Inicio | Gestión Documental ( Alfresco ) | Alfresco 3.4 contra LDAP y CIFS

Alfresco 3.4 contra LDAP y CIFS

Martes, 02 de Agosto de 2011 20:12

Una de las propuestas más interesantes y habituales en cualquier escenario un poco profesional, es la posibilidad de autenticarse en Alfresco contra un servidor LDAP.
El proceso de configuración de Alfresco contra LDAP, como veremos a continuación es relativamente sencillo, sin embargo dicho proceso de autenticación no nos permitirá acceder a nuestro Alfresco vía CIFS, lo cual nos obligará a incorporar un nuevo proceso de autenticación como es el passthru. Ya que de lo contrario si quisiésemos acceder via CIFS tendríamos que utilizar usuarios nativos de Alfresco, lo cual es, cuando menos poco elegante.

 

Configurar LDAP

La siguiente experiencia la he realizado sobre Active Directory con soporte LDAP bajo Windows 2008 R2. Antes de introducirnos en las configuraciones de Alfresco hay que asegurarse que nuestro AD está correctamente configurado. Para ello necesitamos asegurar dos funcionalidades:

A- Verificar que LDAP esta soportado en nuestras configuraciones de AD. Para ello en el Editor de Directivas de Grupo Local verificar los siguientes puntos:

  1. Controlador de dominio: requisitos de firma de servidor LDAP: Requerir Firma
  2. Seguridad de red: requisitos de firma de cliente LDAP: Negociar Firma

win2008gpedit.msc.esB.- Verificar que Pass-Through (Passthru) esta habilitado. En un principio en nuestras directivas de grupo de Windows no aparece tal directiva. Esto es debido que passthru esta asociado al proceso de autenticación NTML por tanto hay que remitirse a estas directivas (Sólo en Windows 2008 R2 Server):

  1. Seguridad de red: auditar el tráfico NTML entrante = Habilitar auditoria para todas las cuentas
  2. Seguridad de red: auditar la autenticación NTML en este dominio = Habilitar todo
  3. Seguridad de red: restringir NTML: tráfico entrante = Permitir todo
  4. Seguridad de red: restringir NTML: tráfico NTML saliente hacia servidores remotos = Auditar todo

Las configuraciones de AD sobre Windows, son todo un mundo, y dependiendo de como este configurado, las indicaciones propuestas, pueden ser más o menos necesarias.

Configurar Alfresco:

Para configurar Alfresco con LDAP tenemos dos tipos:

  1. LDAP orientado a su uso con OpenLDAP
  2. LDAP-AD orientado a su uso con LDAP sobre Active Directory.

Personalmente he probado el uso de ambos tipos sobre LDAP de AD y ambas formas funcionaron correctamente.

Para activar LDAP y CIFS hay que introducir el siguiente fragmento en el alfresco-global.properties:

 ### Cadena de Autentiacion ###  
authentication.chain=alfrescoNtlm1:alfrescoNtlm,passthru1:passthru,ldap1:ldap-ad
### Autenticacion NTLM ###
ntlm.authentication.sso.enabled=false
alfresco.authentication.authenticateCIFS=false
### Autenticacion Passthru ###
ntlm.authentication.sso.enabled=false
passthru.authentication.sso.enabled=false
passthru.authentication.authenticateCIFS=true
passthru.authentication.useLocalServer=false
passthru.authentication.domain=MIDOMINIO.LOCAL
passthru.authentication.servers=MIDOMINIO.LOCAL\\192.168.0.115
### Autenticacion LDAP ##
ldap.authentication.active=false
ldap.authentication.userNameFormat=%s@midominio.local
ldap.authentication.java.naming.provider.url=ldap://192.168.0.115:389

Algunas aclaraciones:

En la “authentication.chain” definimos los subsistemas para autenticación que vamos a usar:

  • alfrescoNtlm1:alfrescoNtlm Para la autenticación nativa de Alfresco
  • passthru1:passthru Para la autenticación passthru
  • ldap1:ldap-ad Para la autentiación LDAP

Personalmente suelo dejar el usuario administrador, como usuario nativo de Alfresco y por tanto necesito disponer de la alfrescoNtml. Si no vamos a usar CIFS podemos usar solamente ldap, etc,....

En la directiva ldap.authentication.userNameFormat puede ser que el formato no coincida con el de mi ejemplo.

A través de este conjunto de propiedades podemos ir variando parámetros para personalizar nuestra configuración: por ejemplo activar auntenticación alfrescoNtml y Ldap al mismo tiempo, permitir CIFS por NTML y Passthru al mismo tiempo, etc,..

Cuando intentamos acceder a CIFS, si experimentáis problemas, pues depende de la configuración de AD, no olvidéis especificar el dominio antes del nombre de inicio de sesión de la forma: midominio\nombreusuario o midominio@nombreusuario, dependiendo de la configuración de nuestro Directorio Activo.

LDAP y Alfresco

Una vez configurado todo, no debería haber problema en poder autenticarse contra nuestro dominio correctamente. Una vez hechos los primeros accesos, veremos en los usuarios de Alfresco como van apareciendo nuestros usuarios de dominio a medida que vamos accediendo a Alfresco. Esta situación nos posibilita operar con los usuarios añadiendolos a grupos, Sites, etc,... como si fuesen nativos.

x-rite Professional LED Lighting, DSLR Support and Accessories for Photo and Video BabelColor asociacion española de imagen cientifica y forense