Как стать автором
Обновить

Комментарии 36

Откуда и зачем такой адовый конфиг krb5.conf? Достаточно указания только своего домена.
Конфиг был развернут Debian-ом, решил не кромсать, а просто добавил свое, нужное.
Я бы выпилил лишнее, совершенно не за чем. Имхо, оставлять в конфиге нужно только то, что реально необходимо.
Но в любом случае, ваша статья довольно полезна, спасибо. Хотя, стоило бы упомянуть, что она подходит для «продвинутых использователей» (ишь как загнул)) опенфаер и AD, т.к. многие нюансы в статье опущены и установка с нуля по этому хауту не пройдет. Взять хотя бы то, что корневой DN для поиска аккаунтов и групп уж точно может отличаться. Кстати, за одним, я бы порекомендовал создавать отдельные группы для опенфаер и дополнительно включать туда пользователей, а не использовать группы безопасности. В общем, если статью как следует дополнить, то выйдет очень хорошая инструкция от и до.
Выпилил, работает :)
На этом установка Openfire закончена, можно зайти в консоль администратора.

И еще, хочу добавить, т.к. иногда этот глюк всплывает из версии к версии (про 3.8.х сказать не могу): после завершения настройки рекомендуется перезапустить сервис с опенфаером, т.к. иногда он отказывается пускать под доменным аккаунтом после настройки, что вызывает батхерт на ровном месте.

кстати небольшое дополнение, в случае настройки по этому руководство в первый раз, думаю легко запутаться, ибо как я понял имя kdc у вас совпадает с именем домена. И если в файле krb5.conf поле kdc можно интуитивно догадаться, то остальные — admin_server и password server в samba.conf — можно не додумать и долго биться головой об стенку. И еще заметил опечатку «AllofTGTSessionKey» — AllowTGTSessionKey конечно же.
Спасибо, исправил.
23) Правим реестр:
24) Создаем в C:\Windows файл kbd5.ini с содержимым:

Раз уж речь идёт о Active Directory, то можно и через GPP настроить.
А вообще: спасибо за статью — сам одно время хотел настроить.
Набираем Base DN: ou=Jabber,ou=Company_Users,dc=realm,dc=local

Я так понимаю, что этим Вы пытались дать доступ к jabber только пользователям из ou=Jabber, ou=Company_Users?
Можно сделать изящнее:
  1. Создать доменную группу распространения (группа безопасности будет излишей)
  2. В параметре Openfire «ldap.searchFilter» указать: (memberOf=<dn созданной группы>)

Тогда доступ к серверу получат только члены заданной группы.
Если группа будет группой распространения — она не увеличит размер TGT пользователей.
Да, доступ из этой OU. С группами еще не разбирался, очевидно будет удобнее, спасибо.
Спасибо, в скором времени планирую тоже все это настроить. Раньше пробовал, не получилось. С вашей статьей будет легче)
На здоровье. Сам бился несколько дней, пока все не сошлось. )))
У меня уже вторая волна энтузиазма настроить эту связку. Openfire установленный на windows настроил на NTLM аутентификацию, но вот почему то хочу его держать на выделенной виртуалке с центосом. Уже второй раз прихожу к стадии: OpenFire авторизует пользователей из AD по логин/пароль, kerberos вроде настроен исправно, но через SSO никак не пускает :( Есть одна вещь подозрительная, у всех в руководствах klist выдает, что тикет хранится в кэше, а у меня кэш пустой, может в этом дело. Вообще Kerberos и его диагностика — для меня какой-то темный лес. Сейчас еще по вашей статье попробую все с нуля поднять.
Ну вот и результат. Все получилось по этому руководству. Почему с другим не получалось не пойму. Немного другой порядок действий тут был, нежели во всех других рекомендациях. Везде пишут выполнить kinit под нужным пользователем и подрезать лишнее в файле krb5.keytab а тут же наоборот сначала кейтаб и с помощью него kinit. И еще заметил у себя странный глюк, но он касается OpenFire, а не Kerberos. В веб панели, когда добавляю параметры (sasl например) не обрабатывается положение радиобокса «Do not encrypt property value» и значение всегда добавляется в режиме Encrypt, после чего его надо отредактировать и оно станет decrypt при еще одном редактировании снова encrypt и так циклично. Положение радиобокса ни на что не влияет.
Настройка samba тут вообще лишняя достаточно настройки kerberos
то есть в домен Debian вводить не надо?
Да. никакого смысла нет.
Ставил опенфайр с сайта в виртуалку. Легким движением руки все ввелось в домен и заработало без всяких плясок как тут.
Если оставить Openfire сервисом на Windows-сервере, то с помощью Миранды, тройки файлов для NTML авторизации и правки конфига в 4 строчки можно добиться такого же успеха.
Читал про это, хотелось Kerberos. NTLM не хотелось.
Позвольте поинтересоваться мотивами?
ОС-ей старше XP нет, Home версий тоже нет.
Безопасникам тоже больше нравится Kerberos.
www.securitylab.ru/analytics/362448.php
Кстати, у NTLM есть преимущество. SSO будет работать на компьютерах вне домена, естественно при условии, что учетная запись на компе и в домене совпадают. Работает даже с вин хоум.
Кстати, у NTLM есть преимущество. SSO будет работать на компьютерах вне домена, естественно при условии, что учетная запись на компе и в домене совпадают. Работает даже с вин хоум.

Вы не находите, что в корпоративной среде это будет скорее недостатком? С компьютера вне домена потенциально проще получить пароль пользователя, а если он будет совпадать с корпоративным… и логин будет совпадать…
Не нахожу. Безопасность рабочих станций вне домена так же лежит на плечах ИТ-персонала и в принципе не так важно, в домене или нет. В конкретно моем случае, я использовал эту фишку для сквозной аутентификации офисов в других городах, и опять же, конкретно в моем случае удаленным юзерам по сути и можно было только логиниться в опенфаер, да адресуную книгу из AD забирать. Сразу же скажу, что осведомлен, что надо было там КД ставить и пр и пр. но тогда было сделано именно так как сделано, в том числе ввиду доставшихся вин хоум.
Честно говоря, мне непонятна цель вводить linux машину в домен? В чем профит?

Работает все без samba и kerbios.

P.S. Буду сползать с openfire :D
Работает все без samba и kerbios.

Поделитесь пожалуйста секретом, как у вас работает SSO в openfire без samba и kerberos? Интересно же!
проморгал, тогда нужен только kerbios. Samba не нужна.
Сначала подумал что опечатка, но два раза… — не бывает. Что такое:
kerbios

?
да извиняюсь, тяжкий день сегодня.

Попало в автодополнение откуда то.

kerberos конечно же.
спустя 3 года сделаю важное добавление (OF — 4.0.1):
Опенфаер базу MySQL фигачит в кодировке latin1_swedish_ci (в моем случае) т.е. надо в UTF8 ее перебить, в противном случае мясо с группами и контактами в ростере, фактически неработоспсобная версия для русского языка.
Требуется до развертывания опенфаера сделать (взято отсюда):

mysql -u user -p
use your_base
alter database character set utf8;
alter database collate utf8_general_ci;

Во время установки, когда будете выбирать драйвер MySQL укажите URL к базе вида:
jdbc:mysql://localhost:3306/your_base?useUnicode=true&characterEncoding=UTF-8&characterSetResults=UTF-8

Если openfire уже установлен, то переконвертируйте базу в utf8, затем файле конфигурации openfire.xml допишите после jdbc:mysql://localhost:3306/your_base

?useUnicode=true&characterEncoding=UTF-8&characterSetResults=UTF-8

Здесь нужно ОБЯЗАТЕЛЬНО! заменить & на & иначе вместо входа в админку увидите страницу установки openfire.

Я просто дропнул базу, создал в верной кодировке и перенастроил опенфаер.

К слову, миранда-NG прекрасно работает через SSO по GSSAPI из коробки.
я уже себе документ сделал по опенфайру — по результатам первых блинов, которые комом. В UTF пришлось и на 3ей версии переделывать, иначе оффлайн сообщения на русском не доходили. После все заработало. Про Miranda-NG новость порадовала. Можете расписать плюсы/минусы в сравнении со спарком? как дела с авторизацией в Windows 7/8 (те что с UAC)? В особенности у локальных админов?
Миранду сравнивать со спраком… :) Ну спарк просто убогий по сравнению с ней. А с UAC все хорошо, что под админом, что под обычным юзером. Т.е. UAC вообще не запрашивается, как и должно быть. Миранде-NG даже krb5.ini и правка реестра не требуется.
Мирандой никогда не пользовался, сейчас попробовал — порадовал очень быстрый запуск и шустрый интерфейс. Без krb5.ini вроде и впрямь работает. Но есть и пара вопросов. Есть ли какой плагин для рассылки по базе контактов {All|Online|offline}? В спарке этот функционал использовался для оповещений. И если таки заводить интеграцию OpenFire с Asterisk в Spark есть плагин для превращения в Sip Phone. По WiKi справке плагинов миранды такого не увидел :(
Сам спросил — сам ответил. Нашел функционал рассылок. Осталось только Sip Phone, хотя нам он пока не актуален. Похоже пора делать MSI миранды.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории