Usuarios Active Directory

[transalp]

Les queria consultar porque soy nuevo en OKM y estoy investigando, probando etc y pude gracias a la documentacion de la suscripcion unirlo a nuestro active directory (win 2003) ya que si creo un usuario dentro del grupo user en AD me puedo logear al OKM sin problema. Pero lo que me llama la atencion es que cuando voy a Administracion y luego a usuarios no veo los demas usuarios que tengo en el AD.
Por otro lado les consulto porque tengo los usuarios de la empresa dividido en 4 UO y a estos no me los levanta, solo los del grupo users. Puedo que me levante todos los grupos o necesariamente voy a tener que poner todos mis usuarios dentro de la carpeta users?.
Por las dudas estoy usando la version 5.18.

[jllort]

Tienes que configurar los parametros en la administración ( segundo icono por la izquierda ! ) ojo que al cambiar la clase del principal adapter tienes que reiniciar el jboss me refiero a este cambio:

Code: Select all

principal.adapter=com.openkm.principal.LdapPrincipalAdapter

Lee con atención esta página http://wiki.openkm.com/index.php/Active ... OpenKM_5.0 de la forma que tienes el ldap tienes que utilizar el "Advanced configuration" que hace la consulta de usuarios y roles en distintos nodos del ldap. Esto no es trivial o sea que paciencia yu prueba las consultas con el apache directory studio aqui http://wiki.openkm.com/index.php/Active_Directory encontraras la url

Esto del ldap necesita de paciencia, la buena noticia es que parece que has pasado la fase uno del login-consig.xml ( la autentificación ) ahora tienes que trabajar con la integración ( para que te aparezcan los listados de usuarios, roles, mails etc... )

[maurolivero]

Gracias Jllort, soy transalp solo que no pude recuperar la contraseña para el login. Te cuento que volví a instalar todo de nuevo ya que cuando cambié el login-config.xml a la configuracion avanzada como me comentaste, no pude mas ingresar con ningun usuario (okmAdmin/admin, okmadmin/admin, y otros que habia creado).. asi que decidi volver a instalar todo de nuevo. Ahora bien, ya instalado ubuntu 11.04, java-ver 1.6.0.23, etc. Segui los pasos anteriores y cuando vuelvo a adaptar el login-config.xml de la siguiente forma

Code: Select all

<application-policy name="OpenKM"> 
  <authentication> 
    <login-module code="org.jboss.security.auth.spi.LdapExtLoginModule" flag="required" > 
      <module-option name="java.naming.provider.url">ldap://10.1.1.253:389</module-option> 
      <module-option name="bindDN">CN=okmadmin,CN=users,dc=mi_dominio,dc=local</module-option> 
      <module-option name="java.naming.referral">follow</module-option> 
      <module-option name="java.naming.security.authentication">simple</module-option> 
      <module-option name="bindCredential">admin</module-option> 
      <module-option name="baseCtxDN">dc=mi_dominio,dc=local</module-option> 
      <module-option name="baseFilter">(&(sAMAccountName={0})(objectClass=user))</module-option> 
      <module-option name="rolesCtxDN">dc=mi_dominio,dc=local</module-option> 
      <module-option name="roleFilter">(member={1})</module-option> 
      <module-option name="roleAttributeID">cn</module-option> 
      <module-option name="roleAttributeIsDN">false</module-option> 
      <module-option name="roleRecursion">2</module-option> 
      <module-option name="searchScope">SUBTREE_SCOPE</module-option> 
      <module-option name="allowEmptyPasswords">false</module-option> 
    </login-module> 
  </authentication> 
</application-policy>

Antes tambien comenté el otro application-policy name="OpenKM que existia... ya que lo lei en el foro. La parte que sigue que debo configurarla en el software en la segunda solapa de configuracion no la puedo realizar ya que luego de los cambios anteriormente mensionado no logro logearme a Okm.
Por otra parte que me recomendaste bajé e

[jllort]

Quiero pensar que en el ldap has creado un usuario okmadmin con clave admin no ? has probado a logearte en el windows , el usuario esta activado etc... ?

CN=okmadmin,CN=users,dc=mi_dominio,dc=local
<module-option name="bindCredential">admin</module-option>

Hecha un vistazo a esta página http://wiki.openkm.com/index.php/Debugging_OpenKM y añade en el debug la categoria org.jboss.security así almenos podras ver que tipo de error te esta dando.

Code: Select all

<category name="org.jboss.securit">
   <priority value="DEBUG" />
</category>

[transalp]

Gracias nuevamente Jllort por responder. Te comento que efectivamente tengo creado el usuario okmadmin en mi AD con pass admin dentro de users. Tambien por las dudas lo hice miembro de AdminRole y UserRole por las dudas.
Respecto a la pagina tambien hice active los debug y estoy viendo el server.log en /opt/jboss-4.2.3.GA/server/default/log y no logro encontrar nada raro.
Estoy buscando en el log correcto?

[transalp]

Code: Select all

<category name="org.jboss.securit">

Puese ser que <category name="org.jboss.security">
Ya que ahora veo que con este cambio tengo actividad en server.log esta bien o metí la mano inadecuadamente sin saber.
Saludos

[transalp]

Les cuento que despues de muchas pruebas pude ingresar y levantar mis usuarios de AD. con el siguiente codigo.

Code: Select all

 <application-policy name="OpenKM">
  <authentication>
    <login-module code="org.jboss.security.auth.spi.LdapExtLoginModule" flag="required" >
      <module-option name="java.naming.provider.url">ldap://10.1.1.253</module-option>
      <module-option name="bindDN">CN=okmadmin,OU=OpenKM,dc=dominio,dc=local</module-option>
      <module-option name="java.naming.referral">follow</module-option>
      <module-option name="java.naming.security.authentication">simple</module-option>
      <module-option name="bindCredential">admin</module-option>
      <module-option name="baseCtxDN">OU=OpenKM,dc=dominio,dc=local</module-option>
      <module-option name="baseFilter">(&(sAMAccountName={0})(objectClass=user)))</module-option>
      <module-option name="rolesCtxDN">OU=OpenKM,dc=dominio,dc=local</module-option>
      <module-option name="roleFilter">(member={1})</module-option>
      <module-option name="roleAttributeID">cn</module-option>
      <module-option name="roleAttributeIsDN">false</module-option>
      <module-option name="roleRecursion">-1</module-option>
      <module-option name="searchScope">SUBTREE_SCOPE</module-option>
      <module-option name="allowEmptyPasswords">false</module-option>
      <module-option name="defaultRole">UserRole</module-option>

    </login-module>
  </authentication>
</application-policy>

Ahora tengo otro problema me levanta todos los usuarios de mi dominio, cuando me logeo con okmadmin, pero no puedo logearme con los usuarios de mi dominio a no ser que se encuentren dentro de la carpeta users. Pero como tengo unidades organizativas con diferentes empresas necesito poder logearme con dichos usuarios. Varios usuarios le asigne que formen parte del grupo okmUsers. Igualmente me parece que eeste es otro problema, asi que voy a postiar uno nuevo.

[jllort]

Quita esto

Code: Select all

<module-option name="defaultRole">UserRole</module-option>

Por que estas dando a todos los usuarios el UserRole por defecto.

Puedes ampliar el base filter

Code: Select all

<module-option name="baseFilter">(&(sAMAccountName={0})(objectClass=user)))</module-option>

para que por ejemplo el usuario sea miembro de un determinado role, esto te permitirá filtrar desde el login-config.xml que usuarios pueden entrar y cuales no pueden entrar, es decir de la misma forma que estas utilizando el (objectClass=user), puedes concatenar algo del estilo (memberOf=CN=OpenKM,dc=dominio,dc=local)

Efectivamente al <category name="org.jboss.securit"> le faltaba la y, lo correcto seria <category name="org.jboss.security">