Ayuda Active Directory Ya me duele la cabeza!!

[alexrv]

Hola que tal tengo unas dudas sobre el Active Directory para ponerlo a funcionar con el OpenKM ya tengo
los datos que me piden pero no se si sean correctos miren los voy a poner para que vean mas o menos como esta

Code: Select all

<application-policy name=\"OpenKM\">
  <authentication>
    <login-module code=\"org.jboss.security.auth.spi.LdapExtLoginModule\" flag=\"required\" > 
      <module-option name=\"java.naming.provider.url\">ldap://cordc.ec.inet.uady.mx:389/OU=CGPEyGI,OU=Rectoria,DC=ec,DC=inet,DC=uady,DC=mx</module-option> 
<module-option name=\"bindDN\">CN=Wilberth R. García Alfaro,OU=CGPEyGI,OU=Rectoria,DC=ec,DC=inet,DC=uady,DC=mx</module-option>
      <module-option name=\"java.naming.security.authentication\">simple</module-option>
      <module-option name=\"bindCredential\">ADMIN_PASSWORD</module-option>
      <module-option name=\"baseCtxDN\">OU=CGPEyGI,OU=Rectoria,DC=ec,DC=inet,DC=uady,DC=mx</module-option>
      <module-option name=\"baseFilter\">(sAMAccountName={0})</module-option>
      <module-option name=\"rolesCtxDN\">OU=CGPEyGI,OU=Rectoria,DC=ec,DC=inet,DC=uady,DC=mx</module-option>
      <module-option name=\"roleFilter\">(sAMAccountName={0})</module-option>
      <module-option name=\"roleAttributeID\">memberOf</module-option>
      <module-option name=\"roleAttributeIsDN\">true</module-option>
      <module-option name=\"roleNameAttributeID\">cn</module-option>
      <module-option name=\"roleRecursion\">-1</module-option>
      <module-option name=\"searchScope\">SUBTREE_SCOPE</module-option>
      <module-option name=\"defaultRole\">UserRol</module-option>
    </login-module> 
  </authentication>
</application-policy>

Estan bien estos datos ?

La otra duda es donde pongo todo esto no encuentro el archivo donde poner esto ? donde se encuentra el
LdapExtLoginModule Gracias !

[jllort]

Esto lo tienes que poner en el login-config.xml en %JBOSS_HOME%/server/default/conf

Acuerdate que allí ya existe un <application-policy name=\"OpenKM\"> lo mejor es que comentes todo este apartado con los <!-- --!> no deben existir dos entradas iguales.

Para que esto tenga efectos debes reiniciar el jboss. Esto no te funcionará al vuelo, si tienes algo mal cada vez tendrás que parar el servidor y volverlo a arrancar.

[alexrv]

ok ya hize tolo lo que mencionas ahora mi duda es la siguiente ... como me tengo que loguear dentro del sistema OpenKM, Solamente dando mi nombre de usuario y ontraseña tal cual ?

Mi_Usuario/Mi_Contraseña

o loguearme como es el logueo simple en Active Directory

CN=Mi Nombre de Usuario,OU=CGPEyGI,OU=Rectoria,DC=ec,DC=inet,DC=uady,DC=mx / Mi_Contraseña?

Otra duda que tengo es que si aun tengo que implementar el Principal adapter como mencionas en el manual... Por que no tengo idea de como hacer eso.

A porposito muchas gracias por esta herramienta tan magnifica que nos has proporcionado, se aprecia mucho tu trabajo y efuerzo que le haz dedicado al OpenKM. Un saludo desde Mexico!! :D

[alexrv]

Por fin logre conectarme usando el Active Directory ya todo funciona a la perfeccion!!! Vuelvo a reiterar lo que eh dicho .. Exelente Sistema el que han desarrollado muchisimas Felicidadez ;)

Ahora solo queda saber por que no me deja eliminar carpetas me dice que no puedo eliminar carpetas con permisos de solo lectura. Aun cuando me conecto con el usuario System me dice lo mismo. Alguna idea de por que pasa esto ? Saludos !!!

[jllort]

1- Asegurate que el usuario system tiene el rol AdminRol y que el active directory se lo esta proporcionando correctamente. El usuario debe llamarse system ( es obligatorio que se llame así, ya sabemos que esto es una limitación pero asegurate de que se llama system ).

2- Efectivamente para hacer una integracion como toca, tienes que programar un poco con java.
2.1- Debes bajarte el código fuente de source forge, montar el entorno de desarrollo etc... en 5-10 minutos esto lo tienes hecho y esta bien explicado en la guia del desarrollador.
2.2- Necesitas unos conocimientos de programación java y de interconexion con el ldap. El objetivo es crear una nueva clase que extienda de PrincipalAdapter y que conecte con vuestro ldap. Esto se hace para que te aparezca la lista de usuarios y roles y los pille del ldap ( en caso contrario continuaria funcionando desde los properties-> en plan salir del paso podrias escribir alli los usuarios y los roles, pero no tiene mucho sentido ).

Te podemos hechar una mano con este desarrollo, en dos sentidos:
1- Haciendo tu el código fuente y nosotros lo vamos revisando y te damos indicaciones.
2- Tambien lo podemos hacer nosotros pero entraria dentro del marco de los servicios profesionales de pago.

[jllort]

Confirmame que el nombre que utilizas para autenticarte como usuario system que no sea del tipo system@DOMAIN

[alexrv]

los nombres de usuario que utilizo para loguearme son del siguiente tipo por ejemplo:

Usuario: freddy.rodriguez
Password: ********

Usuario: system
Password: ********

No utilizo el logueo de tipo usuario@Domain ni el tipo domain\\usuario

con respecto a lo de la parte de implementar el principal adapter... No lo eh implementado y aun asi el OpenKM esta agarrando todos los nombres de usuario y contraseña del LDAP puedo loguearme con cualquiera de los usuarios que quiera que esten en el Directorio activo... Que es lo que pasa entonces, por que se necesita exactamante la implementacion del principal adapter? Saludos !!

[jllort]

Vale

El principal Adapter es para las listas de usuarios cuando estas dentro del openkm. Por ejemplo vete a modificar la seguridad de un documento o carpeta, fíjate que las listas que te aparecen o estan vacias o son la de los usuarios de los properties ! El principalAdapter es para conectar estas listas con los usuarios.

La eliminación de carpetas con permisos de lectura es un bug que tenemos en la version 2.0b pero que ya hemos solucionado ( esta disponible en el cvs ). La semana que viene liberamos la version stable que soluciona este problema del borrado.

[antoniop]

Muchas gracias por su ayuda, la aplicacion 2.0 con AD esta autenticando los usuarios del dominio, pero no puedo crear el usuario \" system\" error logon name (Pre-Windows 2000) \" system\" is used.

Que puedo hacer para crear un usuario con AdminRol?

Gracias
Antonio

[alexrv]

antoniop a mi me pasaba lo mismo.

El por que ? Simple y sencillamente en windows ya existe un usuario system el cual es asignado al AD por lo cual no es posible que crees este usuario en el directorio activo lamentablemente.

La solucion... Yo tuve que recompilar el codigo cambiando al usuario administrador system por un usuario llamado openkm.admin, lamentablemente tienes que descargar el codigo fuente y meterle mano para que funcione con otro usuario... pero si jllort me lo permite tengo el OpenKM.ear ya modificado para que funcione con el usuario openkm.admin y podria colgarlo en la pagina como una solucion rapida para los usuarios qe requieran Directorio Activo.. =) Un saludo espero que te ayude mi respuesta...

[jllort]

No hay ningun problema por nuestra parte para que le pases el ear o lo cuelgues en internet con la modificación que has realizado.

[peter]

how can i get a copy of the altered .ear file because i have this same problem with my active dir

thank you

[jllort]

Actually it has been only patched on cvs, we\'ve not released a new .ear for it or minor changes. You\'ll need to wait for next release -> october, december or compile cvs project ( really not difficult, you\'ve got a developer guide on documentation section that shows hot to make it ).

[phmazzoni]

Can anybody send me the modified .ear file?

Thanks

[pavila]

You have to wait until the OpenKM 3.0 beta release (6-8 weeks)