Wstęp

Niniejszy artykuł opisuje kroki dla skonfigurowania portalu Liferay 7 GA 5 CE do korzystania, na potrzeby autentykacji użytkowników, z repozytorium tożsamości – MS Active Directory.

 

Wymagania wstępne

1. Dostęp administracyjny do portalu Liferay
2. Dane dostępowe do serwera Active Directory (adres serwera i dane użytkownika umożliwiające dostęp do AD)

 

Konfiguracja

Control Panel -> Configuration -> Instance Settings

W sekcji Authentication wybieramy zakładkę LDAP:

 

 

Zaznaczamy pole Enabled, Method = Bind, Password Encryption Algorithm = None

 

Enabled – włącza / wyłącza autentykację w oparciu o LDAP

 

Required – włącza / wyłącza wymagalność obecności użytkownika w LDAP. Jeżeli chcemy aby do portalu mogli się logować zarówno użytkownicy istniejący tylko w bazie wewnętrznej Liferay jak i użytkownicy mająca konta w LDAP to pole należy pozostawić odznaczone.

 

Następnie przechodzimy do definiowania konfiguracji serwera LDAP – LDAP Servers i przycisk Add.

 

Definiowanie połączenia serwera LDAP

1. Wprowadzamy nazwę konfiguracji pod jaką konfiguracja będzie dostępna w Liferay
2. W Default Values wybieramy Microsoft Active Directory Server, a następnie przycisk Reset Values aby zaczytały się wstępne wartości:                                                                                                
3. W sekcji Connection wprowadzamy:

• Base Provider URL – url do serwera Active Directory, przykładowo: ldap://moj.serwer.activedirectory:389
• Base DN – inicjalne Distinguished Name,
• Principal – login użytkownika dostępowego do AD
• Credentials – hasło użytkownika dostępowego do AD

 

Po wprowadzeniu danych wybieramy Test LDAP connection, jeżeli wprowadzone dane są poprawne i udało się nawiązać połączenie to powinien się pojawić komunikat:

 

Konfiguracja Użytkowników

W sekcji Users określa się mapowanie atrybutów użytkownika z LDAP na atrybuty użytkownika w Liferay. W większości przypadków domyślne wartości są wystarczające, natomiast bardziej szczegółowe określenie mapowania wymaga znajomości dostępnych / wykorzystywanych atrybutów po stronie Active Directory.

 

Najistotniejszymi z punktu widzenia działania są 2 pierwsze parametry:

 

 

Authentication Search Filter  - określa wstępne kryteria wyszukiwania / filtrowania użytkownika w LDAP (AD) dla autentykacji

 

Import Search Filter  - określa kryteria dla importu

 

 

Powyższa reguła dotyczy przypadku korzystania z autentykacji na portalu w oparciu o email – tzn. gdy na formularzu logowania użytkownik wprowadza swój email. W przypadku korzystania z autentykacji w oparciu o screen_name (login) należy zmodyfikować regułę do postaci: 

 

((objectCategory=Person)(sAMAccountName=@screen_name@))

 

 

Należy pamiętać, że prawidłowe działanie wymaga aby parametry z Liferay przekazywane do Active Directory, były w odpowiednim zakresie i formacie. Należy upewnić się, że Active Directory obsługuje konkretne atrybuty oraz umożliwia wyszukiwanie po określonych kryteriach. W przypadku wątpliwości należy skontaktować się z administratorem Active Directory.

 

Po wprowadzeniu odpowiedniej konfiguracji oraz sprawdzeniu jej poprawności użytkownicy mogą logować się na portal z wykorzystaniem repozytorium tożsamości Active Directory.