Openfire integrado em uma floresta Active Directory

Integrar o Openfire ao AD é relativamente fácil. Se eu tivesse apenas 1 domínio eu estaria plenamente satisfeito, mas como fazer com que os usuários de todos os domínios da floresta se loguem em um único servidor e se enxerguem em uma única interface?

[ Hits: 38.205 ]

Por: Celso S. Faria em 11/06/2010


A solução



A solução é bem simples, baseia-se parte no nome do domínio e parte em configuração de porta.

Segundo o que li, quando se deseja realizar consultas que se estendam por toda a floresta (domínios pai e filhos) é necessário especificar apenas parte do nome do domínio e alterar a porta de 389 para 3268, como na figura abaixo.
Linux: Openfire integrado em uma floresta Active Directory
Perceba que a Base DN é apenas "com.br" em formato LDAP. Apenas o DN do Administrador do Domínio Pai deve ser completo, pois ele é quem poderá realizar as consultas em todos os Domínios da floresta.

A diferença entre as portas 389 e 3268 é que a primeira permite a consulta somente na base local e é necessário que a base DN seja completa (dc=empresa,dc=com,dc=br) e a segunda permite a consulta em toda a floresta, especificando apenas parte do nome do domínio (dc=com,dc=br).

Exemplo:

Eu tenho 6 domínios em relação de confiança:

empresa1.com.br, filial1.empresa1.com.br, filial2.empresa1.com.br, filial3.empresa1.com.br, filial4.empresa1.com.br e empresa2.com.br

No meu caso, tenho 2 domínios com shortnames diferentes (empresa1.com.br e empresa2.com.br), apenas terminados em com.br.

Ao especificar "dc=com,dc=br" e a porta 3268 estou informando que a consulta deve abranger todos os domínios da floresta, que contenham .com.br em seus nomes DNS, dessa forma consigo incluir os domínios com shortnames diferentes (atente-se a esse detalhe caso os domínios não sejam padronizados).

Se eu não tivesse o domínio empresa2.com.br eu poderia especificar a base DN assim: "dc=empresa1,dc=com,dc=br" que seria suficiente.

Conclusão

No final das contas bastou apenas 1 único servidor para atender toda a floresta de forma efetiva.

Se a função Server 2 Server tivesse funcionado, eu precisaria de 1 servidor Openfire em cada unidade da empresa, alocando recursos, consumo de energia e mais tempo para configurar todos os servidores. Além de ter que me preocupar com 6 servidores estarem online.

Bem amigos... espero com esse artigo ajudar os profissionais que já passaram ou passam por este problema.

Página anterior    

Páginas do artigo
   1. Introdução e cenário
   2. Explicando o problema
   3. A solução
Outros artigos deste autor

Servidor Apache hospedando diversos sites com e sem SSL

Apache Mod_Proxy como Front-End de acesso e balanceamento de diversas aplicações web

Integrando Nagios e Google Maps

Restauração e registro do RedHat após utilização de repositórios CentOS

Nagios - Configurando níveis de acesso e autenticação centralizada no Active Directory

Leitura recomendada

Senha de root - Como bloquear com segurança

Configurando a mudança de brilho no Notebook Vostro 1000 da Dell

Tutorial Apache + PHP + MySQL no OPENBSD 3.5

Configurando o X no Slackware

Minix 3.2.0 no ESXi 5.0 - Instalação usando o vSphere Client 5.0

  
Comentários
[1] Comentário enviado por gabrielsp em 11/06/2010 - 12:23h

O Openfire é uma mega-solução pra mensageria interna, elimina pela raiz os problemas com msn & cia hehe!

Mas fiquei com uma pulga sobre a segurança dessa solução proposta no seu artigo....

"[...] estou informando que a consulta deve abranger todos os domínios da floresta, que contenham .com.br em seus nomes DNS, dessa forma consigo incluir os domínios com shortnames diferentes (atente-se a esse detalhe caso os domínios não sejam padronizados). "

Acho que fica muito generalizado fazer consulta em tudo que termina com ".com.br" nos seus DNS. Acho, que deveria ter mais um subdominio pelo menos... humilde opniao =P

Posso ter falado besteira 8-)


[2] Comentário enviado por cavanso em 12/06/2010 - 11:41h

Você tentou fazer esta integração com o Windows 2008? Tentei efetuar instalação no w2008, não tive sucesso, somente com o 2003. Alguem ja conseguiu fazer o openfire funcionar no w2008?

[3] Comentário enviado por djcelsodub em 12/06/2010 - 14:19h

kaizers2li:

Especificar o ".com.br" é a forma de indicar a floresta toda. Infelizmente não há outra forma de realizar a pesquisa senão dessa forma. Onde eu peguei a informação sobre a configuração da porta e da base DN, inclusive indica para deixar em branco a base DN para indicar a floresta, mas o openfire não aceita dessa forma.
Veja que a consulta é realizada apenas nos domínios membros da floresta e não "tudo" que termina em ".com.br" no DNS (entenda-se FQDN).


cavanso:

Ainda não testei no win2k8... mas já pensei nessa possibilidade, já que há planos na empresa em que trabalho de migrar do win2k3 para o win2k8.
Se eu conseguir tempo logo eu faço os testes e posto os resultados.

[4] Comentário enviado por Lisandro em 17/06/2010 - 07:06h

Tem coisas que a gente nem imagina...

[5] Comentário enviado por leandronett em 16/01/2012 - 17:03h

Cara você é um gênio, faz anos que venho tentando fazer isso.

Valew, brigadão...

Parabéns....

[6] Comentário enviado por valcenir-TI em 13/09/2012 - 15:21h

Tentei com o Windows Server 2008 R2 ENT; Não rolou...

Ele não mostra todos os usuários...

o que pode ser?

Tentei com os 2 filtros e nada...

(objectClass=User)

(&(objectClass=user)(objectCategory=person))

[7] Comentário enviado por djcelsodub em 13/09/2012 - 19:31h

Boa noite valcenir-TI,

Observe bem os detalhes na configuração. A base DN é exatamente como está definida na imagem, apenas adaptando ao seu ambiente.
O artigo foi escrito utilizando o Win2k3 mas hoje está em produção em Win2k8 e 100% funcional no ambiente que administro.

[8] Comentário enviado por valcenir-TI em 14/09/2012 - 08:19h

BOm dia,

djcelsodub, consegui mais foi com outro filtro em mapamento de usuário e grupo;

Para usuário: (&(|(|(&(objectclass=user)(objectcategory=person)))(objectclass=contact)))

Grupo: (objectClass=Group)

Com esse filtro listei "ALL Users"

Agora estou com outro problema:

Vou em listagem de grupos;

Compartilho com todos os usuários o Grupo, mais os menbros do grupo não aparecem na lista de usuários...

ATT. Obrigado pela ajuda;

[9] Comentário enviado por rafael_r em 24/10/2013 - 17:52h

Boa tarde Celso,

é possível integrar AD com outra base OpenLDAP?


[10] Comentário enviado por maykon.franca em 09/02/2017 - 19:34h

Boa noite, amigos,

Estou com dois problemas,

1º: Apenas os usuários do domínio PAI consegue logar utilizando o spark

2º Alguns usuários do domínio pai não aparecem e todos os usuários do domínio filho aparecem

Host: host.meudominio.com.br
Porta: 3268
DN Base: dc="meudominio",dc="com",dc="br"
DN Administrador: cn="administrador",cn="users",dc="meudomonio",dc="com",dc="br"
Obs. Seguir o procedimento a risca para evitar quaisquer problema .

Infelizmente os usuários do domínio filho não consegue logar no spark.

[11] Comentário enviado por djcelsodub em 07/05/2018 - 17:58h


[10] Comentário enviado por maykon.franca em 09/02/2017 - 19:34h

Boa noite, amigos,

Estou com dois problemas,

1º: Apenas os usuários do domínio PAI consegue logar utilizando o spark

2º Alguns usuários do domínio pai não aparecem e todos os usuários do domínio filho aparecem

Host: host.meudominio.com.br
Porta: 3268
DN Base: dc="meudominio",dc="com",dc="br"
DN Administrador: cn="administrador",cn="users",dc="meudomonio",dc="com",dc="br"
Obs. Seguir o procedimento a risca para evitar quaisquer problema .

Infelizmente os usuários do domínio filho não consegue logar no spark.



Maykon,

Altere a DN Base de dc="meudominio",dc="com",dc="br" para dc="com",dc="br"
Foi dessa forma que consegui autenticar todos os domínios.


Contribuir com comentário