Openfire integrado em uma floresta Active Directory
Integrar o Openfire ao AD é relativamente fácil. Se eu tivesse apenas 1 domínio eu estaria plenamente satisfeito, mas como fazer com que os usuários de todos os domínios da floresta se loguem em um único servidor e se enxerguem em uma única interface?
[ Hits: 39.980 ]
Por: Celso S. Faria em 11/06/2010
A solução
Segundo o que li, quando se deseja realizar consultas que se estendam por toda a floresta (domínios pai e filhos) é necessário especificar apenas parte do nome do domínio e alterar a porta de 389 para 3268, como na figura abaixo.
A diferença entre as portas 389 e 3268 é que a primeira permite a consulta somente na base local e é necessário que a base DN seja completa (dc=empresa,dc=com,dc=br) e a segunda permite a consulta em toda a floresta, especificando apenas parte do nome do domínio (dc=com,dc=br).
Exemplo:
Eu tenho 6 domínios em relação de confiança:
empresa1.com.br, filial1.empresa1.com.br, filial2.empresa1.com.br, filial3.empresa1.com.br, filial4.empresa1.com.br e empresa2.com.br
No meu caso, tenho 2 domínios com shortnames diferentes (empresa1.com.br e empresa2.com.br), apenas terminados em com.br.
Ao especificar "dc=com,dc=br" e a porta 3268 estou informando que a consulta deve abranger todos os domínios da floresta, que contenham .com.br em seus nomes DNS, dessa forma consigo incluir os domínios com shortnames diferentes (atente-se a esse detalhe caso os domínios não sejam padronizados).
Se eu não tivesse o domínio empresa2.com.br eu poderia especificar a base DN assim: "dc=empresa1,dc=com,dc=br" que seria suficiente.
Conclusão
No final das contas bastou apenas 1 único servidor para atender toda a floresta de forma efetiva.Se a função Server 2 Server tivesse funcionado, eu precisaria de 1 servidor Openfire em cada unidade da empresa, alocando recursos, consumo de energia e mais tempo para configurar todos os servidores. Além de ter que me preocupar com 6 servidores estarem online.
Bem amigos... espero com esse artigo ajudar os profissionais que já passaram ou passam por este problema.
2. Explicando o problema
3. A solução
Nagios - Configurando níveis de acesso e autenticação centralizada no Active Directory
Integrando Nagios e Google Maps
Servidor Apache hospedando diversos sites com e sem SSL
Restauração e registro do RedHat após utilização de repositórios CentOS
Apache Mod_Proxy como Front-End de acesso e balanceamento de diversas aplicações web
Deixando o Fluxbox com a sua cara
Dual boot no Fenix Extreme Linux
Criando mirror do Debian Lenny e Debian Lenny Security em sua rede local
Fedora Core 1 :: Firewall e update
Xen - XL.cfg - Sintaxe da Configuração de Domínios - Parte II
O Openfire é uma mega-solução pra mensageria interna, elimina pela raiz os problemas com msn & cia hehe!
Mas fiquei com uma pulga sobre a segurança dessa solução proposta no seu artigo....
"[...] estou informando que a consulta deve abranger todos os domínios da floresta, que contenham .com.br em seus nomes DNS, dessa forma consigo incluir os domínios com shortnames diferentes (atente-se a esse detalhe caso os domínios não sejam padronizados). "
Acho que fica muito generalizado fazer consulta em tudo que termina com ".com.br" nos seus DNS. Acho, que deveria ter mais um subdominio pelo menos... humilde opniao =P
Posso ter falado besteira 8-)
Você tentou fazer esta integração com o Windows 2008? Tentei efetuar instalação no w2008, não tive sucesso, somente com o 2003. Alguem ja conseguiu fazer o openfire funcionar no w2008?
kaizers2li:
Especificar o ".com.br" é a forma de indicar a floresta toda. Infelizmente não há outra forma de realizar a pesquisa senão dessa forma. Onde eu peguei a informação sobre a configuração da porta e da base DN, inclusive indica para deixar em branco a base DN para indicar a floresta, mas o openfire não aceita dessa forma.
Veja que a consulta é realizada apenas nos domínios membros da floresta e não "tudo" que termina em ".com.br" no DNS (entenda-se FQDN).
cavanso:
Ainda não testei no win2k8... mas já pensei nessa possibilidade, já que há planos na empresa em que trabalho de migrar do win2k3 para o win2k8.
Se eu conseguir tempo logo eu faço os testes e posto os resultados.
Cara você é um gênio, faz anos que venho tentando fazer isso.
Valew, brigadão...
Parabéns....
Tentei com o Windows Server 2008 R2 ENT; Não rolou...
Ele não mostra todos os usuários...
o que pode ser?
Tentei com os 2 filtros e nada...
(objectClass=User)
(&(objectClass=user)(objectCategory=person))
Boa noite valcenir-TI,
Observe bem os detalhes na configuração. A base DN é exatamente como está definida na imagem, apenas adaptando ao seu ambiente.
O artigo foi escrito utilizando o Win2k3 mas hoje está em produção em Win2k8 e 100% funcional no ambiente que administro.
BOm dia,
djcelsodub, consegui mais foi com outro filtro em mapamento de usuário e grupo;
Para usuário: (&(|(|(&(objectclass=user)(objectcategory=person)))(objectclass=contact)))
Grupo: (objectClass=Group)
Com esse filtro listei "ALL Users"
Agora estou com outro problema:
Vou em listagem de grupos;
Compartilho com todos os usuários o Grupo, mais os menbros do grupo não aparecem na lista de usuários...
ATT. Obrigado pela ajuda;
Boa tarde Celso,
é possível integrar AD com outra base OpenLDAP?
Boa noite, amigos,
Estou com dois problemas,
1º: Apenas os usuários do domínio PAI consegue logar utilizando o spark
2º Alguns usuários do domínio pai não aparecem e todos os usuários do domínio filho aparecem
Host: host.meudominio.com.br
Porta: 3268
DN Base: dc="meudominio",dc="com",dc="br"
DN Administrador: cn="administrador",cn="users",dc="meudomonio",dc="com",dc="br"
Obs. Seguir o procedimento a risca para evitar quaisquer problema .
Infelizmente os usuários do domínio filho não consegue logar no spark.
[10] Comentário enviado por maykon.franca em 09/02/2017 - 19:34h
Boa noite, amigos,
Estou com dois problemas,
1º: Apenas os usuários do domínio PAI consegue logar utilizando o spark
2º Alguns usuários do domínio pai não aparecem e todos os usuários do domínio filho aparecem
Host: host.meudominio.com.br
Porta: 3268
DN Base: dc="meudominio",dc="com",dc="br"
DN Administrador: cn="administrador",cn="users",dc="meudomonio",dc="com",dc="br"
Obs. Seguir o procedimento a risca para evitar quaisquer problema .
Infelizmente os usuários do domínio filho não consegue logar no spark.
Maykon,
Altere a DN Base de dc="meudominio",dc="com",dc="br" para dc="com",dc="br"
Foi dessa forma que consegui autenticar todos os domínios.
Patrocínio
Destaques
Artigos
Como gerar qualquer emoji ou símbolo unicode a partir do seu teclado
Instalar e Configurar o Slackware Linux em 2025
Como configurar os repositórios do apt no Debian 12 em 2025
Passkeys: A Evolução da Autenticação Digital
Instalação de distro Linux em computadores, netbooks, etc, em rede com o Clonezilla
Dicas
Configurando o Conky para iniciar corretamente no sistema
3 configurações básicas que podem melhorar muito a sua edição pelo editor nano
Como colorir os logs do terminal com ccze
Instalação Microsoft Edge no Linux Mint 22
Como configurar posicionamento e movimento de janelas no Lubuntu (Openbox) com atalhos de teclado
Tópicos
firefox nao guarda meus logins nos sites (1)
Instalar debian testing (13) "por cima" do debian 12 (2)
Erro de segmentação «Segmentation fault (core dumped)» ao retornar obj... (1)
Top 10 do mês
-
Xerxes
1° lugar - 84.089 pts -
Fábio Berbert de Paula
2° lugar - 60.677 pts -
Buckminster
3° lugar - 20.117 pts -
Mauricio Ferrari
4° lugar - 19.653 pts -
Daniel Lara Souza
5° lugar - 16.975 pts -
Alberto Federman Neto.
6° lugar - 16.827 pts -
Diego Mendes Rodrigues
7° lugar - 16.014 pts -
edps
8° lugar - 15.420 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 14.019 pts -
Andre (pinduvoz)
10° lugar - 12.942 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
