Acceso a de OpenKM, por medio de AD

[jllort]

En principio las dos configuraciones que tienes aquí estan probladas http://wiki.openkm.com/index.php/Active ... OpenKM_5.1 aunque yo siempre me he inclidado en montarlo como en el primer ejemplo mas que con el segundo ( Filter roles by users who are members ), por lo que veo tu lo tienes montado con el segundo.

Intenta con un dn mas general dc=privado,dc=com,dc=mx.

[Zandunga]

pues al parecer, no me deja loguear, con la configuración que me comentas, ya lo intente y ya no me permite entrar a OpenKM, y no es con la configuración que utilizo:

Code: Select all

  <application-policy name="OpenKM">
  <authentication>
     <login-module code="org.jboss.security.auth.spi.LdapExtLoginModule" flag="required" >
       <module-option name="java.naming.provider.url">ldap://10.200.0.40:389</module-option>
       <module-option name="bindDN">cn=ooz,cn=Users,dc=privado,dc=com,dc=mx</module-option>
       <module-option name="java.naming.security.authentication">simple</module-option>
       <module-option name="bindCredential">******</module-option>
       <module-option name="baseCtxDN">dc=privado,dc=com,dc=mx</module-option>
       <module-option name="baseFilter">(sAMAccountName={0})</module-option>
       <module-option name="rolesCtxDN">cn=Users,dc=privado,dc=com,dc=mx</module-option>
       <module-option name="roleFilter">(sAMAccountName={0})</module-option>
       <module-option name="roleAttributeID">memberOf</module-option>
       <module-option name="roleAttributeIsDN">true</module-option>
       <module-option name="roleNameAttributeID">cn</module-option>
       <module-option name="roleRecursion">-1</module-option>
       <module-option name="searchScope">SUBTREE_SCOPE</module-option>
       <module-option name="defaultRole">AdminRole</module-option>
     </login-module>
  </authentication>
</application-policy>

Es esta, como te digo aqui obligo o manipulo a que sean todos o tengan el roll de Administrador

[Zandunga]

ya pude solucionar mi problema, muchisimas gracias, solo tenia que cambiar este parámetro:

Code: Select all

<module-option name="defaultRole">AdminRole</module-option>

por esto:

Code: Select all

<module-option name="defaultRole">UserRole</module-option>

cons esto solo okmAdmin es Administrador, y los demas son usuarios, gracias, muchisimas gracias!!!

[jllort]

Tampoco es del todo correcto esto, en realidad este parametro de configuracion no lo tendrias que poner. Todos los usuarios deberían tener el UserRole ( definido en el ldap ) y pillarlo de ahí. Aquí lo que estas haciendo es forzando que todos los usuarios tengan el UserRole. El problema es que si no te pilla el UserRole asignado a un usuario del ldap tampoco te pillará el resto de roles y cuando quieras aplicar la seguridad no te funcionará nada.

[Zandunga]

si,ya me dicuenta, entonces que me propones, ya que el ejemplo que me mandaste no, me da nada y ni siquiera me deja entrar al OpenKM, como seria en si, o comole puedo hacer, gracias de antemano

[jllort]

Yo cogería este ejemplo como base, que es de lo más genérico que peudes poner: Asegúrate que los usuarios son miembros de los roles que has creado en el active directory (me refiero a que has creado un UserRole o AdminRole y que los usuarios son miembros de alguno de estos dos ).

Code: Select all

<application-policy name="OpenKM">
  <authentication>
    <login-module code="org.jboss.security.auth.spi.LdapExtLoginModule" flag="required" > 
      <module-option name="java.naming.provider.url">ldap://10.200.0.40:389</module-option> 
      <module-option name="bindDN">CN=Administrador,cn=users,dc=privado,dc=com,dc=mx</module-option>
      <module-option name="java.naming.security.authentication">simple</module-option>
      <module-option name="bindCredential">password</module-option>
      <module-option name="baseCtxDN">dc=privado,dc=com,dc=mx</module-option>
      <module-option name="baseFilter">(sAMAccountName={0})</module-option>
      <module-option name="rolesCtxDN">dc=privado,dc=com,dc=mx</module-option>
      <module-option name="roleFilter">(member={1})</module-option>
      <module-option name="roleAttributeID">cn</module-option>
      <module-option name="roleAttributeIsDN">false</module-option>
      <module-option name="roleRecursion">2</module-option>
      <module-option name="searchScope">ONELEVEL_SCOPE</module-option>
      <module-option name="allowEmptyPasswords">false</module-option>
    </login-module> 
  </authentication>
</application-policy>

[Zandunga]

Bueno ya lo intente, pero, no me deja entrar con ningún usuario, así como me lo pasaste, lo meti en mi archivo, no se que otro cambio tendría que hacer gracias de antemano

[jllort]

me da la sensación que el problema lo tienes en el AD, los usuarios son miembros de RoleUser o RoleAdmin ?

prueba a cambiar esto

<module-option name="baseCtxDN">cn=users,dc=privado,dc=com,dc=mx</module-option>

En que nodo has definido los roles, pon aqui el DN ( distinguished name )

[Zandunga]

no se supone que es AdminRole y UserRole, por que si, los tengo en mi AD, pero, no aun asi no me deja, entrar, no se que me fallo, pero cambie los parametrosque me dijiste a menos de que haya hecho algo mal , con forme a tu ejemplo hice la búsqueda mas profunda pero, solo me deja loguear con okmAdmin, y con los demas usuarios no me djea, solo con ese, que mas podriamos ghacer gracias de antemano, te dejo lo que le cambie

Code: Select all

<application-policy name="OpenKM">
  <authentication>
    <login-module code="org.jboss.security.auth.spi.LdapExtLoginModule" flag="required" > 
      <module-option name="java.naming.provider.url">ldap://10.200.0.40:389</module-option> 
      <module-option name="bindDN">CN=Administrador,cn=users,dc=privado,dc=com,dc=mx</module-option>
      <module-option name="java.naming.security.authentication">simple</module-option>
      <module-option name="bindCredential">password</module-option>
      <module-option name="baseCtxDN">cn=Users,dc=privado,dc=com,dc=mx</module-option>
      <module-option name="baseFilter">(sAMAccountName={0})</module-option>
      <module-option name="rolesCtxDN">dc=privado,dc=com,dc=mx</module-option>
      <module-option name="roleFilter">(member={1})</module-option>
      <module-option name="roleAttributeID">DN</module-option>
      <module-option name="roleAttributeIsDN">false</module-option>
      <module-option name="roleRecursion">2</module-option>
      <module-option name="searchScope">ONELEVEL_SCOPE</module-option>
      <module-option name="allowEmptyPasswords">false</module-option>
    </login-module> 
  </authentication>
</application-policy>

[jllort]

Que entre el usuario okmAdmin ( con la clave del AD ) es buena señal

Los usuarios y los grupos los tienes definidos todos debajo de cn=Users,dc=privado,dc=com,dc=mx no ?

Yo eliminaría el UserRole del AD y lo volvería a crear nuevamente ojo que no haya espacio al final o al principio que eso te puede dar mas de un susto.