Autentificación con LDAP

SIU-Toba Toba - Instalación
21

Richard y cual seria el log correcto q deberia mirar para encontrar el problema? porq en teoria esta bien definido pero sigo sin poder ingresar :frowning:

22

Algo que no comente. El error que salta cuando quiero loguearme es “La combinación usuario/clave es incorrecta”. Error que lo encontre en toba_manejador_sesiones.php. Tratando de seguir la secuencia aparentemente entra bien a toba_autenticacion_ldap- Pero no puedo identificar bien cual es el problemas
Gracias desde ya por la ayuda
Saludos
Carolina

23

Hola Carolina! No te queda otra que debuggear adentro del toba_autenticacion_ldap, seguí paso a paso el método de autenticar y fijate en dónde falla. Puede ser en la conexión, el bindeo, la búsqueda. De todas maneras en cada uno de estos errores hace un toba::logger()->error por lo que deberías estar viéndolo en el log de toba. Saludos!

24

Hola Carolina,

los mensajes en la clase de autenticacion LDAP son distintos, como bien dijo Pablo van quedando en el logger de Toba, asi que podes ver ahi cual es puntualmente el problema en mayor profundidad y detectar si se trata de un tema de conexion, de que no encuentra al usuario o que efectivamente no lo puede autenticar.

El error que estas recibiendo por parte del manejador es generico, ya que la autenticacion falló, de ahi no vas a poder sacar mucho salvo que quieras loguear que datos se le pasan efectivamente a la clase de autenticacion.

Saludos

25

Configuracion Archivo ldap.ini para conectar a Active Directory:
Fijate que en el archivo original dice servidor y debe decir server
[basicos]
server = ‘192.168…’
bind_db = ‘CN=nombre-usuario,CN=Users,DC=uner,DC=edu,DC=ar’
bind_pass = ‘contraseña’
dn = ‘CN=Users,DC=uner,DC=edu,DC=ar’
filter = ‘sAMAccountName=%s’

en toba_autenticacion_ldap.php en la linea 29:
$this->bind_pas = $datos[‘basicos’][‘bind_pass’];
debe ser
$this->bind_pass = $datos[‘basicos’][‘bind_pass’];

No se a quien informar este error pero seria interesante corregirlo para proximas veriones

26

Hola Francisco,

el lugar para reportar toda situacion que se de con el framework es justamente este foro, tenemos las secciones divididas por cuestiones de orden pero en cada una hay distintos temas, ya sean reportes de bugs, o preguntas de trabajo.

Ya subi el fix a lo que mencionas a las ramas de desarrollo de las versiones 2.4-2.6, cualquier inconveniente me avisan por aca mismo.

Saludos y gracias por el aviso :slight_smile:

27

Buenos Días:

Estoy tratando de que los sistemas SIU-Mapuche, Siu-Diaguitas y SIU-Pilaga validen contra ldap.
Segui todos los pasos indicados en este hilo del foro y al momento de ingresar el usuario y la contraseña dice la combinacion de usuario y contraseña es incorrecta
Alguna sugerencia?

28

Hola Marisa,

que versiones de los sistemas son?.. supongo que estan todas en instalaciones distintas. Sino al menos saber que version de Toba tienen por si hay algun bug que se arreglo mas adelante.

Segui todos los pasos indicados en este hilo del foro y al momento de ingresar el usuario y la contraseña dice [b]la combinacion de usuario y contraseña es incorrecta[/b] Alguna sugerencia?

Te diria que te fijes en el log de toba para verificar si el error es de contraseña incorrecta o si existe otro problema, el mensaje que se envia por pantalla es siempre el mismo, independientemente de lo que haya pasado de fondo.

Saludos

29

Hola Richard
la versión de mapuche es la 2.2.0 y toba 2.5.2
la versión de pilaga es la 2.3.0 y toba 2.5.3
la versión de diaguita es la 2.1.2 y toba 2.6

Me podrias indicar donde esta el log de toba?

Saludos.

Marisa

30

Hola Marisa,

segun veo, estos dos sistemas podrian no tener el ultimo fix que se subio, fijate que mas arriba en este hilo Francisco reporto el error, en particular el fix salio con las versiones 2.5.3 y 2.6.1, con lo cual estos dos sistemas te podrian dar un error de autenticacion por no poder conectarse al servidor.

En el caso de Pilaga sin embargo, segun veo salio con el fix por lo que de producirse un error con la autenticacion ldap tiene que venir por otro lado, de ahi que es importante verificar lo que dice el log.

Me podrias indicar donde esta el log de toba?

El log se encuentra dentro del directorio instalacion/i__nombre_instancia/p__nombre_proyecto/logs/sistema.log por ejemplo para Pilaga en una instancia de desarrollo, seria la siguiente ruta:

  • instalacion/i__desarrollo/p__pilaga/logs/sistema.log

Saludos

31

Hola Richard

Revisamos el log del sistema y nos da el siguiente mensaje

Fecha: 27-03-2015 09:42:54
Operacion: Autentificaci�n de Usuarios
Usuario: no_autentificado
Version-PHP: 5.3.3-7+squeeze19
Servidor: mapuche.a.edu.ar
URI: /mapuche/
Host: 100.100.00.00

[INFO][mapuche] PUNTO MONTAJE: se carg� la clase comunes/login/ci_login.php del punto de montaje proyecto. El path del mismo es /usr/local/mapuche/aplicacion/php
[INFO][toba] componente(52000142): No hay se�ales de un servicio anterior, no se atrapan eventos

Dado que configuramos todo tal cual lo indicado y seguimos con el mismo error (el cual se adjunta), seguimos investigando y encontramos esto en el foro

http://foro.comunidad.siu.edu.ar/index.php?topic=8121

Esto tiene que ver?
Como podemos seguir?

Saludos.

Marisa

error.jpg

error.png

32

Hola Marisa,

Como te decia antes, Mapuche justo en la version que tienen ustedes puede contener un bug que se arreglo luego en toba (y que no se con que version de Mapuche salio), que reporto Francisco en este mismo hilo y que hace que no se use los datos correctos para autenticar, la parte en cuestion es esta:


en toba_autenticacion_ldap.php en la linea 29:
                $this->bind_pas = $datos['basicos']['bind_pass'];
debe ser
                $this->bind_pass = $datos['basicos']['bind_pass'];

Lo que podrias hacer es verificar como estan esas lineas en la clase mencionada, si existe el error corregirlo y luego reportarlo al team Mapuche para que tengan conocimiento por si alguien mas les llega a consultar. Obviamente, en cuanto salga la nueva version y actualices ya no deberias tener ese problema.

Dado que configuramos todo tal cual lo indicado y seguimos con el mismo error (el cual se adjunta), seguimos investigando y encontramos esto en el foro

http://foro.comunidad.siu.edu.ar/index.php?topic=8121

Esto tiene que ver?
Como podemos seguir?

No, esto no esta directamente relacionado, de hecho lo que se reclamaba ahi era el agregado de un control que esta presente en otros metodos centralizados y no en LDAP. Ademas, el error producido por ese control menciona la inexistencia del usuario en la base de toba.

Saludos

33

Hola Richard

Lo que indicas de toba_autenticacion_ldap ya lo tengo corregido.
No se que mas revisar o ver?

Saludos.

Marisa

34

Hola Marisa,

bien, entonces lo unico que queda por hacer es revisar el log de toba. Asegurate que el nivel de log sea el mas alto, esto lo podes hacer modificando la constante apex_pa_nivel_log en el archivo aplicacion.php de Mapuche, con eso deberia loguear absolutamente todo, normalmente en produccion esta en nivel 6… ponelo en 7.

Luego revisamos a ver que sale, los mensajes que se loguean para LDAP son todos distintos por mas que en pantalla siempre diga lo mismo.

Saludos

35

Hola Richard

Probe subir el nivel de log tal cual me indicaste y este fue el resultado

Si me logeo validando contra Ldap me loguea esto:

Fecha: 01-04-2015 11:53:29
Operacion: Autentificaci?n de Usuarios
Usuario: no_autentificado
Version-PHP: 5.3.3-7+squeeze19
Servidor: mapuche.desa.unnoba.edu.ar
URI: /mapuche/
Host: 192.168.20.108

[DEBUG][mapuche] PUNTO DE MONTAJE: se carg? exitosamente el autoload del punto de montaje proyecto
[DEBUG][mapuche] SELECT
dato_parametro
FROM
mapuche.rrhhini
WHERE
nombre_seccion = ‘Version RRHH’
AND nombre_parametro = ‘Version’
[DEBUG][toba] Se cambia el ?tem solicitado a =>array (
0 => ‘mapuche’,
1 => ‘52000046’,
)
[DEBUG][toba] [SECCION] Iniciando componentes…
[INFO][mapuche] PUNTO MONTAJE: se carg? la clase comunes/login/ci_login.php del punto de montaje proyecto. El path del mismo es /usr/local/mapuche/aplicacion/php
[DEBUG][toba] componente(52000142): [callback][ ini__operacion ]
[DEBUG][toba] [SECCION] Procesando eventos…
[INFO][toba] componente(52000142): No hay se?ales de un servicio anterior, no se atrapan eventos
[DEBUG][toba] [SECCION] Configurando dependencias para responder al servicio…
[DEBUG][toba] componente(52000142): Pantalla de servicio: ‘login’
[DEBUG][toba] componente(52000142): [ callback ] ‘conf__login’
[DEBUG][toba] componente(52000142): [ callback ] ‘conf__datos’
[DEBUG][toba] [SECCION] Respondiendo al servicio__generar_html…

ME DA EL ERROR Y NO ENTRA A MAPUCHE

Si me logeo validando solo contra la aplicación me loguea esto:
Fecha: 01-04-2015 13:34:53
Operacion: Autentificaci?n de Usuarios
Usuario: no_autentificado
Version-PHP: 5.3.3-7+squeeze19
Servidor: mapuche.desa.unnoba.edu.ar
URI: /mapuche/aplicacion.php?ah=st551c06719982e&ai=mapuche||52000046
Referrer: http://mapuche.desa.unnoba.edu.ar/mapuche/aplicacion.php?ah=st551c0668a7694&ai=mapuche||52000046
Host: 192.168.20.108

[DEBUG][mapuche] PUNTO DE MONTAJE: se carg? exitosamente el autoload del punto de montaje proyecto
[DEBUG][mapuche] SELECT
dato_parametro
FROM
mapuche.rrhhini
WHERE
nombre_seccion = ‘Version RRHH’
AND nombre_parametro = ‘Version’
[DEBUG][toba] [SECCION] Iniciando componentes…
[INFO][mapuche] PUNTO MONTAJE: se carg? la clase comunes/login/ci_login.php del punto de montaje proyecto. El path del mismo es /usr/local/mapuche/aplicacion/php
[DEBUG][toba] componente(52000142): [callback][ ini__operacion ]
[DEBUG][toba] [SECCION] Procesando eventos…
[INFO][toba] componente(52000142): No hay se?ales de un servicio anterior, no se atrapan eventos
[DEBUG][toba] [SECCION] Configurando dependencias para responder al servicio…
[DEBUG][toba] componente(52000142): Pantalla de servicio: ‘login’
[DEBUG][toba] componente(52000142): [ callback ] ‘conf__login’
[DEBUG][toba] componente(52000142): [ callback ] ‘conf__datos’
[DEBUG][toba] [SECCION] Respondiendo al servicio__generar_html…

ENTRO SIN PROBLEMAS A MAPUCHE

Si te fijas en el caso de la validación contra ldap devuelve un array con los valores de la aplicación y el componente pero nunca genera la url de forma correcta. En el segundo caso si y por eso entra

36

Hola Marisa,

Lo extraño de este caso, es que no aparece en el log el mensaje del login, cosa que deberia ya que si es una situacion anormal siempre se loguea a archivo. La ausencia del error indicaria que no se trata de un problema de conexion con ldap, ni de busqueda en el arbol, sino lisa y llanamente que no coinciden los datos provistos con los depositados ahi, de otra manera deberia existir una causa tecnica para el fallo en el log.

Yo venia apuntando a que pudiera ser algun inconveniente de conexion u otro tema, que quedara reflejado en el log y nos orientara, si no es el caso… le estan llegando datos incorrectos a la autenticacion.

Saludos

37

MUCHAS GRACIAS RICHARD
Pude hacer que mapuche valide contra ldap.

Gracias.

Marisa

38

Marisa, que era al final?

39

Richard
Me estaba quedando mal armado el bind_dn

Saludos

Marisa.

40

Hola estuve leyendo el hilo y no me queda claro un par de cosas, estamos implementando pilaga y diaguita, cada uno tiene su propia base de usuarios en su toba. Al crear los usuarios de cada uno hay que hacerlo x separado pero queremos que la contraseñas se puedan actualizar en nuestro active directory de w2012r2 para poder hacer esto que hay que hacer ?

Gracias a todos

Nahuel