Configuración de autenticación en el Cliente Web por Directorio Activo



Este tipo de autenticación en el cliente web aplica para Internet Explorer.
El ingreso en red local se debe realizar exclusivamente por nombre del equipo.
Ejemplo: http://serverdiscovery/clienteweb


  1. En el directorio de la aplicación Unidad:\inetpub\wwwroot\nombre_aplicacion

    1. Ubicar el archivo Web.config1), abrirlo con cualquier editor HTML o con un editor de texto como Notepad.

    2. Personalizar los parámetros (se encuentran entre las etiquetas <appSettings>… </appSettings>) para habilitar la autenticación en el Cliente Web con credenciales del Directorio Activo: 

      <add key="userMainAD" value="DOMINIO\USUARIO" /> 
<add key="passwordAD" value="CLAVE" />
<add key="adPath" value="LDAP://DIRECCION_IP/DC=DOMINIO,DC=local" /> 
 
Ejemplo: Para el dominio: empresa.edu.co la definición del path:
<add key="adPath" value="LDAP://DIRECCION_IP/DC=empresa,DC=edu,DC=co" />

      Editar las tres líneas incluyendo los datos correspondientes al dominio y usuario de conexión para la lectura de datos, contraseña el usuario y controlador de dominio.
      Se recomienda que el usuario no tenga privilegios administrativos (edición/modificación) sobre el directorio activo

    3. Guardar los cambios realizados.

  2. Modificar el modo de autenticación del sitio:

    1. Abrir el Administrador de Internet Information Services (IIS).
      En el panel Conexiones, expandir los nodos Sitios/Default Web Site y seleccionar la aplicación del cliente web.

    2. En el panel Página principal de la aplicación (Ejemplo: Página principal de /leverit), en el ítem IIS abrir la opción de configuración Autenticación.

    3. Deshabilitar la función Autenticación anónima y habilitar Autenticación de Windows.



      En las opciones de configuración del Internet Information Services debe estar habilitada la opción Autenticación de Windows. Esta opción se habilita en:

      Panel de control > Programas > Activar o desactivar las características de Windows > Internet Information Services > Servicios World Wide Web > Seguridad > Autenticación de Windows.



  3. Configurar ADIndex.aspx como página de inicio.
    Ver Configuración de la página de inicio del Cliente Web

  4. En el administrador del IIS, en el panel Conexiones seleccionar el nodo de servidor. En el panel Acciones dar clic en Detener, posteriormente dar clic en Iniciar.

  5. Habilitar usuarios para ingreso al sitio.
    Los usuarios deben ser creados en el sistema o validados directamente desde la tabla IADSUSER2).

    1. Método 1:
      Crear los usuarios del directorio activo en el sistema Discovery.
      Los mismos usuarios del Directorio Activo que harán uso de la aplicación deben estar creados en la tabla OTROS_EMPLE3), este procedimiento puede ser realizado con el editable Usuarios sin PC

      Campos en los que debe ser almacenada la información del Directorio Activo

      Campo del Directorio Activo:
      USER. Login de Red
      NAME. Nombre completo
      EMAIL. Correo electrónico

      Campo en la tabla OTROS_EMPLE:
      CEMPLEADO
      NOMBREE, APELLIDOE
      MAIL


    2. Método 2:

      1. Se requiere que la información de usuarios del Directorio Activo ya se encuentre guardada en la tabla IADSUSER. Ver Conexión al Directorio Activo
      2. El siguiente procedimiento debe ser ejecutado por el administrador general Discovery. Se recomienda crear una copia de seguridad de los archivos a modificar.
      3. Después de editar el archivo SQLESP.txt se deben reiniciar los siguientes servicios del servidor Discovery: Datanor.exe, Transnorm.exe, Trans Bridge (2).


      Validar directamente los usuarios desde la tabla IADSUSER4). Editar las siguientes lineas del archivo SQLESP.txt5):

      [Línea 19]
      Original6): 

      SELECT * FROM ((select cempleado, mail, passw from extradata
left join passclient on extradata.cempleado= passclient.idempl) 
union (select cempleado, mail, passw from otros_emple left join 
passclient on otros_emple.cempleado= passclient.idempl)) AS T1 
where cempleado='SSSS[0]'


      Editada:7) 

      SELECT * FROM ((select cempleado, mail, passw from extradata 
left join passclient on extradata.cempleado= passclient.idempl) 
union (select SAMACCOUNTNAME AS cempleado, IADSUSER.MAIL AS mail,
passw from IADSUSER left join passclient on 
(SAMACCOUNTNAME)=(passclient.idempl))) AS T1 where cempleado='SSSS[0]'


      [Línea 25]
      Original8): 

      select mail, cempleado from extradata 
union (select mail,cempleado from otros_emple)


      Editada:9) 

      select mail,cempleado from extradata 
union (select IADSUSER.MAIL as mail, SAMACCOUNTNAME as cempleado 
from IADSUSER)


Si la autenticación es correcta (Usuario en el Directorio Activo y en Discovery) el sitio mostrara la información de Directorio Activo asociada al usuario de Windows10) y los botones para continuar que lo llevan al inicio del cliente web para consulta de casos, ingreso de casos, cambio de clave, etc.



Si el usuario de Windows está en el directorio activo pero no en Discovery aparecerá el mensaje:
This ID is not in the database.


Si el usuario de Windows no existe en el Dominio solo se visualizará el login de red sin información de directorio activo.

1)
Web.config. Archivo principal de opciones de configuración para una aplicación web en ASP.NET.
2) , 4)
Tabla en la que se almacena información de Directorio Activo.
3)
Tabla en la que se registra información de usuarios que no tienen estaciones asignadas
5)
Archivo de sistema, ubicado dentro del subdirectorio Software en el servidor Discovery.
6) , 8)
Línea del archivo SQLESP.txt motor SQL
7) , 9)
Adaptar los cambios para el SQLESP.txt versión Oracle
10)
login de red, nombre completo en DA, Email en DA