Openfire + AD - Todos os usuários aparecem, mas ninguem loga

Prezados amigos,

Sou novo no forum e no uso do Openfire, então já deixo minhas desculpas por qualquer coisa e aceito orientações, ok.

Estou com um problema no openfire e peço ajuda. Na instalação do openfire não houve qualquer dificuldade, está instalado num Windows Server 2003. Em Usuários/Grupos ele listou todos os usuários e grupos do AD. Consigo logar no console admin sem problemas. Também consigo logar com o meu usuário sem problemas pelo Spark, ou mesmo outro como o Pandion, mas somente o meu usuário e outro usuário administrador loga. Nenhum outro usuário da lista loga de jeito nenhum. Já fiz de tudo. Reinstalei e alterei os filtros de várias formas, inclusive seguindo algumas dicas de filtro encontrados na web, mas no final somente o meu usuário loga. Também já olhei os firewalls e testei em outros computadores, mas o resultado é sempre o mesmo, para os demais usuários aparece a mensagem: “Invalid username or password”.

Alguém tem alguma idéia ou sabe o que pode ser e como resolver esse problema???

Desde já o meu muito obrigado!!!

Johnny

Johnny, poste sua configuração do:

Propriedades do Sistema

Servidor, Gerenciamento do Servidor, Propriedades do sistema

Provavelmente seja alguma configuração do ldap que esteja errada.

Oi Vinicius,

Desculpe a demora! Segue abaixo a configuração como pediu:

admin.authorizedJIDs

openfire@empresa,teste@empresa,johnny@empresa

ldap.adminDN

openfire@empresa

ldap.adminPassword

hidden

ldap.autoFollowAliasReferrals

true

ldap.autoFollowReferrals

false

ldap.baseDN

dc=empresa,dc=dm,dc=es,dc=net,dc=br

ldap.connectionPoolEnabled

true

ldap.debugEnabled

false

ldap.emailField

mail

ldap.encloseDNs

true

ldap.groupDescriptionField

description

ldap.groupMemberField

member

ldap.groupNameField

cn

ldap.groupSearchFilter

(objectClass=group)

ldap.host

srv01

ldap.ldapDebugEnabled

false

ldap.nameField

cn

ldap.override.avatar

true

ldap.port

389

ldap.posixMode

false

ldap.searchFilter

(objectClass=organizationalPerson)

ldap.sslEnabled

false

ldap.usernameField

sAMAccountName

ldap.vcard-mapping

{cn} {mail} {displayName} {homePostalAddress} {homeZip} {co} {streetAddress} {l} {st} {postalCode} {co} {homePhone} {mobile} {telephoneNumber} {mobile} {facsimileTelephoneNumber} {pager} {title} {department} ]]>"><![CDATA[ {cn} {mail} {displayName} {homePostalAddress} {homeZip} {co} {streetAddress} {l} {st} {postalCode} {co} {homePhone} {mobile} {telephoneNumber} {mobile} {facsimileTelephoneNumber} {pager} {title} {department} ]]>

provider.auth.className

org.jivesoftware.openfire.ldap.LdapAuthProvider

provider.group.className

org.jivesoftware.openfire.ldap.LdapGroupProvider

provider.user.className

org.jivesoftware.openfire.ldap.LdapUserProvider

provider.vcard.className

org.jivesoftware.openfire.ldap.LdapVCardProvider

update.lastCheck

1368014300265

xmpp.auth.anonymous

true

xmpp.domain

empresa

xmpp.session.conflict-limit

0

xmpp.socket.ssl.active

true

Estou a disposição e muito obrigado!!!

Johnny

Bom dia Johnny, sua configuração esta muito diferente da minha, você integrou com AD (Server 20xx?)

Utiliza banco de dados interno ou externo?

Faz algumas alterações já:

ldap.host: Coloca o ip da maquina, e não o nome.

xmpp.domain: Coloca o ip da maquina, e não o nome.

ldap.adminDN: Coloca assim: CN=administrador,CN=users,DC=dirsaude,DC=pm,DC=es,DC=gov,DC=br

Tenta com essas alterações, se não der certo, vemos fazendo mais testes.

Oi Vinicius,

Fiz como você disse, mas o problema continua.

Estou usando o banco interno. O Server é o 2003 R2 e a integração ocorre normalmente. Consigo ver todos os usuários do AD listados no Openfire (Usuários/Grupos). Porém, somente três usuários conseguem logar: Eu, o administrador e o openfire. Criei um usuário teste, como os demais do AD, e não loga. Coloquei o usuário teste como administrador e também não loga. Usei outros usuários do AD, já cadastrados, e não logam. Somente os três mesmo.

Desde já muito obrigado!!! Aguardo orientações.

Johnny

Amigo, da uma comparada com a minha configuração:

Obs: Também utilizo banco de dados interno, meu servidor Openfire é o mesmo servidor do AD primario, e meu dominio é: fuga.com.br

Vi que tem muita coisa diferente, tenta comparar e deixar parecido, pelo que da para entender, o servidor integro com o AD, mas esta permitindo somente usuarios com direitos administrativos logarem no console. Tenta criar um novo usuario no AD, coloca ele no grupo dos administradores e ver se consegue conectar. Caso de certo esse teste, basta encontrar a configuração que esta fazendo essa limitação errada. Estou meio sem tempo para verificar uma por uma, então segue a minha configuração abaixo:

admin.authorizedJIDs

administrador@192.168.0.28,vini@192.168.0.28,informatica@192.168.0.28,cpd@192.16 8.0.28

cache.KrakenRegistrationCache.maxLifetime

-1

cache.KrakenRegistrationCache.min

-1

cache.KrakenRegistrationCache.size

-1

cache.KrakenRegistrationCache.type

optimistic

cache.KrakenSessionLocationCache.maxLifetime

-1

cache.KrakenSessionLocationCache.min

-1

cache.KrakenSessionLocationCache.size

-1

cache.KrakenSessionLocationCache.type

optimistic

fastpath.database.setup

true

ldap.adminDN

CN=administrador,CN=users,DC=fuga,DC=com,DC=br

ldap.adminPassword

hidden

ldap.autoFollowAliasReferrals

true

ldap.autoFollowReferrals

false

ldap.baseDN

DC=fuga,DC=com,DC=br

ldap.connectionPoolEnabled

true

ldap.debugEnabled

false

ldap.emailField

mail

ldap.encloseDNs

true

ldap.groupDescriptionField

description

ldap.groupMemberField

member

ldap.groupNameField

cn

ldap.groupSearchFilter

(objectClass=group)

ldap.host

192.168.0.28

ldap.ldapDebugEnabled

false

ldap.nameField

cn

ldap.override.avatar

false

ldap.port

389

ldap.posixMode

false

ldap.searchFilter

(objectClass=organizationalPerson)

ldap.sslEnabled

false

ldap.usernameField

sAMAccountName

ldap.vcard-mapping

{cn} {mail} {displayName} image/jpeg {jpegPhoto} {homePostalAddress} {homeZip} {co} {streetAddress} {l} {st} {postalCode} {co} {homePhone} {mobile} {telephoneNumber} {mobile} {facsimileTelephoneNumber} {pager} {title} {department} ]]>"><![CDATA[ {cn} {mail} {displayName} image/jpeg {jpegPhoto} {homePostalAddress} {homeZip} {co} {streetAddress} {l} {st} {postalCode} {co} {homePhone} {mobile} {telephoneNumber} {mobile} {facsimileTelephoneNumber} {pager} {title} {department} ]]>

plugin.contentFilter.allow.on.match

false

plugin.contentFilter.filter.status.enabled

false

plugin.contentFilter.mask

---

plugin.contentFilter.mask.enabled

false

plugin.contentFilter.patterns

?OTR

plugin.contentFilter.patterns.enabled

false

plugin.contentFilter.rejection.msg

Message rejected. This is an automated server response

plugin.contentFilter.rejection.notification.enabled

false

plugin.contentFilter.violation.notification.by.email.enabled

false

plugin.contentFilter.violation.notification.by.im.enabled

true

plugin.contentFilter.violation.notification.contact

administrador

plugin.contentFilter.violation.notification.enabled

false

plugin.contentFilter.violation.notification.include.original.enabled

false

plugin.userservice.secret

HRCCA05u

provider.auth.className

org.jivesoftware.openfire.ldap.LdapAuthProvider

provider.group.className

org.jivesoftware.openfire.ldap.LdapGroupProvider

provider.user.className

org.jivesoftware.openfire.ldap.LdapUserProvider

provider.vcard.className

org.jivesoftware.openfire.ldap.LdapVCardProvider

update.lastCheck

1368009279562

xmpp.auth.anonymous

true

xmpp.auth.sharedSecretEnabled

true

xmpp.client.idle

-1

xmpp.client.idle.ping

true

xmpp.client.tls.policy

disabled

xmpp.domain

192.168.0.28

xmpp.filetransfer.enabled

true

xmpp.server.certificate.accept-selfsigned

false

xmpp.server.dialback.enabled

true

xmpp.server.session.idle

-1

xmpp.server.tls.enabled

true

xmpp.session.conflict-limit

0

xmpp.socket.ssl.active

false

Oi Vinicius,

Verifiquei linha por linha. Haviam apenas duas diferentes, que acredito não fazer diferença, mas alterei e deixei como as suas, e não mudou a situação. Eram elas: “ldap.override.avatar” e “xmpp.socket.ssl.active”.

Entretanto, na sua lista de propriedades há várias linhas que na minha não tem. Por exemplo: na minha lista não há nenhuma linha que comece com “cache.Kraken…” ou com “plugin…”. Iniciando com “xmpp” e “provider” tenho apenas quatro de cada.

Estou usando a versão 3.7.1 do openfire. Será que é por isso???

Johnny

Johnny, essas linhas faltantes são os plugins que eu devo ter instalado e você não tem. Então, o que se pode fazer:

1-Tentar integrar o openfire novamente

2-Atualizar para a versão 3.81 e integrar novamente

3-Desinstalar tudo, apagar todas as pastas, instalar do zero, e importar algumas configurações do antigo.

Ok Vinicius, vou apagar tudo e instalar a versão 3.8.1 do zero. Daqui a pouco posto o resultado.

Oi Vinicius,

Instalei a versão 3.8.1. e não houve mudança no cenário, mas descobri o que não permite aos usuários do AD logarem.

No AD, em “propriedades” do usuário, na guia “conta”, no botão “Fazer logon em…”, se houver indicação da estação que o usuário pode acessar, o openfire não loga. Se estiver marcada a opção “todos os computadores” então ele loga perfeitamente. Testei com mais de um usuário e aconteceu a mesma coisa. Criei outro usuário para testes e foi o mesmo resultado.

Porém, aqui na empresa nós limitamos as estações que os usuários podem acessar com seu login, usando exatamente essa propriedade.

Testei também se o usuário conseguiria logar no openfire pelo menos na estação dele (indicada no AD), mas não importa a estação, se houver qualquer indicação, então não loga.

Pergunto: Tem como resolver isso??? O que você acha???

Johnny

Johnny obrigado pelo retorno, e você tentou adicionar o servidor do openfire nesse grupo que os usuarios podem logar?

O Problema seria adicionar de um por um, não tem como criar um novo grupo, e adicionar esse novo grupo?

Não usamos essa opção aqui na empresa, vou dar uma pesquisada aqui também e vamos trocando ideias.

Oi Vinicius,

Fiz uns testes aqui e realmente, se eu adcionar o nome do Servidor, que é o meu DC, na lista de “Fazer logon em” do usuário, então ele loga na hora, sem problemas.

Mas ai eu tenho outro problema, não é interessante aqui dar permissão para os usuários acessarem o servidor. É claro que ele fica em local que o pessoal não tem acesso, mas ainda assim pode-se fazer o acesso remoto. A coisa vai ficando perigosa em termos de segurança.

Você tem alguma idéia para contornar essa situação? Tem alguma maneira do openfire não buscar essa informação do AD?

Johnny

Johnny, quanto ao acesso remoto, tem como limitar para somente quem tem direitos administrativos logar nele, você em o servidor de TS instalado, ou estava usando o padrão do windows?

Instala o serviço, dai desabilita o padrão, no serviço, em segurança, marca para permitir somente administradores.

Oi Vinicius,

Configurei o acesso remoto para só aceitar acesso meu e de quem for administrador. Agora é só garantir que ninguem entre na sala do servidor para fazer acesso local, pelo menos por enquanto.

Com isso o openfire funciona perfeitamente, até agora.

Se, por acaso, você descobrir alguma forma do openfire ignorar alguma propriedade do AD, principalmente essa do “Fazer logon em”, por favor, me avise, ok!!! (johnndeazevedo@gmail.com)

No mais, muito obrigado!!! Você me ajudou muito.

Espero nos falarmos mais vezes. Agora eu acho que estarei sempre por aqui no forum. E qualquer dúvida eu peço socorro novamente, esperando poder ajudar também em algo.

Abraço,

Johnny