je suis en train de monter un prototype d'alfresco...

cancel
Showing results for 
Search instead for 
Did you mean: 
lascaux_2774
Active Member II

je suis en train de monter un prototype d'alfresco...

Bonjour,

je suis en train de monter un prototype d'alfresco tournant sous JBoss …
je suis actuellement sur la version 1.4 Community Network (j'attends la version Enterprise)

Mon besoin est le suivant :

j'ai 2 groupes d'utilisateurs definis dans l'active directory qui doivent avoir l'accès à Alfresco : ALFRESCO_READ, ALFRESCO_WRITE
je dois donc permettre aux users du domaine se connectant à alfresco d'etre accepté si ils sont reconnu dans l'un des 2 groupes sans passer par la phase login/password.

1) Faut-il utiliser NTML + LDAP ou LDAP authentication + synchro ? je n'arrive pas a trouver d'expliquer clair la dessus.

2) Peut-on assigner directement les droits lorsqu'un user est dupliqué dans Alfresco ?
A savoir :
- si l'utilisateur provient du groupe ALFRESCO_READ, il aura des droits en lecture sur les documents,
- si l'utilisateur provient du groupe ALFRESCO_WRITE, il aura des droits de publier des nouveaux documents.

Merci

Sylvain
7 Replies
lme
Partner

Re: je suis en train de monter un prototype d'alfresco...

Bonjour,

Il faut bien dissocier 2 choses dans le LDAP. Il y a d'une part la partie authentification (qui fait simplement un bind sur le serveur LDAP avec le nom d'utilisateur et le mot de passe entrés sur la page de login), et une seconde partie qui est la synchro entre des utilisateurs et des groupes présents dans un LDAP et les utilisateurs d'Alfresco. Cette synchronisation est uniquement présente pour avoir une liste des utilisateurs (nom, prénom, adresse email) et des groupes peuplés automatiquement.

Dans un environnement Active Directory, il est préférable d'utiliser :
- authentification : NTLM, ça règle pas mal de problème par rapport à l'arborescence d'AD et ça permet le SSO
- synchro : LDAP, AD est un annuaire à la base et nous permet de récupérer la liste des utilisateurs et des groupes

Pour ton cas (2 groupes READ et WRITE), il n'est pas possible de restreindre l'accès à Alfresco à certains groupes. Si un utilisateur est présent dans AD, il pourra se loguer sur Alfresco. Point. Pour la synchro, c'est un peu plus compliqué, il est possible de définir des filtres de recherches pour l'import des utilisateurs et des groupes, donc c'est à voir en fonctione de l'arbo de AD.

A ma connaissance, il n'est pas possible d'assigner des droits automatiquement à un utilsateur. Par contre, on peut définir des droits pour les groupes ALFRESCO_READ et ALFRESCO_WRITE (qui sont synchronisés par le LDAP et qui devraient contenir tes utilisateurs) sur les espaces d'Alfresco. Il suffit de définir ces droits sur le company_home et de bien vérifier que les dossiers héritent leurs droits du dossier parent.

J'espère avoir répondu correctement à tes questions.

Laurent
lascaux_2774
Active Member II

Re: je suis en train de monter un prototype d'alfresco...

Bonjour,

Merci beaucoup Laurent …

Donc si je comprends bien,
je dois mettre en place :
- authentification NTML (basé sur le domaine) -> tout le monde pourra acceder a Alfresco a partir du moment qu'ils feront parti du domaine -> le user sera créé dans alfresco.
- ne synchroniser que les groupes d'une organisation particulier (est-ce possible ?) style : cn=ALFRESCO_READ,ou=Services,ou=Departement,dc=domain,dc=tld !
et la se pose le probleme … comment definir la regle de filtrage pour 2 groupes ???

Si qq a des idées Smiley Happy

Sylvain
lme
Partner

Re: je suis en train de monter un prototype d'alfresco...

Créer un groupe ALFRESCO qui contient 2 sous-groupes ALFRESCO_READ et ALFRESCO_WRITE. Il me semble qu'Alfresco est capable de gérer/importer plusieurs niveaux de groupes, mais je ne l'ai jamais testé.

Pour importer seulement ce groupe, dans le fichier ldap-authentication-context.xml :
        <property name="groupQuery">
            <value>(&&#40;objectclass=group)(cn=NOM_DU_GROUPE))</value>
        </property>
Ce filtre ne devrait rapporter que le groupe nommer NOM_DU_GROUPE. Encore une fois, je ne l'ai jamais testé Smiley Happy

Laurent
lascaux_2774
Active Member II

Re: je suis en train de monter un prototype d'alfresco...

merci Laurent Smiley Happy
je vais tester ca !!
laurentalfresco
Member II

Re: je suis en train de monter un prototype d'alfresco...

Celà est-il vraiment possible ?
lme
Partner

Re: je suis en train de monter un prototype d'alfresco...

Celà est-il vraiment possible ?
Est-ce que tu peux préciser ta question ? A quelle partie de la discussion fais-tu référence ?
michaelh
Active Member

Re: je suis en train de monter un prototype d'alfresco...

Je pense qu'il parle du truc non ?



P.S : 600