Authentication error al ingresar

[transalp]

Estimados les comento mi ambiente de trabajo.
Tengo un AD windows 2003 y esta organizado de la siguiente forma.
Dominio
I___ Mic1
I____ Usuario 1
I____Usuario 2
I___ Mic2
I___Mic3
I___OpenKM
I______AdminRole (grupo)
I______UserRole (grupo)
I______ okmadmin (usuario que pertenece al grupo AdminRole y UserRole

Ahi está mi configuracion de AD tengo un dominio compuesto por diferentes UO (diferenes Marcas que pertenecen a la empresa) cada una con su personal como usuario 1, usuario 2 etc. Creamos otroa UO llamada OpenKM donde tenemos los grupos arriba nombrados y un usuario que pertenece a dichos grupos. Lo curioso es que solo los usuarios que estan en esa OU (OpenKM) me permiten el logeo al sistema con otros usuarios me da Authentication error. Si muevo los usuarios a esta OU puedo ingresar con dicho usuario y contraseña de AD.
Lo que necesito es poder dar permiso al sistema a varios usuarios de distintas OU.
Aca le paso la configuracion de login-config.xml

Code: Select all

 <application-policy name="OpenKM">
  <authentication>
    <login-module code="org.jboss.security.auth.spi.LdapExtLoginModule" flag="required" >
      <module-option name="java.naming.provider.url">ldap://10.1.1.253</module-option>
      <module-option name="bindDN">CN=okmadmin,OU=OpenKM,dc=dominio,dc=local</module-option>
      <module-option name="java.naming.referral">follow</module-option>
      <module-option name="java.naming.security.authentication">simple</module-option>
      <module-option name="bindCredential">admin</module-option>
      <module-option name="baseCtxDN">OU=OpenKM,dc=dominio,dc=local</module-option>
      <module-option name="baseFilter">(&(sAMAccountName={0})(objectClass=user)))</module-option>
      <module-option name="rolesCtxDN">OU=OpenKM,dc=dominio,dc=local</module-option>
      <module-option name="roleFilter">(member={1})</module-option>
      <module-option name="roleAttributeID">cn</module-option>
      <module-option name="roleAttributeIsDN">false</module-option>
      <module-option name="roleRecursion">-1</module-option>
      <module-option name="searchScope">SUBTREE_SCOPE</module-option>
      <module-option name="allowEmptyPasswords">false</module-option>
      <module-option name="defaultRole">UserRole</module-option>

    </login-module>
  </authentication>
</application-policy>

En el soft dentro de administracion -> Configuracion tengo esta

Code: Select all

principal.ldap.server = ldap://10.1.1.253      
principal.adapter = com.openkm.principal.LdapPrincipalAdapter  
principal.ldap.security.principal = CN=okmadmin,OU=OpenKM,dc=dominio,dc=local  
principal.ldap.security.credentials = admin 
principal.ldap.user.search.base = dc=dominio,dc=local       
principal.ldap.user.search.filter = (&(objectclass=person)(memberOf=cn=UserRole,ou=OpenKM,dc=dominio,dc=local))     
principal.ldap.user.attribute = cn 
principal.ldap.roles.by.user.attribute = memberOf       
principal.ldap.roles.by.user.search.base = dc=dominio,dc=local       
principal.ldap.roles.by.user.search.filter = (&(objectClass=person)(cn={0})) 
principal.ldap.mail.attribute =mail       
principal.ldap.mail.search.base = dc=dominio,dc=local       
principal.ldap.mail.search.filter = (&(objectclass=person)(cn={0})) 
principal.ldap.users.by.role.attribute = member       
principal.ldap.users.by.role.search.base = dc=micronsa,dc=local       
principal.ldap.users.by.role.search.filter = (&(objectClass=group)(cn={0}))
principal.ldap.role.attribute = cn       
principal.ldap.role.search.base = dc=dominio,dc=local       
principal.ldap.role.search.filter = (objectclass=group)    
principal.ldap.referral String follow

Si tienen alguna idea de que poder implementar o donde puede estar el error, les agradeceria mucho.
Desde ya muchas gracias.

[jllort]

Concentrate con el login-config.xml

Esto lo tienes que cambiar

Code: Select all

<module-option name="baseCtxDN">OU=OpenKM,dc=dominio,dc=local</module-option>

por

Code: Select all

<module-option name="baseCtxDN">dc=dominio,dc=local</module-option>

dado que tienes varios nodos

La propiedad referral tambien te hará falta

Code: Select all

<module-option name="java.naming.referral">follow</module-option> 

Y esta también

Code: Select all

<module-option name="searchScope">SUBTREE_SCOPE</module-option> 

En la documentación tienes un ejemplo ( el avanzado ) que es el que tienes que utilizar para este caso.

[transalp]

Gracias Jllort, los cambios que propusiste funcinan a la perfeccion, te agradezco mucho.
Saludos.

[maurolivero]

Buenas nuevamente gente del foro, con la ayuda que me brindaron anteriormente pude entrar a mi OKM con los usuarior del dominio que previamente tiene que ser puestos en el grupo UserRole dentro de la OU OpenKM. Una vez dentro cuando voy a asignar seguridad a una carpeta me muestra los grupos del active directory y los usuarios del grupo User role (que estaría perfecto), pero cuando los asigno para que vean carpetas no funciona. Las pruebas que realicé fueron las siguientes:

Asignando seguridad por grupo

Grupo creado dentro de OU OpenKM con un usuario creado en la misma ubicación -> Funciona Perfecto
Grupo creado en OU OpenKM con usuario creado en OU micron -> no funciona
Grupo creado en Micron Con Usuario creado en micron -> No funciona
Grupo creado en Micron con usuario creado en OpenKM -> No Funciona

Asignando Seguridad por usuario no funciona de ninguna manera

Desde ya muchas gracias por su ayuda

[jllort]

Añade otro post nuevo, porque esto es otro tema. Indícame los privilegios que tienes en una carpeta , los que añades o eliminas y el resultado obtenido versus el esperado ( me imagino que el problema esta en el UserRole que no debe propagarse )

[maurolivero]

cree otro post, gracias