3 votes

jrbuleo avatar

Alfresco Group Sync avec Active Directory. À la recherche d'un véritable groupID

Demandé el 27 de Janvier, 2015
Quand la question a-t-elle été
1046 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai un Alfresco Community 4.2.e en cours d'exécution et synchronisé avec Active Directory avec un niveau fonctionnel 2008. J'importe des utilisateurs et des groupes depuis Active Directory.

Depuis ldap-ad-authentication.properties:

# L'attribut sur les objets de groupe LDAP à mapper à la propriété de nom d'autorité dans Alfresco
ldap.synchronization.groupIdAttributeName=cn

Pour des raisons politiques dans mon organisation, j'ai besoin que les noms des groupes puissent être renommés sans perdre aucune fonctionnalité. Si je mappe l'attribut groupIDAttribute d'alfresco sur l'attribut 'cn' d'Active Directory, et que quelqu'un change le nom d'un groupe, le résultat est que toutes les associations du groupe sont supprimées et les personnes quittent leurs sites.

Ma question: Y a-t-il un attribut dans Active Directory que je pourrais utiliser comme identifiant unique pour mes groupes dans Alfresco? Évidemment, cet identifiant doit être 'renommé de manière cohérente' comme les groupes sont dans mon environnement Active Directory.

Demandé el 27 de Janvier, 2015 par jrbuleo

Réponse

Trop de publicités?

3voto

Serhiy Khvashchuk avatar
Serhiy Khvashchuk Points 1

Malheureusement, le référentiel d'Alfresco n'est pas conçu pour prendre en charge les changements de nom pour les utilisateurs et les groupes (autorités). Vous pouvez modifier le nom d'affichage en utilisant l'API Alfresco, mais cela n'est pas ce que vous recherchez. Par défaut, un changement de nom de groupe dans AD entraînera une suppression et une recréation avec toutes les conséquences (toutes les autorisations accordées à ces groupes seraient supprimées).

En théorie, votre comportement attendu pourrait être étendu pour les groupes uniquement en ajoutant une propriété d'identifiant unique au authorityContainer dans Alfresco (par exemple SID de AD). De plus, la logique de synchronisation doit être étendue pour synchroniser les authorityContainers en fonction d'un identifiant unique au lieu des CN de groupe (et mettre à jour authorityName et authorityDisplayName).

Pour renommer les utilisateurs dans AD, cette approche ne fonctionnerait pas car les noms d'utilisateur sont utilisés en interne par Alfresco comme clé étrangère (!). Nous avons mis en place un module pour Alfresco >= 4.2 (.f) pour prendre en charge les modifications de nom d'utilisateur dans AD en utilisant un attribut AD alternatif en tant que nom d'utilisateur alfresco qui ne sera jamais modifié (par exemple, employeeID). Nous avons injecté une recherche dynamique dans tous les cas d'utilisation de l'authentification pour prendre en charge une connexion transparente par nom d'utilisateur AD ou nom d'utilisateur interne d'alfresco (et SSO).

Nous pourrions étendre ce module avec la logique de groupe telle que décrite ci-dessus.

Répondu el 4 de Mars, 2015 par Serhiy Khvashchuk (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X