Conexión al árbol del directorio de usuario del Geoportal
El servidor del Geoportal es compatible con la administración del usuario a través de la integración con varios proveedores LDAP. Las instrucciones en la guía de instalación usan el Apache Directory Server para el ejemplo de integración del directorio. Es posible que su organización use un software de servidor diferente para el directorio y en este tema se le indicará lo que debe hacer para conectar el Geoportal a esos sistemas diferentes. En esta sección también se describen conceptos importantes del directorio y los pasos para solucionar los problemas que surjan durante la integración del directorio del geoportal.
- Conceptos importantes de conexiones del directorio
- Solución de problemas para conectar el Geoportal con el servidor del directorio
- Configurar el Geoportal para Windows Active Directory, Oracle Internet Directory o IBM Tivoli Directory Server
Conceptos importantes de conexiones del directorio
A continuación se enumeran conceptos importantes para saber cómo configurar la autenticación LDAP del Geoportal para el servidor de su directorio.
- Software de exploración del directorio: JXplorer y Apache Directory Studio
JXplorer o Apache Directory Studio son herramientas que se pueden descargar en forma gratuita para explorar el servidor de un directorio. No son productos ESRI y el Geoportal no depende de ellos. Sin embargo, debido a que se necesita un cliente del servidor del directorio para estos pasos de solución de problemas, en las siguientes instrucciones se asumen que instaló y configuró estas u otras herramientas para explorar el servidor del directorio. Los ejemplos a continuación hacen referencia a JXplorer.
- Árbol del directorio LDAP
El directorio LDAP se configura en una estructura de árbol llamada Árbol de información del directorio (DIT). El árbol puede tener muchas ramas, con usuarios y grupos definidos como subramas. A continuación encontrará un árbol simple, con usuarios colocados en la rama "sistema\usuarios" y grupos colocados en la rama "sistema/grupos". En la mayoría de organizaciones, el DIT es más complejo. Es posible que existan grupos para diferentes regiones, niveles de autoridad, equipos del proyecto y más. Se recomienda ampliamente que la estructura de grupo creada represente directamente a los roles predefinidos del Geoportal. Si esto no es posible, deberá coordinar con el administrador de su sistema LDAP para decidir cuál es la mejor representación posible de sus grupos existentes para los roles del Geoportal.
- Nombres distintivos
Cada usuario o grupo en el DIT tiene un identificador único: su nombre distintivo (DN). Un ejemplo de DN para el usuario gptadmin en la captura de pantalla anterior es cn=gptadmin,ou=users,ou=system. El DN está compuesto de un identificador único (la parte cn) seguido de la ruta la que permite al Geoportal navegar hacia ese usuario o grupo dentro de la estructura DIT (las ramas del DIT, las que son las partes ou). Puede usar su software de exploración del directorio para copiar el DN de un usuario o grupo en el DIT y completar el archivo gpt.xml con valores correctos. Conéctese a su LDAP con el software de exploración del directorio y luego resalte con su ratón el DN del usuario o grupo que necesite. Si usa JXplorer, puede hacer clic con el botón derecho y seleccionar la opción Copiar DN. Ahora puede pegar este valor en su archivo gpt.xml.
Solución de problemas para conectar el Geoportal con el servidor del directorio
Nota:
En este artículo se asume una comprensión de los conceptos LDAP arriba indicados en Conceptos importantes de conexiones del directorio
Cuando existen problemas con la información LDAP que se pasa al Geoportal, en la mayoría de los casos se deben a una de las siguientes causas. Los pasos para solucionar estos problemas se describen a continuación.
- Nombres distintivos incorrectos
- Problemas con el searchDIT
- Problemas con el parámetro <ldapServiceAccount>
Solución de problemas de nombres distintivos incorrectos
En este caso, el nombre distintivo (DN) para uno o más de los parámetros en la sección <roles>, <users> o <groups> del archivo gpt.xml es incorrecto. A continuación encontrará algunos pasos para cubrir esto:
- Abra su archivo gpt.xml.
- Busque la sección <ldapAdapter>
- Marque los siguientes valores y verifique que el DN correcto está asociado con cada parámetro. Recuerde que puede obtener el DN exacto de un usuario o grupo al conectarse al árbol del directorio con el software de exploración del directorio y copiar el DN. Los siguientes ejemplos representan el árbol de directorio que se mostró como ejemplo en la sección anterior Conceptos importantes de conexiones del directorio:
parámetro gpt.xml descripción ejemplo ldapConnectionProperties\ldapServiceAccount\catalogAdminDN
Este es el DN de un miembro en el grupo de administradores del geoportal
cn=gptadmin,ou=users,ou=system
roles\role\ groupDN
Existen tres configuraciones como esa e indican los DN de los tres grupos de roles del Geoportal: Usuarios, Responsables de publicación y Administradores registrados en el Geoportal.
cn=gpt_registeredUsers,ou=groups,ou=system
users\newUserDNPattern
Esta es la ruta del DN que indica dónde insertar una entrada de usuario cuando se crea un nuevo usuario en la página de registro del geoportal.
cn={0},ou=users,ou=system
users\searchDIT
Esta es la ruta del DN que indica cómo navegar a través del DIT para buscar usuarios.
ou=users,ou=system
groups\searchDIT
Esta es la ruta del DN que indica cómo navegar a través del DIT para buscar grupos de roles en el geoportal.
ou=groups,ou=system
Precaución:
Si cambia cualquiera de estos valores en su archivo gpt.xml, deberá guardar el archivo y reiniciar su aplicación Web del geoportal para que los cambios tengan efecto.
Solución de problemas con el searchDIT
Si la rama usuarios del Árbol de información del directorio (DIT) LDAP no es accesible para el Geoportal, los usuarios que representan a los grupos no se podrán ubicar. Por esta razón se deben tener los valores correctos en los parámetros searchDIT. Es posible que el Geoportal sea capaz de buscar sus grupos, pero también debe ser capaz de encontrar los usuarios asignados a esos grupos. A continuación encontrará algunos pasos para cubrir esto:
- Abra su software de exploración del directorio, conéctese a su configuración LDAP y observe la ubicación de sus usuarios en el DIT.
- Ahora observe la ubicación de los grupos en el Geoportal.
- Corrobore los parámetros de searchDIT para las secciones <users> y <groups> en el archivo gpt.xml. Asegúrese de indicar correctamente cómo navegar hacia el DIT para obtener las ramas de usuarios y grupos.
Solución de problemas con el parámetro <ldapServiceAccount>
El archivo gpt.xml tiene una sección llamada <ldapConnectionProperties>. Dentro de esa sección se encuentra el parámetro <ldapServiceAccount> en el que se definen dos usuarios. Los dos usuarios son el usuario securityPrincipal y el usuario catalogAdminDN. Estos dos usuarios tienen diferentes funciones y no deben ser el mismo usuario.
- El usuario securityPrincipal se usa para conectarse al sistema LDAP y no debe ser, y generalmente no es, un usuario del grupo de administradores del geoportal.
- El catalogAdminDN es para el usuario administrador del catálogo del Geoportal y debe ser un usuario del grupo de administradores del geoportal.
Configurar el Geoportal para Windows Active Directory, Oracle Internet Directory o IBM Tivoli Directory Server
De manera predeterminada, la integración del directorio de usuario gpt.xml del Geoportal se configura para Apache Directory Server. Esta sección proporciona instrucciones para configurar el geoportal de forma que se integre con Windows Active Directory, Oracle Internet Directory o IBM Tivoli Directory Server Use estos pasos y ejemplos como un punto de inicio; es posible que la configuración de su organización varíe de los ejemplos que se proporcionaron. Los pasos se proporcionan a continuación.
Nota:
Las siguientes capturas de pantalla son ejemplos de las configuraciones que se describieron. En estos ejemplos, los Nombres distintivos (DN) son marcadores de posición que representan una estructura LDAP de muestra de la organización. Los elementos que se deben cambiar para que sean compatibles con el software del servidor del directorio se muestran en amarillo.
- Navegue hasta la carpeta \\geoportal\WEB-INF\classes\gpt\config y abra el archivo gpt.xml en un editor de texto, como el Bloc de notas.
- En el archivo gpt.xml, desplácese hacia abajo hasta encontrar la sección que define la información de conexión LDAP, que inicia con la etiqueta <ldapAdapter>.
- Configure la sección de definición LDAP según las instrucciones que se proporcionan en la guía de instalación del Geoportal y agregue las entradas relevantes para la conexión, roles, usuarios y grupos LDAP. Guarde el archivo.
- Si el software del servidor del directorio es Windows Active Directory, haga lo siguiente. Si no, continúe al Paso 5 ó 6:
- En displayNameAttribute en la etiqueta <users>, reemplace cn con sAMAccountName.
- En el atributo usernameSearchPattern, cambie (&(objectclass=person)(cn={0})) para leer (&(objectclass=person)(sAMAccountName={0})).
- En el <userAttributeMap> <attribute>, busque la clave para el nombre de usuario. Cambie el ldapName para este de uid a sAMAccountName.
- En el elemento <groups> memberAttribute, cambie uniquemember a miembro .
- En memberSearchPattern cambie (&(objectclass=groupOfUniqueNames)(uniquemember={0})) a (&(objectclass=group)(member:1.2.840.113556.1.4.1941:={0})).
- Ejemplo del archivo configurado:
- Continúe al Paso 7.
- Si el software del servidor del directorio es Oracle Internet Directory, haga lo siguiente. Si no, continúe al Paso 6:
- En displayNameAttribute en la etiqueta <users>, reemplace cn con uid.
- En el atributo usernameSearchPattern, cambie (&(objectclass=person)(cn={0})) para leer (&(objectclass=person)(uid={0})).
- En el elemento <userAttributeMap> <attribute>, busque la clave para nombre de usuario. Verifique que el ldapName para este sea uid.
- En el elemento <groups>, busque el atributo DynamicMemberOfGroupsAttribute e introduzca controlid=2.16.840.1.113894.1.8.3.
- Ejemplo del archivo configurado:
- Continúe al Paso 7.
- Si el software del servidor del directorio es IBM Trivoli, haga lo siguiente:
- En la etiqueta dynamicMemberOfGroupsAttribute <groups>, introduzca ibm-allgroups.
- En el dynamicMembersAttribute, introduzca ibm-allmembers.
- En el memberAttribute, cambie uniquemember a miembro.
- En el memberSearchPattern, cambie &(objectclass=groupOfNames)(uniquemember={0})) a (&(objectclass=groupOfNames)(member={0})).
- Ejemplo del archivo configurado:
- Continúe al Paso 7.
- Guarde el archivo gpt.xml y reinicie la aplicación Web del Geoportal para que los cambios tengan efectos.