Openfire integrado em uma floresta Active Directory
Integrar o Openfire ao AD é relativamente fácil. Se eu tivesse apenas 1 domínio eu estaria plenamente satisfeito, mas como fazer com que os usuários de todos os domínios da floresta se loguem em um único servidor e se enxerguem em uma única interface?
[ Hits: 39.742 ]
Por: Celso S. Faria em 11/06/2010
Introdução e cenário
Escrevo este artigo pensando nas centenas de profissionais que já estiveram na mesma situação em que estive e levo o enredo como um bate-papo para poder explicar como cheguei a solução do problema.
Explicando o cenário:
Trabalho em uma empresa que possui 6 unidades (matriz e 5 filiais) interligadas, onde já há um servidor Openfire em produção. Porém a criação de usuários e grupos está sendo feita de forma manual, o que não é nada prático quando se tem algumas centenas de usuários para administrar.
Convenhamos, se tem um problema que costuma dar dor de cabeça é a questão das senhas dos usuários, pois eles vivem esquecendo e confundindo senha de domínio com senha de sistema, senha de sistema com senha de comunicador e por aí vai.
Nada melhor do que poder integrar tudo que for possível ao controlador de domínio, unificando as senhas. Ao trocar a senha de domínio, trocam-se todas ao mesmo tempo, além de ter a vantagem de não mais precisar criar grupos e usuários manualmente, tudo fica automatizado, economizando um tempo enorme com atendimentos para trocas de senhas e manipulação de grupos e usuários em vários sistemas e softwares.
Basta que na Configuração de Perfis, seja escolhida a opção Servidor de Diretórios (LDAP), na sequência especificar o tipo do servidor (no meu caso o AD), o host (que pode ser o FQDN - desde que possa ser resolvido pelo DNS - ou IP do controlador de domínio, eu utilizo por IP), a porta LDAP (389 por padrão), a base DN completa (em formato LDAP, dc=empresa,dc=com,dc=br), o DN completo do Administrador do DC (também em formato LDAP, cn=administrador,cn=users,dc=empresa,dc=com,dc=br) e por fim a senha do Administrador do domínio.
No final da configuração, indique no mínimo um usuário do AD para ser administrador do Openfire (obrigatório).
Isso é o suficiente para fazer com que o Openfire interaja com o DC, lendo a base LDAP do AD e reconhecendo grupos e usuários do domínio, podendo assim autenticá-los com suas respectivas senhas do domínio, bastando tão somente habilitar no Openfire os grupos do AD (o que é o menor dos problemas).
A instalação passo-a-passo do Openfire pode ser encontrada aqui mesmo no VOL, como os excelentes artigos do Paulo Roberto Junior e do Robinson Czelusniak (links abaixo na ordem respectiva).
Não vou entrar em detalhes sobre a instalação por não ser este o objetivo deste artigo.
Explicando o cenário:
Trabalho em uma empresa que possui 6 unidades (matriz e 5 filiais) interligadas, onde já há um servidor Openfire em produção. Porém a criação de usuários e grupos está sendo feita de forma manual, o que não é nada prático quando se tem algumas centenas de usuários para administrar.
Convenhamos, se tem um problema que costuma dar dor de cabeça é a questão das senhas dos usuários, pois eles vivem esquecendo e confundindo senha de domínio com senha de sistema, senha de sistema com senha de comunicador e por aí vai.
Nada melhor do que poder integrar tudo que for possível ao controlador de domínio, unificando as senhas. Ao trocar a senha de domínio, trocam-se todas ao mesmo tempo, além de ter a vantagem de não mais precisar criar grupos e usuários manualmente, tudo fica automatizado, economizando um tempo enorme com atendimentos para trocas de senhas e manipulação de grupos e usuários em vários sistemas e softwares.
Rápida explanação da integração Openfire em um domínio
Integrar o Openfire em um domínio AD/LDAP é relativamente fácil.Basta que na Configuração de Perfis, seja escolhida a opção Servidor de Diretórios (LDAP), na sequência especificar o tipo do servidor (no meu caso o AD), o host (que pode ser o FQDN - desde que possa ser resolvido pelo DNS - ou IP do controlador de domínio, eu utilizo por IP), a porta LDAP (389 por padrão), a base DN completa (em formato LDAP, dc=empresa,dc=com,dc=br), o DN completo do Administrador do DC (também em formato LDAP, cn=administrador,cn=users,dc=empresa,dc=com,dc=br) e por fim a senha do Administrador do domínio.
No final da configuração, indique no mínimo um usuário do AD para ser administrador do Openfire (obrigatório).
Isso é o suficiente para fazer com que o Openfire interaja com o DC, lendo a base LDAP do AD e reconhecendo grupos e usuários do domínio, podendo assim autenticá-los com suas respectivas senhas do domínio, bastando tão somente habilitar no Openfire os grupos do AD (o que é o menor dos problemas).
A instalação passo-a-passo do Openfire pode ser encontrada aqui mesmo no VOL, como os excelentes artigos do Paulo Roberto Junior e do Robinson Czelusniak (links abaixo na ordem respectiva).
- Servidor Messenger Openfire passo-a-passo no Linux [Artigo]
- Openfire no SLES 10 autenticando no Active Directory [Artigo]
Não vou entrar em detalhes sobre a instalação por não ser este o objetivo deste artigo.
Páginas do artigo
1. Introdução e cenário2. Explicando o problema
3. A solução
Outros artigos deste autor
Nagios - Configurando níveis de acesso e autenticação centralizada no Active Directory
Integrando Nagios e Google Maps
Servidor Apache hospedando diversos sites com e sem SSL
Apache Mod_Proxy como Front-End de acesso e balanceamento de diversas aplicações web
Restauração e registro do RedHat após utilização de repositórios CentOS
Leitura recomendada
Regras de ouro ao instalar o Linux em empresas
Otimizando seu web server com Apache2 + Lighttpd
Instalação do CentOS Atomic para Gerenciamento de Containers Docker
Comentários
[1] Comentário enviado por gabrielsp em 11/06/2010 - 12:23h
O Openfire é uma mega-solução pra mensageria interna, elimina pela raiz os problemas com msn & cia hehe!
Mas fiquei com uma pulga sobre a segurança dessa solução proposta no seu artigo....
"[...] estou informando que a consulta deve abranger todos os domínios da floresta, que contenham .com.br em seus nomes DNS, dessa forma consigo incluir os domínios com shortnames diferentes (atente-se a esse detalhe caso os domínios não sejam padronizados). "
Acho que fica muito generalizado fazer consulta em tudo que termina com ".com.br" nos seus DNS. Acho, que deveria ter mais um subdominio pelo menos... humilde opniao =P
Posso ter falado besteira 8-)
O Openfire é uma mega-solução pra mensageria interna, elimina pela raiz os problemas com msn & cia hehe!
Mas fiquei com uma pulga sobre a segurança dessa solução proposta no seu artigo....
"[...] estou informando que a consulta deve abranger todos os domínios da floresta, que contenham .com.br em seus nomes DNS, dessa forma consigo incluir os domínios com shortnames diferentes (atente-se a esse detalhe caso os domínios não sejam padronizados). "
Acho que fica muito generalizado fazer consulta em tudo que termina com ".com.br" nos seus DNS. Acho, que deveria ter mais um subdominio pelo menos... humilde opniao =P
Posso ter falado besteira 8-)
[2] Comentário enviado por cavanso em 12/06/2010 - 11:41h
Você tentou fazer esta integração com o Windows 2008? Tentei efetuar instalação no w2008, não tive sucesso, somente com o 2003. Alguem ja conseguiu fazer o openfire funcionar no w2008?
Você tentou fazer esta integração com o Windows 2008? Tentei efetuar instalação no w2008, não tive sucesso, somente com o 2003. Alguem ja conseguiu fazer o openfire funcionar no w2008?
[3] Comentário enviado por djcelsodub em 12/06/2010 - 14:19h
kaizers2li:
Especificar o ".com.br" é a forma de indicar a floresta toda. Infelizmente não há outra forma de realizar a pesquisa senão dessa forma. Onde eu peguei a informação sobre a configuração da porta e da base DN, inclusive indica para deixar em branco a base DN para indicar a floresta, mas o openfire não aceita dessa forma.
Veja que a consulta é realizada apenas nos domínios membros da floresta e não "tudo" que termina em ".com.br" no DNS (entenda-se FQDN).
cavanso:
Ainda não testei no win2k8... mas já pensei nessa possibilidade, já que há planos na empresa em que trabalho de migrar do win2k3 para o win2k8.
Se eu conseguir tempo logo eu faço os testes e posto os resultados.
kaizers2li:
Especificar o ".com.br" é a forma de indicar a floresta toda. Infelizmente não há outra forma de realizar a pesquisa senão dessa forma. Onde eu peguei a informação sobre a configuração da porta e da base DN, inclusive indica para deixar em branco a base DN para indicar a floresta, mas o openfire não aceita dessa forma.
Veja que a consulta é realizada apenas nos domínios membros da floresta e não "tudo" que termina em ".com.br" no DNS (entenda-se FQDN).
cavanso:
Ainda não testei no win2k8... mas já pensei nessa possibilidade, já que há planos na empresa em que trabalho de migrar do win2k3 para o win2k8.
Se eu conseguir tempo logo eu faço os testes e posto os resultados.
[5] Comentário enviado por leandronett em 16/01/2012 - 17:03h
Cara você é um gênio, faz anos que venho tentando fazer isso.
Valew, brigadão...
Parabéns....
Cara você é um gênio, faz anos que venho tentando fazer isso.
Valew, brigadão...
Parabéns....
[6] Comentário enviado por valcenir-TI em 13/09/2012 - 15:21h
Tentei com o Windows Server 2008 R2 ENT; Não rolou...
Ele não mostra todos os usuários...
o que pode ser?
Tentei com os 2 filtros e nada...
(objectClass=User)
(&(objectClass=user)(objectCategory=person))
Tentei com o Windows Server 2008 R2 ENT; Não rolou...
Ele não mostra todos os usuários...
o que pode ser?
Tentei com os 2 filtros e nada...
(objectClass=User)
(&(objectClass=user)(objectCategory=person))
[7] Comentário enviado por djcelsodub em 13/09/2012 - 19:31h
Boa noite valcenir-TI,
Observe bem os detalhes na configuração. A base DN é exatamente como está definida na imagem, apenas adaptando ao seu ambiente.
O artigo foi escrito utilizando o Win2k3 mas hoje está em produção em Win2k8 e 100% funcional no ambiente que administro.
Boa noite valcenir-TI,
Observe bem os detalhes na configuração. A base DN é exatamente como está definida na imagem, apenas adaptando ao seu ambiente.
O artigo foi escrito utilizando o Win2k3 mas hoje está em produção em Win2k8 e 100% funcional no ambiente que administro.
[8] Comentário enviado por valcenir-TI em 14/09/2012 - 08:19h
BOm dia,
djcelsodub, consegui mais foi com outro filtro em mapamento de usuário e grupo;
Para usuário: (&(|(|(&(objectclass=user)(objectcategory=person)))(objectclass=contact)))
Grupo: (objectClass=Group)
Com esse filtro listei "ALL Users"
Agora estou com outro problema:
Vou em listagem de grupos;
Compartilho com todos os usuários o Grupo, mais os menbros do grupo não aparecem na lista de usuários...
ATT. Obrigado pela ajuda;
BOm dia,
djcelsodub, consegui mais foi com outro filtro em mapamento de usuário e grupo;
Para usuário: (&(|(|(&(objectclass=user)(objectcategory=person)))(objectclass=contact)))
Grupo: (objectClass=Group)
Com esse filtro listei "ALL Users"
Agora estou com outro problema:
Vou em listagem de grupos;
Compartilho com todos os usuários o Grupo, mais os menbros do grupo não aparecem na lista de usuários...
ATT. Obrigado pela ajuda;
[9] Comentário enviado por rafael_r em 24/10/2013 - 17:52h
Boa tarde Celso,
é possível integrar AD com outra base OpenLDAP?
Boa tarde Celso,
é possível integrar AD com outra base OpenLDAP?
[10] Comentário enviado por maykon.franca em 09/02/2017 - 19:34h
Boa noite, amigos,
Estou com dois problemas,
1º: Apenas os usuários do domínio PAI consegue logar utilizando o spark
2º Alguns usuários do domínio pai não aparecem e todos os usuários do domínio filho aparecem
Host: host.meudominio.com.br
Porta: 3268
DN Base: dc="meudominio",dc="com",dc="br"
DN Administrador: cn="administrador",cn="users",dc="meudomonio",dc="com",dc="br"
Obs. Seguir o procedimento a risca para evitar quaisquer problema .
Infelizmente os usuários do domínio filho não consegue logar no spark.
Boa noite, amigos,
Estou com dois problemas,
1º: Apenas os usuários do domínio PAI consegue logar utilizando o spark
2º Alguns usuários do domínio pai não aparecem e todos os usuários do domínio filho aparecem
Host: host.meudominio.com.br
Porta: 3268
DN Base: dc="meudominio",dc="com",dc="br"
DN Administrador: cn="administrador",cn="users",dc="meudomonio",dc="com",dc="br"
Obs. Seguir o procedimento a risca para evitar quaisquer problema .
Infelizmente os usuários do domínio filho não consegue logar no spark.
[11] Comentário enviado por djcelsodub em 07/05/2018 - 17:58h
[10] Comentário enviado por maykon.franca em 09/02/2017 - 19:34h
Boa noite, amigos,
Estou com dois problemas,
1º: Apenas os usuários do domínio PAI consegue logar utilizando o spark
2º Alguns usuários do domínio pai não aparecem e todos os usuários do domínio filho aparecem
Host: host.meudominio.com.br
Porta: 3268
DN Base: dc="meudominio",dc="com",dc="br"
DN Administrador: cn="administrador",cn="users",dc="meudomonio",dc="com",dc="br"
Obs. Seguir o procedimento a risca para evitar quaisquer problema .
Infelizmente os usuários do domínio filho não consegue logar no spark.
Maykon,
Altere a DN Base de dc="meudominio",dc="com",dc="br" para dc="com",dc="br"
Foi dessa forma que consegui autenticar todos os domínios.
[10] Comentário enviado por maykon.franca em 09/02/2017 - 19:34h
Boa noite, amigos,
Estou com dois problemas,
1º: Apenas os usuários do domínio PAI consegue logar utilizando o spark
2º Alguns usuários do domínio pai não aparecem e todos os usuários do domínio filho aparecem
Host: host.meudominio.com.br
Porta: 3268
DN Base: dc="meudominio",dc="com",dc="br"
DN Administrador: cn="administrador",cn="users",dc="meudomonio",dc="com",dc="br"
Obs. Seguir o procedimento a risca para evitar quaisquer problema .
Infelizmente os usuários do domínio filho não consegue logar no spark.
Maykon,
Altere a DN Base de dc="meudominio",dc="com",dc="br" para dc="com",dc="br"
Foi dessa forma que consegui autenticar todos os domínios.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Não to conseguindo resolver este problemas ao instalar o playonelinux (1)
Excluir banco de dados no xampp (1)
Top 10 do mês
-
Xerxes
1° lugar - 65.536 pts -
Fábio Berbert de Paula
2° lugar - 50.959 pts -
Buckminster
3° lugar - 17.577 pts -
Mauricio Ferrari
4° lugar - 15.328 pts -
Alberto Federman Neto.
5° lugar - 13.978 pts -
Diego Mendes Rodrigues
6° lugar - 13.642 pts -
Daniel Lara Souza
7° lugar - 13.021 pts -
Andre (pinduvoz)
8° lugar - 10.393 pts -
edps
9° lugar - 10.527 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 10.437 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
