Alfresco使用LDAP，在Alfresco集成中更改用户的密码

Question

我已经成功地将ldap-ad添加到Alfresco。现在，当我在AD中创建一个用户时，它与Alfresco同步，并且我获得了一个Alfresco用户。问题是，如果用户Bob (已经从AD同步)更改了他的密码(在Alfresco界面中)，密码将在哪个身份验证系统中更改，Alfresco还是AD？

如果要在AD中更改密码，那么我没有其他查询，但据我所知，只有一个方向的同步，从AD到Alfresco，所以Alfresco不能访问和更改AD密码。这是否意味着，Alfresco将为Bob创建密码并将其存储在自己的身份验证系统中，现在Bob可以使用alfresco和AD密码(新密码和旧密码)登录？最重要的问题是:如何避免这种情况？提前谢谢。

Answer 1

Alfresco使用身份验证链概念。这意味着您可以为身份验证配置多个系统，如果用户尝试通过配置的链进行身份验证，并一个接一个地尝试系统，直到用户成功通过身份验证，或者如果在最后一个链成员上身份验证失败，则假定身份验证尝试失败。

Alfresco提供了自己的身份验证子系统，可以在本地的repo db中使用密码创建和存储用户。本地创建的用户(如admin )存储在本地子系统alfrescoNtlm中，您可以在user://alfrescoUserStore/存储中的节点浏览器中找到它。该存储仅用于内部用户的身份验证。

您在Alfresco UI中看到和管理的“用户”是存储在主存储系统(/sys：workspace://SpacesStore /sys:people/)中的用户类型，但根本不包含任何密码。

ldap同步仅在/sys:system/sys:people/下的workspace://SpacesStore中创建用户，一旦用户尝试登录，Alfresco就会遍历authentication.chain，这在生产环境中可能类似于：kerberos1:kerberos,ldap-ad2:ldap-ad,alfrescoNtlm1:alfrescoNtlm。

如果在本地alfrescoUserStore中找到用户，则Alfresco共享仅为用户提供“更改密码”对话框。在任何其他系统中，Alfresco都不会更改密码。

测试您是否理解了所有内容:如果用户max存在于AD和本地alfrescoUserStore中，并在Alfresco中更改了其密码，会发生什么情况？;-)

Answer 2

如果您使用LDAP进行身份验证，则密码永远不会存储在Alfresco中。密码将存储在LDAP中，并将通过其电子邮件或用户名与Alfresco链接。