Записки сисадмина
Алексей Никипольский
Четверг, 28.11.2024, 14:11
 
Меню
Настройка windows XP [38]
тонкости настройки, скрытые возможности
Программирование [8]
Нюансы, примеры, мои наработки и прочая полезная информация
Защита [28]
Компьютера, данных, интернет соединений и прочая полезная информация по защите
Обзор новинок [15]
Новинки ПО и железа
Обмен опытом [20]
Заработок в сети [9]
Все виды заработка в сети интернет, обзор, анализ, рекомендации
Распознование [10]
Все о методах и способах распознавания графической информации. Взлом капчи, методы и способы анализа...
Электронные книги [4]
По PHP CSS SQL PERL программированию Всё что есть в свободном доступе в интернете на разных ресурсах.
WEB программирование [9]
Всё о программировании WEB PHP Java PERL HTTP HTML и т.п.
Взлом [6]
методика взлома, примеры взлома, способы защиты от взлома
Онлайн сервисы [2]
Полезные сервисы онлайн
Администрирование [27]
Опыт системного администрирования
Статистика
Календарь
«  Январь 2013  »
ПнВтСрЧтПтСбВс
 123456
78910111213
14151617181920
21222324252627
28293031
Главная » 2013 » Январь » 28 » Установка Openfire с прозрачной авторизацией пользователей в домене Windows
20:35
Установка Openfire с прозрачной авторизацией пользователей в домене Windows

Каждой организации необходим внутренний чат, данная статья решает эту, на первый взгляд тривиальную задачу, путем установки и настройки jabber сервера openfire и jabber болталки pandion всем пользователям домена. Предложенное решение отличается гибкостью, предназначено для крупных и средних организаций и не требует от пользователей никаких дополнительных действий по настройке программного обеспечения.

Итак, существует сеть , два контроллера домена, один W2K3, другой W2K8, кроме того в сети есть еще один Windows 2003 server на который будет устанавливаться нужное нам программное обеспечение. Всем этим счастьем пользуется около сотни пользователем которым конечно необходимо общаться между собой. И корпоративный jabber сервер идеально решает эту задачу.

1. Качаем необходимое программное обеспечение. jabber сервер Openfire
pandion версии выше чем 2.9.90 ... версия 2.6.90 некорректно обрабатывает смайлики если в пути встречаются русские символы

2. Заходим на сервер Windows 2003 под учетной записью администратора и запускаем установочный файл Openfire.

Установка не представляет из себя ничего сложного, поэтому подробное описание процесса опустим , единственное что необходимо сделать это настроить openfire на запуск в качестве службы

3. Настройка openfire на запуск в качестве службы.

По умолчанию openfire предлагает запускать себя с помощью GUI программы, что очень неудобно в корпоративной среде, поэтому
открываем командную строку и в ней

cd C:\Program Files\openfire\bin - переходим в папку где установлен openfire.
openfire-service /install - устанавливаем сервис.
openfire-service /start - запускаем сервис.

4. Теперь нам необходимо создать базу данных для хранения настроек и пользователей.

Можно конечно ничего не создавать а воспользоваться встроенной, но это отразиться на производительности.

Openfire может работать с MySQL, Oracle, MS SQL, PostgreSQL,IBM DB2,HSQLDB ...
Я выбрал MySQL просто потому что она уже установлена у меня на Linux сервере...

Логинемся в консоли MySQL под пользователем root, создаем базу данных openfire, пользователя openfire и даем ему все привелегии на вновь созданную базу.

$ mysql -u root -p

mysql> CREATE DATABASE openfire;
mysql> CREATE USER 'openfire'@'%' IDENTIFIED BY '12345';
mysql> GRANT ALL PRIVILEGES ON openfire.* TO 'openfire'@'%';
mysql> FLUSH PRIVILEGES;

5. Создание пользователя для интеграции сервера с Active Directory.

Создадим нового пользователя, назовем его, допустим, openfire, он должен сотоять только в группе "пользователи домена" ...

6. Все подготовительный этапы закончены, можно заняться настройкой самого сервера.

Openfire настраивается с помощью Web интерфейса который ожидает нашего подключения на порт 9090 по протоколу http.

Наберите в вашем браузере http://127.0.0.1:9090, либо, если вы хотите настраивать удаленно http://"адрес jabber сервера":9090

Я сделал несколько скриншотов с комментариями для большей наглядности процесса. Скачать в более качественном разрешении можно тут.

6.1. Выбор языка.

Выбор языка

6.2. Настройка имени домена.

Задаем имя домена

6.3. Выбираем тип базы данных.

Определяем тип базы данных

6.4. Настраиваем подключение к базе данных.



6.5. Выбираем тип профилей пользователей.

Выбираем тип профелей пользователей

6.6. Настройка подключения к Active Directory.

настройка подключения к Active Directory

6.7. Сопоставление свойств пользователей.

Сопостовления свойств пользователей

6.8. Сопоставление групп.

Сопостовление групп

6.9. Добавление администраторов.

Добавление администраторов

6.10. Настройка закончена.

Настройка закончена


7. На этом настройка сервера закончена и к нему уже могут подключаться клиенты ... используя в качетстве JID свой логин для входа в сеть логин@domain.example.com а в качестве пароля свой пароль для входа в домен. Но, не всех это устроит. дальше рассмотрим как поставить патч для ntlm авторизации, что избавит нас от необходимости вводить пароль, кроме того, установим и настроем клиент pandion всем пользователям домена, а так же создадим общий контакт лист.


8. Установка патча для ntlm авторизации.

Openfire в стандартной поставки не поддерживает ntlm авторизацию (поддерживает Kerberos, но она значительно сложнее в настройке)
Но эту ситуацию можно исправить, применив сторонний патч, не самое элегантное решение, но, как показывает опыт, вполне рабочее.

Патч можно взять тут

Следующие файлы патча следует скопировать напрямую в директорию установки openfire.

bin\SaslSspi.dll
lib\sasl-sspi.jar
plugins\saslmechanisms.jar

Эти же два файла служат шаблонами для изменений в файлах конфигурации ява и openfire ... заменять ими файлы в директории openfire не следует!!!

conf\openfire-patch.xml
jre\lib\security\java.security.patch

Что имеется в виду, откроем файл конфигурации openfire ...
Если вы не меняли каталог при установке, то он у вас лежит C:\Program Files\Openfire\conf\openfire.xml.

так вот для ntlm авторизации согласно патчу мы должны добавить строки

<sasl>
<mechs>PLAIN,NTLM</mechs>
<realm>DOMAIN</realm>
</sasl>

между тегами <jive> и </jive>

Анологично с файлом C:\Program Files\Openfire\jre\lib\security\java.security

в него следует добавить строку security.provider.10=net.za.darkskies.security.sasl.SSPIProvider после

security.provider.1=sun.security.provider.Sun
security.provider.2=sun.security.rsa.SunRsaSign
security.provider.3=com.sun.net.ssl.internal.ssl.Provider
security.provider.4=com.sun.crypto.provider.SunJCE
security.provider.5=sun.security.jgss.SunProvider
security.provider.6=com.sun.security.sasl.Provider
security.provider.7=org.jcp.xml.dsig.internal.dom.XMLDSigRI
security.provider.8=sun.security.smartcardio.SunPCSC
security.provider.9=sun.security.mscapi.SunMSCAPI

Следует иметь в виду что java.security обновляется каждый раз после обновления сервера, так что его надо будет патчить по новой.

Теперь перезапускам сервис openfire.

9. Камнем в огород ntlm может быть тот факт, что его поддерживает всего один клиент, это вышеупомянутый пандион, об установке которого сейчас и пойдет речь.

Для начало установите пандион себе на компьютер и насройте файл "папка с установленным pandion"\Application\settings\brand.xml. В файле brand.xml pandion

Весь файл brand.xml приводить не буду, оставлю лишь только те настройки которые надо изменить

<!-- Connection settings dialog -->
<serveraddress>jabber.domain.example.com</serveraddress> -адрес нашего openfire сервера
<serverport>5222</serverport> - порт сервера
<encryption>tls</encryption> <!-- optional/tls/ssl/none --> уровень шифрования tls
<authentication>ntlm</authentication> <!-- normal/ntlm --> авторизация ntlm
<autologin>true</autologin> - выполнять автовход

<welcomescreen>no</welcomescreen> - экран приветствия, назойливая вещь, совсем не нужна

О значении остальных директив можно узнать на официальном сайте pandion.

Архивируем папку программой архиватором WinRar после чего копируем архив на сетевой ресурс доступный для чтения всем пользователям, туда же копируем консольную утилиту UnRar.exe. (поставляется вместе с WinRar)

Кроме того, в этой же папке, создаем ярлык с таким путем %AppData%\Pandion\Application\pandion.exe

Пусть наш сетевой ресурс доступный для чтения всем пользователям называется \\kdc\install

Создадим на нем скрипт pandion.bat следущего содержания

chcp 1251
if exist "%AppData%\pandion\application\pandion.exe" exit
copy \\kdc\install\Pandion.rar "%AppData%"
copy \\kdc\install\UnRar.exe "%AppData%"
copy \\kdc\install\pandion.lnk "%homepath%\Рабочий стол"
copy \\kdc\install\pandion.lnk "%homepath%\Главное меню"
copy \\kdc\install\pandion.lnk "%homepath%\Главное меню\Программы\Автозагрузка"
copy \\kdc\install\pandion.lnk "%homepath%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
copy \\kdc\install\pandion.lnk "%homepath%\Desktop"
chdir "%AppData%"
UnRar x -y pandion.rar
start pandion\application\pandion.exe

Этот скрипт надо назначить при помощи групповых политик на выполнение при входе пользователя, ну или запустить вручную на каждом компьютере. (Надеюсь с этим у вас проблем не возникнет)

10. Осталось самая малость ... общий контакт лист ...

Для реализации этого хитрого безобразия создайте группу в AD, назовите её допустим jabber и поместите в нее всех ваших пользователей.

После чего зайдите в Web интерфейс вашего сервера, в меню User/Groups, далее в Groups, найдите там группу jabber и щелкните по ней, после чего установите галочку Enable contact list group sharing и придумайте как все ваши коллеги будут называться у себя в болталке, вот и всё.

11. Пару замечаний об установке на linux, ссылки и последнее слово.

Прежде чем настраивать jabber сервер под Windows я установил openfire на ubuntu server 9.04, особых трудов это не составило.

Но к сожалению патча для ntlm авторизации под linux не существет и пришлось настраивать Kerberos ... что в принципе возможно и на сайте разработчиков есть статьи на эту тему которым я самозабвенно следовал, однако одну маленькую особенность мне победить так и не удалось. Kerberos GSSAPI аунтентификация требовала первый раз при подключении ввод пароля, а потом работала как часы, внятных комментариев от разработчиков мне получить не удалось, поэтому пришлось использовать Windows.

Ссылки

Официальный сайт разработчиков Openfire английский
Официальный сайт разработчиков Pandion английский
Полезный раздел на форуме ru-board посвященный Openfire русский
Установка Openfire на Linux оффициальное руководство английский
Установка и настройка связки CentOs 5.x + OpenFire + Kerberos + SSO + Pidgin русский
Тема на официальном форуме openfire где я спрашивал об особенностях настройки SSO английский


PS .. если вы дочитали до конца моё литературное творчество, то не пожалейте 5 минут своего времени оставьте ваш комментарий, пожелание или вопрос ....


Рекомендую Вам также почитать:


  • Запрет USB через групповые политики
  • Windows 7 и два маршрута по умолчанию
  • Адаптивное распознавание символов Часть 1
  • Как поднять ТИЦ бесплатно ...
  • Что делать если забыт пароль от Windows XP?
  • Обход защиты доступа к сайту
  • Удаляем свои личные данные из интернета
  • Заработок на блоге
  • разблокировать Диспетчер задач через реестр
  • Средства безопасности Windows XP

  • Загрузить, скачать Обмен опытом, Установка Openfire с прозрачной авторизацией пользователей в домене Windows бесплатно.
    Скачать Установка Openfire с прозрачной авторизацией пользователей в домене Windows бесплатно
    Установка Openfire с прозрачной авторизацией пользователей в домене Windows бесплатно и без регистрации.

    При копировании материала указывайте источник

    Установка Openfire с прозрачной авторизацией пользователей в домене Windows download free


    Категория: Обмен опытом | Просмотров: 13901 | Добавил: Никипольский-Алексей | Теги: Установка Openfire, прозрачная авторизация пользователе | Рейтинг: 0.0/0
    Всего комментариев: 2
    avatar
    0
    2 Николай • 07:39, 07.03.2014
    Спасибо за статью. Был бы рад инструкции по установке и конфигурированию SQL для Openfire
    Ответ: Спасибо!
      Инструкции по установке Openfire на MySQL, SQL, Oracle и пр. уже верстается, будет выложено в ближайшее время
    avatar
    0
    1 orestych • 19:42, 27.10.2013
    Огромное спасибо за статью! все отлично расписано. делаю по ней, сервер берет из домена пользователей и группы, все ок , но к сожалению пандион не хочет подключаться к серверу , пишет "отключен от сервера" .пока не понятно в чем причина
    avatar
    Мои услуги на Kwork
    Like It


    Copyright Алексей Никипольский © 2009 - 2024