LDAP / Active Directory
Esta guía configura autenticación contra LDAP (típicamente Microsoft Active Directory on-premise) para que los usuarios de Mawidabp se autentiquen con sus credenciales corporativas. Apropiada para instalaciones on-premise o cuando el cliente no usa identidad en la nube.
Si estás usando Microsoft Entra ID (la versión cloud), ver Microsoft Entra ID en vez de esta guía.
Cuándo usar LDAP
- Infraestructura on-premise con AD clásico.
- Organizaciones sin presencia en la nube de Microsoft.
- Requisito de que la autenticación no salga de la red corporativa.
Pre-requisitos
- Acceso de administrador al Active Directory (o LDAP genérico).
- Credenciales de un usuario con permisos de lectura sobre el directorio (bind user).
- Certificado raíz (CA) del servidor LDAP si la conexión va por TLS.
- Administrador en Mawidabp.
Parte 1 — Configuración en Active Directory
Crear los grupos que se corresponderán con los perfiles de Mawidabp. Convención habitual:
| Grupo | Perfil de Mawidabp |
|---|---|
MawidabpAIGerente | Gerente de auditoría |
MawidabpAISupervisor | Supervisor |
MawidabpAISenior | Auditor senior |
MawidabpAIAuditor | Auditor |
MawidabpPAI | Administración de usuarios |
Empresa | Auditado (todos los empleados auditables) |
Asignar los usuarios a los grupos según corresponda. La pertenencia a grupos es lo que determina qué perfil tendrán en Mawidabp.
Parte 2 — Configuración en Mawidabp
1. Crear los perfiles
- Administración → Seguridad → Perfiles y privilegios → Nuevo.
- Completar:
- Perfil: nombre descriptivo; conviene que coincida con el del grupo de AD.
- Tipo de perfil: el que aplique.
- Identificador: el nombre exacto del grupo de AD.
- Tildar los privilegios por módulo.
Repetir por cada grupo de AD.
2. Editar la organización
- Administración → Organización → Gestión → Editar la organización.
- En la sección de configuración LDAP, completar:
| Campo | Descripción |
|---|---|
| Dirección servidor | FQDN o IP del servidor LDAP (por ejemplo ldap.empresa.local). |
| Puerto | 389 para LDAP, 636 para LDAPS. |
| Versión TLS | Versión TLS mínima admitida (por ejemplo, TLSv1.2). |
| Ruta CA | Ruta en el servidor de Mawidabp donde está el certificado raíz del LDAP. |
| Nombre distinguido base | DN base desde el que se buscan usuarios, por ejemplo dc=empresa,dc=local. |
| Filtro | Filtro LDAP para limitar la búsqueda (por ejemplo, (objectClass=user)). |
| Máscara de autenticación | Patrón con el que se construye el DN al autenticar. Por ejemplo cn={0},ou=usuarios,dc=empresa,dc=local. |
| Unidad organizacional (OU) | OU donde viven los usuarios. |
| Atributo con el nombre de usuario | Típicamente sAMAccountName en AD. |
| Atributo con el nombre | Típicamente givenName. |
| Atributo con el apellido | Típicamente sn. |
| Atributo con el correo | Típicamente mail. |
| Atributo con los perfiles | Típicamente memberOf. |
| Unidad organizacional por defecto | OU a asignar si un usuario no tiene una definida. |
| Usuario | Usuario bind para la autenticación hacia LDAP. |
| Contraseña | Contraseña del usuario bind. |
- Actualizar organización. Si la pantalla vuelve al listado inicial, la configuración se guardó correctamente.
Probar el inicio de sesión
- Cerrar sesión en Mawidabp.
- Autenticarse con las credenciales de un usuario del AD que pertenezca a uno de los grupos configurados.
- El ingreso debería pasar sin pedirte crear usuario en Mawidabp; el perfil se aplica automáticamente según el grupo.
Solución de problemas
El login no avanza: revisar el log de Mawidabp; los errores de conexión LDAP (puerto cerrado, CA inválida, bind user con credenciales incorrectas) aparecen allí.
El usuario entra pero sin permisos: verificar que el usuario esté dentro de uno de los grupos configurados y que el atributo con los perfiles esté devolviendo el nombre del grupo correcto.
TLS falla con certificado no confiable: el certificado raíz en la Ruta CA debe ser el completo (cadena incluida) y estar en un formato que OpenSSL entienda (PEM).
Importación masiva
Cuando querés pre-cargar usuarios en Mawidabp desde LDAP sin esperar a que cada uno haga login:
- Activar el parámetro "Mostrar Importar desde LDAP solo a usuarios con permisos de aprobación" en Parametría si querés restringir quién lo puede hacer.
- Administración → Seguridad → Usuarios → Importar desde LDAP.
La importación lee el grupo LDAP y crea/actualiza los usuarios en Mawidabp con sus perfiles asignados.
Soporte
Si la configuración no arranca, escribí a soporte@mawidabp.com con el detalle del error y el log.