Openfire integrado em uma floresta Active Directory
Integrar o Openfire ao AD é relativamente fácil. Se eu tivesse apenas 1 domínio eu estaria plenamente satisfeito, mas como fazer com que os usuários de todos os domínios da floresta se loguem em um único servidor e se enxerguem em uma única interface?
[ Hits: 40.103 ]
Por: Celso S. Faria em 11/06/2010
A solução
A solução é bem simples, baseia-se parte no nome do domínio e parte em configuração de porta.
Segundo o que li, quando se deseja realizar consultas que se estendam por toda a floresta (domínios pai e filhos) é necessário especificar apenas parte do nome do domínio e alterar a porta de 389 para 3268, como na figura abaixo.
Perceba que a Base DN é apenas "com.br" em formato LDAP. Apenas o DN do Administrador do Domínio Pai deve ser completo, pois ele é quem poderá realizar as consultas em todos os Domínios da floresta.
A diferença entre as portas 389 e 3268 é que a primeira permite a consulta somente na base local e é necessário que a base DN seja completa (dc=empresa,dc=com,dc=br) e a segunda permite a consulta em toda a floresta, especificando apenas parte do nome do domínio (dc=com,dc=br).
Exemplo:
Eu tenho 6 domínios em relação de confiança:
empresa1.com.br, filial1.empresa1.com.br, filial2.empresa1.com.br, filial3.empresa1.com.br, filial4.empresa1.com.br e empresa2.com.br
No meu caso, tenho 2 domínios com shortnames diferentes (empresa1.com.br e empresa2.com.br), apenas terminados em com.br.
Ao especificar "dc=com,dc=br" e a porta 3268 estou informando que a consulta deve abranger todos os domínios da floresta, que contenham .com.br em seus nomes DNS, dessa forma consigo incluir os domínios com shortnames diferentes (atente-se a esse detalhe caso os domínios não sejam padronizados).
Se eu não tivesse o domínio empresa2.com.br eu poderia especificar a base DN assim: "dc=empresa1,dc=com,dc=br" que seria suficiente.
Se a função Server 2 Server tivesse funcionado, eu precisaria de 1 servidor Openfire em cada unidade da empresa, alocando recursos, consumo de energia e mais tempo para configurar todos os servidores. Além de ter que me preocupar com 6 servidores estarem online.
Bem amigos... espero com esse artigo ajudar os profissionais que já passaram ou passam por este problema.
Segundo o que li, quando se deseja realizar consultas que se estendam por toda a floresta (domínios pai e filhos) é necessário especificar apenas parte do nome do domínio e alterar a porta de 389 para 3268, como na figura abaixo.
A diferença entre as portas 389 e 3268 é que a primeira permite a consulta somente na base local e é necessário que a base DN seja completa (dc=empresa,dc=com,dc=br) e a segunda permite a consulta em toda a floresta, especificando apenas parte do nome do domínio (dc=com,dc=br).
Exemplo:
Eu tenho 6 domínios em relação de confiança:
empresa1.com.br, filial1.empresa1.com.br, filial2.empresa1.com.br, filial3.empresa1.com.br, filial4.empresa1.com.br e empresa2.com.br
No meu caso, tenho 2 domínios com shortnames diferentes (empresa1.com.br e empresa2.com.br), apenas terminados em com.br.
Ao especificar "dc=com,dc=br" e a porta 3268 estou informando que a consulta deve abranger todos os domínios da floresta, que contenham .com.br em seus nomes DNS, dessa forma consigo incluir os domínios com shortnames diferentes (atente-se a esse detalhe caso os domínios não sejam padronizados).
Se eu não tivesse o domínio empresa2.com.br eu poderia especificar a base DN assim: "dc=empresa1,dc=com,dc=br" que seria suficiente.
Conclusão
No final das contas bastou apenas 1 único servidor para atender toda a floresta de forma efetiva.Se a função Server 2 Server tivesse funcionado, eu precisaria de 1 servidor Openfire em cada unidade da empresa, alocando recursos, consumo de energia e mais tempo para configurar todos os servidores. Além de ter que me preocupar com 6 servidores estarem online.
Bem amigos... espero com esse artigo ajudar os profissionais que já passaram ou passam por este problema.
Páginas do artigo
1. Introdução e cenário2. Explicando o problema
3. A solução
Outros artigos deste autor
Nagios - Configurando níveis de acesso e autenticação centralizada no Active Directory
Restauração e registro do RedHat após utilização de repositórios CentOS
Integrando Nagios e Google Maps
Servidor Apache hospedando diversos sites com e sem SSL
Apache Mod_Proxy como Front-End de acesso e balanceamento de diversas aplicações web
Leitura recomendada
Atualizando o Gnome no Slackware com Dropline
Web proxy Mikrotik V3.XX com controle de acesso
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Instalando MultiLIB no Slackware 14.2 com Atualizações pelo GSlapt
Configurando Linux para Desenvolvimento de Sites
Comentários
[1] Comentário enviado por gabrielsp em 11/06/2010 - 12:23h
O Openfire é uma mega-solução pra mensageria interna, elimina pela raiz os problemas com msn & cia hehe!
Mas fiquei com uma pulga sobre a segurança dessa solução proposta no seu artigo....
"[...] estou informando que a consulta deve abranger todos os domínios da floresta, que contenham .com.br em seus nomes DNS, dessa forma consigo incluir os domínios com shortnames diferentes (atente-se a esse detalhe caso os domínios não sejam padronizados). "
Acho que fica muito generalizado fazer consulta em tudo que termina com ".com.br" nos seus DNS. Acho, que deveria ter mais um subdominio pelo menos... humilde opniao =P
Posso ter falado besteira 8-)
O Openfire é uma mega-solução pra mensageria interna, elimina pela raiz os problemas com msn & cia hehe!
Mas fiquei com uma pulga sobre a segurança dessa solução proposta no seu artigo....
"[...] estou informando que a consulta deve abranger todos os domínios da floresta, que contenham .com.br em seus nomes DNS, dessa forma consigo incluir os domínios com shortnames diferentes (atente-se a esse detalhe caso os domínios não sejam padronizados). "
Acho que fica muito generalizado fazer consulta em tudo que termina com ".com.br" nos seus DNS. Acho, que deveria ter mais um subdominio pelo menos... humilde opniao =P
Posso ter falado besteira 8-)
[2] Comentário enviado por cavanso em 12/06/2010 - 11:41h
Você tentou fazer esta integração com o Windows 2008? Tentei efetuar instalação no w2008, não tive sucesso, somente com o 2003. Alguem ja conseguiu fazer o openfire funcionar no w2008?
Você tentou fazer esta integração com o Windows 2008? Tentei efetuar instalação no w2008, não tive sucesso, somente com o 2003. Alguem ja conseguiu fazer o openfire funcionar no w2008?
[3] Comentário enviado por djcelsodub em 12/06/2010 - 14:19h
kaizers2li:
Especificar o ".com.br" é a forma de indicar a floresta toda. Infelizmente não há outra forma de realizar a pesquisa senão dessa forma. Onde eu peguei a informação sobre a configuração da porta e da base DN, inclusive indica para deixar em branco a base DN para indicar a floresta, mas o openfire não aceita dessa forma.
Veja que a consulta é realizada apenas nos domínios membros da floresta e não "tudo" que termina em ".com.br" no DNS (entenda-se FQDN).
cavanso:
Ainda não testei no win2k8... mas já pensei nessa possibilidade, já que há planos na empresa em que trabalho de migrar do win2k3 para o win2k8.
Se eu conseguir tempo logo eu faço os testes e posto os resultados.
kaizers2li:
Especificar o ".com.br" é a forma de indicar a floresta toda. Infelizmente não há outra forma de realizar a pesquisa senão dessa forma. Onde eu peguei a informação sobre a configuração da porta e da base DN, inclusive indica para deixar em branco a base DN para indicar a floresta, mas o openfire não aceita dessa forma.
Veja que a consulta é realizada apenas nos domínios membros da floresta e não "tudo" que termina em ".com.br" no DNS (entenda-se FQDN).
cavanso:
Ainda não testei no win2k8... mas já pensei nessa possibilidade, já que há planos na empresa em que trabalho de migrar do win2k3 para o win2k8.
Se eu conseguir tempo logo eu faço os testes e posto os resultados.
[5] Comentário enviado por leandronett em 16/01/2012 - 17:03h
Cara você é um gênio, faz anos que venho tentando fazer isso.
Valew, brigadão...
Parabéns....
Cara você é um gênio, faz anos que venho tentando fazer isso.
Valew, brigadão...
Parabéns....
[6] Comentário enviado por valcenir-TI em 13/09/2012 - 15:21h
Tentei com o Windows Server 2008 R2 ENT; Não rolou...
Ele não mostra todos os usuários...
o que pode ser?
Tentei com os 2 filtros e nada...
(objectClass=User)
(&(objectClass=user)(objectCategory=person))
Tentei com o Windows Server 2008 R2 ENT; Não rolou...
Ele não mostra todos os usuários...
o que pode ser?
Tentei com os 2 filtros e nada...
(objectClass=User)
(&(objectClass=user)(objectCategory=person))
[7] Comentário enviado por djcelsodub em 13/09/2012 - 19:31h
Boa noite valcenir-TI,
Observe bem os detalhes na configuração. A base DN é exatamente como está definida na imagem, apenas adaptando ao seu ambiente.
O artigo foi escrito utilizando o Win2k3 mas hoje está em produção em Win2k8 e 100% funcional no ambiente que administro.
Boa noite valcenir-TI,
Observe bem os detalhes na configuração. A base DN é exatamente como está definida na imagem, apenas adaptando ao seu ambiente.
O artigo foi escrito utilizando o Win2k3 mas hoje está em produção em Win2k8 e 100% funcional no ambiente que administro.
[8] Comentário enviado por valcenir-TI em 14/09/2012 - 08:19h
BOm dia,
djcelsodub, consegui mais foi com outro filtro em mapamento de usuário e grupo;
Para usuário: (&(|(|(&(objectclass=user)(objectcategory=person)))(objectclass=contact)))
Grupo: (objectClass=Group)
Com esse filtro listei "ALL Users"
Agora estou com outro problema:
Vou em listagem de grupos;
Compartilho com todos os usuários o Grupo, mais os menbros do grupo não aparecem na lista de usuários...
ATT. Obrigado pela ajuda;
BOm dia,
djcelsodub, consegui mais foi com outro filtro em mapamento de usuário e grupo;
Para usuário: (&(|(|(&(objectclass=user)(objectcategory=person)))(objectclass=contact)))
Grupo: (objectClass=Group)
Com esse filtro listei "ALL Users"
Agora estou com outro problema:
Vou em listagem de grupos;
Compartilho com todos os usuários o Grupo, mais os menbros do grupo não aparecem na lista de usuários...
ATT. Obrigado pela ajuda;
[9] Comentário enviado por rafael_r em 24/10/2013 - 17:52h
Boa tarde Celso,
é possível integrar AD com outra base OpenLDAP?
Boa tarde Celso,
é possível integrar AD com outra base OpenLDAP?
[10] Comentário enviado por maykon.franca em 09/02/2017 - 19:34h
Boa noite, amigos,
Estou com dois problemas,
1º: Apenas os usuários do domínio PAI consegue logar utilizando o spark
2º Alguns usuários do domínio pai não aparecem e todos os usuários do domínio filho aparecem
Host: host.meudominio.com.br
Porta: 3268
DN Base: dc="meudominio",dc="com",dc="br"
DN Administrador: cn="administrador",cn="users",dc="meudomonio",dc="com",dc="br"
Obs. Seguir o procedimento a risca para evitar quaisquer problema .
Infelizmente os usuários do domínio filho não consegue logar no spark.
Boa noite, amigos,
Estou com dois problemas,
1º: Apenas os usuários do domínio PAI consegue logar utilizando o spark
2º Alguns usuários do domínio pai não aparecem e todos os usuários do domínio filho aparecem
Host: host.meudominio.com.br
Porta: 3268
DN Base: dc="meudominio",dc="com",dc="br"
DN Administrador: cn="administrador",cn="users",dc="meudomonio",dc="com",dc="br"
Obs. Seguir o procedimento a risca para evitar quaisquer problema .
Infelizmente os usuários do domínio filho não consegue logar no spark.
[11] Comentário enviado por djcelsodub em 07/05/2018 - 17:58h
[10] Comentário enviado por maykon.franca em 09/02/2017 - 19:34h
Boa noite, amigos,
Estou com dois problemas,
1º: Apenas os usuários do domínio PAI consegue logar utilizando o spark
2º Alguns usuários do domínio pai não aparecem e todos os usuários do domínio filho aparecem
Host: host.meudominio.com.br
Porta: 3268
DN Base: dc="meudominio",dc="com",dc="br"
DN Administrador: cn="administrador",cn="users",dc="meudomonio",dc="com",dc="br"
Obs. Seguir o procedimento a risca para evitar quaisquer problema .
Infelizmente os usuários do domínio filho não consegue logar no spark.
Maykon,
Altere a DN Base de dc="meudominio",dc="com",dc="br" para dc="com",dc="br"
Foi dessa forma que consegui autenticar todos os domínios.
[10] Comentário enviado por maykon.franca em 09/02/2017 - 19:34h
Boa noite, amigos,
Estou com dois problemas,
1º: Apenas os usuários do domínio PAI consegue logar utilizando o spark
2º Alguns usuários do domínio pai não aparecem e todos os usuários do domínio filho aparecem
Host: host.meudominio.com.br
Porta: 3268
DN Base: dc="meudominio",dc="com",dc="br"
DN Administrador: cn="administrador",cn="users",dc="meudomonio",dc="com",dc="br"
Obs. Seguir o procedimento a risca para evitar quaisquer problema .
Infelizmente os usuários do domínio filho não consegue logar no spark.
Maykon,
Altere a DN Base de dc="meudominio",dc="com",dc="br" para dc="com",dc="br"
Foi dessa forma que consegui autenticar todos os domínios.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Aprenda a Gerenciar Permissões de Arquivos no Linux
Como transformar um áudio em vídeo com efeito de forma de onda (wave form)
Como aprovar Pull Requests em seu repositório Github via linha de comando
Dicas
Aplicativo simples para gravar tela
Quebra de linha na data e hora no Linux Mint
Tópicos
Firefox não abre em usuário não administradores (0)
Sempre que vou baixar algum pacote acontece o erro dpkg (8)
tentando instalar em um notebook antigo o Linux LegacyOS_2023... [RESO... (8)
Problema com Conexão Outlook via Firewall (OpenSUSE) com Internet Fibr... (5)
Top 10 do mês
-
Xerxes
1° lugar - 79.747 pts -
Fábio Berbert de Paula
2° lugar - 64.405 pts -
Mauricio Ferrari
3° lugar - 18.960 pts -
Buckminster
4° lugar - 17.752 pts -
Alberto Federman Neto.
5° lugar - 16.037 pts -
Daniel Lara Souza
6° lugar - 15.111 pts -
edps
7° lugar - 14.738 pts -
Diego Mendes Rodrigues
8° lugar - 13.877 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 13.886 pts -
Andre (pinduvoz)
10° lugar - 11.202 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
