Configuración Active Directory

[dgutierrez]

Hola
He estado mirando por el foro y en las wikis y en vez de ser de ayuda me he terminado con más dudas de las que ya tenía. La estructura que tenemos implantado en nuestro servidor Active Directory es la siguiente:

dc=almis, dc=local

ou=ALmis
ou=OUconsultores
ou=OUcordoba
ou=OUmadrid
ou=OUonate
ou=OUvalencia

cn = users

¿Podríais decirme qué ficheros debo configurar? Y a ser posible una idea de lo que debería poner en ellos, porque la verdad estoy bastante confuso.

Muchas gracias.

[jllort]

Para el login tienes que configurar el OpenKM.xml y para la integración con el UI los parametros de configuración. Yo te aconsejo que mires esta página que creo que esta bien explicado http://wiki.openkm.com/index.php/LDAP_examples y en función de si tienes un active directory de windows u openldap tienes unos ejemplos completos.

para el caso de windows el que igual te interesa mas es http://wiki.openkm.com/index.php/Ldap-example3

[dgutierrez]

Tengo una duda sobre un parametro de configuración
<beans:property name="password" value="****"/>
en este apartado, ¿qué tipo de usuario es necesario? ¿Administrador?

Gracias.

[jllort]

Simplemente un usuario que pueda navegar por el ldap y pueda ejecutar consultas, nada mas.

[dgutierrez]

Viendo el ejemplo todavía me he quedado más confuso. Nuestra estructura es la siguiente:

dc=almis, dc=local
ou=ALmis
ou=OUconsultores
ou=OUcordoba
ou=OUmadrid
ou=OUonate
ou=OUvalencia
cn = users
-----------------------------------------------------------------------------------------------------------------------------------------------
$ldap_base_dn[] = "ou=OUconsultores, ou=OUalmis, dc=almis, dc=local";
$ldap_base_dn[] = "ou=OUcordoba, ou=OUalmis, dc=almis, dc=local";
$ldap_base_dn[] = "ou=OUmadrid, ou=OUalmis, dc=almis, dc=local";
$ldap_base_dn[] = "ou=OUonate, ou=OUalmis, dc=almis, dc=local";
$ldap_base_dn[] = "ou=OUvalencia, ou=OUalmis, dc=almis, dc=local";
$ldap_base_dn[] = "cn=Users, dc=almis, dc=local";

Y en el ejemplo aparece la siguiente estructura:

dc=com
dc=company
ou=OPENKM
cn=ROLE_ADMIN
member=okmAdmin
member=user1
member=user2
cn=ROLE_USER
member=user3
member=user4
cn=ROLE_XXXX
cn=ROLE_YYYY
...
ou=organization1
sAMAccountName=okmAdmin
memberOf=CN=ROLE_ADMIN,OU=OPENKM,DC=company,DC=com
mail=okmAdmin@mail.com
cn=OpenKM Administrator
sAMAccountName=user1
memberOf=CN=ROLE_ADMIN,OU=OPENKM,DC=company,DC=com
mail=user1@mail.com
cn=User Name 1
sAMAccountName=user2
memberOf=CN=ROLE_ADMIN,OU=OPENKM,DC=company,DC=com
mail=user2@mail.com
cn=User Name 3
ou=organization2
sAMAccountName=user3
memberOf=CN=ROLE_USER,OU=OPENKM,DC=company,DC=com
mail=user3@mail.com
cn=User Name 3
sAMAccountName=user4
memberOf=CN=ROLE_USER,OU=OPENKM,DC=company,DC=com
mail=user4@mail.com
cn=User Name 4

Mi pregunta: ¿Es necesario tener la estructura del ejemplo o con la nuestra es posible integrarlo? Si es posible con la nuestra, ¿me podrías guiar un poco, teniendo en cuenta el ejemplo.

Antes de nada, gracias por su atención.

[jllort]

Es posible integrarlo con cualquier estructura de ldap, lo importante es saber lo que se quiere hacer. En tu caso lo mas sencillo es que el search.base de todos los objectos sea siempre dc=almis, dc=local y el resto copiando los valores de http://wiki.openkm.com/index.php/Ldap-example3 te tendría que funcionar bien. Obviamente tienes que crear el ROLE_USER y el ROLE_ADMIN y asignarlo a los usuarios. Una pequeña modificación puede ser principal.ldap.mail.attribute=mail ( esto es lo mas normal ).

Yo empezaría por integrar la parte de parámetros de configuración y después saltaría al login. Si hay problemas en el login, sabiendo que has configurado bien los parametros desde la administración, eso nos puede dar una mejor idea de por donde pueden vernir los problemas.

[dgutierrez]

ROLE_USER y ROLE_ADMIN, se deben crear en la estructura de LDAP, ¿Cierto?
En nuestro caso tenemos el LDAP en 2 servidores con dos IP distintas claro, ¿Cómo se podría poner las dos IP de los servidores en OpenKM.xml y en los atributos de configuración de OpenKM (Administración)?
He configurado tal y como aparece en la WIKI y en el log me sale la traza que adjunto

[jllort]

No hace falta meter las 2 url porque los dos ldap trabajan conjuntamente, lo que si es necessario es que el parámetro follow este activo en este caso ( en los ejemplo por defecto ya viene ).

Otra cosa que puedes hacer es esto :http://wiki.openkm.com/index.php/Troubl ... _with_ldap ( poner los nombres en el fichero de hosts que creo que es el problema que realmente tienes ).

[dgutierrez]

Ya he realizado lo que me comentas y sigue dando la misma traza de error.
La estructura que tenemos para el piloto es la siguiente:

Code: Select all

dc=almis
            dc=local
                 cn=users
                       cn=ROLE_ADMIN
                                 member=dgutierrez
                       cn=ROLE_USER
                                  member=elsater

Habrá más miembros, pero para hacer una idea yo creo que sirve. Si me pudierais ayudar os lo agradecería mucho, porque el tema del active directory me está resultando muy complicado.

Gracias.

[jllort]

Configurar el ldap no es nada fácil, en los casos buenos tardamos 1-2 horas en configurarlo, en lo casos complicados hemos llegado a tardar un día y mas. Por lo que dices esto no esta autentificando te da el error y no hace el login.

Añade aqui el OpenKM.xml y el fichero de /etc/hosts ( si es un windows el fichero de hosts de ese windows ). Y ya te digo si veo algo raro.

[dgutierrez]

Antes de nada gracias por su antención
Le adjunto los ficheros:

[jllort]

Esto esta mal

Code: Select all

memberOf=CN=ROLE_ADMIN,CN=users,DC=company,DC=com

[dgutierrez]

Uff vaya fallo, lo he corregido y he revisado si se repite algún error similar.

Una cosa que ocurra es que los usuarios no los busca en el LDAP, puesto que antes de configurar el LDAP cree otro usuario más y me deja iniciar sesión con dicho usuario. Me resulta extraño que configurando el LDAP en OpenKM este siga buscando en la base de datos propia los usuarios.

A pesar de todo el error sigue siendo el mismo que comentaba, no entiendo porque si se realizan cambios el error sigue siendo el mismo.
Dejo la traza de error y el fichero OpenKM:xml:

[dgutierrez]

Code: Select all

2013-04-15 11:38:05,197 [http-bio-0.0.0.0-8080-exec-1] ERROR com.openkm.principal.LdapPrincipalAdapter - NamingException: [LDAP: error code 49 - 80090308: LdapErr: DSID-0C0903A9, comment: AcceptSecurityContext error, data 52e, v1db1] (Cache: com.openkm.cache.ldapPrincipalAdapter.general - Key: getUsers - Base: [DC=almis,DC=local] - Filter: (&(objectclass=user)(|(memberOf=CN=ROLE_ADMIN,CN=users,DC=almis,DC=local)(memberOf=CN=ROLE_USER,CN=users,DC=almis,DC=local))) - Attribute: sAMAccountName)
2013-04-15 11:38:05,200 [http-bio-0.0.0.0-8080-exec-1] ERROR com.openkm.principal.LdapPrincipalAdapter - NamingException: [LDAP: error code 49 - 80090308: LdapErr: DSID-0C0903A9, comment: AcceptSecurityContext error, data 52e, v1db1] (Cache: com.openkm.cache.ldapPrincipalAdapter.general - Key: getRoles - Base: [CN=users,DC=almis,DC=local] - Filter: objectclass=group - Attribute: cn)

[jllort]

A ver la configuración del fichero OpenKM.xml solo tiene efecto en openkm cuando arrancas la aplicación, esto no funciona en vivo. Es decir cada modificación que hagas precisa de parar y volver a arrancar la aplicación.