Guia de integracion LDAP

Descripcion general

Fess soporta la integracion con servidores LDAP (Lightweight Directory Access Protocol), permitiendo autenticacion y gestion de usuarios en entornos empresariales.

La integracion LDAP permite:

Autenticacion de usuarios con Active Directory u OpenLDAP
Control de acceso basado en grupos
Sincronizacion automatica de informacion de usuarios

Servidores LDAP compatibles

Fess soporta integracion con los siguientes servidores LDAP:

Microsoft Active Directory
OpenLDAP
389 Directory Server
Apache Directory Server
Otros servidores compatibles con LDAP v3

Requisitos previos

Acceso de red al servidor LDAP
Cuenta de servicio para busquedas LDAP (Bind DN)
Comprension de la estructura LDAP (Base DN, nombres de atributos, etc.)

Configuracion basica

Agregue la siguiente configuracion en app/WEB-INF/conf/system.properties.

Configuracion de conexion LDAP

# Habilitar autenticacion LDAP
ldap.admin.enabled=true

# URL del servidor LDAP
ldap.provider.url=ldap://ldap.example.com:389

# Para conexion segura (LDAPS)
# ldap.provider.url=ldaps://ldap.example.com:636

# Base DN
ldap.base.dn=dc=example,dc=com

# Plantilla de DN de enlace para autenticacion de usuario (%s se reemplaza con el nombre de usuario)
ldap.security.principal=uid=%s,ou=People,dc=example,dc=com

# DN de enlace de administracion (cuenta de servicio para busquedas LDAP)
ldap.admin.security.principal=cn=fess,ou=services,dc=example,dc=com

# Contrasena de enlace de administracion
ldap.admin.security.credentials=your_password

Configuracion de busqueda de usuarios

# Base DN para busqueda de usuarios
ldap.user.search.base=ou=users,dc=example,dc=com

# Filtro de busqueda de usuarios
ldap.account.filter=(uid=%s)

# Atributo de nombre de usuario
ldap.user.name.attribute=uid

# Filtro de busqueda de usuarios del administrador para la consola de gestion LDAP
ldap.admin.user.filter=uid=%s

Nota

ldap.account.filter es el filtro de busqueda para la autenticacion de usuarios, mientras que ldap.admin.user.filter es el filtro de busqueda de usuarios para la consola de gestion LDAP. Configure cada uno adecuadamente ya que tienen propositos diferentes.

Configuracion de DN base de administracion LDAP

# DN base de busqueda de usuarios
ldap.admin.user.base.dn=ou=People,dc=example,dc=com

# DN base de busqueda de roles
ldap.admin.role.base.dn=ou=Roles,dc=example,dc=com

# DN base de busqueda de grupos
ldap.admin.group.base.dn=ou=Groups,dc=example,dc=com

Configuracion de busqueda de grupos

# Base DN para busqueda de grupos
ldap.group.search.base=ou=groups,dc=example,dc=com

# Filtro de busqueda de grupos
ldap.group.filter=(member=%s)

# Atributo de nombre de grupo
ldap.group.name.attribute=cn

Configuracion de Active Directory

Ejemplo de configuracion para Microsoft Active Directory.

Configuracion basica

ldap.admin.enabled=true
ldap.provider.url=ldap://ad.example.com:389
ldap.base.dn=dc=example,dc=com

# Plantilla de DN de enlace para autenticacion de usuario (formato UPN)
ldap.security.principal=%s@example.com

# DN de enlace de administracion (cuenta de servicio)
ldap.admin.security.principal=cn=fess,cn=Users,dc=example,dc=com
ldap.admin.security.credentials=your_password

# Busqueda de usuarios
ldap.user.search.base=ou=Users,dc=example,dc=com
ldap.account.filter=(sAMAccountName=%s)
ldap.user.name.attribute=sAMAccountName

# Busqueda de grupos
ldap.group.search.base=ou=Groups,dc=example,dc=com
ldap.group.filter=(member=%s)
ldap.group.name.attribute=cn

Configuracion especifica de Active Directory

Configuracion de OpenLDAP

Ejemplo de configuracion para OpenLDAP.

ldap.admin.enabled=true
ldap.provider.url=ldap://openldap.example.com:389
ldap.base.dn=dc=example,dc=com

# Plantilla de DN de enlace para autenticacion de usuario
ldap.security.principal=uid=%s,ou=People,dc=example,dc=com

# DN de enlace de administracion (cuenta de servicio)
ldap.admin.security.principal=cn=admin,dc=example,dc=com
ldap.admin.security.credentials=your_password

# Busqueda de usuarios
ldap.user.search.base=ou=people,dc=example,dc=com
ldap.account.filter=(uid=%s)
ldap.user.name.attribute=uid

# Busqueda de grupos
ldap.group.search.base=ou=groups,dc=example,dc=com
ldap.group.filter=(memberUid=%s)
ldap.group.name.attribute=cn

Configuracion de seguridad

LDAPS (SSL/TLS)

Usar conexion cifrada:

Para certificados autofirmados, importe el certificado en el truststore de Java:

Proteccion de contrasena

Configurar contrasena con variable de entorno:

Mapeo de roles

Puede mapear grupos LDAP a roles de Fess.

Mapeo automatico

Los nombres de grupo se usan directamente como nombres de rol:

Mapeo personalizado

Failover

Failover a multiples servidores LDAP:

Solucion de problemas

Error de conexion

Sintoma: Falla la conexion LDAP

Verificaciones:

Si el servidor LDAP esta ejecutandose
Si el puerto esta abierto en el firewall (389 o 636)
Si la URL es correcta (ldap:// o ldaps://)
Si el Bind DN y la contrasena son correctos

Error de autenticacion

Sintoma: Falla la autenticacion de usuario

Verificaciones:

Si el filtro de busqueda de usuarios es correcto
Si el usuario existe dentro del Base DN de busqueda
Si el atributo de nombre de usuario es correcto

No se obtienen grupos

Sintoma: No se pueden obtener los grupos del usuario

Verificaciones:

Si el filtro de busqueda de grupos es correcto
Si el atributo de membresia de grupo es correcto
Si los grupos existen dentro del Base DN de busqueda

Configuracion de depuracion

Obtener logs detallados:

app/WEB-INF/classes/log4j2.xml:

Informacion de referencia

Configuración de Búsqueda Basada en Roles - Control de acceso basado en roles
Configuración de SSO con Auth Integrada de Windows - Autenticacion SPNEGO (Kerberos)
Usuario - Guia de gestion de usuarios