Openfire integrado em uma floresta Active Directory
Integrar o Openfire ao AD é relativamente fácil. Se eu tivesse apenas 1 domínio eu estaria plenamente satisfeito, mas como fazer com que os usuários de todos os domínios da floresta se loguem em um único servidor e se enxerguem em uma única interface?
[ Hits: 40.600 ]
Por: Celso S. Faria em 11/06/2010
A solução
A solução é bem simples, baseia-se parte no nome do domínio e parte em configuração de porta.
Segundo o que li, quando se deseja realizar consultas que se estendam por toda a floresta (domínios pai e filhos) é necessário especificar apenas parte do nome do domínio e alterar a porta de 389 para 3268, como na figura abaixo.
Perceba que a Base DN é apenas "com.br" em formato LDAP. Apenas o DN do Administrador do Domínio Pai deve ser completo, pois ele é quem poderá realizar as consultas em todos os Domínios da floresta.
A diferença entre as portas 389 e 3268 é que a primeira permite a consulta somente na base local e é necessário que a base DN seja completa (dc=empresa,dc=com,dc=br) e a segunda permite a consulta em toda a floresta, especificando apenas parte do nome do domínio (dc=com,dc=br).
Exemplo:
Eu tenho 6 domínios em relação de confiança:
empresa1.com.br, filial1.empresa1.com.br, filial2.empresa1.com.br, filial3.empresa1.com.br, filial4.empresa1.com.br e empresa2.com.br
No meu caso, tenho 2 domínios com shortnames diferentes (empresa1.com.br e empresa2.com.br), apenas terminados em com.br.
Ao especificar "dc=com,dc=br" e a porta 3268 estou informando que a consulta deve abranger todos os domínios da floresta, que contenham .com.br em seus nomes DNS, dessa forma consigo incluir os domínios com shortnames diferentes (atente-se a esse detalhe caso os domínios não sejam padronizados).
Se eu não tivesse o domínio empresa2.com.br eu poderia especificar a base DN assim: "dc=empresa1,dc=com,dc=br" que seria suficiente.
Se a função Server 2 Server tivesse funcionado, eu precisaria de 1 servidor Openfire em cada unidade da empresa, alocando recursos, consumo de energia e mais tempo para configurar todos os servidores. Além de ter que me preocupar com 6 servidores estarem online.
Bem amigos... espero com esse artigo ajudar os profissionais que já passaram ou passam por este problema.
Segundo o que li, quando se deseja realizar consultas que se estendam por toda a floresta (domínios pai e filhos) é necessário especificar apenas parte do nome do domínio e alterar a porta de 389 para 3268, como na figura abaixo.
A diferença entre as portas 389 e 3268 é que a primeira permite a consulta somente na base local e é necessário que a base DN seja completa (dc=empresa,dc=com,dc=br) e a segunda permite a consulta em toda a floresta, especificando apenas parte do nome do domínio (dc=com,dc=br).
Exemplo:
Eu tenho 6 domínios em relação de confiança:
empresa1.com.br, filial1.empresa1.com.br, filial2.empresa1.com.br, filial3.empresa1.com.br, filial4.empresa1.com.br e empresa2.com.br
No meu caso, tenho 2 domínios com shortnames diferentes (empresa1.com.br e empresa2.com.br), apenas terminados em com.br.
Ao especificar "dc=com,dc=br" e a porta 3268 estou informando que a consulta deve abranger todos os domínios da floresta, que contenham .com.br em seus nomes DNS, dessa forma consigo incluir os domínios com shortnames diferentes (atente-se a esse detalhe caso os domínios não sejam padronizados).
Se eu não tivesse o domínio empresa2.com.br eu poderia especificar a base DN assim: "dc=empresa1,dc=com,dc=br" que seria suficiente.
Conclusão
No final das contas bastou apenas 1 único servidor para atender toda a floresta de forma efetiva.Se a função Server 2 Server tivesse funcionado, eu precisaria de 1 servidor Openfire em cada unidade da empresa, alocando recursos, consumo de energia e mais tempo para configurar todos os servidores. Além de ter que me preocupar com 6 servidores estarem online.
Bem amigos... espero com esse artigo ajudar os profissionais que já passaram ou passam por este problema.
Páginas do artigo
1. Introdução e cenário2. Explicando o problema
3. A solução
Outros artigos deste autor
Servidor Apache hospedando diversos sites com e sem SSL
Apache Mod_Proxy como Front-End de acesso e balanceamento de diversas aplicações web
Nagios - Configurando níveis de acesso e autenticação centralizada no Active Directory
Integrando Nagios e Google Maps
Restauração e registro do RedHat após utilização de repositórios CentOS
Leitura recomendada
Conexões redundantes à Internet utilizando Linux
Montar dispositivos com haldaemon em usuários NIS
Sistema de arquivos criptografado
Tutorial de instalação - dispositivo wireless Broadcom
Comentários
[1] Comentário enviado por gabrielsp em 11/06/2010 - 12:23h
O Openfire é uma mega-solução pra mensageria interna, elimina pela raiz os problemas com msn & cia hehe!
Mas fiquei com uma pulga sobre a segurança dessa solução proposta no seu artigo....
"[...] estou informando que a consulta deve abranger todos os domínios da floresta, que contenham .com.br em seus nomes DNS, dessa forma consigo incluir os domínios com shortnames diferentes (atente-se a esse detalhe caso os domínios não sejam padronizados). "
Acho que fica muito generalizado fazer consulta em tudo que termina com ".com.br" nos seus DNS. Acho, que deveria ter mais um subdominio pelo menos... humilde opniao =P
Posso ter falado besteira 8-)
O Openfire é uma mega-solução pra mensageria interna, elimina pela raiz os problemas com msn & cia hehe!
Mas fiquei com uma pulga sobre a segurança dessa solução proposta no seu artigo....
"[...] estou informando que a consulta deve abranger todos os domínios da floresta, que contenham .com.br em seus nomes DNS, dessa forma consigo incluir os domínios com shortnames diferentes (atente-se a esse detalhe caso os domínios não sejam padronizados). "
Acho que fica muito generalizado fazer consulta em tudo que termina com ".com.br" nos seus DNS. Acho, que deveria ter mais um subdominio pelo menos... humilde opniao =P
Posso ter falado besteira 8-)
[2] Comentário enviado por cavanso em 12/06/2010 - 11:41h
Você tentou fazer esta integração com o Windows 2008? Tentei efetuar instalação no w2008, não tive sucesso, somente com o 2003. Alguem ja conseguiu fazer o openfire funcionar no w2008?
Você tentou fazer esta integração com o Windows 2008? Tentei efetuar instalação no w2008, não tive sucesso, somente com o 2003. Alguem ja conseguiu fazer o openfire funcionar no w2008?
[3] Comentário enviado por djcelsodub em 12/06/2010 - 14:19h
kaizers2li:
Especificar o ".com.br" é a forma de indicar a floresta toda. Infelizmente não há outra forma de realizar a pesquisa senão dessa forma. Onde eu peguei a informação sobre a configuração da porta e da base DN, inclusive indica para deixar em branco a base DN para indicar a floresta, mas o openfire não aceita dessa forma.
Veja que a consulta é realizada apenas nos domínios membros da floresta e não "tudo" que termina em ".com.br" no DNS (entenda-se FQDN).
cavanso:
Ainda não testei no win2k8... mas já pensei nessa possibilidade, já que há planos na empresa em que trabalho de migrar do win2k3 para o win2k8.
Se eu conseguir tempo logo eu faço os testes e posto os resultados.
kaizers2li:
Especificar o ".com.br" é a forma de indicar a floresta toda. Infelizmente não há outra forma de realizar a pesquisa senão dessa forma. Onde eu peguei a informação sobre a configuração da porta e da base DN, inclusive indica para deixar em branco a base DN para indicar a floresta, mas o openfire não aceita dessa forma.
Veja que a consulta é realizada apenas nos domínios membros da floresta e não "tudo" que termina em ".com.br" no DNS (entenda-se FQDN).
cavanso:
Ainda não testei no win2k8... mas já pensei nessa possibilidade, já que há planos na empresa em que trabalho de migrar do win2k3 para o win2k8.
Se eu conseguir tempo logo eu faço os testes e posto os resultados.
[5] Comentário enviado por leandronett em 16/01/2012 - 17:03h
Cara você é um gênio, faz anos que venho tentando fazer isso.
Valew, brigadão...
Parabéns....
Cara você é um gênio, faz anos que venho tentando fazer isso.
Valew, brigadão...
Parabéns....
[6] Comentário enviado por valcenir-TI em 13/09/2012 - 15:21h
Tentei com o Windows Server 2008 R2 ENT; Não rolou...
Ele não mostra todos os usuários...
o que pode ser?
Tentei com os 2 filtros e nada...
(objectClass=User)
(&(objectClass=user)(objectCategory=person))
Tentei com o Windows Server 2008 R2 ENT; Não rolou...
Ele não mostra todos os usuários...
o que pode ser?
Tentei com os 2 filtros e nada...
(objectClass=User)
(&(objectClass=user)(objectCategory=person))
[7] Comentário enviado por djcelsodub em 13/09/2012 - 19:31h
Boa noite valcenir-TI,
Observe bem os detalhes na configuração. A base DN é exatamente como está definida na imagem, apenas adaptando ao seu ambiente.
O artigo foi escrito utilizando o Win2k3 mas hoje está em produção em Win2k8 e 100% funcional no ambiente que administro.
Boa noite valcenir-TI,
Observe bem os detalhes na configuração. A base DN é exatamente como está definida na imagem, apenas adaptando ao seu ambiente.
O artigo foi escrito utilizando o Win2k3 mas hoje está em produção em Win2k8 e 100% funcional no ambiente que administro.
[8] Comentário enviado por valcenir-TI em 14/09/2012 - 08:19h
BOm dia,
djcelsodub, consegui mais foi com outro filtro em mapamento de usuário e grupo;
Para usuário: (&(|(|(&(objectclass=user)(objectcategory=person)))(objectclass=contact)))
Grupo: (objectClass=Group)
Com esse filtro listei "ALL Users"
Agora estou com outro problema:
Vou em listagem de grupos;
Compartilho com todos os usuários o Grupo, mais os menbros do grupo não aparecem na lista de usuários...
ATT. Obrigado pela ajuda;
BOm dia,
djcelsodub, consegui mais foi com outro filtro em mapamento de usuário e grupo;
Para usuário: (&(|(|(&(objectclass=user)(objectcategory=person)))(objectclass=contact)))
Grupo: (objectClass=Group)
Com esse filtro listei "ALL Users"
Agora estou com outro problema:
Vou em listagem de grupos;
Compartilho com todos os usuários o Grupo, mais os menbros do grupo não aparecem na lista de usuários...
ATT. Obrigado pela ajuda;
[9] Comentário enviado por rafael_r em 24/10/2013 - 17:52h
Boa tarde Celso,
é possível integrar AD com outra base OpenLDAP?
Boa tarde Celso,
é possível integrar AD com outra base OpenLDAP?
[10] Comentário enviado por maykon.franca em 09/02/2017 - 19:34h
Boa noite, amigos,
Estou com dois problemas,
1º: Apenas os usuários do domínio PAI consegue logar utilizando o spark
2º Alguns usuários do domínio pai não aparecem e todos os usuários do domínio filho aparecem
Host: host.meudominio.com.br
Porta: 3268
DN Base: dc="meudominio",dc="com",dc="br"
DN Administrador: cn="administrador",cn="users",dc="meudomonio",dc="com",dc="br"
Obs. Seguir o procedimento a risca para evitar quaisquer problema .
Infelizmente os usuários do domínio filho não consegue logar no spark.
Boa noite, amigos,
Estou com dois problemas,
1º: Apenas os usuários do domínio PAI consegue logar utilizando o spark
2º Alguns usuários do domínio pai não aparecem e todos os usuários do domínio filho aparecem
Host: host.meudominio.com.br
Porta: 3268
DN Base: dc="meudominio",dc="com",dc="br"
DN Administrador: cn="administrador",cn="users",dc="meudomonio",dc="com",dc="br"
Obs. Seguir o procedimento a risca para evitar quaisquer problema .
Infelizmente os usuários do domínio filho não consegue logar no spark.
[11] Comentário enviado por djcelsodub em 07/05/2018 - 17:58h
[10] Comentário enviado por maykon.franca em 09/02/2017 - 19:34h
Boa noite, amigos,
Estou com dois problemas,
1º: Apenas os usuários do domínio PAI consegue logar utilizando o spark
2º Alguns usuários do domínio pai não aparecem e todos os usuários do domínio filho aparecem
Host: host.meudominio.com.br
Porta: 3268
DN Base: dc="meudominio",dc="com",dc="br"
DN Administrador: cn="administrador",cn="users",dc="meudomonio",dc="com",dc="br"
Obs. Seguir o procedimento a risca para evitar quaisquer problema .
Infelizmente os usuários do domínio filho não consegue logar no spark.
Maykon,
Altere a DN Base de dc="meudominio",dc="com",dc="br" para dc="com",dc="br"
Foi dessa forma que consegui autenticar todos os domínios.
[10] Comentário enviado por maykon.franca em 09/02/2017 - 19:34h
Boa noite, amigos,
Estou com dois problemas,
1º: Apenas os usuários do domínio PAI consegue logar utilizando o spark
2º Alguns usuários do domínio pai não aparecem e todos os usuários do domínio filho aparecem
Host: host.meudominio.com.br
Porta: 3268
DN Base: dc="meudominio",dc="com",dc="br"
DN Administrador: cn="administrador",cn="users",dc="meudomonio",dc="com",dc="br"
Obs. Seguir o procedimento a risca para evitar quaisquer problema .
Infelizmente os usuários do domínio filho não consegue logar no spark.
Maykon,
Altere a DN Base de dc="meudominio",dc="com",dc="br" para dc="com",dc="br"
Foi dessa forma que consegui autenticar todos os domínios.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Como atualizar sua versão estável do Debian
Cirurgia para acelerar o openSUSE em HD externo via USB
Void Server como Domain Control
Dicas
Quer auto-organizar janelas (tiling) no seu Linux? Veja como no Plasma 6 e no Gnome
Copiando caminho atual do terminal direto para o clipboard do teclado
Script de montagem de chroot automatica
Tópicos
Não consigo instalar distro antiga no virtualbox nem direto no hd (31)
archlinux resolução abaixou após atualização (12)
Top 10 do mês
-
Xerxes
1° lugar - 146.318 pts -
Fábio Berbert de Paula
2° lugar - 63.963 pts -
Buckminster
3° lugar - 22.041 pts -
Alberto Federman Neto.
4° lugar - 19.894 pts -
Mauricio Ferrari
5° lugar - 19.470 pts -
edps
6° lugar - 17.668 pts -
Daniel Lara Souza
7° lugar - 17.161 pts -
Andre (pinduvoz)
8° lugar - 15.680 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 15.427 pts -
Jesuilton Montalvão
10° lugar - 14.733 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
