Openfire integrado em uma floresta Active Directory
Integrar o Openfire ao AD é relativamente fácil. Se eu tivesse apenas 1 domínio eu estaria plenamente satisfeito, mas como fazer com que os usuários de todos os domínios da floresta se loguem em um único servidor e se enxerguem em uma única interface?
[ Hits: 40.546 ]
Por: Celso S. Faria em 11/06/2010
Explicando o problema
Como fazer com que os usuários de todos os domínios da floresta se loguem e se enxerguem em uma única interface?
Pesquisei diversas alternativas, inclusive a função Server to Server e nada funcionou da forma que eu precisava. Segui em frente pesquisando e quando estava quase desistindo e cancelando o projeto, resolvi dedicar 1 dia inteiro a vasculhar a internet sobre o assunto AD - LDAP.
Sabia que, já que o AD é capaz de procurar usuários/grupos em toda a floresta de uma única vez, imaginei que também seria possível realizar essa consulta via LDAP e consequentemente, utilizar no Openfire.
Para minha surpresa, em uma página do Microsoft TechNet encontrei o que eu precisava. Uma explicação de como realizar consultas LDAP tanto em domínios únicos quanto em uma floresta inteira, que era exatamente o que eu precisava.
Não me fiz de rogado e botei logo a mão na massa para testar a configuração de acordo com o que li.
BINGO! Funcionou exatamente e perfeitamente como esperado.
Usuários de todos os domínios logando-se em um único servidor integrado a floresta do AD e se enxergando na lista de contatos uns dos outros, cada um no seu devido grupo.
A partir daí foi só habilitar os grupos de todos os domínios filhos de acordo com a estrutura organizacional da empresa para que tudo estivesse de acordo com o escopo do projeto.
2. Explicando o problema
3. A solução
Nagios - Configurando níveis de acesso e autenticação centralizada no Active Directory
Apache Mod_Proxy como Front-End de acesso e balanceamento de diversas aplicações web
Integrando Nagios e Google Maps
Servidor Apache hospedando diversos sites com e sem SSL
Restauração e registro do RedHat após utilização de repositórios CentOS
Instalando drivers para placas de vídeo SiS
Colocando novos ícones no "Acer Desktop" (Acer Aspire One)
Funcionalidades do Eclipse no Vim - Usando o Eclim
Ubuntu 18.04 LTS - LAMP - Linux, Apache, MySQL ou MariaDB, PHP 7.2
Configurando o CACIC (parte 4)
O Openfire é uma mega-solução pra mensageria interna, elimina pela raiz os problemas com msn & cia hehe!
Mas fiquei com uma pulga sobre a segurança dessa solução proposta no seu artigo....
"[...] estou informando que a consulta deve abranger todos os domínios da floresta, que contenham .com.br em seus nomes DNS, dessa forma consigo incluir os domínios com shortnames diferentes (atente-se a esse detalhe caso os domínios não sejam padronizados). "
Acho que fica muito generalizado fazer consulta em tudo que termina com ".com.br" nos seus DNS. Acho, que deveria ter mais um subdominio pelo menos... humilde opniao =P
Posso ter falado besteira 8-)
Você tentou fazer esta integração com o Windows 2008? Tentei efetuar instalação no w2008, não tive sucesso, somente com o 2003. Alguem ja conseguiu fazer o openfire funcionar no w2008?
kaizers2li:
Especificar o ".com.br" é a forma de indicar a floresta toda. Infelizmente não há outra forma de realizar a pesquisa senão dessa forma. Onde eu peguei a informação sobre a configuração da porta e da base DN, inclusive indica para deixar em branco a base DN para indicar a floresta, mas o openfire não aceita dessa forma.
Veja que a consulta é realizada apenas nos domínios membros da floresta e não "tudo" que termina em ".com.br" no DNS (entenda-se FQDN).
cavanso:
Ainda não testei no win2k8... mas já pensei nessa possibilidade, já que há planos na empresa em que trabalho de migrar do win2k3 para o win2k8.
Se eu conseguir tempo logo eu faço os testes e posto os resultados.
Cara você é um gênio, faz anos que venho tentando fazer isso.
Valew, brigadão...
Parabéns....
Tentei com o Windows Server 2008 R2 ENT; Não rolou...
Ele não mostra todos os usuários...
o que pode ser?
Tentei com os 2 filtros e nada...
(objectClass=User)
(&(objectClass=user)(objectCategory=person))
Boa noite valcenir-TI,
Observe bem os detalhes na configuração. A base DN é exatamente como está definida na imagem, apenas adaptando ao seu ambiente.
O artigo foi escrito utilizando o Win2k3 mas hoje está em produção em Win2k8 e 100% funcional no ambiente que administro.
BOm dia,
djcelsodub, consegui mais foi com outro filtro em mapamento de usuário e grupo;
Para usuário: (&(|(|(&(objectclass=user)(objectcategory=person)))(objectclass=contact)))
Grupo: (objectClass=Group)
Com esse filtro listei "ALL Users"
Agora estou com outro problema:
Vou em listagem de grupos;
Compartilho com todos os usuários o Grupo, mais os menbros do grupo não aparecem na lista de usuários...
ATT. Obrigado pela ajuda;
Boa tarde Celso,
é possível integrar AD com outra base OpenLDAP?
Boa noite, amigos,
Estou com dois problemas,
1º: Apenas os usuários do domínio PAI consegue logar utilizando o spark
2º Alguns usuários do domínio pai não aparecem e todos os usuários do domínio filho aparecem
Host: host.meudominio.com.br
Porta: 3268
DN Base: dc="meudominio",dc="com",dc="br"
DN Administrador: cn="administrador",cn="users",dc="meudomonio",dc="com",dc="br"
Obs. Seguir o procedimento a risca para evitar quaisquer problema .
Infelizmente os usuários do domínio filho não consegue logar no spark.
[10] Comentário enviado por maykon.franca em 09/02/2017 - 19:34h
Boa noite, amigos,
Estou com dois problemas,
1º: Apenas os usuários do domínio PAI consegue logar utilizando o spark
2º Alguns usuários do domínio pai não aparecem e todos os usuários do domínio filho aparecem
Host: host.meudominio.com.br
Porta: 3268
DN Base: dc="meudominio",dc="com",dc="br"
DN Administrador: cn="administrador",cn="users",dc="meudomonio",dc="com",dc="br"
Obs. Seguir o procedimento a risca para evitar quaisquer problema .
Infelizmente os usuários do domínio filho não consegue logar no spark.
Maykon,
Altere a DN Base de dc="meudominio",dc="com",dc="br" para dc="com",dc="br"
Foi dessa forma que consegui autenticar todos os domínios.
Patrocínio
Destaques
Artigos
Cirurgia para acelerar o openSUSE em HD externo via USB
Void Server como Domain Control
Modo Simples de Baixar e Usar o bash-completion
Monitorando o Preço do Bitcoin ou sua Cripto Favorita em Tempo Real com um Widget Flutuante
Dicas
Como implementar Raid (0, 1, 5, 6, 10 e 50)
fusermount3 no Ubuntu 25.10 - mantenha o perfil do AppArmor
[Resolvido] dlopen(): error loading libfuse.so.2 AppImages require FUSE to run.
Criação de diretórios e aplicação de restrições de acesso no Linux
Tópicos
Como programar um software que seja utilizado para coleta de dados em ... (0)
Podem me chamar de 1mbecil :) (11)
Incluir versão do projeto no executavel criado no Lazarus com Linux (0)
diferença entre o Tor baixado pelo Gerenciador de Aplicativos e o Tor ... (9)
Top 10 do mês
-
Xerxes
1° lugar - 150.535 pts -
Fábio Berbert de Paula
2° lugar - 74.299 pts -
Mauricio Ferrari
3° lugar - 23.401 pts -
Alberto Federman Neto.
4° lugar - 21.523 pts -
Buckminster
5° lugar - 20.555 pts -
edps
6° lugar - 20.647 pts -
Daniel Lara Souza
7° lugar - 20.355 pts -
Andre (pinduvoz)
8° lugar - 19.904 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 17.881 pts -
Diego Mendes Rodrigues
10° lugar - 15.152 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
