Filtro de Busca de Grupos - AD

Bom dia!

Hoje faço autenticação dos ususarios na base do AD, onde ja filtro um grupo chamado Openfire que comtem os usuarios , porem, gostaria de filtrar tambem os grupos de departamento, pois quando mando exibir os GRUPOS do AD para compartilhamento, aparece todos.

Acredito que exista algum filtro para buscar Grupos dentro de Unidades Organizacionais no AD.

Isso é possivel?

Obrigado!

Olá amigo, o openfire busca todos os grupos que você tem no AD, você pode compartilhar estes grupos no console e dividir por nomes distintos, por essa opção não basta, ou quer que ele filtre direto o grupo que o usuario percente no AD?

Ola vinicius,

Então, openfire busca todos os grupos, porem, gostaria de filtrar apenas os grupos dentro de uma Unidade Organizacional.

Olá Nilmar.

Então… tive a mesma dúvida que você quando fui configurar os acessos no meu AD. E nesse caso, eu não consegui achar um meio termo. Para uma melhor organização da minha estrutura, eu criei uma OU para cada setor da empresa. Quando iniciei a instalação, se eu configurava o Openfire diretamente para o domínio ( dc=dominio,dc=local) ele simplesmente pegava todos os grupos realmente. Só conseguia filtrar os grupos de uma OU específica, quando eu a citava no filtro ( OU=nome_da_ou,dc=dominio,dc=local).

Só resolvi meu problema criando uma OU OPENFIRE, e recriando os grupos que teriam acesso. Tenho um grupo no openfire “coordenadores” que não existia na estrutura inicial do AD, por exemplo. Deu um trabalhinho no início mas resolvi meu problema. Realmente não consegui filtrar grupos de OUs específicas.

Ola Renan,

Desta maneira voce conseguiu trazer apenas os grupos dentro da OU?

E voce fez a mudança em qual campo de busca, ldap.baseDN, ldap.groupSearchFilter,ou ldap.searchFilter ?

Boa tarde, Renan;

Meu ambiente atual está integado com AD. Só que a mandeira que está feita, está trazendo todos os grupos existentes do AD. Eu gostaria de trazer somente uma determinada “OU” chamada “Openfire” e dentro dessa OU tem os Grupos com o devidos usuários em cada Grupo.

Se você conseguiu fazer, é possível passar onde que você informou os parametros para trazer?

Fazendo dessa forma é possível liberar o chat interno somente para os usuários que estão dentro dos grupos que está na UO Openfire

Versão do openfire:3.9.3

Mysql:MySQL 5.6.19

SO:Windows Server 2008 R2

Att.

Antonio

Antônio e Nilmar, boa tarde.

Primeiro, desculpa a imensa demora em responder. Passei um tempo sem acompanhar o fórum. Resolvi meu problema especificando a OU no DN Base, na primeira tela de configuração da integração com o AD, seguindo a ordem do objeto, de dentro pra fora, como mostra a figura.

http://i.imgur.com/JKuXDT2.png

Depois, usei os parametros de busca normais…

Pessoal,

Estou com um problema igual ao mencionado. Usando o client Spark nao consigo pesquisar por nenhum usuario ou grupo, aparece mensagem: Não foi possivel contactar o serviço de busca

O campo de Base DN esta apontando para a raiz do dominio dc=“empresa”,dc=“local”.

Se eu alterar o Base DN para o grupo Spark_Groups os usuarios não autenticam.

Abaixo da Raiz tenho a OU aonde estao os usuarios e outra aonde estao os grupo que eu desejo que o Spark liste os usuarios.

Captura de Tela 2014-07-30 às 21.23.08.png

Eu até compartilhei o grupo para todos mas mesmo assim nao resolve.

A estrutura de AD já estava pronta e funcionando, tive somente que reinstalar o servidor, pois o antigo parou, porém deve estar faltando algo de configuração.

Vocês podem me ajudar?

Captura de Tela 2014-07-30 às 21.18.12.png

@wgeraldini,

"

O campo de Base DN esta apontando para a raiz do dominio dc=“empresa”,dc=“local”.

Se eu alterar o Base DN para o grupo Spark_Groups os usuarios não autenticam.

"

Creio que isso esteja acontecendo pois os seus usuários não estão dentro da OU Spark_Groups, por isso, quando vc altera o Base DN pra essa OU, não autentica nenhum usuário.

Renan, obrigado pela resposta rápida.

Na verdade o meu problema não é login e sim realizar pesquisa de usuarios no AD usando o client Spark.

Vc tem alguma dica?

Abs

Boa tarde.

Wgeraldini.

Atualmente eu tenho integradao meu openfire com AD. Tentei fazer a mesma estrutura que você criou. Uma OU com todos os grupos que preciso disponibilizar no Openfire e dentro de cada grupos seus usuários, não deu certo. Quando eu tentava definir um administrador no openfire, ele jnão encontrava o usuário do AD. Só depois da estrutura abaixo que conseguir fazer. Mostrando todos os grupos do meu dominio.:

Host:
Nome_Servidor_AD ou ip
Porta:
389
DN Base:
dc=“meu_dominio”,dc="local"
DN Administrador:
Usuario_Criado_Como_Administrador_Dominio@meu_dominio.local

Configurações Avançadas

Utilizra Pool de Conexão:
Pooling de Conexão. O padrão é 'Sim’
Utilizar SSL:
Ativa conexões SSL ao seu servidor LDAP, porta padrão normalmente é 636
Ativar Debug:
Escrever informações de rastreio sobre conexões LDAP no System.out
Seguir Referências:
Seguir automaticamente referências LDAP quando encontrar
Deference Aliases:
Automatically deference LDAP aliases when found
???setup.ldap.server.enclose_dns???:
???setup.ldap.server.enclose_dns_help???

Depois que mostrou todos meus grupos no openfire, eu compartilhei os grupos para mostrar no spark.

Só que eu gostaria de fazer do jeito que você está tentando fazer. Pegar um determinada “OU” e dentro dessa “OU” mostrar os grupos criado e os usuários de cada grupo.

Fazendo dessa forma, acredito que ficaria até melhor a performance do openfire que vai pegar somente aqueles grupos da OU e também se o usuário tentar acessar o spark se não estiver em algum grupo daquele OU não vai conseguir acessar.

Acredito que alguém do grupo tenha essa configuração e se tiver, por favor, compartilhe.

Minha configuração do openfire:

Openfire:3.9.3
Banco de Dados e Versão: MySQL 5.6.19

SO / Hardware: Windows Server 2008 R2 / x86.

Att.

Antonio

Esqueci de passou outra configuração, segue abaixo:

Mapeamento de Usuário
Campo Nome de Usuário:

Configurações Avançadas

Campos para Busca:
Filtro de Usuário:
(objectClass=organizationalPerson)

wgeraldini,

não entendi cara… vc não tá conseguindo buscar os usuários no client spark?

O erro que vc citou, é buscando nesse campo aqui em anexo??

Antonio…tentei a mesma coisa que vcs dois em anexo…pelo menos pra mim não rolou. Não adianta criar OU com os grupos dentro e os usuarios nesses grupos… se o objeto usuário em sim não estiver dentro da base DN discriminada…ele não autentica…o ruim disso é que puxa todos os grupos e ai vc tem que compartilhar só os que vc quer mesmo… tentei de outras formas mas só rolou assim…

http://i.imgur.com/8LBTMbj.png

Boa tarde.

Depois de muita pesquisa consegui fazer o que precisava.

Eu precisava filtrar determinados grupos do AD. Não mostrasse todos os grupos do AD. Dessa forma, eu consigo incluir somente usuários que tem permissão para usa o chat e principalmente mostrar determinados grupos no Openfire. Se são fizesse dessa forma estaria mostrando usuários que não usa o chat e também alguns usuários genérico utilizado para acessar frente de caixa.

  • Primeiro foi criado um grupo para cada OU (que seria os departamentos da matriz e filiais). Por exemplo, criei um grupo “001 - Informática.chat”.

  • Criado um filtro no Openfire, nas propriedades do sistema, conforme citado abaixo:

Host:
seu_servidor.seu_dominio.local
Porta:
389
DN Base:
dc=“seu_dominio”,dc="local"
DN Administrador:
Usuário_Com_Permissão_Acesso_Usuarios_Do_AD@seu_dominio.local

No campo ldap.groupSearchFilter = (objectClass=group)(cn=*.chat)

No Campo ldap.searchFilter: = (&(objectclass=organizationalPerson)(|(memberOf:1.2.840.113556.1.4.1941:=CN=Gru poAcessarChat,CN=Users,DC=seu_dominio,DC=local))(!(userAccountControl:1.2.840.11 3556.1.4.803:=2)))

O “Usuário_Com_Permissão_Acesso_Usuarios_Do_AD” foi criado no Users dando permissão de administrador. Criei o grupo “GrupoAcessarChat” dentro o Users. Dentro do “GrupoAcessarChat” deixei todos os grupos .chat e “Usuário_Com_Permissão_Acesso_Usuarios_Do_AD”.

Dessa forma eu consegui filtrar todos os grupos com final .chat e usuário acessa o chat só se estiver dentro do grupo filtrado.

Muito importante é procurar não usar o copiar + colar ao definir os campos ldap.searchFilter e ldap.groupSearchFilter. Quando encontrei essa solução, que não lembro qual link foi, eu copie e colei, alterei os campos necessários e não tinha jeito de funcionar. Não tinha jeito de funcionar. Só depois que digitei tudo e ai funcionou 100%.

Att.
Antonio

Antonio,

O que seriam esses números na pesquisa?

ldap.searchFilter: = (&(objectclass=organizationalPerson)(|(memberOf:1.2.840.113556.1.4.1941:=CN=Gru poAcessarChat,CN=Users,DC=seu_dominio,DC=local))(!(userAccountControl:1.2.840.11 3556.1.4.803:=2)))

Pessoal, Bom dia!

Preciso limitar a visualização dos usuários e grupos seguindo a hierarquia do AD, é possível ?

For example:

Grupo X = Todos (os usuários consegue visualizar os usuários do spark nesse grupo)

Grupo Y = Diretoria (os usuários desse grupo só consegue visualizar quem está no mesmo)

e assim por diante. no cenário atual, mesmo separando os grupos, qualquer usuário que conectar consegue visualizar o grupo de Todos os usuários…

Informção de mapeamento LDAP
Host:
192.168.0.19
Porta:
389
DN Base:
DC=“sterbom”,DC="corp"
DN Administrador:
CN=“spark”,CN=“users”,DC=“sterbom”,DC=“corp”

Criei um grupo chamado “openfire” no container users e adicione todos grupos do meu AD nesse grupo.

Consegui resolver! tinha uma opção de compartilhamento de grupos e deu Certo!