🪪Autenticación LDAP

Configuración de Autenticación Externa

Para Operaciones en las que sea una exigencia la autenticación de usuario mediante Sistemas Externos, OmniLeads añade a partir del Release Oficial 1.32 la Autenticación mediante protoclo LDAP (Protocolo Ligero de Acceso a Directorios, por sus siglas en inglés).

Este método de autenticación permite a la plataforma autenticar cada acceso de usuario mediante un servicio externo LDAP, como ser OpenLDAP o Active Directory de Microsoft.

Para configurar la Autenticación Externa basada en LDAP, el administrador debe dirigirse al Menú Seguridad → Autenticación, y configurar las opciones correspondientes a su entorno:

Tipo: En el que seleccionará LDAP (en futuros releases, se anexarán otros mecanismos de autenticación externa).
Servidor: La URI de contactación del servidor, anteponiendo protocolo y especificando Dirección IP o FQDN (full hostname) y puerto, tal como se muestra en la imágen.
Base DN: Distinguished Name o “nombre distiniguido”, describe la ruta base en el árbol de información que llevará al protocolo al resultado deseado de la búsqueda.
Activación: opción de activación de la feature.
Check de Simple Authentication AD: este checkbox utiliza formatos de username del tipo user@dominio, a la hora de joinear a servicios de LDAP basados en Microsoft Active Directory.

En el ejemplo, “172.16.102.101” hace referencia a la Direccón de Red del servidor donde se aloja el Backend externo de autenticación (OpenLdap o Microsoft Active Directo ry). A su vez, “:10389” indica el puerto donde dicho servicio se expone.

Por otro lado, el campo BaseDN hace referencia al “Nombre Distinguido” que se utilizará de base para explorar rápidamente el DIT (Directory Information Tree) y encontrar el resultado de la búsqueda.

En el ejemplo, el string “dc=planetexpress, dc=com” comprende campos DC (elemento de acceso del dominio) que utiliza el mapa del sistema de nombres de dominio o DNS (domain name server). Sin embargo, este campo puede ser tan extenso como se requiera, como ser Nombre de la Empresa (O), Unidades Organizativas (OU) y/o Nombre Común (cn) para grupos de usuarios.

Debajo se expone un ejemplo basado en Microsoft Active Directory. Si la cuenta de un usuario está en el contenedor o recurso ldap Usuarios, la información de enlace Base DN resultaría ser: “cn=users,dc=pantac2,dc=org”.

Para este caso, al activar el checkbox de Simple Authentication previamente descripto, las credenciales transmitidas a Active Directory se expresan con el formato username@dominio, donde "dominio" se lo sustituye por los campos de acceso a dominio -DC- (usuario@pantac2.org, en el ejemplo).

Métodos de Activación

Al Activar la autenticación por protocolo LDAP, los mecanismos de Activación pueden ser:

Todos: todos los usuarios se configurarán con la autenticación externa por default.
Todos menos Admin: todos los usuarios se configurarán con la autenticación externa por default, menos el usuario Admin del sistema.
Manual (default activo): cada nuevo usuario heredará de manera forzada la autenticación externa a la hora de ser dado de alta en el sistema. Sin embargo el administrador puede modificar la configuración de dicho usuario en todo momento.
Manual (default inactivo): cada nuevo usuario heredará la autenticación "Legacy" a la hora de ser dado de alta en el sistema. Sin embargo el administrador puede modificar la configuración del usuario en todo momento.

Para poder verificar la configuración de autenticación de usuarios, basta con dirigirse a la vista de Usuarios del sistema y revisar la columna Autenticación, tal como se muestra en la siguiente imágen:

A su vez, tanto para crear usuarios nuevos como para editar existentes, el administrador puede modificar su manera de accesar al sistema por medio de la vista detallada del usuario.

La autenticación externa se podrá activar en la vista de usuario siempre y cuando exista un servicio de autenticación externa configurado en el menú de Seguridad del sistema, tal cual se ha explicado en el apartado anterior:

Autenticando contra servicios de LDAP:

Si la Autenticación de Sistema Externo está activada sobre un usuario y éste último efectúa un Login en el sistema, OMniLeads utilizará dicho Backend de Autenticación Externa para accesar.

IMPORTANTE: dado que OMniLeads delega la autenticación a otra entidad, es importante que el usuario esté creado en el sistema de directorios externo, de manera tal que la autenticación se lleve adelante consistentemente.

Si el proceso de autenticación no es satisfactorio, el usuario recibirá un mensaje de error de acceso; caso contrario podrá hacer uso normal de la plataforma.

En el caso de que el servicio de LDAP se encuentre caído y el usuario Admin también utilice LDAP como método de acceso, tendrá chances de recuperar su acceso al sistema mediante un comando ejecutado por el usuario root del Sistema Operativo (superusuario):

source /opt/omnileads/virtualenv/bin/activate

cd /opt/omnileads/ominicontacto

python3 manage.py desactivar_autenticacion_externa

Última actualización hace 7 meses