Alfresco с LDAP, смена пароля пользователя в Alfresco intefrace
Я успешно добавил ldap-ad в Alfresco. Теперь, когда я создаю пользователя в AD, он синхронизируется с Alfresco, и у меня есть пользователь Alfresco. Вопрос в том, если пользователь Боб (который был синхронизирован из AD) изменит свой пароль (в интерфейсе Alfresco), в какой системе аутентификации пароль будет изменен, Alfresco или AD?
Если пароль будет изменен в AD, то у меня нет другого запроса, но, насколько я знаю, существует только одна синхронизация направления, от AD к Alfresco, поэтому Alfresco не может получить доступ к паролям AD и изменить их. Означает ли это, что Alfresco создаст пароль для Боба и сохранит его в своей собственной системе аутентификации, и теперь Боб может войти в систему с паролями на открытом воздухе и AD (новыми и старыми)? И самый главный вопрос: как этого избежать? Заранее спасибо.
2 ответа
Alfresco использует концепцию цепочки аутентификации. Это означает, что вы можете настроить более 1 системы для аутентификации, и если пользователь пытается аутентифицировать шаги Alfresco через настроенную цепочку и пытается одну систему за другой, пока пользователь не будет успешно аутентифицирован или если аутентификация не удалась на последнем члене цепочки, попытка авторизации считается неудачной.
Alfresco предлагает собственную подсистему аутентификации для создания и хранения пользователей локально в базе данных репо с паролями. Локально созданные пользователи, такие как admin, хранятся в локальной подсистеме.
alfrescoNtlm который вы можете найти в браузере узлов в
user://alfrescoUserStore/хранить. Это хранилище предназначено только для аутентификации внутренних пользователей.
"пользователи", которых вы видите и которыми управляете в пользовательском интерфейсе Alfresco, относятся к типу
cm:person хранятся в основном хранилище (/ sys: system / sys: people /), но вообще не содержат пароля.
Синхронизация ldap создает пользователей только в
workspace://SpacesStore под
/sys:system/sys:people/и как только пользователь пытается войти в систему, Alfresco проходит через
authentication.chain что может выглядеть в продакшене:
kerberos1:kerberos,ldap-ad2:ldap-ad,alfrescoNtlm1:alfrescoNtlm.
Alfresco Share предоставляет пользователю диалоговое окно «Изменить пароль» только в том случае, если пользователь находится в локальном хранилище alfrescoUserStore. Alfresco никогда не меняет пароль ни в одной другой системе.
Чтобы проверить, все ли вы поняли: что произойдет, если пользователь
maxсуществует в AD и в локальном alfrescoUserStore и меняет его пароль в пользовательском интерфейсе Alfresco? ;-)
Если вы использовали LDAP для аутентификации, то пароли никогда не будут храниться в Alfresco. Пароли будут храниться в LDAP, и он будет связан с Alfresco по их электронной почте или именам пользователей.