Pull to refresh

Comments 36

Откуда и зачем такой адовый конфиг krb5.conf? Достаточно указания только своего домена.
Я бы выпилил лишнее, совершенно не за чем. Имхо, оставлять в конфиге нужно только то, что реально необходимо.
Но в любом случае, ваша статья довольно полезна, спасибо. Хотя, стоило бы упомянуть, что она подходит для «продвинутых использователей» (ишь как загнул)) опенфаер и AD, т.к. многие нюансы в статье опущены и установка с нуля по этому хауту не пройдет. Взять хотя бы то, что корневой DN для поиска аккаунтов и групп уж точно может отличаться. Кстати, за одним, я бы порекомендовал создавать отдельные группы для опенфаер и дополнительно включать туда пользователей, а не использовать группы безопасности. В общем, если статью как следует дополнить, то выйдет очень хорошая инструкция от и до.
На этом установка Openfire закончена, можно зайти в консоль администратора.

И еще, хочу добавить, т.к. иногда этот глюк всплывает из версии к версии (про 3.8.х сказать не могу): после завершения настройки рекомендуется перезапустить сервис с опенфаером, т.к. иногда он отказывается пускать под доменным аккаунтом после настройки, что вызывает батхерт на ровном месте.

кстати небольшое дополнение, в случае настройки по этому руководство в первый раз, думаю легко запутаться, ибо как я понял имя kdc у вас совпадает с именем домена. И если в файле krb5.conf поле kdc можно интуитивно догадаться, то остальные — admin_server и password server в samba.conf — можно не додумать и долго биться головой об стенку. И еще заметил опечатку «AllofTGTSessionKey» — AllowTGTSessionKey конечно же.
23) Правим реестр:
24) Создаем в C:\Windows файл kbd5.ini с содержимым:

Раз уж речь идёт о Active Directory, то можно и через GPP настроить.
А вообще: спасибо за статью — сам одно время хотел настроить.
Набираем Base DN: ou=Jabber,ou=Company_Users,dc=realm,dc=local

Я так понимаю, что этим Вы пытались дать доступ к jabber только пользователям из ou=Jabber, ou=Company_Users?
Можно сделать изящнее:
  1. Создать доменную группу распространения (группа безопасности будет излишей)
  2. В параметре Openfire «ldap.searchFilter» указать: (memberOf=<dn созданной группы>)

Тогда доступ к серверу получат только члены заданной группы.
Если группа будет группой распространения — она не увеличит размер TGT пользователей.
Да, доступ из этой OU. С группами еще не разбирался, очевидно будет удобнее, спасибо.
Спасибо, в скором времени планирую тоже все это настроить. Раньше пробовал, не получилось. С вашей статьей будет легче)
На здоровье. Сам бился несколько дней, пока все не сошлось. )))
У меня уже вторая волна энтузиазма настроить эту связку. Openfire установленный на windows настроил на NTLM аутентификацию, но вот почему то хочу его держать на выделенной виртуалке с центосом. Уже второй раз прихожу к стадии: OpenFire авторизует пользователей из AD по логин/пароль, kerberos вроде настроен исправно, но через SSO никак не пускает :( Есть одна вещь подозрительная, у всех в руководствах klist выдает, что тикет хранится в кэше, а у меня кэш пустой, может в этом дело. Вообще Kerberos и его диагностика — для меня какой-то темный лес. Сейчас еще по вашей статье попробую все с нуля поднять.
Ну вот и результат. Все получилось по этому руководству. Почему с другим не получалось не пойму. Немного другой порядок действий тут был, нежели во всех других рекомендациях. Везде пишут выполнить kinit под нужным пользователем и подрезать лишнее в файле krb5.keytab а тут же наоборот сначала кейтаб и с помощью него kinit. И еще заметил у себя странный глюк, но он касается OpenFire, а не Kerberos. В веб панели, когда добавляю параметры (sasl например) не обрабатывается положение радиобокса «Do not encrypt property value» и значение всегда добавляется в режиме Encrypt, после чего его надо отредактировать и оно станет decrypt при еще одном редактировании снова encrypt и так циклично. Положение радиобокса ни на что не влияет.
Настройка samba тут вообще лишняя достаточно настройки kerberos
то есть в домен Debian вводить не надо?
Ставил опенфайр с сайта в виртуалку. Легким движением руки все ввелось в домен и заработало без всяких плясок как тут.
Если оставить Openfire сервисом на Windows-сервере, то с помощью Миранды, тройки файлов для NTML авторизации и правки конфига в 4 строчки можно добиться такого же успеха.
Читал про это, хотелось Kerberos. NTLM не хотелось.
Позвольте поинтересоваться мотивами?
Кстати, у NTLM есть преимущество. SSO будет работать на компьютерах вне домена, естественно при условии, что учетная запись на компе и в домене совпадают. Работает даже с вин хоум.
Кстати, у NTLM есть преимущество. SSO будет работать на компьютерах вне домена, естественно при условии, что учетная запись на компе и в домене совпадают. Работает даже с вин хоум.

Вы не находите, что в корпоративной среде это будет скорее недостатком? С компьютера вне домена потенциально проще получить пароль пользователя, а если он будет совпадать с корпоративным… и логин будет совпадать…
Не нахожу. Безопасность рабочих станций вне домена так же лежит на плечах ИТ-персонала и в принципе не так важно, в домене или нет. В конкретно моем случае, я использовал эту фишку для сквозной аутентификации офисов в других городах, и опять же, конкретно в моем случае удаленным юзерам по сути и можно было только логиниться в опенфаер, да адресуную книгу из AD забирать. Сразу же скажу, что осведомлен, что надо было там КД ставить и пр и пр. но тогда было сделано именно так как сделано, в том числе ввиду доставшихся вин хоум.
Честно говоря, мне непонятна цель вводить linux машину в домен? В чем профит?

Работает все без samba и kerbios.

P.S. Буду сползать с openfire :D
Работает все без samba и kerbios.

Поделитесь пожалуйста секретом, как у вас работает SSO в openfire без samba и kerberos? Интересно же!
проморгал, тогда нужен только kerbios. Samba не нужна.
Сначала подумал что опечатка, но два раза… — не бывает. Что такое:
kerbios

?
да извиняюсь, тяжкий день сегодня.

Попало в автодополнение откуда то.

kerberos конечно же.
спустя 3 года сделаю важное добавление (OF — 4.0.1):
Опенфаер базу MySQL фигачит в кодировке latin1_swedish_ci (в моем случае) т.е. надо в UTF8 ее перебить, в противном случае мясо с группами и контактами в ростере, фактически неработоспсобная версия для русского языка.
Требуется до развертывания опенфаера сделать (взято отсюда):

mysql -u user -p
use your_base
alter database character set utf8;
alter database collate utf8_general_ci;

Во время установки, когда будете выбирать драйвер MySQL укажите URL к базе вида:
jdbc:mysql://localhost:3306/your_base?useUnicode=true&characterEncoding=UTF-8&characterSetResults=UTF-8

Если openfire уже установлен, то переконвертируйте базу в utf8, затем файле конфигурации openfire.xml допишите после jdbc:mysql://localhost:3306/your_base

?useUnicode=true&characterEncoding=UTF-8&characterSetResults=UTF-8

Здесь нужно ОБЯЗАТЕЛЬНО! заменить & на & иначе вместо входа в админку увидите страницу установки openfire.

Я просто дропнул базу, создал в верной кодировке и перенастроил опенфаер.

К слову, миранда-NG прекрасно работает через SSO по GSSAPI из коробки.
я уже себе документ сделал по опенфайру — по результатам первых блинов, которые комом. В UTF пришлось и на 3ей версии переделывать, иначе оффлайн сообщения на русском не доходили. После все заработало. Про Miranda-NG новость порадовала. Можете расписать плюсы/минусы в сравнении со спарком? как дела с авторизацией в Windows 7/8 (те что с UAC)? В особенности у локальных админов?
Миранду сравнивать со спраком… :) Ну спарк просто убогий по сравнению с ней. А с UAC все хорошо, что под админом, что под обычным юзером. Т.е. UAC вообще не запрашивается, как и должно быть. Миранде-NG даже krb5.ini и правка реестра не требуется.
Мирандой никогда не пользовался, сейчас попробовал — порадовал очень быстрый запуск и шустрый интерфейс. Без krb5.ini вроде и впрямь работает. Но есть и пара вопросов. Есть ли какой плагин для рассылки по базе контактов {All|Online|offline}? В спарке этот функционал использовался для оповещений. И если таки заводить интеграцию OpenFire с Asterisk в Spark есть плагин для превращения в Sip Phone. По WiKi справке плагинов миранды такого не увидел :(
Сам спросил — сам ответил. Нашел функционал рассылок. Осталось только Sip Phone, хотя нам он пока не актуален. Похоже пора делать MSI миранды.
Only those users with full accounts are able to leave comments. Log in, please.