Openfire integrado em uma floresta Active Directory
Integrar o Openfire ao AD é relativamente fácil. Se eu tivesse apenas 1 domínio eu estaria plenamente satisfeito, mas como fazer com que os usuários de todos os domínios da floresta se loguem em um único servidor e se enxerguem em uma única interface?
[ Hits: 40.833 ]
Por: Celso S. Faria em 11/06/2010
A solução
A solução é bem simples, baseia-se parte no nome do domínio e parte em configuração de porta.
Segundo o que li, quando se deseja realizar consultas que se estendam por toda a floresta (domínios pai e filhos) é necessário especificar apenas parte do nome do domínio e alterar a porta de 389 para 3268, como na figura abaixo.
Perceba que a Base DN é apenas "com.br" em formato LDAP. Apenas o DN do Administrador do Domínio Pai deve ser completo, pois ele é quem poderá realizar as consultas em todos os Domínios da floresta.
A diferença entre as portas 389 e 3268 é que a primeira permite a consulta somente na base local e é necessário que a base DN seja completa (dc=empresa,dc=com,dc=br) e a segunda permite a consulta em toda a floresta, especificando apenas parte do nome do domínio (dc=com,dc=br).
Exemplo:
Eu tenho 6 domínios em relação de confiança:
empresa1.com.br, filial1.empresa1.com.br, filial2.empresa1.com.br, filial3.empresa1.com.br, filial4.empresa1.com.br e empresa2.com.br
No meu caso, tenho 2 domínios com shortnames diferentes (empresa1.com.br e empresa2.com.br), apenas terminados em com.br.
Ao especificar "dc=com,dc=br" e a porta 3268 estou informando que a consulta deve abranger todos os domínios da floresta, que contenham .com.br em seus nomes DNS, dessa forma consigo incluir os domínios com shortnames diferentes (atente-se a esse detalhe caso os domínios não sejam padronizados).
Se eu não tivesse o domínio empresa2.com.br eu poderia especificar a base DN assim: "dc=empresa1,dc=com,dc=br" que seria suficiente.
Se a função Server 2 Server tivesse funcionado, eu precisaria de 1 servidor Openfire em cada unidade da empresa, alocando recursos, consumo de energia e mais tempo para configurar todos os servidores. Além de ter que me preocupar com 6 servidores estarem online.
Bem amigos... espero com esse artigo ajudar os profissionais que já passaram ou passam por este problema.
Segundo o que li, quando se deseja realizar consultas que se estendam por toda a floresta (domínios pai e filhos) é necessário especificar apenas parte do nome do domínio e alterar a porta de 389 para 3268, como na figura abaixo.
A diferença entre as portas 389 e 3268 é que a primeira permite a consulta somente na base local e é necessário que a base DN seja completa (dc=empresa,dc=com,dc=br) e a segunda permite a consulta em toda a floresta, especificando apenas parte do nome do domínio (dc=com,dc=br).
Exemplo:
Eu tenho 6 domínios em relação de confiança:
empresa1.com.br, filial1.empresa1.com.br, filial2.empresa1.com.br, filial3.empresa1.com.br, filial4.empresa1.com.br e empresa2.com.br
No meu caso, tenho 2 domínios com shortnames diferentes (empresa1.com.br e empresa2.com.br), apenas terminados em com.br.
Ao especificar "dc=com,dc=br" e a porta 3268 estou informando que a consulta deve abranger todos os domínios da floresta, que contenham .com.br em seus nomes DNS, dessa forma consigo incluir os domínios com shortnames diferentes (atente-se a esse detalhe caso os domínios não sejam padronizados).
Se eu não tivesse o domínio empresa2.com.br eu poderia especificar a base DN assim: "dc=empresa1,dc=com,dc=br" que seria suficiente.
Conclusão
No final das contas bastou apenas 1 único servidor para atender toda a floresta de forma efetiva.Se a função Server 2 Server tivesse funcionado, eu precisaria de 1 servidor Openfire em cada unidade da empresa, alocando recursos, consumo de energia e mais tempo para configurar todos os servidores. Além de ter que me preocupar com 6 servidores estarem online.
Bem amigos... espero com esse artigo ajudar os profissionais que já passaram ou passam por este problema.
Páginas do artigo
1. Introdução e cenário2. Explicando o problema
3. A solução
Outros artigos deste autor
Restauração e registro do RedHat após utilização de repositórios CentOS
Servidor Apache hospedando diversos sites com e sem SSL
Nagios - Configurando níveis de acesso e autenticação centralizada no Active Directory
Apache Mod_Proxy como Front-End de acesso e balanceamento de diversas aplicações web
Integrando Nagios e Google Maps
Leitura recomendada
Instalação da placa TRENDnet TEW-421PC Wireless com ndiswrapper Debian
Resolvendo o problema de gerenciamento de energia - ACPI
Arch Linux - Instalação sem complicação
Deixando o GNOME mais adequado às leis de Fitts
Comentários
[1] Comentário enviado por gabrielsp em 11/06/2010 - 12:23h
O Openfire é uma mega-solução pra mensageria interna, elimina pela raiz os problemas com msn & cia hehe!
Mas fiquei com uma pulga sobre a segurança dessa solução proposta no seu artigo....
"[...] estou informando que a consulta deve abranger todos os domínios da floresta, que contenham .com.br em seus nomes DNS, dessa forma consigo incluir os domínios com shortnames diferentes (atente-se a esse detalhe caso os domínios não sejam padronizados). "
Acho que fica muito generalizado fazer consulta em tudo que termina com ".com.br" nos seus DNS. Acho, que deveria ter mais um subdominio pelo menos... humilde opniao =P
Posso ter falado besteira 8-)
O Openfire é uma mega-solução pra mensageria interna, elimina pela raiz os problemas com msn & cia hehe!
Mas fiquei com uma pulga sobre a segurança dessa solução proposta no seu artigo....
"[...] estou informando que a consulta deve abranger todos os domínios da floresta, que contenham .com.br em seus nomes DNS, dessa forma consigo incluir os domínios com shortnames diferentes (atente-se a esse detalhe caso os domínios não sejam padronizados). "
Acho que fica muito generalizado fazer consulta em tudo que termina com ".com.br" nos seus DNS. Acho, que deveria ter mais um subdominio pelo menos... humilde opniao =P
Posso ter falado besteira 8-)
[2] Comentário enviado por cavanso em 12/06/2010 - 11:41h
Você tentou fazer esta integração com o Windows 2008? Tentei efetuar instalação no w2008, não tive sucesso, somente com o 2003. Alguem ja conseguiu fazer o openfire funcionar no w2008?
Você tentou fazer esta integração com o Windows 2008? Tentei efetuar instalação no w2008, não tive sucesso, somente com o 2003. Alguem ja conseguiu fazer o openfire funcionar no w2008?
[3] Comentário enviado por djcelsodub em 12/06/2010 - 14:19h
kaizers2li:
Especificar o ".com.br" é a forma de indicar a floresta toda. Infelizmente não há outra forma de realizar a pesquisa senão dessa forma. Onde eu peguei a informação sobre a configuração da porta e da base DN, inclusive indica para deixar em branco a base DN para indicar a floresta, mas o openfire não aceita dessa forma.
Veja que a consulta é realizada apenas nos domínios membros da floresta e não "tudo" que termina em ".com.br" no DNS (entenda-se FQDN).
cavanso:
Ainda não testei no win2k8... mas já pensei nessa possibilidade, já que há planos na empresa em que trabalho de migrar do win2k3 para o win2k8.
Se eu conseguir tempo logo eu faço os testes e posto os resultados.
kaizers2li:
Especificar o ".com.br" é a forma de indicar a floresta toda. Infelizmente não há outra forma de realizar a pesquisa senão dessa forma. Onde eu peguei a informação sobre a configuração da porta e da base DN, inclusive indica para deixar em branco a base DN para indicar a floresta, mas o openfire não aceita dessa forma.
Veja que a consulta é realizada apenas nos domínios membros da floresta e não "tudo" que termina em ".com.br" no DNS (entenda-se FQDN).
cavanso:
Ainda não testei no win2k8... mas já pensei nessa possibilidade, já que há planos na empresa em que trabalho de migrar do win2k3 para o win2k8.
Se eu conseguir tempo logo eu faço os testes e posto os resultados.
[5] Comentário enviado por leandronett em 16/01/2012 - 17:03h
Cara você é um gênio, faz anos que venho tentando fazer isso.
Valew, brigadão...
Parabéns....
Cara você é um gênio, faz anos que venho tentando fazer isso.
Valew, brigadão...
Parabéns....
[6] Comentário enviado por valcenir-TI em 13/09/2012 - 15:21h
Tentei com o Windows Server 2008 R2 ENT; Não rolou...
Ele não mostra todos os usuários...
o que pode ser?
Tentei com os 2 filtros e nada...
(objectClass=User)
(&(objectClass=user)(objectCategory=person))
Tentei com o Windows Server 2008 R2 ENT; Não rolou...
Ele não mostra todos os usuários...
o que pode ser?
Tentei com os 2 filtros e nada...
(objectClass=User)
(&(objectClass=user)(objectCategory=person))
[7] Comentário enviado por djcelsodub em 13/09/2012 - 19:31h
Boa noite valcenir-TI,
Observe bem os detalhes na configuração. A base DN é exatamente como está definida na imagem, apenas adaptando ao seu ambiente.
O artigo foi escrito utilizando o Win2k3 mas hoje está em produção em Win2k8 e 100% funcional no ambiente que administro.
Boa noite valcenir-TI,
Observe bem os detalhes na configuração. A base DN é exatamente como está definida na imagem, apenas adaptando ao seu ambiente.
O artigo foi escrito utilizando o Win2k3 mas hoje está em produção em Win2k8 e 100% funcional no ambiente que administro.
[8] Comentário enviado por valcenir-TI em 14/09/2012 - 08:19h
BOm dia,
djcelsodub, consegui mais foi com outro filtro em mapamento de usuário e grupo;
Para usuário: (&(|(|(&(objectclass=user)(objectcategory=person)))(objectclass=contact)))
Grupo: (objectClass=Group)
Com esse filtro listei "ALL Users"
Agora estou com outro problema:
Vou em listagem de grupos;
Compartilho com todos os usuários o Grupo, mais os menbros do grupo não aparecem na lista de usuários...
ATT. Obrigado pela ajuda;
BOm dia,
djcelsodub, consegui mais foi com outro filtro em mapamento de usuário e grupo;
Para usuário: (&(|(|(&(objectclass=user)(objectcategory=person)))(objectclass=contact)))
Grupo: (objectClass=Group)
Com esse filtro listei "ALL Users"
Agora estou com outro problema:
Vou em listagem de grupos;
Compartilho com todos os usuários o Grupo, mais os menbros do grupo não aparecem na lista de usuários...
ATT. Obrigado pela ajuda;
[9] Comentário enviado por rafael_r em 24/10/2013 - 17:52h
Boa tarde Celso,
é possível integrar AD com outra base OpenLDAP?
Boa tarde Celso,
é possível integrar AD com outra base OpenLDAP?
[10] Comentário enviado por maykon.franca em 09/02/2017 - 19:34h
Boa noite, amigos,
Estou com dois problemas,
1º: Apenas os usuários do domínio PAI consegue logar utilizando o spark
2º Alguns usuários do domínio pai não aparecem e todos os usuários do domínio filho aparecem
Host: host.meudominio.com.br
Porta: 3268
DN Base: dc="meudominio",dc="com",dc="br"
DN Administrador: cn="administrador",cn="users",dc="meudomonio",dc="com",dc="br"
Obs. Seguir o procedimento a risca para evitar quaisquer problema .
Infelizmente os usuários do domínio filho não consegue logar no spark.
Boa noite, amigos,
Estou com dois problemas,
1º: Apenas os usuários do domínio PAI consegue logar utilizando o spark
2º Alguns usuários do domínio pai não aparecem e todos os usuários do domínio filho aparecem
Host: host.meudominio.com.br
Porta: 3268
DN Base: dc="meudominio",dc="com",dc="br"
DN Administrador: cn="administrador",cn="users",dc="meudomonio",dc="com",dc="br"
Obs. Seguir o procedimento a risca para evitar quaisquer problema .
Infelizmente os usuários do domínio filho não consegue logar no spark.
[11] Comentário enviado por djcelsodub em 07/05/2018 - 17:58h
[10] Comentário enviado por maykon.franca em 09/02/2017 - 19:34h
Boa noite, amigos,
Estou com dois problemas,
1º: Apenas os usuários do domínio PAI consegue logar utilizando o spark
2º Alguns usuários do domínio pai não aparecem e todos os usuários do domínio filho aparecem
Host: host.meudominio.com.br
Porta: 3268
DN Base: dc="meudominio",dc="com",dc="br"
DN Administrador: cn="administrador",cn="users",dc="meudomonio",dc="com",dc="br"
Obs. Seguir o procedimento a risca para evitar quaisquer problema .
Infelizmente os usuários do domínio filho não consegue logar no spark.
Maykon,
Altere a DN Base de dc="meudominio",dc="com",dc="br" para dc="com",dc="br"
Foi dessa forma que consegui autenticar todos os domínios.
[10] Comentário enviado por maykon.franca em 09/02/2017 - 19:34h
Boa noite, amigos,
Estou com dois problemas,
1º: Apenas os usuários do domínio PAI consegue logar utilizando o spark
2º Alguns usuários do domínio pai não aparecem e todos os usuários do domínio filho aparecem
Host: host.meudominio.com.br
Porta: 3268
DN Base: dc="meudominio",dc="com",dc="br"
DN Administrador: cn="administrador",cn="users",dc="meudomonio",dc="com",dc="br"
Obs. Seguir o procedimento a risca para evitar quaisquer problema .
Infelizmente os usuários do domínio filho não consegue logar no spark.
Maykon,
Altere a DN Base de dc="meudominio",dc="com",dc="br" para dc="com",dc="br"
Foi dessa forma que consegui autenticar todos os domínios.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Preparando-se para certificações da LPI através do LPI Lab
Migração de Arch Linux para repositórios CachyOS (Uso de Instruções v3 e v4)
Boas Práticas e Padrões Idiomáticos em Go e C
Dicas
[Tutorial] Configurando Multimaster no Samba 4 AD (DC02) + Explicação de FSMO Roles
[Resolvido] Google Chrome reclamando de perfil em uso após mudar hostname
Instalando o Tema de Ícones Tela Circle
Copiar Para e Mover Para no menu de contexto do Nautilus e Dolphin
Tópicos
Senhor Einstein tinha razão mesmo! (1)
Instalação Dual Boot Linux+Windows 11 (4)
No Ubuntu 26.04, sudo passou a mostrar os asteriscos ao digitar por pa... (5)
Top 10 do mês
-
Xerxes
1° lugar - 126.326 pts -
Fábio Berbert de Paula
2° lugar - 65.868 pts -
Buckminster
3° lugar - 39.526 pts -
Alberto Federman Neto.
4° lugar - 34.208 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
5° lugar - 22.923 pts -
edps
6° lugar - 21.635 pts -
Daniel Lara Souza
7° lugar - 20.851 pts -
Sidnei Serra
8° lugar - 19.673 pts -
Mauricio Ferrari (LinuxProativo)
9° lugar - 19.563 pts -
Andre (pinduvoz)
10° lugar - 15.900 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
