As credenciais não podem ser delegadas - Alfresco Share

Navegue suas respostas
4

Eu bati em uma parede de tijolos configurando o Alfresco 4.0.d no Redhat 6.

Estou usando a autenticação Kerberos, ela parece estar funcionando normalmente e o logon único está funcionando no aplicativo principal ao ar livre. Já passei pelas etapas de configuração para ativar o aplicativo de compartilhamento, mas, por mais que eu tente, recebo esse erro no catalina.out sempre que um navegador acessa http://server:8080/share junto com uma caixa de senha do 'Windows Security'. 

WARN  [site.servlet.KerberosSessionSetupPrivilegedAction] credentials can not be delegated!

Veja o que eu fiz até agora:

Usando usuários e computadores do AD, selecione a conta alfrescohttp e selecione 'confiar neste usuário para delegação a qualquer serviço (somente Kerberos).

share-config-custom.xml

Copied /opt/alfresco-4.0.d/tomcat/shared/classes/alfresco/web-extension/share-config-custom.xml.sample to share-config-custom.xml e editado assim: 

   <config evaluator="string-compare" condition="Kerberos" replace="true">
      <kerberos>
         <password>*****</password>
         <realm>MYDOMAIN.CO.UK</realm>
         <endpoint-spn>HTTP/[email protected]</endpoint-spn>
         <config-entry>ShareHTTP</config-entry>
      </kerberos>
   </config>


   <config evaluator="string-compare" condition="Remote">
      <remote>
         <keystore>
             <path>alfresco/web-extension/alfresco-system.p12</path>
             <type>pkcs12</type>
             <password>alfresco-system</password>
         </keystore>

         <connector>
            <id>alfrescoCookie</id>
            <name>Alfresco Connector</name>
            <description>Connects to an Alfresco instance using cookie-based authentication</description>
            <class>org.springframework.extensions.webscripts.connector.AlfrescoConnector</class>
         </connector>

         <endpoint>
            <id>alfresco</id>
            <name>Alfresco - user access</name>
            <description>Access to Alfresco Repository WebScripts that require user authentication</description>
            <connector-id>alfrescoCookie</connector-id>
            <endpoint-url>http://localhost:8080/alfresco/wcs</endpoint-url>
            <identity>user</identity>
            <external-auth>true</external-auth>
         </endpoint>
      </remote>
   </config>

krb5.conf

Configure o arquivo /etc/krb5.conf da seguinte forma: 

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = MYDOMAIN.CO.UK
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
forwardable = true
proxiable = true

[realms]
MYDOMAIN.CO.UK = {
  kdc = mydc.mydomain.co.uk
  admin_server = mydc.mydomain.co.uk
}

[domain_realm]
.mydc.mydomain.co.uk = MYDOMAIN.CO.UK
mydc.mydomain.co.uk = MYDOMAIN.CO.UK

java.login.config

/opt/alfresco-4.0.d/java/jre/lib/security/java.login.config é configurado assim: 

Alfresco {
   com.sun.security.auth.module.Krb5LoginModule sufficient;
};

AlfrescoCIFS {
   com.sun.security.auth.module.Krb5LoginModule required
   storeKey=true
   useKeyTab=true
   keyTab="/etc/alfrescocifs.keytab"
   principal="cifs/server.mydomain.co.uk";
};

AlfrescoHTTP {
   com.sun.security.auth.module.Krb5LoginModule required
   storeKey=true
   useKeyTab=true
   keyTab="/etc/alfrescohttp.keytab"
   principal="HTTP/server.mydomain.co.uk";
};

com.sun.net.ssl.client {
   com.sun.security.auth.module.Krb5LoginModule sufficient;
};

other {
   com.sun.security.auth.module.Krb5LoginModule sufficient;
};

ShareHTTP {
com.sun.security.auth.module.Krb5LoginModule required
storeKey=true
useKeyTab=true
keyTab="/etc/alfrescohttp.keytab"
principal="HTTP/server.mydomain.co.uk";
};

alfresco-global.conf

E finalmente, as seguintes configurações em alfresco-global.conf 

authentication.chain=kerberos1:kerberos,alfrescoNtlm1:alfrescoNtlm

kerberos.authentication.real=MYDOMAIN.CO.UK
kerberos.authentication.user.configEntryName=Alfresco
kerberos.authentication.cifs.configEntryName=AlfrescoCIFS
kerberos.authentication.http.configEntryName=AlfrescoHTTP
kerberos.authentication.cifs.password=******
kerberos.authentication.http.password=*****
kerberos.authentication.defaultAdministratorUserNames=administrator

ntlm.authentication.sso.enabled=true

Como eu disse, eu bati uma parede de tijolos com isso e eu realmente aprecio qualquer ajuda que você pode me dar! Esta questão também é postada no fórum Alfresco, mas fiquei imaginando se algum pessoal aqui no serverfault se deparou com desafios semelhantes de implementação?

    
por leftcase 16.06.2012 / 11:23

1 resposta

2

A remoção das seguintes linhas do krb5.conf resolveu o problema. 

forwardable = true
proxiable = true
    
por 16.06.2012 / 15:27

Tags

Problema de DNS para o site interno de roteamento de conexão à Internet a partir de local remoto Conectando-se ao IPSec / L2tp com o OpenSwan / xl2tpd do Windows7 para o Amazon EC2