Versions Compared

Old Version 3

changes.mady.by.user Nicolás Palombo (Unlicensed)

Saved on

compared with

New Version 4

changes.mady.by.user Former user

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Wiki Markup
{scrollbar}

{quote}
(!) Nota
Más detalles sobre la configuración sobre LDAP se puede encontrar en este NB
This [HowTo|HowTo O3 Security over LDAP and Active Directory]shows {quote}more details Las definiciones de usuarios y roles en este caso se realizan con las herramientas de LDAP que se utilizan normalmente. A continuación se detallan las características que deben cumplir los usuarios y roles creados en el servidor LDAP para que puedan ser utilizados por O3 Server.

h3. Requisitos de los Usuarios

Para garantizar un correcto funcionamiento de O3 Server sobre un repositorio LDAP es necesario que los usuarios creados en éste cumplan con las siguientes condiciones.
* Los usuarios deben crearse en el contexto o directorio identificado por el parámetro *Ruta base de Búsqueda*.
* A todos los usuarios deberán asignársele el atributo *objectclass* con el valor *humanParticipant* además de otros valores que este atributo pueda tener
* Todos los usuarios deberán tener asignado el atributo *uid* cuyo valor será el login para conectarse a O3 Server.
* Todos los usuarios deberán tener asignado el atributo *cn* cuyo valor será el nombre real del usuario. Esto implica que no tiene por qué coincidir con el valor asignado a *uid*
* Cada usuario deberá tener un conjunto de roles asignados. Esto se realiza mediante la especificación del atributo *assignedRoles* cuyo valor deberá ser la lista de roles. Esta lista contendrá los nombres de los roles involucrados separados por ":" (dos puntos). Esta lista además debe terminar con ":" (dos puntos)
* Para que un usuario tenga privilegios de administrador en el Servidor de O3, deberá tener asignado el rol especificado por el parámetro *Rol del Administrador*.

h3. Requisitos de los Roles

Para garantizar un correcto funcionamiento de O3 sobre un repositorio LDAP es necesario que los roles creados en éste cumplan con las siguientes condiciones.
* Los roles deben crearse en el contexto o directorio identificado por el parámetro *Ruta base de Búsqueda* (referirse a la sección "Parámetros LDAP" para un detalle de los parámetros)
* A todos los usuarios deberán asignársele el atributo *objectclass* con el valor *ftorganizationalrole* además de otros valores que este atributo pueda tener
* Todos los usuarios deberán tener asignado el atributo *cn* cuyo valor será el nombre del rol
* Todos los usuarios deberán tener asignado el atributo *description* cuyo valor será el nombre del rol

h3. Ejemplo de una base de datos LDAP para ser utilizada por O3

El siguiente es un ejemplo de una estructura de entradas de directorio en un LDAP utilizado por O3:on  settings over LDAP
{quote}
In this case, the definitions of users and roles are performed with the commonly used LDAP tools. The characteristics users and roles created in the LDAP server must have so they can be used by O3 Server are detailed below.


h3. User Requirements


In order to ensure the proper operation of O3 Server over an LDAP repository, it is necessary that all created users in it meet the following conditions.

* Users must be created in the context or directory identified by the *Search  Base Path* parameter.
* All users will be assigned the *objectclass* attribute, withe the *humanParticipant* value besides other values this attribute might have.  
* All users will be assigned the *uid* attribute whose value will be the login to connect to O3 Server.  
* All users will be assigned the *cn* value whose value will be the real username. This means it does not need to match the value assigned to *uid*.
* Each user will have an assigned set of roles. This is done through the specification of the *assignedRoles* attribute, whose value must be the list of roles. This list will contain the names of the roles involved, separated by ":" (colon). This list must also finish in ":" (colon)
* For a user to have administrator rights in O3 Server, they will need to have been assigned the specified role by the *Administrator Role* parameter. 

h3. Role Requirements


In order to ensure the proper operation of O3 Server over an LDAP repository, all roles created in it must meet the following conditions:

* Roles must be created in the context or directory identified by the *Search  Base Path* parameter.(refer to the "LDAP Parameters" section for a detail on parameters)  
* All users will be assigned the *objectclass* attribute, withe the *ftorganizationalrole* value besides other values this attribute might have.
* All users will be assigned the *cn* value whose value will be the role name.
* All users will be assigned the *description* attribute , whose value will be the role name.  

h3. Example of an LDAP database to be used by O3


What follows is an example of the directory entry structure in an LDAP used by O3.


c=uy
   o=IdeaSoft
      cn=Directory Administrators
      ou=Groups
      ou=People
        uid=admin
        uid=user
        uid=o3user

AdicionalmenteBesides, seit sabeis queknown lasthat entradasexisting existentesentries dentro del contexto o directorio within the *ou=People*, context or directory tienenhave losthe siguientesfollowing atributosattributes:


uid=user
   cn=Usuario estándar de O3
   objectClass=humanparticipant
   assignedRoles=o3user

uid=admin
   cn=Usuario Administrador de O3
   objectClass=humanparticipant
   assignedRoles=o3admin

uid=o3admin
   cn=o3admin
   description=Rol de Administradores de O3
   objectClass=ftorganizationalrole

uid=o3user
   cn=o3user
   description=Rol de Usuarios de O3
   objectClass=humanparticipant

EspecificandoBy establishing comoas *RutaSearch baseBase de BúsquedaPath* el contexto o directorio the "*ou=People, o=IdeaSoft, c=uy*", elcontext or Servidordirectory, dethe O3 interpretaráServer laswill entradainterpret *"*uid=user"*" entries comoas una usuariouser dewith loginthe "*user*" ylogin and nombrename *"UsuarioO3 estándarStandard de O3" que tiene asociado rolUser"*  with an associated role "*o3user*".


DeIn the lasame mismaway, manerait interpretaráwill launderstand entradathe *"*uid=admin"*" comoentry unas usuarioa deuser loginwith *"*admin"*" login yand nombrename "UsuarioO3 AdministradorAdministrator de O3User" quewith tienean asociadoassociated rolrole *"*o3admin"*". Dado queAs "o3admin" sewas declaródeclared enin elthe parámetro*Administrator Role*Rol del Administrador*parameter, éstethis usuariouser contaráwill conhave privilegiosadministrator de administrador.rights. 

De forma similar se interpretan las entradas Entries "*uid=o3admin*" yand "*uid=o3user*" are interpreted comoas roles in the same way.


----
{children}
{scrollbar}