Alfresco Subsystem Autenticazione

SUBSYSTEM AUTENTICAZIONE

Per effettuare l'autenticazione alfresco può avvalersi di diversi sistemi, vediamo quello di ldap
Ci sono due operazioni distinte autenticazione e sincronizzazione.
Per la sincronizzazione di utenti e gruppi serve un utente che possa sfogliare l'alberatura.
Il cambiamento di un sottosistema a caldo si può fare solo sull'enterprise, potrebbe essere utile se per esempio mi cambia l'indirizzo ip del server ldap.
Si possono avere più server ldap in catena, se non trovo un utente sul primo vado a cercarlo sul secondo.
Se di un subsystem ne ho un'unica istanza posso specificarla nell'alfresco-global.properties, per multiple istanze di un subsystem serve creare un'alberatura di cartelle. Si prende l'alberatura dell'alfresco war, si copia e si prende le parti che interessano

Globalmente specifico la catena degli autenticatori

authentication.chain= nome-interno-del-server-di-autenticazione1:tipo-del-sistema1, nome-interno-del-server-di-autenticazione2:tipo-del-sistema2

la catena è dentro extension e si compone in direcotry
Authentication/tipo-del-sistema/nome-interno-del-server-di-autenticazione

ecco un esempio
alfresco-4.0.1/tomcat/webapps/alfresco/WEB-INF/classes/alfresco/subsystems/Authentication/ldap

La stringa di autenticazione è composta così:

ldap.authentication.userNameFormat=uid=%s,ou=People,dc=company,dc=com
%s è l'username che utilizza l'utente

Ci sono diversi moduli nel sistema di autenticazione.

  • Autentication Filters: se l'utente non è loggato lo manda alla login
  • File Server: è diverso autenticare http o cisf
  • Export: per l'autenticazione utente

Alfresco non delega mai all'esterno la gestione dei permessi, per verificare se un utente appartiene ancora a un gruppo ldap o abbia delle proprietà diverse si effettua la sincronizzazione.

La sincronizzazione viene fatta in maniera incrementale, si usa la data di ultima modifica memorizzata nel server ldap. Vecchie versioni di Alfresco facevano sincronizzazioni complete.

Per trovare la query giusta conviene provarle usando il comando ldapsearch invece che provarlo in alfresco il che necessità di riavvio. Apache Directory Studio è un plugin per apache che fa il client ad ldap via interfaccia grafica.

CIFS autenticazione via ldap

Il sistema di jlan che permette di accedere al file system di alfresco tramite protocollo cifs ha una limitazione almeno fino alla versione 4.2 nell'autenticazione a causa della gestione delle password. Questo sottosistema non può autenticarsi a un domain controller tramite ldap, quindi la parte web va tramite quel tipo di autenticazione ma il cifs deve utilizzarne un'altra, kerberos o netbios. I tipi di questa pagina http://www.zylk.net/es/web/guest/web-2-0/blog/-/blogs/alfresco-cifs-authenticator-for-openldap-users-addon hanno creato un addon per alfresco che realizza proprio l'autenticazione con ldap a 200 euro.

Salvo diversa indicazione, il contenuto di questa pagina è sotto licenza Creative Commons Attribution-ShareAlike 3.0 License