Symfonia Obieg Dokumentów umożliwia oprócz wbudowanego mechanizmu autentykcji, umożliwia uwierzytelnianie użytkowników systemu w katalogu LDAP (w tym również ActiveDirectory).
Użytkownik po wejściu na stronę logowania podaje login i hasło które są zgodne z nazwą i hasłem w katalogu LDAP.
System przekazuje dane do serwera LDAP który przeprowadza wyszukiwanie w swoim katalogu. W przypadku pomyślnego przebiegu procesu uwierzytelnienia następuje wejście do systemu oraz automatyczna aktualizacja podanego hasła w bazie firmy Symfonia Obieg Dokumentów.
Autentykacja przy pomocy LDAP
Ta część niniejszego artykułu dotyczyć będzie uwierzytelniania przy pomocy protokołu LDAP. Zakłada się tutaj, iż mamy w systemie Windows bądź Linux zainstalowany serwer LDAP - przykładowo: OpenLDAP http://www.openldap.org/ (linux) oraz http://www.userbooster.de/en/download/openldap-for-windows.aspx (windows).
Konfiguracja Symfonia Obieg Dokumentów do autentykacji LDAP
Po zdefiniowaniu użytkowników na serwerze LDAP, należy przejść do Symfonia Obieg Dokumentów, i zdefiniować sposób uwierzytelniania.
Wykonuje się to w menu Ustawienia > Panel Sterowania > Uwierzytelnianie. Otwiera się okienko, gdzie wybieramy Typ: LDAP.
Pojawiają się nam pola, gdzie wprowadzamy:
•Dane serwera, w tym:
oHost – adres IP lub nazwę serwera LDAP.
oPort – port serwera LDAP, domyślnie 389.
oBaseDN: – adres bazy danych, w której będą wyszukiwaniu użytkownicy LDAP. Należy sprawdzić w konfiguracji LDAP. Przykład: OU=users,DC=nazwa_domeny,DC=ldap.
•Dodatkowe dane:
oLDAP admin – dane użytkownika, który posiada uprawnienia do przeszukiwania zasobów LDAP, np. CN=amdinistrator,DC=nazwa_domeny,DC=ldap.
oHasło – hasło dla powyższego użytkownika.
Dodatkowo warto przetestować połączenie wprowadzając dane użytkownika, dla którego zostanie przeprowadzona testowa autentykacja.
Dane z powyższego formularza są wprowadzone do pliku config.inc, którego fragment dotyczący uwierzytelniania został przedstawiony w dalszej części artykułu.
Po ustawieniu i przetestowaniu połączenia, do Symfonia Obieg Dokumentów będzie się mógł zalogować tylko ten użytkownik, który posiada konto na serwerze LDAP.
Autentykacja przy pomocy Active Directory
W niniejszej części artykułu zajmiemy się uwierzytelnianiem przy pomocy Active Directory. Symfonia Obieg Dokumentów może być zainstalowany albo na serwerze Microsoft Windows lub też na serwerze Linuksowym np. Debian.
Konfiguracja systemu Symfonia Obieg Dokumentów do współpracy z Active Directory
Aby móc skorzystać z dobrodziejstw uwierzytelniania poprzez LDAP (Active Directory na Windows) należy skonfigurować podstawowe dane przy użyciu formularza umieszczonego w Panelu Sterowania > Uwierzytelnianie.
W formularzu wybieramy rodzaj autoryzacji, następnie wpisujemy adres hosta - komputera, który jest kontrolerem domeny.
Base DN - jest wyjaśnione w dalszej części artykułu. Ważne jest, aby w polu Domena wpisać pełny adres domeny poprzedzony znakiem @ np. @edokumenty.rma.
Aby przetestować wpisy, należy wprowadzić użytkownika z prawami administratora domeny i jego hasło.
Powyższy formularz uzupełnia poniższe stałe zawarte w pliku config.inc w katalogu głównym apps\edokumenty. W przypadku jeśli którejś z tych stałych nie ma należy dodać ją ręcznie korzystając z edytora teksu (zalecany Notepad++, VIM).
define('AUTHENTICATION_METHOD', 'PG');
// znacznik określający sposób autentykacji opcje: PG, LDAP, AD
define('LDAP_HOST', ''); // adres IP serwera
define('LDAP_PORT', 389); // port najczęściej 389
// ścieżka do wyszukania danych usera który ma prawo do
// przeglądania zasobów ldap włącznie z hasłami np.: cn=root,ou=BetaSoft,ou=Users,dc=firma,d
define('LDAP_AUTH_USER', '');
define('LDAP_AUTH_PASS', ''); // haslo dla usera powyzej
define('LDAP_BASE_DN', ''); // ścieżka wyszukiwanie np ou=BetaSoft,ou=Users,dc=firma,dc=loca
// specyficzne wartości dla Active Directory
define('ACTIVE_DIRECTORY_ACCOUNT_SUFFIX', '@firma.local'); // nazwa domeny poprzedzona @
W przypadku korzystania z TLS-a, gdy w AD mamy certyfikat podpisany przez nas samych w konfigruacji LDAP na serwerze należy wyedytować plik:
/etc/ldap/ldap.conf
dodając następujący wpis:
TLS_REQCERT never
Odnośnie LDAP_BASE_DN najczęściej jest to ciąg w postaci DC=rma,DC=local - każdy kolejny DC określa człon domeny np. edokumenty.rma.local będzie wyglądać DC=edokumenty,DC=rma,DC=local.
Co do OU=betasoft jest to oznaczenie symboliczne oraz nazwa korzenia w którym nastąpi wyszukiwanie użytkowników.
Wyśmienitym narzędziem do pobrania tych danych jest Softerra LDAP Browser (Windows), phpLDAPadmin (PHP).
Po wprowadzeniu danych do powyższego formularza/pliku config.inc należy przetestować połączenie i zapisać ustawienia:
Typowy sposób dołączania użytkownika do Symfonia Obieg Dokumentów
Dodawanie użytkownika do Symfonia Obieg Dokumentów, w przypadku uwierzytelniania AD wymaga dodatkowej pracy związanej z założeniem użytkownika w AD. Dopiero po założeniu użytkownika na kontrolerze AD oraz w Symfonia Obieg Dokumentów pozwoli użytkownikowi zalogować się do obiegu dokumentów na swoim stanowisku.
Dodatkowe operacje
W plikach /var/tpl/ad_column_map.ini oraz /var/tpl/ldap_column_map.ini można zadeklarować mapowanie pozostałych pól z LDAP/AD na pola z Symfonia Obieg Dokumentów (domyślnie ustawienia są gotowe po instalacji Symfonia Obieg Dokumentów).
; Mapa kolumn
;
; Kolumny firnam i lasnam zawsze musza byc
; Nalezy dopilnowac aby w ldapie kolumny
; mapowane na firnam i lasnam nie byly puste
[map]
samaccountname = usrnam
mail = e_mail
telephonenumber = phone_
givenname = firnam
sn = lasnam
initials = initls
description = commen