Page 1 of 1
Usuario administrador LDAP v.4
PostPosted:Thu Jan 21, 2010 10:39 am
by redmon
Hola
He conseguido validar el openKM en ldap contra mi AD, pero no se como entrar en modo administrador.
He leido los foros y no me aclaro. He probado crear un usuario okmAdmin en el ldap, y no funciona....
alguien puede decirme como hacerlo???
Re: Usuario administrador LDAP v.4
PostPosted:Thu Jan 21, 2010 3:39 pm
by fabios
redmon:
yo tengo configurado con AD y lo que usé es poner un grupo del AD en el OpenKM.cfg
Los usuarios que tienen ese grupo en AD van a ser administradores.
default.admin.role=XXXX
saludos
Fabio
Re: Usuario administrador LDAP v.4
PostPosted:Thu Jan 21, 2010 5:11 pm
by jllort
A los usuarios que quieras que tengasn privilegios de adminitrador tienes que añadirles los roles AdminRole y UserRole.
Al resto de usuarios normales el UserRole.
Tambien puedes asignar otros roles que OpenKM puede utilizar pero estos dos son básicos.
Re: Usuario administrador LDAP v.4
PostPosted:Fri Jan 22, 2010 8:09 am
by redmon
ei gracias a los dos por las respuestas:
1. Si quiero poner a los administradores del dominio de AD como administradores del openKM debo poner en el openKM.cfg:
efault.admin.role=cn=Admins. del dominio,cn=users,dc=ajuntament,dc=net
???
2. Entiendo que los usuarios tengan el UserRole y los administradores el AdminRole y UserRole, pero donde se debe especificar esto???
Perdon por las preguntas de paleto, pero solo hace 2 dias que estoy en esto y estoy evaluando su funcionalidad....
gracias!
Re: Usuario administrador LDAP v.4
PostPosted:Fri Jan 22, 2010 10:47 am
by ban007
Pues en OKM en la pestaña de administración en el punto "Usuarios" Mi primer fallo fue no marcar la casilla "activo".
Un saludo,
Ban.
Re: Usuario administrador LDAP v.4
PostPosted:Fri Jan 22, 2010 10:56 am
by redmon
el problema es que no veo la pestaña de administración con ningún usuario....
Re: Usuario administrador LDAP v.4
PostPosted:Fri Jan 22, 2010 11:00 am
by ban007
ni el que viene como admin por defecto (okmAdmin/admin)?
Si no eres admin no puedes añadir ningún rol a ningún usuario...
Re: Usuario administrador LDAP v.4
PostPosted:Fri Jan 22, 2010 4:04 pm
by jllort
Lo mas sencillo en el active directory es definir 2 grupos nuevos AdminRole y UserRole y asignarlos a distintos usuarios ( cuidadin que el tema es case sensitive ).
Re: Usuario administrador LDAP v.4
PostPosted:Mon Jan 25, 2010 8:10 am
by redmon
jllort wrote:Lo mas sencillo en el active directory es definir 2 grupos nuevos AdminRole y UserRole y asignarlos a distintos usuarios ( cuidadin que el tema es case sensitive ).
Gracias!!
He creado los dos grupos, he puesto 3 usuarios del AD como UserRole y uno de ellos ademas con el AdminRole. Funciona bien.
Pregunta:
Actualmente, pueden entrar TODOS los usuarios del AD. Si quiero que solo entren los usuarios definidos como UserRole y dentro del sistema solo se vean estos, como lo hago???
qui tienen mi openKM.cfg:
Code: Select allprincipal.adapter=es.git.openkm.principal.LdapPrincipalAdapter
principal.ldap.server=ldap://192.168.1.174
principal.ldap.security.principal=CN=Administrador,cn=users,dc=dominio,dc=net
principal.ldap.security.credentials=passsssss
principal.ldap.user.search.base=cn=users,dc=dominio,dc=net
principal.ldap.user.search.filter=(objectclass=person)
principal.ldap.user.atribute=cn
principal.ldap.role.search.base=cn=users,dc=dominio,dc=net
principal.ldap.role.search.filter=(objectclass=group)
principal.ldap.role.atribute=cn
principal.ldap.mail.search.base=cn={0},cn=users,dc=dominio,dc=net
principal.ldap.mail.search.filter=(objectclass=person)
principal.ldap.mail.atribute=mail
y el login-config.xml:
Code: Select all<application-policy name="OpenKM">
<authentication>
<login-module code="org.jboss.security.auth.spi.LdapExtLoginModule" flag="required" >
<module-option name="java.naming.provider.url">ldap://192.168.1.174</module-option>
<module-option name="bindDN">CN=Administrador,cn=users,dc=dominio,dc=net</module-option>
<module-option name="java.naming.security.authentication">simple</module-option>
<module-option name="bindCredential">passssss</module-option>
<module-option name="baseCtxDN">cn=users,dc=dominio,dc=net</module-option>
<module-option name="baseFilter">(sAMAccountName={0})</module-option>
<module-option name="rolesCtxDN">cn=users,dc=dominio,dc=net</module-option>
<module-option name="roleFilter">(member={1})</module-option>
<module-option name="roleAttributeID">cn</module-option>
<module-option name="roleAttributeIsDN">false</module-option>
<module-option name="roleRecursion">2</module-option>
<module-option name="searchScope">ONELEVEL_SCOPE</module-option>
</login-module>
</authentication>
</application-policy>
Re: Usuario administrador LDAP v.4
PostPosted:Mon Jan 25, 2010 12:03 pm
by jllort
Es imposible que te entren todos los usuarios dado que solo los usuarios con el role UserRole y AdminRole tienes privilegios a nivel de el servidor de aplicaciones para poder realizar el login.
En el login-config.xml tambien hecho en falta
Code: Select all<module-option name="defaultRole">UserRole</module-option>
Pero vamos que es imposible que se autentifique ningún usuario que no tenga estos roles ...
Re: Usuario administrador LDAP v.4
PostPosted:Tue Jan 26, 2010 7:33 am
by redmon
si es verdad, habia borrado esa linea haciendo pruebas.....
pero la question es como limito a que solo unos usuarios del AD (los que esten en un grupo llamado userRole puedan entrar en el openKM, y asimismo, que en las listas de usuarios y grupos que salen dentro del openKM solo me salgan estos usuarios????
Re: Usuario administrador LDAP v.4
PostPosted:Wed Jan 27, 2010 11:10 am
by jllort
Para filtrar los usuarios deberás mirar la sintaxis del ldap, creo que lo suyo es crear algun grupo y poder filtrar por este grupo tanto los usuarios como los roles.
principal.ldap.user.search.filter=(objectclass=person) igual seria algo parecido a (objectclass=person and group=grupofiltrado)
Pero esto depende de la estructura del ldap que tengas y de la sintaxis del mismo que no estoy seguro que sea exactamente esta ( pero creo que es algo así mas o menos ). Si te funciona postealo que es interesante.
Re: Usuario administrador LDAP v.4
PostPosted:Fri Jan 29, 2010 10:58 am
by totaler
Buenos días,
Tras encontrarme con los mismos problemas que redmon creo que por fin he llegado a una configuración funcional. Voy poniendo paso a paso las configuraciones que he tocado y para que:
1- Para que no se pueda logear cualquier usuario:
Esto hay que tocarlo en el "login-config.xml". Para acotar los usuarios modificamos el "basefilter" de la siguiente manera
"(&(sAMAccountName={0})(memberOf=CN=UserRole,CN=Users,DC=dominio,DC=local))"
Así sólo podrán acceder aquellos usuarios que sean miembros de "UserRole"
En AD además habría que agregar una última directiva
Code: Select all<module-option name="allowEmptyPasswords">false</module-option>
para evitar que los usuarios puedan entrar sin introducir su password, sólo con el nombre.
2- Para filtrar los usuarios y los grupos a la hora de asignar permisos
Esto hay que tocarlo en el "OpenKM.cfg" y utilizamos la misma técnica que antes.
Para los usuarios
Code: Select allprincipal.ldap.user.search.filter=(&(objectclass=user)(memberOf=CN=UserRole,CN=Users,DC=dominio,DC=local))
Para los grupos
Code: Select allprincipal.ldap.role.search.filter=(&(objectclass=group)(memberOf=CN=OpenKM,CN=Users,DC=dominio,DC=local))
En este último caso me he creado un grupo que englobará a todos los grupos/roles (UserRole, AdminRole, etc...) que utilizaré dentro de OpenKM.
Tan sólo una cosa más a tener en cuenta. Cuidado al referenciar el carácter "&" en un xml, porque puede darnos un error de sintaxis.