Openfire настройка windows ad
Каждой организации необходим внутренний чат, данная статья решает эту, на первый взгляд тривиальную задачу, путем установки и настройки jabber сервера openfire и jabber болталки pandion всем пользователям домена. Предложенное решение отличается гибкостью, предназначено для крупных и средних организаций и не требует от пользователей никаких дополнительных действий по настройке программного обеспечения.
Итак, существует сеть , два контроллера домена, один W2K3, другой W2K8, кроме того в сети есть еще один Windows 2003 server на который будет устанавливаться нужное нам программное обеспечение. Всем этим счастьем пользуется около сотни пользователем которым конечно необходимо общаться между собой. И корпоративный jabber сервер идеально решает эту задачу.
1. Качаем необходимое программное обеспечение.
jabber сервер Openfire
pandion версии выше чем 2.9.90 . версия 2.6.90 некорректно обрабатывает смайлики если в пути встречаются русские символы
2. Заходим на сервер Windows 2003 под учетной записью администратора и запускаем установочный файл Openfire.
Установка не представляет из себя ничего сложного, поэтому подробное описание процесса опустим , единственное что необходимо сделать это настроить openfire на запуск в качестве службы
3. Настройка openfire на запуск в качестве службы.
По умолчанию openfire предлагает запускать себя с помощью GUI программы, что очень неудобно в корпоративной среде, поэтому
открываем командную строку и в ней
cd C:\Program Files\openfire\bin - переходим в папку где установлен openfire.
openfire-service /install - устанавливаем сервис.
openfire-service /start - запускаем сервис.
4. Теперь нам необходимо создать базу данных для хранения настроек и пользователей.
Можно конечно ничего не создавать а воспользоваться встроенной, но это отразиться на производительности.
Openfire может работать с MySQL, Oracle, MS SQL, PostgreSQL,IBM DB2,HSQLDB .
Я выбрал MySQL просто потому что она уже установлена у меня на Linux сервере.
Логинемся в консоли MySQL под пользователем root, создаем базу данных openfire, пользователя openfire и даем ему все привелегии на вновь созданную базу.
mysql> CREATE DATABASE openfire;
mysql> CREATE USER 'openfire'@'%' IDENTIFIED BY '12345';
mysql> GRANT ALL PRIVILEGES ON openfire.* TO 'openfire'@'%';
mysql> FLUSH PRIVILEGES;
5. Создание пользователя для интеграции сервера с Active Directory.
Создадим нового пользователя, назовем его, допустим, openfire, он должен сотоять только в группе "пользователи домена" .
6. Все подготовительный этапы закончены, можно заняться настройкой самого сервера.
6.2. Настройка имени домена.
6.3. Выбираем тип базы данных.
6.4. Настраиваем подключение к базе данных.
6.5. Выбираем тип профилей пользователей.
6.6. Настройка подключения к Active Directory.
6.7. Сопоставление свойств пользователей.
6.8. Сопоставление групп.
6.9. Добавление администраторов.
6.10. Настройка закончена.
8. Установка патча для ntlm авторизации.
Патч можно взять тут
Следующие файлы патча следует скопировать напрямую в директорию установки openfire.
bin\SaslSspi.dll
lib\sasl-sspi.jar
plugins\saslmechanisms.jar
Эти же два файла служат шаблонами для изменений в файлах конфигурации ява и openfire . заменять ими файлы в директории openfire не следует.
conf\openfire-patch.xml
jre\lib\security\java.security.patc h
Что имеется в виду, откроем файл конфигурации openfire .
Если вы не меняли каталог при установке, то он у вас лежит C:\Program Files\Openfire\conf\openfire.xml.
так вот для ntlm авторизации согласно патчу мы должны добавить строки
Анологично с файлом C:\Program Files\Openfire\jre\lib\security\java.sec urity
в него следует добавить строку security.provider.10=net.za.darkskies.se curity.sasl.SSPIProvider после
Следует иметь в виду что java.security обновляется каждый раз после обновления сервера, так что его надо будет патчить по новой.
Теперь перезапускам сервис openfire.
9. Камнем в огород ntlm может быть тот факт, что его поддерживает всего один клиент, это вышеупомянутый пандион, об установке которого сейчас и пойдет речь.
Для начало установите пандион себе на компьютер и насройте файл "папка с установленным pandion"\Application\settings\brand.xml. В файле brand.xml pandion
Весь файл brand.xml приводить не буду, оставлю лишь только те настройки которые надо изменить
<!-- Connection settings dialog -->
<serveraddress>jabber.domain.example.c om</serveraddress> -адрес нашего openfire сервера
<serverport>5222</serverport> - порт сервера
<encryption>tls</encryption> <!-- optional/tls/ssl/none --> уровень шифрования tls
<authentication>ntlm</authentication> <!-- normal/ntlm --> авторизация ntlm
<autologin>true</autologin> - выполнять автовход
<welcomescreen>no</welcomescreen> - экран приветствия, назойливая вещь, совсем не нужна
О значении остальных директив можно узнать на официальном сайте pandion.
Архивируем папку программой архиватором WinRar после чего копируем архив на сетевой ресурс доступный для чтения всем пользователям, туда же копируем консольную утилиту UnRar.exe. (поставляется вместе с WinRar)
Кроме того, в этой же папке, создаем ярлык с таким путем %AppData%\Pandion\Application\pandion.ex e
Пусть наш сетевой ресурс доступный для чтения всем пользователям называется \\kdc\install
Создадим на нем скрипт pandion.bat следущего содержания
chcp 1251
if exist "%AppData%\pandion\application\pandion.e xe" exit
copy \\kdc\install\Pandion.rar "%AppData%"
copy \\kdc\install\UnRar.exe "%AppData%"
copy \\kdc\install\pandion.lnk "%homepath%\Рабочий стол"
copy \\kdc\install\pandion.lnk "%homepath%\Главное меню"
copy \\kdc\install\pandion.lnk "%homepath%\Главное меню\Программы\Автозагрузка"
copy \\kdc\install\pandion.lnk "%homepath%\AppData\Roaming\Microsoft\Wi ndows\Start Menu\Programs\Startup"
copy \\kdc\install\pandion.lnk "%homepath%\Desktop"
chdir "%AppData%"
UnRar x -y pandion.rar
start pandion\application\pandion.exe
Этот скрипт надо назначить при помощи групповых политик на выполнение при входе пользователя, ну или запустить вручную на каждом компьютере. (Надеюсь с этим у вас проблем не возникнет)
10. Осталось самая малость . общий контакт лист .
Для реализации этого хитрого безобразия создайте группу в AD, назовите её допустим jabber и поместите в нее всех ваших пользователей.
После чего зайдите в Web интерфейс вашего сервера, в меню User/Groups, далее в Groups, найдите там группу jabber и щелкните по ней, после чего установите галочку Enable contact list group sharing и придумайте как все ваши коллеги будут называться у себя в болталке, вот и всё.
11. Пару замечаний об установке на linux, ссылки и последнее слово.
Прежде чем настраивать jabber сервер под Windows я установил openfire на ubuntu server 9.04, особых трудов это не составило.
Но к сожалению патча для ntlm авторизации под linux не существет и пришлось настраивать Kerberos . что в принципе возможно и на сайте разработчиков есть статьи на эту тему которым я самозабвенно следовал, однако одну маленькую особенность мне победить так и не удалось. Kerberos GSSAPI аунтентификация требовала первый раз при подключении ввод пароля, а потом работала как часы, внятных комментариев от разработчиков мне получить не удалось, поэтому пришлось использовать Windows.
PS .. если вы дочитали до конца моё литературное творчество, то не пожалейте 5 минут своего времени оставьте ваш комментарий, пожелание или вопрос .
Итак, как выдались свободные минуты я решил, что пора задокумментировать, как настроить связку сервиса OpenFire и Active Directory чтобы не создавать учетные записи, а брать их из сервиса где и так все пользователи локальной сети имеют место быть. Да и контролировать удобнее, к примеру уволился человек и помимо блокировки доменной учетной записи блокируется доступ и к общему чату компании. Плюс можно мониторить переписку сотрудников, конфиденциально обсуждать технические вопросы не выводя переписку сторонним сервисам.
Мои характеристики системы на которых я тестируя связь сервиса OpenFire и Active Directory: CPU 2, RAM 2, HDD 50
Пожалуй начну свое документирование действий которыми я достиг практической части:
$ sudo rm -Rf /var/lib/apt/lists
$ sudo apt-get update && sudo apt-get upgrade -y
$ sudo apt-get install linux-generic-lts-xenial linux-image-generic-lts-xenial -y
$ sudo nano /etc/hosts
10.10.10.12 srv-trusty.polygon.local srv-trusty
10.10.10.2 srv-dc.polygon.local srv-dc
$ sudo nano /etc/hostname
$ sudo service hostname start
14.04.1-Ubuntu SMP Mon Jun 26 18:10:19 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux
$ sudo tasksel install lamp-server
New password for the MySQL "root" user: 712mbddr@
Repeat password for the MySQL "root" user: 712mbddr@
$ mysql -u root -p712mbddr@ -e "create database db_openfire"
$ mysql -u root -p712mbddr@ -e "create user 'openfire'@'localhost' identified by '612mbddr@'"
$ mysql -u root -p712mbddr@ -e "grant all on db_openfire.* to 'openfire'@'localhost'"
$ sudo apt-get install openjdk-7-jre openjdk-7-jdk -y
java version "1.7.0_131"
OpenJDK Runtime Environment (IcedTea 2.6.9) (7u131-2.6.9-0ubuntu0.14.04.2)
OpenJDK 64-Bit Server VM (build 24.131-b00, mixed mode)
Теперь скачиваю с официального сайта самую последнюю версию пакета для организации корпоративного чата:
$ sudo mv downloadServlet\?filename\=openfire%2Fopenfire_4.1.5_all.deb openfire_4.1.5_all.deb
openfire_4.1.5_all.deb: Debian binary package (format 2.0)
$ sudo dpkg -i openfire_4.1.5_all.deb
По аналогии с установкой SQUID в связке Active Directory настраиваю получение Kerberos билета:
$ sudo apt-get install krb5-user -y
Kerberos 5 version 1.12
$ sudo cp /etc/krb5.conf /etc/krb5.conf.backup
$ sudo bash -c "cat > /etc/krb5.conf"
^C → нажимаю сочетание клавиш для выхода, т. е. Ctrl + C
$ sudo nano -Y sh /etc/krb5.conf
default_tgs_enctypes = des-cbc-crc rc4-hmac des-cbc-md5
default_tkt_enctypes = des-cbc-crc rc4-hmac des-cbc-md5
permitted_enctypes = des-cbc-crc rc4-hmac des-cbc-md5
Затем в аплете DNS домена polygon.local создаю DNS записи текущей системы, а записи вида A и вида PTR в соответствующей для этого зоне.
После в оснастке Active Directory Users and Computers домен контроллера нужно создать специализированного пользователя ответственного за связь Ubuntu системы с контроллером домена. Итак это учетная запись: openfire с паролем Aa1234567. После создаю keytab файл, копирую его через winscp на Ubuntu и перезапускаю krb5:
C:\Windows\system32>mkdir c:\keytab
$ sudo mv openfire.keytab /etc/openfire/
$ sudo chmod 640 /etc/openfire/openfire.keytab
Using default cache: /tmp/krb5cc_0
Authenticated to Kerberos v5
Ticket cache: FILE:/tmp/krb5cc_0
Valid starting Expires Service principal
07/14/2017 09:30:45 07/14/2017 19:30:45 krbtgt/[email protected]
renew until 07/15/2017 09:30:45
Setup Progress — Choose Language (English) и нажимаю Continue
Server Settings:
- XMPP Domain Name: srv-trusty.polygon.local
- Server Host Name (FQDN): srv-trusty.polygon.local
- Admin Console Port: 9090
- Secure Admin Console Port: 9091
- Property Encryption via: Blowfish
и нажимаю Continue
- Database Settings: выбираю Standard Database Connection и нажимаю Continue
заполняю параметры соединения с внешней базой
- Database Driver Presets: MySQL
- JDBC Driver Class: com.mysql.jdbc.Driver
- Database URL: jdbc:mysql://localhost:3306/db_openfire?rewriteBatchedStatements=true
- Username: openfire
- Password: 612mbddr@
и нажимаю Continue
Теперь вместо дефолтного месторасположения хранения в базе аутентификационных данных я указываю что данные брать из Directory Server (LDAP) и нажимаю Continue, следом запускается мастер настройки подключения к LDAP серверу который в моем случае это Active Directory текущего домена на базе Windows Server 2012 R2 Std
Шаг №1: Connection Settings
- Server Type: (Тип Сервера) Active Directory
- Host: (Хост) srv-dc.polygon.local
- Port: (Порт) 389
- Base DN: (База DN) DC=polygon,DC=local
- Authentication: (Аутентификация)
- Administrator DN: (Администратор DN) [email protected] (Пользователи домена)
- Password: (Пароль) Aa1234567
Нажимаю Test Settings (Настройка теста), если Вы видите в появившемся окне:
- Test: Connection Settings (Настройка соединений)
- Status: Error
Unknown host address
, то просто вместо имени контроллера домена укажите его IP адрес Host: 10.10.10.2 (либо в файле /etc/hosts вы не прописали и адрес сервера где работает DNS), тогда в появившемся окне будет положительный результат:
Status: Success! (Успех)
A connection was successfully established to the LDAP server using the settings above. Close this test panel and continue to the next step.
У меня же так хорошо сделано, что вводить IP адрес нет нужды все подхватилось и по DNS имени.
Следом нажимаю Save & Continue (Сохранять & Продолжить) для применения настроек.
Шаг №2: User Mapping:
- Username Field: samaccountname
- Advanced Settings:
- User Filter: (objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2))
Нажимаю Test Settings, а после Save & Continue
Шаг №3: Group Mapping:
- Group Field: cn
- Member Field: member
- Description Field: description
- Advanced Settings:
- Posix Mode: No
- Group Filter: (objectCategory=Person)
Нажимаю Test Settings, а после Save & Continue
На следующем шаге Administrator Account ввожу именование учетной записи с полномочиями Администратора:
- Add Administrator: ввожу openfire (ту которую создали в AD), нажимаю Add, а после Continue.
Если все прошло успешно, то вы увидите надпись вида:
Нажимаю Login to the admin console и авторизуюсь:
Username: ekzorchik
Password: 712mbddr@ (точно такой же пароль и на доменную учетную запись)
и я успешно авторизовался
После проверяю, а вижу ли я учетные записи Active Directory:
Отлично что и задумывалось, а если перейти в группы (Groups) то также вижу, что представлены все доменные группы моего домена:
После делаю некоторые настройки с сервером openfire в панели администрирования.
Server — Server Manager — Language and Time → Choose Language = Русский (ru_RU) и нажимаю Save Settings
После запускаю клиент Spark и настраиваю (нажимаю Advanced) подключение к серверу Openfire с использование доменной учетной записи:
Вкладка General
- Automatically discover host and port: снимаю галочку
- Host: srv-trusty.polygon.local
- Port: 5222
- Use hostname as resource: отмечаю галочкой
- Accept all certificates (self-signed/expired/not trusted): отмечаю галочкой
- Disable cerfificate hostname verification (not recommended): отмечаю галочкой
После нажимаю OK для выхода из окна Advanced connection preferences и указываю параметры аутентификации, точнее они будут доменными:
и подключаюсь нажатием кнопки Login. И вот я подключен
Если выйти из клиента и запустить его снова, то благодаря параметру Auto Login авторизация клиента происходит само. Работает все что выше проверено. На этом у меня всё, до новых заметок, с уважением автор блога Олло Александр aka ekzorchik.
Используйте прокси ((заблокировано роскомнадзором, используйте vpn или proxy)) при использовании Telegram клиента:
Поблагодари автора и новые статьи
будут появляться чаще :)
Карта МКБ: 4432-7300-2472-8059
Большое спасибо тем кто благодарит автора за практические заметки небольшими пожертвованиями. С уважением, Олло Александр aka ekzorchik.
Openfire - корпоративный IM-сервер с интеграцией в AD
Почему Openfire? Данный продукт имеет ряд достоинств: настройку и управление через веб-интерфейс, возможность использовать SQL сервер для хранения данных, легкую интеграцию со службами каталогов. Есть и недостатки: повышенная ресурсоемкость (сервер написан на Java), поэтому мы рекомендуем выделять под Openfire отдельный сервер.
Хоть Openfire и кроссплатформенный продукт, мы советуем разворачивать его на платформе Ubuntu Server, что позволит более экономно использовать ресурсы и избавит вас от необходимости покупки еще одной серверной лицензии Windows Server.
Приступим. Для установки будем использовать сервер с установленной на нем ОС Ubuntu Server 10.04.2 LTS. Так как Openfire требует java от Sun (ныне Oracle), то отредактируем /etc/apt/sources.list, подключив "партнерские" репозитории. Для этого найдите и раскомментируйте следующие строки:
Теперь обновим список пакетов:
Внимание! В связи с отзывом Oracle лицензию на поставку Java в составе дистрибутивов Linux установить пакет sun-java6-jre по данной инструкции не представляется возможным. Для этого воспользуйтесь нашей статьей: Openfire и ситуация вокруг Oracle Java в Linux.
Установим Java от Sun:
Также нам понадобится веб-сервер с поддержкой PHP и сервер БД. В качестве первого мы использовали Apache, а в качестве второго MySQL. Установить все необходимое можно командой:
При установке MySQL сервер запросит ввести пароль для пользователя БД root (не путать с одноименным системным пользователем). Дополнительной настройки установленные пакеты не требуют.
Для управления MySQL сервером через веб-интерфейс можно установить пакет phpMyAdmin:
Установщик пакета предложит автоматически сконфигурировать веб-сервер, не забудьте отметить необходимый тип сервера (в нашем случае apache2) перед тем как продолжить.
Теперь, когда все готово, приступим к установке Openfire. В репозиториях он отсутствует, поэтому скачаем пакет вручную с сайта производителя, предварительно перейдя в домашний каталог:
Данная ссылка актуальна для текущей версии Openfire и может измениться, уточнить ссылку вы всегда можете на сайте разработчика.
Скачанный пакет установим командой:
Готово, можно приступать к настройке, но перед этим выполним ряд подготовительных действий. В первую очередь добавим в DNS сервер предприятия запись типа А которая позволит клиентам обращаться к нашему серверу по имени хоста, а не по IP-адресу. В нашем примере имя сервера SRV-05 и адрес 192.168.0.105.
Следующие настройки можете оставить по умолчанию и, в самом конце, выберите администраторов сервера, в его качестве может выступить любой пользователь домена. Укажите одно или несколько имен. На этом первичная настройка сервера будет закончена и вам будет предложено авторизоваться в админ-панели.
Перейдем на закладку Пользователи/Группы и убедимся что данные из AD считаны нормально:
Как видим "смешались в кучу кони, люди" - учетные компьютеров и пользователей добавились вперемешку, без какой либо разбивки по группам. Для упорядочивания списка пользователей с последующим добавлением в общий ростер сделайте следующее: в Active Directory создайте одну или несколько групп (например Openfire User) в которые добавьте необходимых пользователей. Затем перейдите на закладку Группы в админ-панели, найдите в списке групп созданную нами группу и включите ее в общий ростер, воспользовавшись блоком настроек Совместный список
Теперь можно установить клиента и попробовать подключиться к серверу. В качестве клиента мы использовали Pandion, данный клиент имеет приятный дизайн, хорошо вписывающийся в корпоративную среду и, что немаловажно, поставляется в виде msi-пакета, что позволяет быстро развернуть его средствами GPO.
Openfire - XMPP-сервер, являющийся кроссплатформенным программным обеспечением. Jabber сервер написан на Java (раньше было название Wildfire) под управлением Jetty. Данный продукт разрабатывается и поддерживается с 2002 года.
Администрируется сервер с помощью удобной веб-панели, поддерживает плагины, которые также написаны на Java (плагины могут быть загружены через веб-интерфейс или непосредственно плагин копируется в папку для плагинов Openfire и тогда происходит автоматическая установка плагина). Имеется поддержка WEB-клиента, кластеризация (возможно сделать несколько серверов для работы с распределенной базой данных, таким образом поддерживается работа несколько десятков тыс. одновременных пользователей). Имеется поддержка шифрования (поддержка SSL/TLS). Для хранения профилей пользователей Openfire работает с базами данных, прежде всего встраиваемая база данных HSQLDB, но рекомендуется использовать полноценную СУБД - это MySQL, PostgreSQL, а также Microsoft SQL Server, IBM DB2, Adaptive Server Enterprise. Имеется интеграция с LDAP.
Работает сервер XMPP c различными клиентами, прежде всего это Spark, также Miranda IM, Pandion, Trillian Pro, Psi, Pidgin, QIP Infum и др.
Установка сервера Openfire.
Для установки Openfire скачиваем postgresql (в данном случае используется СУБД PostgreSQL), openfire.
Прежде всего установим и настроим базу данных PostgreSQL.
Устанавливаем PostgreSQL. При этом устанавливаем под администраторской учетной записью (учетная запись английскими буквами)
1. В первом окне нажимаем "Next":
2. Выбираем директорию для установки программы (оставляем по умолчанию, то что предлагает программа):
3. Выбираем директорию для установки баз данных (также оставляем по умолчанию путь к базе данных):
4. Задаём пароль для пользователя postgres:
5. Выбираем порт или оставляем как есть (5432 по умолчанию):
6. Выбираем локаль: выбираем С.
Установка программы PostgreSQL на этом закончена, следующий этап - это выполнить настройки для работы базы данных.
1. Производим настройки postgres - изменяем pg_hba.conf (C:\Program Files\PostgreSQL\9.4\data\pg_hba.conf)
Добавляем если необходимо подсеть, например:
host all all 192.168.0.0/24 md5
2. Перечитываем конфигурацию (reload).
Далее создаем базу данных с именем openfire для работы сервера Оpenfire.
3. Для этого запускаем командную строку с административными правами и выполняем команды:
cd C:\Program Files\PostgreSQL\9.4\bin
createdb -U postgres openfire
psql -U postgres -l
Устанавливаем сервер Openfire.
1. Запускаем установщик и в первом окошке просто нажимаем "ОК":
2. В следующем окне нажимаем "Next":
3. Принимаем лицензию и нажимаем "Next":
4. Выбираем директорию для установки (оставляем по умолчанию):
5. В следующем окне нажимаем "Next":
6. В конце установки нажимаем "Finish":
Запуск веб-интерфейса.
1. Установка openfire закончилась и в следующем окне начинается настройка сервера. Для этого нажимаем "Lanch Admin":
2. Запустится браузер (если необходимо прописываем на сервере в надежные сайты адрес http://127.0.0.1) и в окне выбираем язык (устнавливаем "Русский"), затем нажимаем "Continue":
3. Задаём имя сервера Оpenfire и порты для администрирования, нажимаем "Продолжить":
4. Выбираем вложенная база данных, нажимаем "Продолжить":
5. Настраиваем параметры соединения с базой данных и нажимаем "Продолжить":
База данных Драйвера Инициализируется: PostgreSQL
ДРАЙВЕРНЫЙ Класс JDBC: org.postgresql.Driver
База данных URL: jdbc.postgresql://127.0.0.1:5432/openfire
Имя пользователя: postgres
Пароль: ***** - пароль, который установили при установке PostgreSQL
Maximum Connection: 250 - устанавливаем количество пользователей
6. В следующем окне выбираем "Сервер директории (LDAP)", нажимаем "Продолжить":
8. Далее продолжаем настраивать сервер Оpenfire. Настраиваем соединение с LDAP домена и нажимаем для проверки "Настройка хоста", при успешном выполнении (появляется Статус: Успех!) нажимаем "Сохранить":
Тип Сервера: Active Directory
Хост: srv1.syst.local - вводим данные своего сервера Порт: 389
База DN: dc=syst,dc=local - вводим данные своего сервера
Администратор DN: openfire
9. Фильтруем (по каким критериям будем отбирать пользователей), затем нажимаем "Сохранить":
Расширенная настройка - Фильтр пользователя:
(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2))
10. В следующем окне настраиваем фильтр так, чтобы отображались только пользователи, входящие в группы с названием openfire*, далее нажимаем "Сохранить":
Расширенная настройка - Групповой Фильтр
(&(objectClass=group)(cn=openfire*))
11. Добавляем администратора openfire и нажимаем "Добавить":
12. В следующем окне нажимаем "Продолжить":
Читайте также: