Page 2 of 2
Re: Acceso a de OpenKM, por medio de AD
PostPosted:Tue Jul 30, 2013 6:59 am
by jllort
En principio las dos configuraciones que tienes aquí estan probladas
http://wiki.openkm.com/index.php/Active ... OpenKM_5.1 aunque yo siempre me he inclidado en montarlo como en el primer ejemplo mas que con el segundo ( Filter roles by users who are members ), por lo que veo tu lo tienes montado con el segundo.
Intenta con un dn mas general dc=privado,dc=com,dc=mx.
Re: Acceso a de OpenKM, por medio de AD
PostPosted:Tue Jul 30, 2013 9:53 pm
by Zandunga
pues al parecer, no me deja loguear, con la configuración que me comentas, ya lo intente y ya no me permite entrar a OpenKM, y no es con la configuración que utilizo:
Code: Select all <application-policy name="OpenKM">
<authentication>
<login-module code="org.jboss.security.auth.spi.LdapExtLoginModule" flag="required" >
<module-option name="java.naming.provider.url">ldap://10.200.0.40:389</module-option>
<module-option name="bindDN">cn=ooz,cn=Users,dc=privado,dc=com,dc=mx</module-option>
<module-option name="java.naming.security.authentication">simple</module-option>
<module-option name="bindCredential">******</module-option>
<module-option name="baseCtxDN">dc=privado,dc=com,dc=mx</module-option>
<module-option name="baseFilter">(sAMAccountName={0})</module-option>
<module-option name="rolesCtxDN">cn=Users,dc=privado,dc=com,dc=mx</module-option>
<module-option name="roleFilter">(sAMAccountName={0})</module-option>
<module-option name="roleAttributeID">memberOf</module-option>
<module-option name="roleAttributeIsDN">true</module-option>
<module-option name="roleNameAttributeID">cn</module-option>
<module-option name="roleRecursion">-1</module-option>
<module-option name="searchScope">SUBTREE_SCOPE</module-option>
<module-option name="defaultRole">AdminRole</module-option>
</login-module>
</authentication>
</application-policy>
Es esta, como te digo aqui obligo o manipulo a que sean todos o tengan el roll de Administrador
Re: Acceso a de OpenKM, por medio de AD
PostPosted:Wed Jul 31, 2013 9:04 pm
by Zandunga
ya pude solucionar mi problema, muchisimas gracias, solo tenia que cambiar este parámetro:
Code: Select all<module-option name="defaultRole">AdminRole</module-option>
por esto:
Code: Select all<module-option name="defaultRole">UserRole</module-option>
cons esto solo okmAdmin es Administrador, y los demas son usuarios, gracias, muchisimas gracias!!!
Re: Acceso a de OpenKM, por medio de AD
PostPosted:Thu Aug 01, 2013 6:40 am
by jllort
Tampoco es del todo correcto esto, en realidad este parametro de configuracion no lo tendrias que poner. Todos los usuarios deberían tener el UserRole ( definido en el ldap ) y pillarlo de ahí. Aquí lo que estas haciendo es forzando que todos los usuarios tengan el UserRole. El problema es que si no te pilla el UserRole asignado a un usuario del ldap tampoco te pillará el resto de roles y cuando quieras aplicar la seguridad no te funcionará nada.
Re: Acceso a de OpenKM, por medio de AD
PostPosted:Thu Aug 01, 2013 11:34 pm
by Zandunga
si,ya me dicuenta, entonces que me propones, ya que el ejemplo que me mandaste no, me da nada y ni siquiera me deja entrar al OpenKM, como seria en si, o comole puedo hacer, gracias de antemano
Re: Acceso a de OpenKM, por medio de AD
PostPosted:Mon Aug 05, 2013 7:47 am
by jllort
Yo cogería este ejemplo como base, que es de lo más genérico que peudes poner: Asegúrate que los usuarios son miembros de los roles que has creado en el active directory (me refiero a que has creado un UserRole o AdminRole y que los usuarios son miembros de alguno de estos dos ).
Code: Select all<application-policy name="OpenKM">
<authentication>
<login-module code="org.jboss.security.auth.spi.LdapExtLoginModule" flag="required" >
<module-option name="java.naming.provider.url">ldap://10.200.0.40:389</module-option>
<module-option name="bindDN">CN=Administrador,cn=users,dc=privado,dc=com,dc=mx</module-option>
<module-option name="java.naming.security.authentication">simple</module-option>
<module-option name="bindCredential">password</module-option>
<module-option name="baseCtxDN">dc=privado,dc=com,dc=mx</module-option>
<module-option name="baseFilter">(sAMAccountName={0})</module-option>
<module-option name="rolesCtxDN">dc=privado,dc=com,dc=mx</module-option>
<module-option name="roleFilter">(member={1})</module-option>
<module-option name="roleAttributeID">cn</module-option>
<module-option name="roleAttributeIsDN">false</module-option>
<module-option name="roleRecursion">2</module-option>
<module-option name="searchScope">ONELEVEL_SCOPE</module-option>
<module-option name="allowEmptyPasswords">false</module-option>
</login-module>
</authentication>
</application-policy>
Re: Acceso a de OpenKM, por medio de AD
PostPosted:Thu Aug 08, 2013 1:36 am
by Zandunga
Bueno ya lo intente, pero, no me deja entrar con ningún usuario, así como me lo pasaste, lo meti en mi archivo, no se que otro cambio tendría que hacer gracias de antemano
Re: Acceso a de OpenKM, por medio de AD
PostPosted:Thu Aug 08, 2013 11:24 am
by jllort
me da la sensación que el problema lo tienes en el AD, los usuarios son miembros de RoleUser o RoleAdmin ?
prueba a cambiar esto
<module-option name="baseCtxDN">cn=users,dc=privado,dc=com,dc=mx</module-option>
En que nodo has definido los roles, pon aqui el DN ( distinguished name )
Re: Acceso a de OpenKM, por medio de AD
PostPosted:Fri Aug 09, 2013 6:28 am
by Zandunga
no se supone que es AdminRole y UserRole, por que si, los tengo en mi AD, pero, no aun asi no me deja, entrar, no se que me fallo, pero cambie los parametrosque me dijiste a menos de que haya hecho algo mal , con forme a tu ejemplo hice la búsqueda mas profunda pero, solo me deja loguear con okmAdmin, y con los demas usuarios no me djea, solo con ese, que mas podriamos ghacer gracias de antemano, te dejo lo que le cambie
Code: Select all<application-policy name="OpenKM">
<authentication>
<login-module code="org.jboss.security.auth.spi.LdapExtLoginModule" flag="required" >
<module-option name="java.naming.provider.url">ldap://10.200.0.40:389</module-option>
<module-option name="bindDN">CN=Administrador,cn=users,dc=privado,dc=com,dc=mx</module-option>
<module-option name="java.naming.security.authentication">simple</module-option>
<module-option name="bindCredential">password</module-option>
<module-option name="baseCtxDN">cn=Users,dc=privado,dc=com,dc=mx</module-option>
<module-option name="baseFilter">(sAMAccountName={0})</module-option>
<module-option name="rolesCtxDN">dc=privado,dc=com,dc=mx</module-option>
<module-option name="roleFilter">(member={1})</module-option>
<module-option name="roleAttributeID">DN</module-option>
<module-option name="roleAttributeIsDN">false</module-option>
<module-option name="roleRecursion">2</module-option>
<module-option name="searchScope">ONELEVEL_SCOPE</module-option>
<module-option name="allowEmptyPasswords">false</module-option>
</login-module>
</authentication>
</application-policy>
Re: Acceso a de OpenKM, por medio de AD
PostPosted:Fri Aug 09, 2013 4:48 pm
by jllort
Que entre el usuario okmAdmin ( con la clave del AD ) es buena señal
Los usuarios y los grupos los tienes definidos todos debajo de cn=Users,dc=privado,dc=com,dc=mx no ?
Yo eliminaría el UserRole del AD y lo volvería a crear nuevamente ojo que no haya espacio al final o al principio que eso te puede dar mas de un susto.