Openfire integrado em uma floresta Active Directory
Integrar o Openfire ao AD é relativamente fácil. Se eu tivesse apenas 1 domínio eu estaria plenamente satisfeito, mas como fazer com que os usuários de todos os domínios da floresta se loguem em um único servidor e se enxerguem em uma única interface?
Introdução e cenário
Escrevo este artigo pensando nas centenas de profissionais que já estiveram na mesma situação em que estive e levo o enredo como um bate-papo para poder explicar como cheguei a solução do problema.
Explicando o cenário:
Trabalho em uma empresa que possui 6 unidades (matriz e 5 filiais) interligadas, onde já há um servidor Openfire em produção. Porém a criação de usuários e grupos está sendo feita de forma manual, o que não é nada prático quando se tem algumas centenas de usuários para administrar.
Convenhamos, se tem um problema que costuma dar dor de cabeça é a questão das senhas dos usuários, pois eles vivem esquecendo e confundindo senha de domínio com senha de sistema, senha de sistema com senha de comunicador e por aí vai.
Nada melhor do que poder integrar tudo que for possível ao controlador de domínio, unificando as senhas. Ao trocar a senha de domínio, trocam-se todas ao mesmo tempo, além de ter a vantagem de não mais precisar criar grupos e usuários manualmente, tudo fica automatizado, economizando um tempo enorme com atendimentos para trocas de senhas e manipulação de grupos e usuários em vários sistemas e softwares.
Basta que na Configuração de Perfis, seja escolhida a opção Servidor de Diretórios (LDAP), na sequência especificar o tipo do servidor (no meu caso o AD), o host (que pode ser o FQDN - desde que possa ser resolvido pelo DNS - ou IP do controlador de domínio, eu utilizo por IP), a porta LDAP (389 por padrão), a base DN completa (em formato LDAP, dc=empresa,dc=com,dc=br), o DN completo do Administrador do DC (também em formato LDAP, cn=administrador,cn=users,dc=empresa,dc=com,dc=br) e por fim a senha do Administrador do domínio.
No final da configuração, indique no mínimo um usuário do AD para ser administrador do Openfire (obrigatório).
Isso é o suficiente para fazer com que o Openfire interaja com o DC, lendo a base LDAP do AD e reconhecendo grupos e usuários do domínio, podendo assim autenticá-los com suas respectivas senhas do domínio, bastando tão somente habilitar no Openfire os grupos do AD (o que é o menor dos problemas).
A instalação passo-a-passo do Openfire pode ser encontrada aqui mesmo no VOL, como os excelentes artigos do Paulo Roberto Junior e do Robinson Czelusniak (links abaixo na ordem respectiva).
Não vou entrar em detalhes sobre a instalação por não ser este o objetivo deste artigo.
Explicando o cenário:
Trabalho em uma empresa que possui 6 unidades (matriz e 5 filiais) interligadas, onde já há um servidor Openfire em produção. Porém a criação de usuários e grupos está sendo feita de forma manual, o que não é nada prático quando se tem algumas centenas de usuários para administrar.
Convenhamos, se tem um problema que costuma dar dor de cabeça é a questão das senhas dos usuários, pois eles vivem esquecendo e confundindo senha de domínio com senha de sistema, senha de sistema com senha de comunicador e por aí vai.
Nada melhor do que poder integrar tudo que for possível ao controlador de domínio, unificando as senhas. Ao trocar a senha de domínio, trocam-se todas ao mesmo tempo, além de ter a vantagem de não mais precisar criar grupos e usuários manualmente, tudo fica automatizado, economizando um tempo enorme com atendimentos para trocas de senhas e manipulação de grupos e usuários em vários sistemas e softwares.
Rápida explanação da integração Openfire em um domínio
Integrar o Openfire em um domínio AD/LDAP é relativamente fácil.Basta que na Configuração de Perfis, seja escolhida a opção Servidor de Diretórios (LDAP), na sequência especificar o tipo do servidor (no meu caso o AD), o host (que pode ser o FQDN - desde que possa ser resolvido pelo DNS - ou IP do controlador de domínio, eu utilizo por IP), a porta LDAP (389 por padrão), a base DN completa (em formato LDAP, dc=empresa,dc=com,dc=br), o DN completo do Administrador do DC (também em formato LDAP, cn=administrador,cn=users,dc=empresa,dc=com,dc=br) e por fim a senha do Administrador do domínio.
No final da configuração, indique no mínimo um usuário do AD para ser administrador do Openfire (obrigatório).
Isso é o suficiente para fazer com que o Openfire interaja com o DC, lendo a base LDAP do AD e reconhecendo grupos e usuários do domínio, podendo assim autenticá-los com suas respectivas senhas do domínio, bastando tão somente habilitar no Openfire os grupos do AD (o que é o menor dos problemas).
A instalação passo-a-passo do Openfire pode ser encontrada aqui mesmo no VOL, como os excelentes artigos do Paulo Roberto Junior e do Robinson Czelusniak (links abaixo na ordem respectiva).
- Servidor Messenger Openfire passo-a-passo no Linux [Artigo]
- Openfire no SLES 10 autenticando no Active Directory [Artigo]
Não vou entrar em detalhes sobre a instalação por não ser este o objetivo deste artigo.
Mas fiquei com uma pulga sobre a segurança dessa solução proposta no seu artigo....
"[...] estou informando que a consulta deve abranger todos os domínios da floresta, que contenham .com.br em seus nomes DNS, dessa forma consigo incluir os domínios com shortnames diferentes (atente-se a esse detalhe caso os domínios não sejam padronizados). "
Acho que fica muito generalizado fazer consulta em tudo que termina com ".com.br" nos seus DNS. Acho, que deveria ter mais um subdominio pelo menos... humilde opniao =P
Posso ter falado besteira 8-)