Usuario administrador LDAP v.4

[redmon]

Hola

He conseguido validar el openKM en ldap contra mi AD, pero no se como entrar en modo administrador.
He leido los foros y no me aclaro. He probado crear un usuario okmAdmin en el ldap, y no funciona....

alguien puede decirme como hacerlo???

[fabios]

redmon:
yo tengo configurado con AD y lo que usé es poner un grupo del AD en el OpenKM.cfg
Los usuarios que tienen ese grupo en AD van a ser administradores.

default.admin.role=XXXX

saludos
Fabio

[jllort]

A los usuarios que quieras que tengasn privilegios de adminitrador tienes que añadirles los roles AdminRole y UserRole.
Al resto de usuarios normales el UserRole.
Tambien puedes asignar otros roles que OpenKM puede utilizar pero estos dos son básicos.

[redmon]

ei gracias a los dos por las respuestas:

1. Si quiero poner a los administradores del dominio de AD como administradores del openKM debo poner en el openKM.cfg:
efault.admin.role=cn=Admins. del dominio,cn=users,dc=ajuntament,dc=net
???

2. Entiendo que los usuarios tengan el UserRole y los administradores el AdminRole y UserRole, pero donde se debe especificar esto???


Perdon por las preguntas de paleto, pero solo hace 2 dias que estoy en esto y estoy evaluando su funcionalidad....

gracias!

[ban007]

Pues en OKM en la pestaña de administración en el punto "Usuarios" Mi primer fallo fue no marcar la casilla "activo".
Un saludo,
Ban.

[redmon]

el problema es que no veo la pestaña de administración con ningún usuario....

[ban007]

ni el que viene como admin por defecto (okmAdmin/admin)?
Si no eres admin no puedes añadir ningún rol a ningún usuario...

[jllort]

Lo mas sencillo en el active directory es definir 2 grupos nuevos AdminRole y UserRole y asignarlos a distintos usuarios ( cuidadin que el tema es case sensitive ).

[redmon]

Lo mas sencillo en el active directory es definir 2 grupos nuevos AdminRole y UserRole y asignarlos a distintos usuarios ( cuidadin que el tema es case sensitive ).

Gracias!!

He creado los dos grupos, he puesto 3 usuarios del AD como UserRole y uno de ellos ademas con el AdminRole. Funciona bien.
Pregunta:
Actualmente, pueden entrar TODOS los usuarios del AD. Si quiero que solo entren los usuarios definidos como UserRole y dentro del sistema solo se vean estos, como lo hago???

qui tienen mi openKM.cfg:

Code: Select all

principal.adapter=es.git.openkm.principal.LdapPrincipalAdapter
principal.ldap.server=ldap://192.168.1.174
principal.ldap.security.principal=CN=Administrador,cn=users,dc=dominio,dc=net
principal.ldap.security.credentials=passsssss
principal.ldap.user.search.base=cn=users,dc=dominio,dc=net
principal.ldap.user.search.filter=(objectclass=person)
principal.ldap.user.atribute=cn
principal.ldap.role.search.base=cn=users,dc=dominio,dc=net
principal.ldap.role.search.filter=(objectclass=group)
principal.ldap.role.atribute=cn
principal.ldap.mail.search.base=cn={0},cn=users,dc=dominio,dc=net
principal.ldap.mail.search.filter=(objectclass=person)
principal.ldap.mail.atribute=mail

y el login-config.xml:

Code: Select all

<application-policy name="OpenKM">
   <authentication>
      <login-module code="org.jboss.security.auth.spi.LdapExtLoginModule" flag="required" >
        <module-option name="java.naming.provider.url">ldap://192.168.1.174</module-option>
        <module-option name="bindDN">CN=Administrador,cn=users,dc=dominio,dc=net</module-option>
        <module-option name="java.naming.security.authentication">simple</module-option>
        <module-option name="bindCredential">passssss</module-option>
        <module-option name="baseCtxDN">cn=users,dc=dominio,dc=net</module-option>
        <module-option name="baseFilter">(sAMAccountName={0})</module-option>
        <module-option name="rolesCtxDN">cn=users,dc=dominio,dc=net</module-option>
        <module-option name="roleFilter">(member={1})</module-option>
        <module-option name="roleAttributeID">cn</module-option>
        <module-option name="roleAttributeIsDN">false</module-option>
        <module-option name="roleRecursion">2</module-option>
        <module-option name="searchScope">ONELEVEL_SCOPE</module-option>
      </login-module>
     </authentication>
   </application-policy>

[jllort]

Es imposible que te entren todos los usuarios dado que solo los usuarios con el role UserRole y AdminRole tienes privilegios a nivel de el servidor de aplicaciones para poder realizar el login.

En el login-config.xml tambien hecho en falta

Code: Select all

<module-option name="defaultRole">UserRole</module-option>

Pero vamos que es imposible que se autentifique ningún usuario que no tenga estos roles ...

[redmon]

si es verdad, habia borrado esa linea haciendo pruebas.....

pero la question es como limito a que solo unos usuarios del AD (los que esten en un grupo llamado userRole puedan entrar en el openKM, y asimismo, que en las listas de usuarios y grupos que salen dentro del openKM solo me salgan estos usuarios????

[jllort]

Para filtrar los usuarios deberás mirar la sintaxis del ldap, creo que lo suyo es crear algun grupo y poder filtrar por este grupo tanto los usuarios como los roles.

principal.ldap.user.search.filter=(objectclass=person) igual seria algo parecido a (objectclass=person and group=grupofiltrado)

Pero esto depende de la estructura del ldap que tengas y de la sintaxis del mismo que no estoy seguro que sea exactamente esta ( pero creo que es algo así mas o menos ). Si te funciona postealo que es interesante.

[totaler]

Buenos días,

Tras encontrarme con los mismos problemas que redmon creo que por fin he llegado a una configuración funcional. Voy poniendo paso a paso las configuraciones que he tocado y para que:

1- Para que no se pueda logear cualquier usuario:
Esto hay que tocarlo en el "login-config.xml". Para acotar los usuarios modificamos el "basefilter" de la siguiente manera
"(&(sAMAccountName={0})(memberOf=CN=UserRole,CN=Users,DC=dominio,DC=local))"

Así sólo podrán acceder aquellos usuarios que sean miembros de "UserRole"
En AD además habría que agregar una última directiva

Code: Select all

<module-option name="allowEmptyPasswords">false</module-option>

para evitar que los usuarios puedan entrar sin introducir su password, sólo con el nombre.

2- Para filtrar los usuarios y los grupos a la hora de asignar permisos
Esto hay que tocarlo en el "OpenKM.cfg" y utilizamos la misma técnica que antes.
Para los usuarios

Code: Select all

principal.ldap.user.search.filter=(&(objectclass=user)(memberOf=CN=UserRole,CN=Users,DC=dominio,DC=local))

Para los grupos

Code: Select all

principal.ldap.role.search.filter=(&(objectclass=group)(memberOf=CN=OpenKM,CN=Users,DC=dominio,DC=local))

En este último caso me he creado un grupo que englobará a todos los grupos/roles (UserRole, AdminRole, etc...) que utilizaré dentro de OpenKM.

Tan sólo una cosa más a tener en cuenta. Cuidado al referenciar el carácter "&" en un xml, porque puede darnos un error de sintaxis.