Suite a authentification kerberos, droit administrateur

cancel
Showing results for 
Search instead for 
Did you mean: 
tieuma85
Member II

Suite a authentification kerberos, droit administrateur

Bonjour,


j'ai installé alfresco labs 3 stable, et mis en place l'authentification kerberos, donc je me log bien avec mes users du domaine, par contre avec le compte administrateur je n'ai pas le droit de supprimer et creer des espaces dans l'interface d'accueil (je le peux dans les espaces déjà crée), alors que je pouvais avec le compte admin, avant de passer en kerberos.

avez vous une idée svp

merci
3 Replies
jdeclerck
Member II

Re: Suite a authentification kerberos, droit administrateur

Bonjour,

Je suis loin d'être un crack sur Alfresco, mais il me semble avoir lu quelque part qu'il fallait ajouter un compte du domaine comme administrateur dans un des fichiers de configuration.
Je ne me rapelle plus exactement du nom du fichier mais une recherche sur le wiki et / ou les forums devraient te dire ça facilement.

Par contre, j'ai ouvert un poste sur Kerberos car je n'arrive pas à me logger avec mes utilisateurs du domaine (Active Directory). Quelle méthode as-tu suivie?

Cordialement,

Joseph.
tieuma85
Member II

Re: Suite a authentification kerberos, droit administrateur

Voici ce que j'ai fait, il faut remplacer les DOMAIN par ton nom de domaine

Paramétrage Alfresco :
# cd /opt/Alfresco/tomcat/shared/classes/alfresco/extension/
# cp jaas-authentication-context.xml.sample jaas-authentication-context.xml

Modifier la valeur de l’attribut realm et indiquer le nom du REALM Kerberos :
        <property name="realm">
            <value>DOMAIN.LOCAL</value>
        </property>
Paramétrage de la JRE :
Modifier le fichier $JAVA_HOME/jre/lib/security/java.security et indiquer :
login.config.url.1=file:${java.home}/lib/security/java.login.config

Puis créer un fichier $JAVA_HOME/jre/lib/security/java.login.config et indiquer :
Alfresco {
   com.sun.security.auth.module.Krb5LoginModule sufficient;
};

com.sun.net.ssl.client {
   com.sun.security.auth.module.Krb5LoginModule sufficient;
};

other {
   com.sun.security.auth.module.Krb5LoginModule sufficient;
};

AlfrescoCIFS {
  com.sun.security.auth.module.Krb5LoginModule required
  storeKey=true
  useKeyTab=true
  keyTab="/root/alfrescocifs.keytab"
  principal="cifs/alfresco.pydom.local";
};


Installation de Kerberos :
Sur une Debian GNU/Linux :
# apt-get install krb5-clients
A l’installation, indiquer le REALM Kerberos.

Au minimum, le fichier /etc/krb5.conf doit contenir :
[libdefaults]
        default_realm = DOMAIN.LOCAL

# The following krb5.conf variables are only for MIT Kerberos.
        krb4_config = /etc/krb.conf
        krb4_realms = /etc/krb.realms
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
[realms]
        PYDOM.LOCAL = {
                kdc = serveur.domain.local
                admin_server = serveur.domain.local
        }

Paramétrage d’Alfresco pour autoriser l’accès aux fichiers en CIFS :

Installer le Kit de Ressources Techniques pour Windows 2003. Depuis le serveur Windows 2003, saisir cette commande :
ktpass -princ cifs/alfresco.domain.local@DOMAIN.LOCAL -pass mdp -mapuser DOMAIN\alfrescocifs
-crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -mapop set +desonly -out c:\alfrescocifs.keytab
setspn -a cifs/alfresco alfrescocifs
setspn -a cifs/alfresco.DOMAIN.local alfrescocifs

Et recopier le fichier c:\alfrescocifs.keytab dans /root sur le serveur alfresco


Modifier le fichier /opt/Alfresco/tomcat/webapps/alfresco/WEB-INF/classes/alfresco/file-servers.xml
Paramétrer la section "CIFS Servers" comme suit :

   <config evaluator="string-compare" condition="CIFS Server">
          <serverEnable enabled="true"/>
      <host name="alfresco" domain="DOMAIN"/>
      <comment>Alfresco CIFS Server</comment>
      <broadcast>255.255.255.255</broadcast>
      <tcpipSMB platforms="linux,solaris,macosx"/>
      <netBIOSSMB platforms="linux,solaris,macosx"/>
      <hostAnnounce interval="5"/>
      <Win32NetBIOS/>
      <Win32Announce interval="5"/>

      <!– CIFS authentication –>
      <authenticator type="enterprise">
      <KDC>serveur.domain.local</KDC>
      <Realm>DOMAIN.LOCAL</Realm>
      <Password>mdp</Password>
      <Principal>cifs/alfresco.DOMAIN.local</Principal>
      </authenticator>
      <sessionDebug flags="Negotiate,Socket"/>
   </config>


Paramétrer le fichier /opt/Alfresco/tomcat/shared/classes/alfresco/extension/file-servers-custom.xml comme suit :
<alfresco-config area="file-servers">
  <config evaluator="string-compare" condition="CIFS Server">
    <serverEnable enabled="true"/>
    <host name="alfresco" domain="domain"/>
    <comment>Alfresco CIFS Server</comment>
    <broadcast>255.255.255.255</broadcast>
    <tcpipSMB platforms="linux,solaris,macosx"/>
    <netBIOSSMB platforms="linux,solaris,macosx"/>
    <hostAnnounce interval="5"/>
    <sessionDebug flags="Negotiate,Socket"/>
    <authenticator type="enterprise" />
  </config>
jdeclerck
Member II

Re: Suite a authentification kerberos, droit administrateur

Bonjour,

Merci beaucoup pour ces détails de configuration (il me manquait le <Principal> qui est marqué comme obsolète dans le doc officielle).
Par contre je n'arrive plus à me connecter à la page d'acceuil :http://ALFRESOC:8080/alfresco/
Il m'affiche une page blanche correspondant à l'erreur 401 (d'après les trames réseaux).

Au niveau du log je n'ai qu'une seule ligne :
14:43:58,214  DEBUG [app.servlet.KerberosAuthenticationFilter] New Kerberos auth request from X.X.X.X (X.X.X.X:59275)

Je n'ai pas de problème pour me logguer au share.

Cordialement,
Joseph.