Archivos de etiquetas: Share

Como no sobrecargar form.get.head.ftl en Alfresco

26 de September de 2012

En el blog de Michal Wróbel y su magnífico artículo «How to perform form field validation in Alfresco Share?» se explica la forma de usar los eventos para validaciones de campos en formulario de Alfresco Share. Lo hace sobreescribiendo la restricción obligatoria (mandatory constraint).

El problema viene cuando creamos un módulo para Alfresco Share con su fichero JAR correspondiente y lo instalamos en un Alfresco Share donde hay otro fichero form.get.head.ftl ya que el del JAR anulará al anterior con lo que no funcionarán las validaciones.

Para esto he decidido usar otra forma de tener cargado el fichero .js que necesitamos para las validaciones, por ejemplo form_validation_module.js dentro de nuestra instalación. La forma es usando la referencia a ficheros javascript de la configuración de los «forms» de forma que podamos tener y cargar los ficheros por cada módulo que tengamos sin tener que tocar el fichero original.

De esta forma, podremos tener el mismo fichero form_validation_module.js en la misma ubicación tomcat/webapps/share/components/form pero ahora lo referenciamos no en form.get.head.ftl sino dentro de nuestro fichero de configuración de los campos, por ejemplo module-form-config.xml de esta forma:


















                            <constraint type="mandatory"
                                validation-handler=»Alfresco.forms.validation.prueba»/>

Lo único que cambia del anterior método es que aquí no hace falta referenciar la parte ${page.url.context}/res y que hay que añadir «-min» al fichero si lo vamos a «compactar».

De esta forma tendrémos más seguridad a la hora de desplegar distintos módulos para Alfresco Share donde haya otros ya instalados.

Problemas en la previsualización de documentos PDF en Alfresco

10 de May de 2012

Primer problema:

En ocasiones los ficheros PDF no pueden ser visualizados por el Share de Alfresco. Esto puede ser debido a que si el PDF tiene activas las restricciones de impresión y/o copia, la librería SWFTools y en concreto la utilidad pdf2swf no es capaz de transformar el fichero.

Para estar seguros de que es este el problema, podemos llamar directamente a la utilidad con el fichero PDF y comprobar el resultado:

pdf2swf prueba.pdf -o prueba.swf

Si el mensaje que devuelve es «FATAL PDF disallows copying» entonces estamos ante este problema.

La forma de solucionarlo es recompilar SWFTools y de esta forma evitamos el aviso y podremos ver los documentos.

Las siguientes instrucciones son para la compilación bajo Linux:

Bajamos el paquete de código fuente de las SWFTools (p.e. la versión 0.9.2 está probada en la versión 3.4.8 de Alfresco funcionando perfectamente), lo descomprimimos y entramos en el directorio creado.

En lib/pdf/pdf.cc comentamos las dos líneas siguientes:

if(!pi->config_print && pi->nocopy) {msg(» PDF disallows copying»);exit(0);}
if(pi->config_print && pi->noprint) {msg(» PDF disallows printing»);exit(0);}}

Configuramos de forma estática para que podamos llevarlo a otras distribuciones de Linux (yo la he probado en Ubuntu 11.10):

CC=/usr/bin/gcc-4.6 CXX=/usr/bin/g++-4.6 LDFLAGS=»-static» ./configure

Seguramente tengamos que instalar los paquetes para desarrollo como es el g++ y el gcc.

Luego:

make

Y por último:

make install

O bien, simplemente sustituimos la utilidad pdf2swf que es la que se utiliza. Ya podremos ver los PDF bloqueados normalmente.

Segundo problema:

Otro problema que encontramos es que en la versión 3.4.x y 4.x los PDF se ven borrosos en la previsualización, esto es debido a los modificadores establecidos para realizar la conversión a SWF que pone Alfresco.

Para solucionarla tendremos que modificar el fichero webapps/alfresco/WEB-INF/classes/alfresco/subsystems/thirdparty/default/swf-transform.properties que generalmente tiene la siguiente línea:

swf.encoder.params=-s zoom=72 -s ppmsubpixels=1 -s poly2bitmap=1 -s bitmapfonts=1

Por esta otra (por ejemplo):

swf.encoder.params=-s zoom=100 -s ppmsubpixels=1 -s poly2bitmap=1 -s bitmapfonts=1

De esta forma se verán correctamente, eso si, el tiempo de conversión será mayor.

ACTUALIZACIÓN (12/07/2012): Aunque para compilar SWFTools se puede usar la información de los enlaces que doy al final, para Ubuntu 11 (y probado en la 12) tanto para amd64 como i386 se pueden seguir la siguiente secuencia de comandos de forma rápida:

sudo apt-get install build-essential checkinstall
sudo chown $USER /usr/local/src
sudo chmod u+rwx /usr/local/src
sudo apt-get install libgif-dev xpdf libfreetype6 libfreetype6-dev libjpeg62 libjpeg8 libjpeg8-dev
sudo wget http://www.swftools.org/swftools-0.9.1.tar.gz
cd lib/pdf
sudo wget http://gd.tuwien.ac.at/publishing/xpdf/xpdf-3.02.tar.gz
./configure make
 sudo checkinstall

Fuentes:
http://monkiki.wordpress.com/2010/04/19/compilar-pdf2swf-con-soporte-para-pdf-protegidos/
http://loftux.com/2012/01/08/replace-alfresco-standard-flash-viewer-with-pdf-js/
http://www.vservu.com/_blog/MegaZine3_-_tips,_tricks_and_hints/post/pdf2swf-switches/
http://www.swftools.org/
https://designbye.wordpress.com/2010/02/23/installing-swftools-and-pdf2swf-on-ubuntu-linux/
http://ubuntuforums.org/showthread.php?t=1821521

Uso del correo electrónico en Alfresco en la vida real – parte 2

18 de May de 2011

Sobre la configuración de Alfresco, primero debemos crear el usuario Jose Grillo para que pueda autenticarse y enviar los emails. Este usuario además debe tener una cuenta de correo electrónico válida para recibir notificaciones, en este caso es josegrillo@fegor.com

No hay que olvidarse de añadirlo al grupo EMAIL_CONTRIBUTORS para tener permisos de enviar correos hacia Alfresco.

Ahora debemos configurar el correo electrónico saliente y entrante. Para la configuración del correo recomiendo la lectura de los siguientes enlaces en los que se explican perfectamente todas las posibilidades:

http://blyx.com/2010/02/08/integracion-de-alfresco-con-el-correo-electronico/
http://wiki.alfresco.com/wiki/Inbound_SMTP_Email_Server_Configuration
http://wiki.alfresco.com/wiki/Outbound_E-mail_Configuration

Vamos a configurar seguidamente el correo saliente de Alfresco para poder realizar notificaciones a los asegurados y peritos. La configuración de correo saliente para GMail a través de Google Apps en Alfresco se realiza en el fichero outboundSMTP.properties del subsistema email, en concreto en la ubicación …/extension/subsystems/email/OutboundSMTP/outbound

Fichero: outboundSMTP.properties

mail.host=smtp.googlemail.commail.port=465
mail.protocol=smtps
mail.username=alfresco@fegor.com
mail.password=alfresco
mail.encoding=UTF-8
mail.from.default=alfresco@fegor.com
mail.smtps.starttls.enable=true
mail.smtps.auth=true

Como se observa, se ha creado también una cuenta llamada alfresco@fegor.com para la autenticación SMTP.

La configuración del correo entrante, para que Alfresco haga de servidor SMTP se realiza en el fichero inboundSMTP.properties en …extension/subsystems/email/InboundSMTP/inbound

Fichero: inboundSMTP.properties

email.inbound.enabled=true email.inbound.unknownUser=anonymous email.server.enabled=true email.server.port=25 email.server.domain=alfresco.fegor.com email.server.connections.max=10 email.server.allowed.senders=.*@fegor.com email.server.blocked.senders=

Ahora debemos configurar en Share un fichero para que nos muestre el campo «alias» en la carpeta a la que asignaremos el aspecto «Atributos de Email». Este fichero se llama share-config-custom.properties y se encuentra en la carpeta web-extension (…/share/classes/alfresco/web-extension). Esto es así porque por defecto, en Afresco Share, no está configurado para que este campo esté visible como pasaba con Alfresco Explorer.

Fichero: share-config-custom.properties

     <!–
         Used by the «Change Type» action

         Define valid subtypes using the following example:

         Remember to also add the relevant i18n string(s):
            cm_mysubtype=My SubType
      –>






      <!– forms
      –>

Realizadas las configuraciones se arranca Alfresco y continuamos con la configuración desde el propio Alfresco Share.

Uso del correo electrónico en Alfresco en la vida real – parte 1

18 de May de 2011

Vamos a ver un caso de vida real en una PYME usando Alfresco y configurando el correo electrónico tanto de salida como de entrada para gestionar documentos.

El escenario es el siguiente: Imaginamos una pequeña aseguradora llamada FEGOR en la que se dispone de un pequeño servidor de Alfresco y un ADSL. Todos los demás servicios se realizan a través de Google Apps (http://www .google.com/apps/intl/es/group/index.html y pulsar Introducción). Es decir, al menos el correo electrónico. Así mismo, en Hospedaje y Dominios se tiene comprado el dominio fegor.com.

Los peritos podrán enviar correo electrónico con los ficheros necesarios, expediente y fotografías de los siniestros o accidentes que periten. Una vez recibido el correo, Alfresco moverá cada fichero a sus carpetas correspondientes.

Toda la configuración en Alfresco se realizará a través de Alfresco Share.

Configuración de Google Apps: La configuración es muy sencilla, solo hay que seguir los tutoriales y pasos para crear cuentas de correo, sites, etc. En nuestro caso, creamos una cuenta para «Jose Grillo» con el email josegrillo@fegor.com

Una de las particularidades de Google Apps es la de ofrecer la redirección de un dominio que ya hubiésemos comprado en algún ISP tanto para los «sites» o páginas webs, como para blogs (http://blogspot.com) como para el correo electrónico (gmail) lo que hace que podamos usar el dominio para crear cuentas de correo (hasta 50) más profesionales. Para ello hay que modificar los DNS del registrador o ISP (Internet Service Provider) donde está alojado el dominio siempre que no lo compremos directamente a Google. Los datos a poner en el sistema de DNS (cada ISP tiene su propio sistema e interface o panel de control para hacerlo) serán los siguientes:

Introducir los siguientes registros MX con las siguientes prioridades:

ASPMX.L.GOOGLE.COM. 10
ALT1.ASPMX.L.GOOGLE.COM. 20
ALT2.ASPMX.L.GOOGLE.COM. 20
ASPMX2.GOOGLEMAIL.COM. 30
ASPMX3.GOOGLEMAIL.COM. 30
ASPMX4.GOOGLEMAIL.COM. 30

ASPMX5.GOOGLEMAIL.COM. 30

Una vez hecho esto, el correo se puede manejar desde el dominio que tengamos alojado en el ISP de turno. En Hospedaje y Dominios (http://www.hospedajeydominios.com) es muy fácil ya que incluso incluye un enlace que rellena esta información en la gestión de DNS. En la imagen se ve la configuración tanto del correo electrónico como de los «alias» para redireccionar al sitio web, google docs, blog, etc.

Se configura seguidamente (si se quiere solamente, ya que GMail provee de interface web y si está bien configurada con acceso desde el dominio propio, p.e. mail.fegor.com) la cuenta en Thunderbird (http://www.mozillamessaging.com/es-ES/thunderbird/) que es muy fácil teniendo los datos. Podemos ver tutoriales desde el propio Google Apps o incluso en el asistente de «Herramientas->Configuración de las cuentas…->Opciones sobre la cuenta->Añadir cuenta de correo electrónico» que es prácticamente automático introduciendo 3 campos de información: nombre, correo electrónico y contraseña.

Esta es una cuenta normal de GMail a través de Google Apps que nos ofrece un buzón de 7GB. más que suficientes para un uso normal de una pequeña empresa. José Grillo es el perito de la aseguradora que creará un expediente y sacará fotos de los siniestros (accidentes) y las enviará a través de su correo electrónico al sistema de gestión documental.

Una vez realizadas las operaciones sobre Google Apps podremos tener toda la infraestructura necesaria de la empresa en internet excepto el pequeño servidor con Alfresco que principalmente se usa dentro de la oficina y al que necesitaremos abrir hacia fuera el puerto 25 del correo saliente SMTP configurando el NAT (Network Address Translator) de nuestro router o modem ADSL. Para esto podemos informarnos en http://www.adsl4ever.com/

Crear módulos AMP para share (Alfresco)

07 de March de 2011

Mi amigo Toni de la Fuente ha modificado un componente en WebScript (repository) para visualizar todas las consolas de que disponemos en la versión Enterprise de Alfresco: http://blyx.com/2011/03/07/anade-mas-utilidades-de-administracion-en-alfresco-share/ y ha creado un proyecto en google code a partir de este en: http://code.google.com/p/alfresco-useful-admin-links/

Para instalar este WebScript solo hay que copiarlo en la ruta indicada directamente (ver información en su proyecto) o bien, también se puede crear un módulo AMP para que pueda ser instalado dentro del fichero share.war

Bien, eso es lo que vamos a hacer, crearemos un fichero AMP con los ficheros de WebScript para que pueda dejarlo para descarga en su proyecto.

La creación de módulos para «share» de Alfresco es la misma que cuando se crean módulos para el «explorer». Evidentemente cambian las localizaciones, dónde vamos a dejar los ficheros y que en este caso la mayoría de las veces serán archivos relacionados con WebScripts más que clases Java.

Si tenemos el SDK de Alfresco se puede realizar una copia de su «SDK Basic AMP» y a partir de ahí continuar, si no es así se puede crear un proyecto Java en Eclipse y dotarlo de la siguiente estructura:

En build/dist se creará el fichero de módulo, este se generará a partir de un fichero .jar generado, a su vez, a partir de lo que se tenga en el directorio source; así como también de los ficheros que hay en el directorio config.

Dentro del directorio config podemos crear la estructura misma que usa Alfresco (share) para almacenar los componentes y en concreto los de la consola para el administrador; y que está en alfresco/site-webscripts/org/alfresco/components/console

Lo más importante aquí es tener un buen fichero de ant para que pueda ser «compilado» todo correctamente.

Mi fichero ant para esto (build.xml) es el siguiente:

Una vez que todos los componentes están en su sitio solo hay que ejecutar el archivo build.xml (botón derecho encima del fichero build.xml en Eclipse y elegir «Run as…->Ant Build») y comprobar el resultado.

¿Ventajas de tener un módulo?, creo que están claras, mejora la administración y mantenimiento del producto, mayor facilidad para instalación, etc. Por supuesto es lo aconsejado por Alfresco.

¿Desventajas?, pue sí, como con todo, también las hay, la más importante es que copiando los ficheros directamente en el despliegue de la aplicación solo hay que «refrescar» el «inventario» de WebScripts para tenerlos disponibles y en caliente, mientras que de la otra forma aunque no paremos el servidor o la aplicación share, al modificar el .war se autodesplegará produciendo al menos que tengámos que volver a autenticarnos, siempre y cuando no tengamos activado el Single Sign On (SSO)… 😉

SSO con Active Directory Kerberos en Win2k3 para Alfresco 3.4 en CentOS 5.5

01 de February de 2011

El escenario propuesto es el siguiente:

Servidor de Alfresco:

Linux: CentOS 5.5 (i686)

Alfresco: 3.4.0 Enterprise

Tomcat: 6.0.29

MySQL: 5.0.77 (i686)

JVM (Sun): 1.6.0_22-b04 (32 bits)

SAMBA: 3.0.33
Nombre de la máquina: alfpru

Servidor PDC (Primario del dominio):

Windows: 2003 Server SP1

Nivel funcional: Windows Server 2003

Active Directory: in2pruebas

Nombre de la máquina: winsrv

Primero hay que preparar el Active Directory para Kerberos, y sobre todo para que funcione la aplicación share de Alfresco.

Si se tiene alguna duda se puede consultar la siguiente dirección: http://wiki.alfresco.com/wiki/Alfresco_Authentication_Subsystems#Kerberos

Se crean en Active Directory dos usuarios:

Nombre: Alfresco HTTP
Usuario: alfrescohttp
Passwd: laquesea

Nombre: Alfresco CIFS
Usuario: alfrescocifs
Passwd: laquesea

En ambos, después de la contraseña, se desmarca la casilla de «El usuario debe cambiar la contraseña en el siguiente inicio de sesión», y se marcan las casillas «La contraseña nunca caduca» y «No pedir la autenticación Kerberos previa». Así mismo, si estuviera marcada, hay que desmarcar la casilla «Usar tipos de cifrado DES para esta cuenta». Estas casillas se encuentran en las propiedades del usuario dentro de «Usuarios y equipos de Active Directory», en la pestaña «Cuenta».

Bien, ahora hay que usar un comando que está dentro del Kit de Recursos de Windows 2003 Server, dentro de «Utilidades de soporte». Este comando se llama ktpass.exe y es el que genera las tablas de claves para poder identificar el servicio.

Aquí es donde me he encontrado problemas, las mayores dificultades para configurar Alfresco con AD-Kerberos está en la generación de estos ficheros, ya que existen varias versiones de la utilidad ktpass.exe. En mi caso tengo dos comandos ktpass.exe, uno del 24/03/2005 y otro del 17/02/2007. Finalmente he creado los ficheros con la última versión.

Los comandos son:

ktpass -princ cifs/alfpru.in2pruebas@IN2PRUEBAS -pass elquesea -mapuser IN2PRUEBASalfrescocifs -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -out c:tempalfrescocifs.keytab

ktpass -princ HTTP/alfpru.in2pruebas@IN2PRUEBAS -pass elquesea -mapuser IN2PRUEBASalfrescohttp -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -out c:tempalfrescohttp.keytab

Luego hay que crearlos como servicios dentro del Active Directory como sigue:
setspn -a cifs/alfpru alfrescocifs
setspn -a cifs/alfpru.in2pruebas alfrescocifs

setspn -a HTTP/alfpru alfrescohttp
setspn -a HTTP/alfpru.in2pruebas alfrescohttp

Y se copian los ficheros (alfrescocifs.keytab y alfrescohttp.keytab) creados en la máquina Linux en, por ejemplo, /etc/alfresco.

Ahora, en la máquina Linux:

Seguidamente vamos a unir la máquina Linux al dominio de Windows 2003 (PDC) ~~ya que si no, sería imposible establecer una «confianza» para realizar la autenticación~~ para que los administradores de Windows tengan constancia de esta máquina, además este proceso también modifica el DNS de Windows 2003 Server para tener acceso vía TCP/IP aunque como bien me ha señalado iblanco no es necesario este paso para realizar simplemente la autenticación con Active Directory Kerberos.

Para ello se usa SAMBA, se instala:

yum install samba

…se configura el fichero /etc/samba/smb.conf como:

[global]

    workgroup = in2pruebas
    server string = Samba Server Version %v
    password server = in2pruebas
    realm = IN2PRUEBAS
    security = ads
    idmap uid = 10000-20000
    idmap gid = 10000-20000
    winbind separator = +
    template shell = /bin/false
    winbind use default domain = false
    winbind offline logon = false

security = ADS

…se arranca:

service smb start

…se utiliza el comando «net» para unir la máquina al dominio de la seguiente forma:

net ads join –S winsrv.in2pruebas –n alfpru –U Administrador

…y ya se puede parar el servicio de SAMBA:
service smb stop

(Nota: Hay que repasar el fichero /etc/hosts y que las IPs apunten a los host y dominio correspondiente)

Se configura el fichero /etc/krb5.conf como:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = IN2PRUEBAS
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
IN2PRUEBAS = {
kdc = winsrv.in2pruebas:88
admin_server = winwrv.in2pruebas
}
[domain_realm]
.winsrv.in2pruebas = IN2PRUEBAS
winsrv.in2pruebas = IN2PRUEBAS
[appdefaults]
forward=true
forwardable=true
proxiable=true

Dentro de la máquina virtual (JVM de Sun), concretamente en la parte de la JRE y en una ruta parecida a la siguiente: /usr/java/jre/lib/security existen dos ficheros que hay que configurar. El primero es java.login.config y se configurará como sigue:
Alfresco {
    com.sun.security.auth.module.Krb5LoginModule sufficient;
};
AlfrescoCIFS {
    com.sun.security.auth.module.Krb5LoginModule required
    storeKey=true
    useKeyTab=true
    keyTab=»/etc/alfresco/alfrescocifs.keytab»
    principal=»cifs/alfpru.in2pruebas»;
};
AlfrescoHTTP {
    com.sun.security.auth.module.Krb5LoginModule required
    storeKey=true
    useKeyTab=true
    keyTab=»/etc/alfresco/alfrescohttp.keytab»
    principal=»HTTP/alfpru.in2pruebas»;
};
ShareHTTP {
    com.sun.security.auth.module.Krb5LoginModule required
    storeKey=true
    useKeyTab=true
    keyTab=»/etc/alfresco/alfrescohttp.keytab»
    principal=»HTTP/alfpru.in2pruebas»;
};
com.sun.net.ssl.client {
    com.sun.security.auth.module.Krb5LoginModule sufficient;
};
other {
    com.sun.security.auth.module.Krb5LoginModule sufficient;
};

Y el fichero java.security también hay que editarlo para indicarle donde está el fichero de configuración anterior, en la línea siguiente:

Como se observa, en el fichero java.login.config se establecen a su vez los directorios donde se encuentran los ficheros keytab.

Para la instalación de Alfresco se ha utilizado el fichero alfresco-enterprise-3.4.0.zip, se descomprime y se copian los directorios que hay dentro de web-server de forma recursiva dentro del servidor de aplicaciones que ya tengamos instalado.
Por ejemplo:

cd /opt

make alfinst

cd alfinst

unzip /home/fegor/Downloads/alfresco-enterprise-3.4.0.zip

cp -rf webserver/conf /opt/alfresco_340/tomcat

cp -rf webserver/lib /opt/alfresco_340/tomcat

cp -rf webserver/shared /opt/alfresco_340/tomcat

cp -rf webserver/webapps /opt/alfresco_340/tomcat

Se crea la base de datos:

mysql -u root -p

CREATE DATABASE alfresco340;

GRANT ALL ON alfresco340.* to ‘alfresco’@’localhost’ identified by ‘alfresco’;

FLUSH PRIVILEGES;

EXIT

Se realiza la configuración global o general de Alfresco en el fichero alfresco-global.properties:

dir.root=/opt/alfresco_340/repositorio
db.name=alfresco340
db.username=alfresco
db.password=alfresco
db.host=localhost
db.port=3306
db.driver=org.gjt.mm.mysql.Driver
db.url=jdbc:mysql://${db.host}:${db.port}/${db.name}
authentication.chain=kerberos:kerberos

Lo primero es comentar la línea «authentication.chain» y arrancar la instancia de Alfresco para comprobar su funcionamiento y su despliegue. Una vez desplegado ya podemos usar el subsistema «Authentication» para poder establecer la configuración de Kerberos.

Hay que copiar desde webapps/alfresco/WEB-INF/classes/alfresco/subsystems/Authentication/kerberos a shared/classes/alfresco/extension/subsystems/Authentication/kerberos/, quedando finalmente como: shared/classes/alfresco/extension/subsystems/Authentication/kerberos/kerberos y dentro habrá cuatro ficheros que son:
kerberos-authentication-context.xml
kerberos-authentication.properties
kerberos-filter-context.xml
kerberos-filter.properties

De estos, los ficheros con extensión «properties» son los que hay que configurar como sigue:

El fichero kerberos-authentication.properties:

kerberos.authentication.realm=IN2PRUEBAS
kerberos.authentication.user.configEntryName=Alfresco
kerberos.authentication.defaultAdministratorUserNames=Administrador
kerberos.authentication.cifs.configEntryName=AlfrescoCIFS
kerberos.authentication.cifs.password=laquesea
kerberos.authentication.authenticateCIFS=true

El fichero kerberos-filter.properties:
kerberos.authentication.http.configEntryName=AlfrescoHTTP
kerberos.authentication.http.password=laquesea
kerberos.authentication.sso.enabled=true
kerberos.authentication.browser.ticketLogons=true

Ahora, para tener acceso a CIFS vía Kerberos hay que copiar también la rama webapps/alfresco/WEB-INF/classes/alfresco/subsystems/fileServers/default a shared/classes/alfresco/extension/subsystems/fileServers/default/default (igualmente debe haber dos niveles de directorio llamados default), y se modifica el fichero file-servers.properties como sigue:
filesystem.name=alfpru
filesystem.acl.global.defaultAccessLevel=
cifs.enabled=true
cifs.serverName=alfpru
cifs.domain=in2pruebas
cifs.broadcast=255.255.255.255
cifs.bindto=
cifs.ipv6.enabled=false
cifs.hostannounce=true
cifs.disableNIO=false
cifs.disableNativeCode=false
cifs.sessionTimeout=900
cifs.urlfile.prefix=http://alfpru
cifs.tcpipSMB.port=445
cifs.netBIOSSMB.sessionPort=139
cifs.netBIOSSMB.namePort=137
cifs.netBIOSSMB.datagramPort=138
cifs.WINS.autoDetectEnabled=false
cifs.WINS.primary=1.2.3.4
cifs.WINS.secondary=5.6.7.8

Además recomiendo desconectar tanto FTP como NFS dentro del mismo fichero como:

ftp.enabled=false

nfs.enabled=false

Ya solo queda la configuración de la parte «share», esta se encuentra en: shared/classes/alfresco/extension/web-extension en el fichero share-config-custom.xml.sample, hay que renombrar este fichero como share-config-custom.xml y configurar la sección «KerberosDisabled», eliminando la palabra Disabled y descomentando el bloque que viene a continuación con la condición «Remote». Ambos bloques se configuran como sigue:




         <!–
            Password for HTTP service account.
            The account name *must* be built from the HTTP server name, in the format :
               HTTP/@
            (NB this is because the web browser requests an ST for the
            HTTP/ principal in the current realm, so if we’re to decode
            that ST, it has to match.)
         –>
         Poli1970
         <!–
            Kerberos realm and KDC address.
         –>
         IN2PRUEBAS
         <!–
            Service Principal Name to use on the repository tier.
            This must be like: HTTP/host.name@REALM
         –>
         HTTP/alfpru.in2pruebas@IN2PRUEBAS
         <!–
            JAAS login configuration entry name.
         –>
         ShareHTTP

   <!–
        Overriding endpoints to reference an Alfresco server with external SSO enabled
        NOTE: If utilising a load balancer between web-tier and repository cluster, the «sticky
              sessions» feature of your load balancer must be used.
        NOTE: If alfresco server location is not localhost:8080 then also combine changes from the
              «example port config» section below.
        *Optional* keystore contains SSL client certificate + trusted CAs.
        Used to authenticate share to an external SSO system such as CAS
        Remove the keystore section if not required i.e. for NTLM.

        NOTE: For Kerberos SSO rename the «KerberosDisabled» condition above to «Kerberos»
   –>



             alfresco/web-extension/alfresco-system.p12
             pkcs12
             alfresco-system



            alfrescoCookie
            Alfresco Connector
            Connects to an Alfresco instance using cookie-based authentication
            org.springframework.extensions.webscripts.connector.AlfrescoConnector



            alfresco
            Alfresco – user access
            Access to Alfresco Repository WebScripts that require user authentication
            alfrescoCookie
            http://localhost:8080/alfresco/wcs
            user
            true

Una parte importante para poder realizar SSO Kerberos con Alfresco Share, es que hay que darle al usuario alfrescohttp la posibilidad de obtener la delegación de permisos por parte del otro servicio, en este caso, Alfresco (repositorio). Esto se obtiene dentro de Usuarios y equipos de Active Directory, en la rama Users y encima del usuario «Alfresco HTTP» pulsamos botón derecho y propiedades.

Aquí, en la pestaña «Delegación» hay que activar «Confiar en este usuario para la delegación a cualquier servicio (solo Kerberos)».

Si esta pestaña no está visible habrá que «elevar el nivel funcional del dominio…». Esto se consigue en la raíz del dominio (en nuestro caso in2pruebas de «Usuarios y equipos de Active Directory», se pulsa botón derecho del ratón y se selecciona «Elevar el nivel funcional del dominio»). Se encuentra más información en: http://technet.microsoft.com/en-us/library/cc757194%28WS.10%29.aspx

Para poder depurar correctamente, recomiendo usar las siguientes líneas en los ficheros log4j.properties:

log4j.logger.org.alfresco.repo.security=debug

log4j.logger.org.alfresco.web.app.servlet.KerberosAuthenticationFilter=debug

log4j.logger.org.alfresco.web.site.servlet.SSOAuthenticationFilter=debug

log4j.logger.org.alfresco.web.app.servlet.WebScriptsSSOAuthenticationFilter=debug

Al igual, también se puede activar la depuración de Kerberos a nivel de la JVM añadiendo los parámetros a la línea que ya se tenga de JAVA_OPTS como:
export JAVA_OPTS=»${JAVA_OPTS} -Dsun.security.krb5.debug=true -Dsun.security.jgss.debug=true»

Bien, ahora vamos a la parte cliente, el Windows XP que estemos usando, el Linux o el mismo Windows 2003 Server que puede servir para probar al final si todo funciona correctamente desde el navegador Internet Explorer o Firefox.

En el caso de Internet Explorer hay que indicarle en Herramientas->Opciones de Internet->Seguridad->Intranet Local la URL a la que vamos a acceder para que funcione el SSO. En este caso se ha incluido http://alfpru.in2pruebas que es el servidor donde está instalado Alfresco. Además en Herramientas->Opciones de Internet->Seguridad->Nivel Personalizado hay que comprobar que está seleccionada la opción «Inicio de sesión automático sólo en la zona de Intranet» en «Autenticación de Usuario».

Si no tenémos infraestructura suficiente usando DNS para resolución de nombres, podemos usar el fichero hosts de C:WindowsSystem32driversetc e incluir la línea «IP host host.dominio», por ejemplo:
192.168.1.12 alfpru alfpru.in2pruebas

Para el caso de Firefox, hay que poner en este (en el campo URL) about:config y confirmar que deseamos entrar en la configuración. Buscamos las siguientes opciones y le damos los valores aquí señalados o los que correspondan según la configuración de dominio del Active Directory:
network.negotiate-auth.delegation-uris = http://alfpru.in2pruebas:8080/share
network.negotiate-auth.trusted-uris = http://alfpru.in2pruebas:8080/alfresco
network.negotiate-auth.using-native-gsslib = false

(Nota: Actualmente en la versión 3.4.0, el SSO en Alfresco no funciona con Firefox en Linux; tampoco Alfresco Share con máquinas JVM de IBM).

Ya solo queda realizar los ajustes que se necesiten, poner los nombres correctos según la configuración de cada uno y probar su funcionamiento.

Más información de como configurar este escenario en:
http://wiki.alfresco.com/wiki/Alfresco_Authentication_Subsystems#Kerberos
http://www.bdat.com/documentos/samba/html/domain-member.html
http://technet.microsoft.com/en-us/library/cc757194%28WS.10%29.aspx

Uso de cookies