, je tiens également à préciser quelques informations supplémentaires concernant l'environnement et la version de l'Alfresco que j'utilise :
=> Alfresco : il s'agit d'une version 3.0 Labs qui tourne sur un serveur linux debian etch dédié
=> Accès utilisateurs : postes fonctionnant sous Windows (pour l'utilisation du CIFS) et équipés de Firefox ou IE (en tant que Webclient)

Voilà, j'espère avoir été le plus clair et le plus précis possible, si des personnes de la communauté pouvaient m'aiguiller en me fournissant une configuration concrète d'Alfresco, fonctionnant et se rapprochant aus maximum de la configuration que je souhaite obtenir, je les en remercie à l'avance

Outcomes