...
| Índice |
|---|
| maxLevel | 4 |
|---|
| outline | true |
|---|
| exclude | .*ndice |
|---|
| style | none |
|---|
|
Objetivo
O objetivo deste guia é orientar o administrador do fluig sobre como configurar a plataforma para permitir acesso dos usuários através das credenciais existentes em um diretório, como o Active Directory, via protocolo LDAP (Lightweight Directory Access Protocol).
Uma vez realizada a configuração, os usuários deverão informar os dados de acesso do LDAP (usuário/senha) na tela de login do fluig para obter acesso à plataforma.
Configuração
1. Edite o arquivo domain.xml localizado na pasta [Instalação_fluig]\appserver\configuration.
...
| Bloco de código |
|---|
| language | xml |
|---|
| title | domain.xml |
|---|
|
<security-domain name="TOTVSTech" cache-type="default">
<authentication>
<login-module code="com.totvs.foundation.auth.FoundationDatabaseServerLoginModule" flag="required" module="com.totvs.foundation.auth">
<module-option name="hashAlgorithm" value="MD5"/>
<module-option name="hashEncoding" value="HEX"/>
<module-option name="principalClass" value="com.totvs.technology.foundation.common.TOTVSTechPrincipal"/>
</login-module>
</authentication>
</security-domain> |
3. Informe os dados de acesso à fonte de dados LDAP, conforme o tipo de validação utilizado em seu Active Diretory:
| Deck of Cards |
|---|
|
| Card |
|---|
|
- Caso seja utilizado a forma de validação direta, sem necessidade credencial, substitua pelo trecho abaixo:
| Bloco de código |
|---|
| <security-domain name="TOTVSTech" cache-type="default">
<authentication>
<login-module code="com.totvs.foundation.auth.FoundationLdapLoginModule" flag="required" module="com.totvs.foundation.auth">
<module-option name="java.naming.factory.initial" value="com.sun.jndi.ldap.LdapCtxFactory"/>
<module-option name="java.naming.provider.url" value="ldap://<SERVIDOR>:<PORTA>/"/>
<module-option name="java.naming.security.authentication" value="simple"/>
<module-option name="java.naming.security.protocol" value=""/>
<module-option name="uidAttributeID" value="sAMAccountName"/>
<module-option name="principalDNSuffix" value="@<DOMINIO>"/>
<module-option name="rolesCtxDN" value="DC=local"/> <!-- Não alterar, variável padrão -->
<module-option name="loginCombinedWithDatabase" value="false"/>
<module-option name="hashAlgorithm" value="MD5"/>
<module-option name="hashEncoding" value="HEX"/>
<module-option name="principalClass" value="com.totvs.technology.foundation.common.TOTVSTechPrincipal"/>
</login-module>
</authentication>
</security-domain> |
|
| Card |
|---|
| |
Os dados de acesso devem ser informados nas propriedades java.naming,security.principal (login) e java.naming,security.credentials (senha), após substituir pelo trecho abaixo.
| Bloco de código |
|---|
| <security-domain name="TOTVSTech" cache-type="default">
<authentication>
<login-module code="com.totvs.foundation.auth.FoundationExtLdapLoginModule" flag="required" module="com.totvs.foundation.auth">
<module-option name="java.naming.factory.initial" value="com.sun.jndi.ldap.LdapCtxFactory"/>
<module-option name="java.naming.provider.url" value="ldap://<SERVIDOR>:<PORTA>/"/>
<module-option name="java.naming.security.authentication" value="simple"/>
<module-option name="java.naming.security.protocol" value=""/>
<module-option name="java.naming.security.principal" value="<USUARIO>@<DOMINIO>"/> <!-- Exemplo: value="[email protected]" -->
<module-option name="java.naming.security.credentials" value="<SENHA>"/>
<module-option name="uidAttributeID" value="sAMAccountName"/>
<module-option name="baseFilter" value="(sAMAccountName={0})"/>
<module-option name="loginCombinedWithDatabase" value="false"/>
<module-option name="baseCtxDN" value="DC=<ESTRUTURA>"/>
<module-option name="rolesCtxDN" value="DC=<ESTRUTURA>"/>
<module-option name="hashAlgorithm" value="MD5"/>
<module-option name="hashEncoding" value="HEX"/>
<module-option name="principalClass" value="com.totvs.technology.foundation.common.TOTVSTechPrincipal"/>
</login-module>
</authentication>
</security-domain> |
|
|
| Dica |
|---|
Caso opte por utilizar o login combinado, ou seja, deseja permitir tanto o acesso através do login/senha do Active Directory quanto do fluig, altere o valor da propriedade loginCombinedWithDatabase para "true". Assim o usuário poderá utilizar ambos os tipos de credenciais para autenticar-se na plataforma.
|
...
O login e e-mail do usuário no AD deverão ser iguais ao login e e-mail deste usuário cadastrados no fluig. Não há necessidade da senha do usuário no fluig ser igual à cadastrada no AD.
Propriedades de Busca LDAP
...
| Dica |
|---|
|
Para mais informações sobre as propriedades rolesCtxDN e baseCtxDN clique aqui ou confira um exemplo de uso aqui. |
...