Árvore de páginas

Versões comparadas

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

...

Informações
titleAtenção

Esta página foi revisada para considerar as novas configurações de server do fluig para a TOTVS Fluig Plataforma a partir da atualização 1.6.Caso possua uma atualização anterior do fluig acesse: Configuração de autenticação utilizando LDAP.


Índice

Índice
maxLevel4
outlinetrue
exclude.*ndice
stylenone

...

O objetivo deste guia é orientar o administrador do fluig sobre como configurar a plataforma para permitir acesso dos usuários através das credenciais existentes em um diretório, como o Active Directory, via protocolo LDAP (Lightweight Directory Access Protocol).

Uma vez realizada a configuração, os usuários deverão informar os dados de acesso do LDAP (usuário/senha) na tela de login do fluig para obter acesso à plataforma.

...

1. Edite o arquivo domain.xml localizado na pasta pasta [Instalaçãodiretório_fluiginstalação]\appserver\domain\configuration.

2. Localize e substitua o trecho abaixo:

Bloco de código
languagexml
titledomain.xml
<login-module code="com.totvs.foundation.auth.FoundationDatabaseServerLoginModule" flag="requiredsufficient" module="com.totvs.foundation.auth">
	<module-option name="hashAlgorithm" value="MD5"/>
	<module-option name="hashEncoding" value="HEX"/>
	<module-option name="principalClass" value="com.totvs.technology.foundation.common.TOTVSTechPrincipal"/>
</login-module>
<login-module code="com.totvs.foundation.auth.FoundationJwtLoginModule" flag="sufficient" module="com.totvs.foundation.auth">
	<module-option name="password-stacking" value="useFirstPass"/>
	<module-option name="principalClass" value="com.totvs.technology.foundation.common.TOTVSTechPrincipal"/>
</login-module>

3. Informe os dados de acesso à fonte de dados LDAP, conforme o tipo de validação utilizado em seu Active Diretory:

Deck of Cards
historyfalse
idldap
Card
defaulttrue
labelSem Com credencial encriptada
  • Caso seja utilizado

    a forma de validação direta, sem necessidade credencial, substitua pelo trecho abaixo:

    o LDAP com necessidade de credencial, deve-se possuir as credenciais de um usuário válido e com permissão de consulta no diretório LDAP (Active Directory).

  • Os dados de acesso devem ser informados nas propriedades java.naming,security.principal (login) e bindCredential (senha encriptada - veja abaixo como gerar a senha encriptada), após substituir pelo trecho abaixo.

Bloco de código
languagexml
themeEclipse
titledomain.xml
<login-module code="com.totvs.foundation.auth.FoundationLdapLoginModuleFoundationJwtLoginModule" flag="requiredsufficient" module="com.totvs.foundation.auth">
	<module-option name="password-stacking" value="useFirstPass"/>
	<module-option name="principalClass" value="com.totvs.technology.foundation.common.TOTVSTechPrincipal"/>
</login-module>
<login-module code="com.totvs.foundation.auth.FoundationExtLdapLoginModule" flag="sufficient" module="com.totvs.foundation.auth">
	<module-option name="java.naming.factory.initial" value="com.sun.jndi.ldap.LdapCtxFactory"/>
    <module-option name="java.naming.provider.url" value="ldap://<SERVIDOR>:<PORTA>/"/> 
    <module-option name="java.naming.security.authentication" value="simple"/> 
    <module-option name="java.naming.security.protocol" value=""/> 
    <module-option name="java.naming.security.principal" value="<USUARIO>@<DOMINIO>"/> <!-- Exemplo: value="[email protected]" -->
    <module-option name="uidAttributeIDbindCredential" value="sAMAccountName<SENHA_ENCRIPTADA>" />
    <module-option name="principalDNSuffixuidAttributeID" value="@<DOMINIO>sAMAccountName"/> 
    <module-option name="rolesCtxDNbaseFilter" value="DC=local(sAMAccountName={0})"/> <!-- Não alterar, variável padrão -->
    <module-option name="loginCombinedWithDatabase" value="false"/> 
    <module-option name="baseCtxDN" value="DC=<ESTRUTURA>"/> 
    <module-option name="loginCombinedWithDatabaserolesCtxDN" value="falseDC=<ESTRUTURA>"/> 
    <module-option name="hashAlgorithm" value="MD5"/> 
    <module-option name="hashEncoding" value="HEX"/>
    <module-option name="principalClass" value="com.totvs.technology.foundation.common.TOTVSTechPrincipal"/>
</login-module> 
Nota
titleImportante!

O TOTVS Fluig precisa estar atualizado com os pacotes 1.8.1-230718, 1.8.0-230718 ou superior para o funcionamento da senha criptografada.


Encriptação da senha LDAP


Nessa etapa, a senha LDAP é encriptada usando o método principal da classe SecureIdentityLoginModule, passando como parâmetro a senha em texto plano do LDAP utilizado. Para fazer a configuração, siga os passos abaixo:

Deck of Cards
historyfalse
idEncriptação
Card
defaulttrue
id01
labelPasso 01

Navegue até a pasta raiz de instalação, e acesse a pasta appserver.

Linux              ==> /opt/fluig/appserver

Windows        ==> c:\fluig\appserver

Card
id02
labelPasso 02

Gere a senha encriptada.


Bloco de código
titleLinux
../jdk-64/bin/java -cp modules/system/layers/base/org/jboss/logging/main/jboss-logging-3.3.0.Final.jar:modules/system/layers/base/org/picketbox/main/picketbox-5.0.3.Final.jar org.picketbox.datasource.security.SecureIdentityLoginModule senha#do#LDAP@123!
Bloco de código
titleWindows
java -cp modules/system/layers/base/org/picketbox/main/picketbox-5.0.3.Final.jar org.picketbox.datasource.security.SecureIdentityLoginModule senha#do#LDAP@123!
Nota
titleImportante!

Neste caso senha#do#LDAP@123!, será a senha de acesso ao LDAP, e o resultado será:

Encoded password: -73d03118655333edd11db66184fee4f35a6d08d87b9a0393

Card
labelCom credencial
  • Caso seja utilizado o LDAP com necessidade de credencial, deve-se possuir as credenciais de um usuário válido e com permissão de consulta no diretório LDAP (Active Directory).

  • Os dados de acesso devem ser informados nas propriedades java.naming,security.principal (login) e java.naming,security.credentials (senha), após substituir pelo trecho abaixo.

Bloco de código
languagexml
themeEclipse
titledomain.xml
<login-module code="com.totvs.foundation.auth.FoundationJwtLoginModule" flag="sufficient" module="com.totvs.foundation.auth">
	<module-option name="password-stacking" value="useFirstPass"/>
	<module-option name="principalClass" value="com.totvs.technology.foundation.common.TOTVSTechPrincipal"/>
</login-module>
<login-module code="com.totvs.foundation.auth.FoundationExtLdapLoginModule" flag="requiredsufficient" module="com.totvs.foundation.auth">
	<module-option name="java.naming.factory.initial" value="com.sun.jndi.ldap.LdapCtxFactory"/>
    <module-option name="java.naming.provider.url" value="ldap://<SERVIDOR>:<PORTA>/"/> 
    <module-option name="java.naming.security.authentication" value="simple"/> 
    <module-option name="java.naming.security.protocol" value=""/> 
    <module-option name="java.naming.security.principal" value="<USUARIO>@<DOMINIO>"/> <!-- Exemplo: value="[email protected]" -->
    <module-option name="java.naming.security.credentials" value="<SENHA>"/> 
    <module-option name="uidAttributeID" value="sAMAccountName"/> 
    <module-option name="baseFilter" value="(sAMAccountName={0})"/> 
    <module-option name="loginCombinedWithDatabase" value="false"/> 
    <module-option name="baseCtxDN" value="DC=<ESTRUTURA>"/> 
    <module-option name="rolesCtxDN" value="DC=<ESTRUTURA>"/> 
    <module-option name="hashAlgorithm" value="MD5"/> 
    <module-option name="hashEncoding" value="HEX"/>
    <module-option name="principalClass" value="com.totvs.technology.foundation.common.TOTVSTechPrincipal"/>
</login-module> 
Card
labelSem credencial
  • Caso seja utilizado a forma de validação direta, sem necessidade credencial, substitua pelo trecho abaixo:
Bloco de código
languagexml
themeEclipse
titledomain.xml
<login-module code="com.totvs.foundation.auth.FoundationJwtLoginModule" flag="sufficient" module="com.totvs.foundation.auth">
	<module-option name="password-stacking" value="useFirstPass"/>
	<module-option name="principalClass" value="com.totvs.technology.foundation.common.TOTVSTechPrincipal"/>
</login-module>
<login-module code="com.totvs.foundation.auth.FoundationLdapLoginModule" flag="sufficient" module="com.totvs.foundation.auth">
    <module-option name="java.naming.factory.initial" value="com.sun.jndi.ldap.LdapCtxFactory"/>
    <module-option name="java.naming.provider.url" value="ldap://<SERVIDOR>:<PORTA>/"/>
    <module-option name="java.naming.security.authentication" value="simple"/>
    <module-option name="java.naming.security.protocol" value=""/>
    <module-option name="uidAttributeID" value="sAMAccountName"/>
    <module-option name="principalDNSuffix" value="@<DOMINIO>"/>
    <module-option name="rolesCtxDN" value="DC=<ESTRUTURA>"/>
    <module-option name="loginCombinedWithDatabase" value="false"/>
    <module-option name="hashAlgorithm" value="MD5"/>
    <module-option name="hashEncoding" value="HEX"/>
    <module-option name="principalClass" value="com.totvs.technology.foundation.common.TOTVSTechPrincipal"/>
</login-module>
Dica
titleDica!

Caso opte por utilizar o login combinado, ou seja, deseja permitir tanto o acesso através do login/senha do Active Directory quanto do fluigda plataforma, altere o valor da propriedade loginCombinedWithDatabase para "true". Assim o usuário poderá utilizar ambos os tipos de credenciais para autenticar-se na plataforma.


Autenticação do usuário wcmadmin após a configuração de autenticação LDAP

...

No arquivo domain.xml, quando configurada a autenticação via LDAP é informado o parâmetro:

Bloco de código
<module-option name="loginCombinedWithDatabase" value="false"/>

Quando definido como false, este parâmetro indica que o login funciona apenas com a senha do Active Directory e não funcionará com a senha que há na base. Como o wcmadmin é um usuário apenas da plataforma, ele não existe no AD. 

Há duas formas para corrigir a situação:

1. Criar um usuário com o campo login do AD igual a 'wcmadmin' e senha de sua preferência, assim a plataforma irá logar o usuário wcmadmin igual aos demais usuários, através do AD.

2. Alterar o parâmetro "loginCombinedWithDatabase" no arquivo domain.xml (que fica no diretório <Diretório de instalação>\appserver\domain\configuration) para 'true'. Com isso, a plataforma irá permitir o login tanto com a senha da base de dados quanto com a senha do AD. Nesse caso o usuário wcmadmin irá se logar com a senha da base de dados normalmente. Demais usuários que tentarem se logar com a senha da base de dados também conseguirão.


Cadastro dos usuários

...

Para que o usuário consiga acessar o fluig a plataforma utilizando LDAP, seu login deverá ser criado no fluig na plataforma utilizando o padrão do Active Directory (AD) configurado. Por exemplo, considere o login e e-mail abaixo:

...

O login e e-mail do usuário no AD deverão ser iguais ao login e e-mail deste usuário cadastrados no fluigna plataforma. Não há necessidade da senha do usuário no fluig na plataforma ser igual à cadastrada no AD.

...

Propriedade baseCtxDN: define o DN fixo do contexto de pesquisa para papéis de usuário. Considere que este não é o nome distinto de onde os papéis reais estão localizados, mas o DN dos objetos que contêm a localização dos papéis de usuário (isto é, para o diretório ativo, este é o DN com a conta de usuário).

Dica
titleDica!

Para mais informações sobre as propriedades rolesCtxDN e baseCtxDN clique aqui ou confira um exemplo de uso aqui.

...