Alfresco Community 3.4.d mit AD-Server Win 2008

th_heide · ‎18 May 2011

Hallo Forum,

ich habe mir ein komplett neues Alfresco CE 3.4.d installiert und möchte nun meine Nutzer die in einem Win2008 AD-System hängen (incl. Domäne) für mein Alfresco ebenso benutzen, d.h. wir haben usnere Nutzer-Logins im AD normal angelegt udn die jeweiligen Nutzer in unsere Abteilungsstruktur integriert.

Ich habe nun folgenden Code in die Datei: C:\Alfresco\tomcat\shared\classes\alfresco-global.properties:



###############################
## Common Alfresco Properties #
###############################

dir.root=C:/Alfresco/alf_data

web.application.context.url=http://xxx.xxx.xxx.xxx:80/alfresco

### database connection properties ###
db.driver=org.gjt.mm.mysql.Driver
db.username=alfresco
db.password=dbkennwort
db.name=alfresco
db.url=jdbc:mysql://localhost:3306/${db.name}?useUnicode=yes&characterEncoding=UTF-8

### FTP Server Configuration ###
ftp.enabled=true
ftp.port=21
ftp.ipv6.enabled=false

### RMI service ports ###
alfresco.rmi.services.port=50500
avm.rmi.service.port=0
avmsync.rmi.service.port=0
attribute.rmi.service.port=0
authentication.rmi.service.port=0
repo.rmi.service.port=0
action.rmi.service.port=0
deployment.rmi.service.port=0

### External executable locations ###
ooo.exe=C:/Alfresco/openoffice/App/openoffice/program/soffice.exe
ooo.enabled=false
img.root=C:/Alfresco/imagemagick
img.dyn=${img.root}/lib
img.exe=${img.root}/convert
swf.exe=C:/Alfresco/swftools/pdf2swf.exe
jodconverter.enabled=true 
jodconverter.officeHome=C:/Alfresco/openoffice/App/openoffice 
jodconverter.portNumbers=8101 

### Initial admin password ###
alfresco_user_store.adminpassword=kennwort

###authenticate_ldap###
authentication.chain=passthru1:passthru,ldap1:ldap

passthru.authentication.sso.enabled=false
passthru.authentication.allowGuestLogin=false

passthru.authentication.authenticateCIFS=false
passthru.authentication.authenticateFTP=false

passthru.authentication.servers=xxx.xxx.xxx.xxx
passthru.authentication.domain=domain.de
passthru.authentication.useLocalServer=false
passthru.authentication.defaultAdministratorUserNames=adminuser
passthru.authentication.connectTimeout=5000
passthru.authentication.offlineCheckInterval=300
passthru.authentication.protocolOrder=TCPIP,NETBIOS

ldap.authentication.active=false
ldap.authentication.java.naming.security.authentication=simple
ldap.authentication.userNameFormat=%s
ldap.authentication.allowGuestLogin=false
ldap.authentication.java.naming.factory.initial=com.sun.jndi.ldap.LdapCtxFactory
ldap.authentication.java.naming.provider.url=ldap://xxx.xxx.xxx.xxx:389
ldap.authentication.escapeCommasInBind=false
ldap.authentication.escapeCommasInUid=false

ldap.synchronization.active=true
ldap.synchronization.java.naming.security.principal=domain.de\\domänenadmin
ldap.synchronization.java.naming.security.credentials=kennwort_domänenadmin
ldap.synchronization.queryBatchSize=1000
ldap.synchronization.groupDifferentialQuery=(&(objectclass=nogroup)(!(modifyTimestamp<\={0})))
ldap.synchronization.personQuery=(&(objectclass=user)(userAccountControl\:1.2.840.113556.1.4.803\:\=512))
ldap.synchronization.personDifferentialQuery=(& (objectclass=user)(!(modifyTimestamp<\={0})))
ldap.synchronization.groupQuery=(objectclass\=group)

ldap.synchronization.groupSearchBase=ou\=Benutzer,ou\=Abt4,dc=domain.de,dc=de
ldap.synchronization.userSearchBase=ou\=Benutzer,ou\=Abt4,dc=domain,dc=de

synchronization.synchronizeChangesOnly=true
cifs.enabled=false
‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

Ich habe ersteinmal nur eien Abteilung, in diesem Fall: Abt4 hinzugefügt. Wie bereits angesprochen, möchte ich gern, dass sich unsere Nutzer einfach an Alfresco mit Ihrem Domänenlogin/-kennwort anmelden.

Beim Start des Dienstes kommt nun folgende Meldung immer im Tomcat udn diese wiederholt sich bereits schon immer seit 10 Minuten:

INFO: Looking for RMI registry at port '50510'
18.05.2011 14:18:27 org.springframework.remoting.rmi.RmiRegistryFactoryBean getRegistry
INFO: Could not detect RMI registry - creating new one
18.05.2011 14:18:27 org.springframework.jmx.support.ConnectorServerFactoryBean afterPropertiesSet
INFO: JMX connector server started: javax.management.remote.rmi.RMIConnectorServer@1cd8bf7
18.05.2011 14:18:27 org.springframework.jmx.export.MBeanExporter afterPropertiesSet
INFO: Registering beans for JMX exposure on startup
18.05.2011 14:18:27 org.springframework.jmx.export.MBeanExporter registerBeanInstance
INFO: Located MBean 'Alfresco:Name=VirtWebappRegistry,Type=VirtWebappRegistry': registering with JMX server as MBean [Alfresco:Name=VirtWebappRegistry,Type=VirtWebappRegistry]
18.05.2011 14:18:32 org.springframework.context.support.AbstractApplicationContext doClose
INFO: Closing org.springframework.context.support.FileSystemXmlApplicationContext@1542094: startup date [Wed May 18 14:18:26 CEST 2011]; root of context hierarchy
18.05.2011 14:18:32 org.springframework.beans.factory.support.DefaultSingletonBeanRegistry destroySingletons
INFO: Destroying singletons in org.springframework.beans.factory.support.DefaultListableBeanFactory@114629: defining beans [virtserver-properties,avmReauthenticatingAdvisor,reauthenticatingAdvice,clientTicketHolder,authenticationService,avmRemote,avmRemoteTransport,avmRemoteTransportRaw,jndiInfoBean,virtServerInfo,virtServerMBeanServer,virtServerRegistry,serverConnector,virtServerExporter,virtWebappRegistry,cacheControlInfo]; root of factory hierarchy
18.05.2011 14:18:32 org.springframework.jmx.export.MBeanExporter destroy
INFO: Unregistering JMX-exposed beans on shutdown
18.05.2011 14:18:32 org.springframework.jmx.support.ConnectorServerFactoryBean destroy
INFO: Stopping JMX connector server: javax.management.remote.rmi.RMIConnectorServer@1cd8bf7
18.05.2011 14:18:32 org.springframework.remoting.rmi.RmiRegistryFactoryBean destroy
INFO: Unexporting RMI registry
18.05.2011 14:18:32 org.springframework.context.support.AbstractApplicationContext prepareRefresh
INFO: Refreshing org.springframework.context.support.FileSystemXmlApplicationContext@6a6484: startup date [Wed May 18 14:18:32 CEST 2011]; root of context hierarchy
18.05.2011 14:18:32 org.springframework.beans.factory.xml.XmlBeanDefinitionReader loadBeanDefinitions
INFO: Loading XML bean definitions from URL [file:C:/Alfresco/bin/../virtual-tomcat/conf/alfresco-virtserver-context.xml]
18.05.2011 14:18:32 org.springframework.core.io.support.PropertiesLoaderSupport loadProperties
INFO: Loading properties file from URL [file:C:/Alfresco/bin/../virtual-tomcat/conf/alfresco-shared.properties]
18.05.2011 14:18:32 org.springframework.core.io.support.PropertiesLoaderSupport loadProperties
INFO: Loading properties file from URL [file:C:/Alfresco/bin/../virtual-tomcat/conf/alfresco-virtserver.properties]
18.05.2011 14:18:32 org.springframework.beans.factory.support.DefaultListableBeanFactory preInstantiateSingletons
INFO: Pre-instantiating singletons in org.springframework.beans.factory.support.DefaultListableBeanFactory@163765: defining beans [virtserver-properties,avmReauthenticatingAdvisor,reauthenticatingAdvice,clientTicketHolder,authenticationService,avmRemote,avmRemoteTransport,avmRemoteTransportRaw,jndiInfoBean,virtServerInfo,virtServerMBeanServer,virtServerRegistry,serverConnector,virtServerExporter,virtWebappRegistry,cacheControlInfo]; root of factory hierarchy
18.05.2011 14:18:32 org.springframework.remoting.rmi.RmiRegistryFactoryBean getRegistry
INFO: Looking for RMI registry at port '50510'‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

Was habe ich hier in der o.g. Konfig falsch gemacht. Kann mir jemand helfen?

beste Grüße
Thomas

th_heide · ‎18 May 2011

Anmeldung geht soweit über die Web.Schnittstelle, d.h. ich kann mich mit einem Login aus der Abteilung anmelden. Allerdings übernimmt er anscheinent keinerlei Benutzerinformationen in das Benutzerprofil, leider nur den Nachnamen, d.h. der Loginname.

Der Tomcat dreht sich immer noch irgendwie im Kreis.

Kann mri jemand helfen?

th_heide · ‎24 May 2011

kann jemand helfen???

th_heide · ‎24 May 2011

tomcat scheint sich erledigt zu haben..

meien frage beruht jetzt noch auf die thematik warum werden nciht alle daten aus dem AD in Alfresco übernommen und wie kann ich den nutzern gleich vorgefertigte verzeichnissrechte geben, so dass zum Beipsiel nur die eine Abteilung in Ihren Bereich schauen kann und so weiter etc…

westernacher · ‎26 May 2011

Hi,

auf den ersten Blick scheinen bei dir die Synchronisation Optionen nicht zu Ende konfiguriert worden zu sein. Es fehlen gerade die Settings, die für die AD Attribute für die Synchronisation festlegen.
1. Die Standarts hier wären:


ldap.synchronization.userIdAttributeName=sAMAccountName

# The attribute on person objects in LDAP to map to the first name property in Alfresco
ldap.synchronization.userFirstNameAttributeName=givenName

# The attribute on person objects in LDAP to map to the last name property in Alfresco
ldap.synchronization.userLastNameAttributeName=sn

# The attribute on person objects in LDAP to map to the email property in Alfresco
ldap.synchronization.userEmailAttributeName=mail

# The attribute on person objects in LDAP to map to the organizational id  property in Alfresco
ldap.synchronization.userOrganizationalIdAttributeName=company
‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

Diese sorgen dafür, dass Vorname, Nachname, Email-Adresse und Company aus AD übernommen werden. Um die restlichen Attribute synchronisieren zu können muss du die Anpassungen in der Datei [alfresco-webapp]/WEB-INF/classes/alfresco/subsystems/Authentification/common-ldap-context.xml vornehmen. Dort muss du die zusätzlichen Keys aus AD auf die im Alfresco vrogesehene Felder mappen. Danach kannst die in alfresco-global.properties diese für die Synchronisation freischalten.
Ich mache es immer so, dass ich die Einstellungen nicht direkt in alfresco-global.properties schreibe, sondern in [tomcat-home]/shared/classes/alfresco/extension/subsystems/…/… die entsprechende subsysteme erstelle und die Einstellungen dort vornehme. Dann hat man nicht so ein wirr-warr in einer einzigen Datei

.

2. Des Weieteren geht aus deiener Konfiguration hervor, dass du auch passthru subsystem freigeschaltet hast, diese aber weder für Single Sign On noch für die CIFS bzw. FTP Authentifizierung benutz.
Da stellt sich für mich die Frage, ob es überhaupt notwendig ist dieses Subsystem anzufassen.

3. Das automtische Zuwesen der Bereichen den Benutzerfunktioniert nicht so einfach. Jeder Benutzer bekommen einen persönlichen Bereich erstellt und zugewiesen (unetr companyHome–>UserHomes) aber das war's auch schon. Wenn Du bestimmten Benutzer irgendwelche bestimmte Bereiche (seien es ShareSites oder normale Alfresco Verzeichnisse) zuweisen möchtest, kommst du nicht um System Customizing herum. Konfiguration ist hier IMHO nichts zu machen.

Hoffe geholfen zu haben.

VG aus Stuttgart