Каждой организации необходим внутренний чат, данная статья решает эту, на первый взгляд тривиальную задачу, путем установки и настройки jabber сервера openfire и jabber болталки pandion всем пользователям домена. Предложенное решение отличается гибкостью, предназначено для крупных и средних организаций и не требует от пользователей никаких дополнительных действий по настройке программного обеспечения.
Итак, существует сеть , два контроллера домена, один W2K3, другой W2K8, кроме того в сети есть еще один Windows 2003 server на который будет устанавливаться нужное нам программное обеспечение. Всем этим счастьем пользуется около сотни пользователем которым конечно необходимо общаться между собой. И корпоративный jabber сервер идеально решает эту задачу.
1. Качаем необходимое программное обеспечение.
jabber сервер Openfirepandion версии выше чем 2.9.90 ... версия 2.6.90 некорректно обрабатывает смайлики если в пути встречаются русские символы
2. Заходим на сервер Windows 2003 под учетной записью администратора и запускаем установочный файл Openfire.
Установка не представляет из себя ничего сложного, поэтому подробное описание процесса опустим , единственное что необходимо сделать это настроить openfire на запуск в качестве службы
3. Настройка openfire на запуск в качестве службы.
По умолчанию openfire предлагает запускать себя с помощью GUI программы, что очень неудобно в корпоративной среде, поэтому
открываем командную строку и в ней
cd C:\Program Files\openfire\bin - переходим в папку где установлен openfire.
openfire-service /install - устанавливаем сервис.
openfire-service /start - запускаем сервис.
4. Теперь нам необходимо создать базу данных для хранения настроек и пользователей.
Можно конечно ничего не создавать а воспользоваться встроенной, но это отразиться на производительности.
Openfire может работать с MySQL, Oracle, MS SQL, PostgreSQL,IBM DB2,HSQLDB ...
Я выбрал MySQL просто потому что она уже установлена у меня на Linux сервере...
Логинемся в консоли MySQL под пользователем root, создаем базу данных openfire, пользователя openfire и даем ему все привелегии на вновь созданную базу.
$ mysql -u root -p
mysql> CREATE DATABASE openfire;
mysql> CREATE USER 'openfire'@'%' IDENTIFIED BY '12345';
mysql> GRANT ALL PRIVILEGES ON openfire.* TO 'openfire'@'%';
mysql> FLUSH PRIVILEGES;
5. Создание пользователя для интеграции сервера с Active Directory.
Создадим нового пользователя, назовем его, допустим, openfire, он должен сотоять только в группе "пользователи домена" ...
6. Все подготовительный этапы закончены, можно заняться настройкой самого сервера.
Openfire настраивается с помощью Web интерфейса который ожидает нашего подключения на порт 9090 по протоколу http.
Наберите в вашем браузере http://127.0.0.1:9090, либо, если вы хотите настраивать удаленно http://"адрес jabber сервера":9090
Я сделал несколько скриншотов с комментариями для большей наглядности процесса. Скачать в более качественном разрешении можно
тут.
6.1. Выбор языка.
6.2. Настройка имени домена.
6.3. Выбираем тип базы данных.
6.4. Настраиваем подключение к базе данных.
6.5. Выбираем тип профилей пользователей.
6.6. Настройка подключения к Active Directory.
6.7. Сопоставление свойств пользователей.
6.8. Сопоставление групп.
6.9. Добавление администраторов.
6.10. Настройка закончена.
7. На этом настройка сервера закончена и к нему уже могут подключаться клиенты ... используя в качетстве JID свой логин для входа в сеть логин@domain.example.com а в качестве пароля свой пароль для входа в домен. Но, не всех это устроит. дальше рассмотрим как поставить патч для ntlm авторизации, что избавит нас от необходимости вводить пароль, кроме того, установим и настроем клиент pandion всем пользователям домена, а так же создадим общий контакт лист.
8. Установка патча для ntlm авторизации.
Openfire в стандартной поставки не поддерживает ntlm авторизацию (поддерживает Kerberos, но она значительно сложнее в настройке)
Но эту ситуацию можно исправить, применив сторонний патч, не самое элегантное решение, но, как показывает опыт, вполне рабочее.
Патч можно взять
тут Следующие файлы патча следует скопировать напрямую в директорию установки openfire.
bin\SaslSspi.dll
lib\sasl-sspi.jar
plugins\saslmechanisms.jar
Эти же два файла служат шаблонами для изменений в файлах конфигурации ява и openfire ... заменять ими файлы в директории openfire не следует!!!
conf\openfire-patch.xml
jre\lib\security\java.security.patc
h
Что имеется в виду, откроем файл конфигурации openfire ...
Если вы не меняли каталог при установке, то он у вас лежит C:\Program Files\Openfire\conf\openfire.xml.
так вот для ntlm авторизации согласно патчу мы должны добавить строки
<sasl>
<mechs>PLAIN,NTLM</mechs>
<realm>DOMAIN</realm>
</sasl>
между тегами <jive> и </jive>
Анологично с файлом C:\Program Files\Openfire\jre\lib\security\java.security
в него следует добавить строку security.provider.10=net.za.darkskies.security.sasl.SSPIProvider после
security.provider.1=sun.security.provider.Sun
security.provider.2=sun.security.rsa.SunRsaSign
security.provider.3=com.sun.net.ssl.internal.ssl.Provider
security.provider.4=com.sun.crypto.provider.SunJCE
security.provider.5=sun.security.jgss.SunProvider
security.provider.6=com.sun.security.sasl.Provider
security.provider.7=org.jcp.xml.dsig.internal.dom.XMLDSigRI
security.provider.8=sun.security.smartcardio.SunPCSC
security.provider.9=sun.security.mscapi.SunMSCAPI
Следует иметь в виду что java.security обновляется каждый раз после обновления сервера, так что его надо будет патчить по новой.
Теперь перезапускам сервис openfire.
9. Камнем в огород ntlm может быть тот факт, что его поддерживает всего один клиент, это вышеупомянутый пандион, об установке которого сейчас и пойдет речь.
Для начало установите пандион себе на компьютер и насройте файл "папка с установленным pandion"\Application\settings\brand.xml. В файле brand.xml pandion
Весь файл brand.xml приводить не буду, оставлю лишь только те настройки которые надо изменить
<!-- Connection settings dialog -->
<serveraddress>jabber.domain.example.com</serveraddress> -адрес нашего openfire сервера
<serverport>5222</serverport> - порт сервера
<encryption>tls</encryption> <!-- optional/tls/ssl/none --> уровень шифрования tls
<authentication>ntlm</authentication> <!-- normal/ntlm --> авторизация ntlm
<autologin>true</autologin> - выполнять автовход
<welcomescreen>no</welcomescreen> - экран приветствия, назойливая вещь, совсем не нужна
О значении остальных директив можно узнать на официальном сайте pandion.
Архивируем папку программой архиватором WinRar после чего копируем архив на сетевой ресурс доступный для чтения всем пользователям, туда же копируем консольную утилиту UnRar.exe. (поставляется вместе с WinRar)
Кроме того, в этой же папке, создаем ярлык с таким путем %AppData%\Pandion\Application\pandion.exe
Пусть наш сетевой ресурс доступный для чтения всем пользователям называется \\kdc\install
Создадим на нем скрипт pandion.bat следущего содержания
chcp 1251
if exist "%AppData%\pandion\application\pandion.exe" exit
copy \\kdc\install\Pandion.rar "%AppData%"
copy \\kdc\install\UnRar.exe "%AppData%"
copy \\kdc\install\pandion.lnk "%homepath%\Рабочий стол"
copy \\kdc\install\pandion.lnk "%homepath%\Главное меню"
copy \\kdc\install\pandion.lnk "%homepath%\Главное меню\Программы\Автозагрузка"
copy \\kdc\install\pandion.lnk "%homepath%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
copy \\kdc\install\pandion.lnk "%homepath%\Desktop"
chdir "%AppData%"
UnRar x -y pandion.rar
start pandion\application\pandion.exe
Этот скрипт надо назначить при помощи групповых политик на выполнение при входе пользователя, ну или запустить вручную на каждом компьютере. (Надеюсь с этим у вас проблем не возникнет)
10. Осталось самая малость ... общий контакт лист ...
Для реализации этого хитрого безобразия создайте группу в AD, назовите её допустим jabber и поместите в нее всех ваших пользователей.
После чего зайдите в Web интерфейс вашего сервера, в меню User/Groups, далее в Groups, найдите там группу jabber и щелкните по ней, после чего установите галочку Enable contact list group sharing и придумайте как все ваши коллеги будут называться у себя в болталке, вот и всё.
11. Пару замечаний об установке на linux, ссылки и последнее слово.
Прежде чем настраивать jabber сервер под Windows я установил openfire на ubuntu server 9.04, особых трудов это не составило.
Но к сожалению патча для ntlm авторизации под linux не существет и пришлось настраивать Kerberos ... что в принципе возможно и на сайте разработчиков есть статьи на эту тему которым я самозабвенно следовал, однако одну маленькую особенность мне победить так и не удалось. Kerberos GSSAPI аунтентификация требовала первый раз при подключении ввод пароля, а потом работала как часы, внятных комментариев от разработчиков мне получить не удалось, поэтому пришлось использовать Windows.
Ссылки
Официальный сайт разработчиков Openfire английский
Официальный сайт разработчиков Pandion английский
Полезный раздел на форуме ru-board посвященный Openfire русский
Установка Openfire на Linux оффициальное руководство английский
Установка и настройка связки CentOs 5.x + OpenFire + Kerberos + SSO + Pidgin русский
Тема на официальном форуме openfire где я спрашивал об особенностях настройки SSO английский
PS .. если вы дочитали до конца моё литературное творчество, то не пожалейте 5 минут своего времени оставьте ваш комментарий, пожелание или вопрос ....
Записки сисадмина
