Si no conoces como esta del todo definido el directorio activo en la organización puede usar la aplicación JXplorer.
Para realizar la configuración en OpenKM, y que la autenticación del aplicativo se realice mediante el directorio activo debemos editar el archivo login-config.xml, que se encuentra en:
OPENKM_HOME\jboss-4.2.3.GA\server\default\conf
Un ejemplo de la ruta es :
C:\Archivos de programa\openkm-5.1\jboss-4.2.3.GA\server\default\conf
Debemos comentar la sección de base de datos, poniendola entre <!-- -->, ya que es la configuración por defecto en OpenKM.
<!-- COMENTAR
<application-policy name = "OpenKM">
<authentication>
<login-module code="org.jboss.security.auth.spi.DatabaseServerLoginModule" flag = "required">
<module-option name="dsJndiName">java:/OpenKMDS</module-option>
<module-option name="principalsQuery">select usr_password as PASSWD from OKM_USER where usr_id=? and usr_active='T'</module-option>
<module-option name="rolesQuery">select ur_role as ROLEID, 'Roles' from OKM_USER_ROLE where ur_user=?</module-option>
<module-option name="hashAlgorithm">md5</module-option>
<module-option name="hashEncoding">hex</module-option>
</login-module>
</authentication>
</application-policy>
-->
<application-policy name="OpenKM">
<authentication>
<login-module code="org.jboss.security.auth.spi.LdapExtLoginModule" flag="required">
<module-option name="java.naming.provider.url">ldap:IP_SERVER_LDAP//:PUERTO_LDAP</module-option>
<module-option name="bindDN">USUARIO_CON_PRIVILEGIOS_LDAP@DOMINIO</module-option>
<module-option name="bindCredential">CONTRASEÑA_USUARIO</module-option>
<module-option name="baseCtxDN">OU=UNIDAD_ORGANIZACIONAL_USUARIO,DC=PRIMERA_PARTE_DOMINO,DC=SEGUNDA_PARTE_DOMINIO</module-option>
<module-option name="baseFilter">(sAMAccountName={0})</module-option>
<module-option name="rolesCtxDN">CN=CONTENEDOR DE LOS USUARIOS, DC=PRIMERA_PARTE_DOMINO,DC=SEGUNDA_PARTE_DOMINIO </module-option>
<module-option name="roleFilter">(member={1})</module-option>
<module-option name="roleAttributeID">cn</module-option>
<module-option name="roleNameAttributeID">name</module-option>
<module-option name="roleAttributeIsDN">false</module-option>
<module-option name="roleRecursion">-1</module-option>
<module-option name="searchScope">SUBTREE_SCOPE</module-option>
<module-option name="allowEmptyPasswords">false</module-option>
</login-module>
</authentication>
</application-policy>
- IP_SERVER_LDAP = Ip del host donde se encuentra el servicio de directorio activo.
- PUERTO_LDAP = Puerto asignado al servicio de directorio activo, por defecto (389).
- USUARIO_CON_PRIVILEGIOS_LDAP = Usuario del dominio que tiene privilegios de lectura sobre el directorio activo.
- UNIDAD_ORGANIZACIONAL_DEL_USUARIO = En el directorio activo se dividen varios "grupos" de usuarios, para darles diferentes tipos de permisos. A esto se le llama unas unidad organizacional, un usuario puede pertenecer a una o muchas de estas unidades.
- DC=PRIMERA_PARTE_DOMINO,DC=SEGUNDA_PARTE_DOMINIO = Partes del dominio que están separadas por puntos, por ejemplo 1 = google , 2 = com , 3 = co
- CONTENEDOR DE LOS USUARIOS = Por defecto Users.
El resto de atributos los pude dejar tal cual.
Para que esta configuración tenga exito dentro del directorio activo, se debe tener alguno de los siguientes grupos, AdminRole ó UserRole ya que estos son los grupos por defecto del aplicativo OpenKM, y que los usuarios LDAP que usaran OpenKM pertenescan a alguno de estos grupos.
Referencias:
http://wiki.openkm.com/index.php/LDAP_and_Active_Directory_user_examples
http://www.rlmueller.net/LDAP_Binding.htm
No hay comentarios:
Publicar un comentario