Ningun Usuario es administrador

[jcervantes]

Hola comunidad,

Mi problema es el siguiente, configure el LDAP para Active directory en un Windows Server 2008 R2, puedo accesar de manera correcta con todos los usuarios de mi OU, sin embargo no tengo quien que pueda ver el panel adminsitrativo, es decir ya no puedo logearme con okmAdmin, tengo el usuario creado en AD, pero por politicas no puede tener el pass admin, por lo que tiene otro con mayusculas y numeros, sin embargo no autentica como administrador con ninguna cuenta.

Que se puede hacer al respecto para poder ser un administrador y asi poder integrar AD con OpenKM?

Versiones:

Ubuntu 11.04 Virtualizado en Vsphere
OpenKM 5.1.09 Build 7447
Active directory Windows server 2008R2

Gracias de antemano por sus respuestas.

[jllort]

El problema lo tienes con los roles. Por alguna razón no te esta cogiendo correctamente los roles en la autentificación, si el usuario tiene el AdminRole ( se captura durante el proceso de login -> configuración del login-config.xml ) tendrías privilegios de administrador.

Pon aqui la parte del login-config.xml que estas utilizando par atentificarte con openkm ( quita aquella informacion sentible, password, ip, etc... ). Aquí hay algo que está mal.

Nota: El active directory de microsoft no es case sensitive, pero openkm si, es decir te puedes logear como okmAdmin, okmadmin o OKMAdmin ( todo colara con el AD ) pero para openkm seran 3 usuarios distintos, te recomiendo activar el parametro de configuracion system.login.lowercase

[jcervantes]

Gracias por la pronta respuesta.

Code: Select all

<application-policy name="OpenKM">
  <authentication>
    <login-module code="org.jboss.security.auth.spi.LdapExtLoginModule" flag="required" >
      <module-option name="java.naming.provider.url">ldap://10.1.1.253</module-option>
      <module-option name="bindDN">CN=Adminsitrator,CN=Users,dc=xxx-xxx,dc=com,dc=mx</module-option>
      <module-option name="java.naming.referral">follow</module-option>
      <module-option name="java.naming.security.authentication">simple</module-option>
      <module-option name="bindCredential">********</module-option>
      <module-option name="baseCtxDN">CN=Users,dc=xxx-xxx,dc=com,dc=mx</module-option>
      <module-option name="baseFilter">(&(sAMAccountName={0})(objectClass=user)))</module-option>
      <module-option name="rolesCtxDN">CN=Users,dc=xxx-xxx,dc=com,dc=mx</module-option>
      <module-option name="roleFilter">(member={1})</module-option>
      <module-option name="roleAttributeID">cn</module-option>
      <module-option name="roleAttributeIsDN">false</module-option>
      <module-option name="roleRecursion">-1</module-option>
      <module-option name="searchScope">SUBTREE_SCOPE</module-option>
      <module-option name="allowEmptyPasswords">false</module-option>
      <module-option name="defaultRole">UserRole</module-option>

    </login-module>
  </authentication>
</application-policy>

Donde deveria tener OU=, se lo cambie por CN=, ya que no cuento con OU's en mi AD, dicha configuracion me va perfecto, sin embargo cuando quize accesar con un Admin no lo permitio. Ya reinstale todo desde cero y no se ha configurado nada, esto para seguir el flujo correcto, ya que la vez anterior primero configure el login-config.xml y no el OpenKM.cfg, no se si afecte el orden en que se configura.
La integracion me interesa para asignar los roles a los usuarios, sin embargo si habria que crear un grupo en AD o lo que se tenga que hacer no es problema para que se implemente y se le de solucion al problema.

Sobreentiendo que cuando yo configuro el login-config.xml para autenticar en LDAP, me reemplaza todo usuario que tengo o que tenia creado en OpenKM, esto es correcto?
No entiendo lo siguiente: En que parte especifico que usuario es AdminRole?

si el usuario tiene el AdminRole ( se captura durante el proceso de login -> configuración del login-config.xml ) tendrías privilegios de administrador.

Gracias por el apoyo a la comunidad...

Saludos

[jllort]

Me lo imaginaba, esto ya lo puedes quitar : <module-option name="defaultRole">UserRole</module-option> por que estas dando a todos los usuarios el privilegio UserRole para conectar y lo que esta pasando es que no estas capturando bien los roles. Lo que te pasará ahora es que los usuarios no vana obtener un error 403 ( permission denied ) hasta que la parte de los roles este bien configurada.

No se reemplaza ningún usuario, simplemente se utilizan los del ldap, si conincide el id, viene a sustituir el que tenías en la base de datos.

Te tienes que concentrar en esta parte:

Code: Select all

<module-option name="rolesCtxDN">CN=Users,dc=xxx-xxx,dc=com,dc=mx</module-option>
<module-option name="roleFilter">(member={1})</module-option>
<module-option name="roleAttributeID">cn</module-option>
<module-option name="roleAttributeIsDN">false</module-option>

Aqui se supone que todos los roles estan definidos dentro de CN=Users,dc=xxx-xxx,dc=com,dc=mx

Esta parte no la veo clara:

Code: Select all

<module-option name="roleRecursion">-1</module-option>
<module-option name="searchScope">SUBTREE_SCOPE</module-option>

Yo probaría con :

Code: Select all

<module-option name="roleRecursion">2</module-option>
<module-option name="searchScope">ONELEVEL_SCOPE</module-option>

Por otra parte tienes el parametro:

Code: Select all

<module-option name="java.naming.referral">follow</module-option>

Que se utiliza cuando usuarios y roles estan distribuídos en distintos nodos del ldap. La conclusión es que tienes un poco de lio.

[jcervantes]

Seguire las recomedaciones que me comentas jllort, mañana que pueda configurar el OKM posteo que tal me fue y las configuraciones con las que me funciono, de lo contrario seguiremos intentandolo con tu ayuda, muchas gracias.

Gracias por ayudar a la comunidad