Acceso a de OpenKM, por medio de AD

[Zandunga]

hola que tal, podrían ayudarme, tengo la siguiente problemática, mi árbol de mi AD, esta de la siguiente manera:

Code: Select all

privado.com.mx
   CN=Users
        cn=ooz
        cn=okmAdmin
        cn=AdminRole
        cn=UserRole

bueno, el usuario ooz es el que me hace la conexión desde mi OpenKM a mi AD, así mismo siendo que tengo a okmAdmin que tiene a AdminRole y UserRole y en la parte de memberOf a contiene a los usuarios administradores y RoleAdmin a los demás usuarios, aquí me pregunta es la siguiente.

Ya puedo acceder, solo con el usuario ooz, pero no con los demás de mi árbol, quiera saber como acceder con los demás, no se que me hace falta les muestro el archivo de login-config.xml, en este estoy editando esa parte, como les digo, ya puedo acceder, al OpenKM, con mi usuario ooz, pero, quiero acceder con los demás usuarios, asi mismo quiero que cada uno ingrese con roles específicos, de antemano gracias

como ultimo dato esta version de OpenKM esta en Version: 5.1.3, en un jboss-4.2.3.GA, infinitas gracias!!!

Code: Select all

<!-- OpenKM -->
    <application-policy name="OpenKM">
  <authentication>
     <login-module code="org.jboss.security.auth.spi.LdapExtLoginModule" flag="required" >
       <module-option name="java.naming.provider.url">ldap://10.200.0.40:389</module-option>
       <module-option name="bindDN">cn=ooz,cn=Users,dc=privado,dc=com,dc=mx</module-option>
       <module-option name="java.naming.security.authentication">simple</module-option>
       <module-option name="bindCredential">********</module-option>
       <module-option name="baseCtxDN">cn=Users,dc=privado,dc=com,dc=mx</module-option>
       <module-option name="baseFilter">(sAMAccountName={0})</module-option>
       <module-option name="rolesCtxDN">cn=Users,dc=privado,dc=com,dc=mx</module-option>
       <module-option name="roleFilter">(sAMAccountName={0})</module-option>
       <module-option name="roleAttributeID">memberOf</module-option>
       <module-option name="roleAttributeIsDN">true</module-option>
       <module-option name="roleNameAttributeID">cn</module-option>
       <module-option name="roleRecursion">-1</module-option>
       <module-option name="searchScope">SUBTREE_SCOPE</module-option>
       <module-option name="defaultRole">AdminRole</module-option>
     </login-module>
  </authentication>
</application-policy>

[pavila]

Es una versión muy antigua y con muchos errores. Te aconsejo actualizar a una versión más moderna. Además todo el tema de autenticación ha cambiado.

[Zandunga]

Podrias, aun asi, decirme, como instalar la nueva version??

[jllort]

la instalacion de la trial y la de la community con el instalador son iguales, te paso el video de la trial http://www.youtube.com/watch?v=OyCGAJvG ... TVHxvFbbSx

Sólo un detalle mejor instalarlo en c:\openkm no en c:\program files\ etc... porque en windows cuando hay espacios en el path hay un problema para localizar un fichero.

[Zandunga]

se me olvido comentarte que es en ubuntu, aun así veo que el vídeo muestra como instalar, en ubuntu, aun así, me podrías enseñar o decir como es que haría en este caso la conexión a mi AD, como te comento ya puedo entrar con mi usuario ooz, pero lo que quiero hacer es entra con los demás usuarios que tengo un mi AD, como te comente con el ejemplo anterior ya puedo ingresar, pero no con los demás no puedo, se que es mucho pedir, pero, podrías darme un ejemplo de como configurar o modificar el archivo en cuestión, de antemano gracias,

[jllort]

En el canal de youtube http://www.youtube.com/user/openkm tienes también un ejemplo de instalacion en ubuntu ( te aconsejamos que sobre la instalacion por defecto montes una mysql no la hsql ).

Aquí hay ejemplos completos del tema del ldap
http://wiki.openkm.com/index.php/LDAP_examples

[Zandunga]

ps ya lo instale, ya lo configure con el ejemplo de http://wiki.openkm.com/index.php/Ldap-example3, este link, pero aun no me deja loguear, es mas ya cambie los adminRole y userRole, por los que son de esta version, si me puede ilustras a mas detalle te lo agradeceria infinitamente gracias!!!!

[jllort]

Pues poco mas te puedo decir, como buena práctica te aconsejoa hacer esto http://wiki.openkm.com/index.php/Troubl ... _with_LDAP y la única receta que te puedo dar es que los ejemplos son claros pero que cada instalacion es un mundo o sea que paciencia y a hecharle horas, un paso detras del otro y tampoco es que tengas muchas combinaciones distintas que probar. El primer ldap que integramos tardamos 2-3 días y al cabo de 3 años en 1-2 horas ya los tenemos integrados, esto lo lleva la experiencia que ni por un foro, ni por videos ni por mucho que escriba te vamos a poder transferir eso solo se coge con horas, leyendo, probando y cuando las cosas no salen las dejas para dentro de 2-3 días y continuas.

Esto no es fácil.

[Zandunga]

si, lo se creeme, pero, ps he seguido sus pasos, pero, aun no me deja loguear!!!, jejeje, ya cambie el archivo como me comentas, peroaun sigo sin poder, loguear, y para colomo, sigo logueando con el usuario de okmAdmin y su contraseña por defecto, estado pensando en, volver a la version anterior jejeje, no se si podrias apoyarme mejor en esa version, de antemano gracias.

[jllort]

si te estas logeando con el okmAdmin antiguo es que el OpenKM.xml no lo tienes bien, hay que comentar la entrada que hace referencia a la base de datos con <!-- --> También puedes empezar por configurar la parte de la administración, los parametros de configuración. Igual es mas sencillo primero configurar Administracion -> parametros y luego el OpenKM.xml como mínimo veras cosas y luego pasar al OpenKM.xml suele ser mas sencillo. Recuerda que al modificar el principalAdapter hay que reiniciar la aplicacion ( es de los pocos casos que se precisa eso ).

[Zandunga]

Pues a final de cuentas, la nueva versión no me convenció, mejor opte por la antigua, así como lo estaba configurando, bueno, pero ahora tengo un problema, el cual es que todos entran como Administradores, hay alguna forma de cambia o de modificar esa parte o poder hacer que cada uno entre de diferentes privilegios??, no quiero que todos sean administradores, quiero que sean Administradores y usuarios.

Mi pregunta es, como puedo hacer eso, que archivos debería de cambiar

GRACIAS!!!, de antemano, por la ayuda y los consejos

[jllort]

Si todos son administradores es porque en algun sitio estas forzando que tengan el ROLE_ADMIN o porque se lo has asignado a todos.

[Zandunga]

si, pero, como puedo hacer, para que, cada uno se logue por medio de ROLE_ADMIN y USER_ROLE, como puedo hacer esa distinción entre los usuarios, ya en mi AD, los tengo diferenciados, pero, que debo de editar, o como puedo hacer esa distinción, gracias de antemano.

Code: Select all

<module-option name="searchScope">SUBTREE_SCOPE</module-option>
       <module-option name="defaultRole">AdminRole</module-option>
     </login-module>
  </authentication>

el codigo anterior es donde hago la distincion y como dices aqui es donde forso la entrada, tambien intente quitar ese parámetro, pero me marca erro en la aplicación, que no encuentra el recurso, espero me puedas orientar, gracias de antemano

[jllort]

Vale estas en 5.x olvídate del ROLE_ADMIN y del ROL_USER esto es para la 6.x

Nada esto ya lo puedes ir quitando <module-option name="defaultRole">AdminRole</module-option> porque estas forzando que todos los usuarios tengan el role AdminRole, tu poblema es que con los usuarios no estas pillando correctamente los roles, me imagino que sin esta linea no te entra nadie verdad ?

[Zandunga]

si, asi es, quiero que, cada uno entre con el roll que le corresponde, por ejemplo en AdminRole, tengo a mis compañeros de sistemas y yo, que seriamos los unicos Administradores, este grupo ya lo tengo definido en mi AD, ahora no se como, puedo, hacer que los que tiene roll de admin y los que tiene roll de user, entren, con sus respectivos rollos, como te comente, ya quite la linea, pero me marca error, no se como puedo.

Como puedo hacer que entren con el roll, que les asigne:

ejemplo AdminRole y UserRole

Quiero que tenga su propia interfaz limitada.