OpenFire

(&(objectClass=organizationalPerson)(memberOf=cn=IM,cn=Users,dc=mik,dc=by))



(&(objectClass=organizationalPerson)(memberOf=cn=IM,cn=Users,dc=domain,dc=local))

==============================================

Далее проводим настройки подключения к серверу:

1. Server Type – Active Directiry;
2. Host – имя вашего контроллера домена, например serverdc;
3. DN – имя домена в виде dc=«mydomain»,dc=«local» соответственно для домена mydomain.local"
4. Далее логин и пароль учетки, из под которой будут читаться данные из AD

и нажимаем кнопку Test Settings, если видим табличку с данными какой-нить доменной учетки (выбирается рандомно),
то все хорошо, если нет, то возвращаемся и проверяем настройки подключения к AD.
{cn}


На данном этапе лично я ещё установил фильтр выбора данных из АД,
для этого в Advanced Settings вместо (objectClass=organizationalPerson) вписываем следующее значение:

(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2))
Эта строчка поможет нам избавиться от отключенных учетных записей, которые наверняка у всех есть и очень будут мешаться.

... пропускаем автоматические нажатия мышки

===================================

OpenFire + фильтры AD
31.07.2009 Комментировать Версия для печати Версия для печати

До недавнего времени существовала одна маленькая косметическая проблема у нашего джаббер-сервера.
При поиске юзеров у клиента и просмотре списка юзеров на джаббер-серве он выдавал не только собственно сам список пользователей,
но и список компьютеров домена.
Для решения этой проблемы в разделе System Properties нужно изменить параметр с (objectClass=organizationalPerson) на
(&(objectClass=user)(!(objectClass=computer))(!(userAccountControl=514))(!(userAccountControl=546))(!(userAccountControl=66050)))

Если вы хоть немного знакомы со структурой AD, то сразу поймете что и как

=======================================

OpenFire и автоматическое добавление контактов
02.09.2009 Комментариев нет Версия для печати Версия для печати

Как сделать, чтобы в OpenFire пользователям автоматически загружался список контактов пользователей в ростер?
Довольно просто! При привязке к AD можно сделать двумя способами:

Непосредственно расшарить нужную группу:
Users/Groups -> Groups -> Щелкаем по нужной группе, например,
Finance -> Активируем (если надо) Enable contact list group sharing ->
Вводим имя группы (например, “трудяги” или “название компании”) ->
Активируем Share group with additional users -> All users.
Теперь осталось лишь перезапустить клиенты для инициализации загрузки ростера. Все!
==================================================
OpenFire & SSL: Шифрование передачи сообщений на предприятии

Продолжаю цикл статей по настройке OpenFire.
Для организации защищенной передачи сообщений надо выполнить несколько шагов:

1. Заставить сам сервер работать с клиентами только по зашифрованному соединению.
Идем в Server -> Server Setting -> Security Setting. Параметр Client Connection Security выставляем “Required - Clients can only connect to the server using secured connections.”

2. Нужен Jabber-клиент, поддерживающий SSL. С OpenFire по SSL не заработал только Qutim.
QIP Infium, Kopete, Pidgin и Miranda пошли нормально.

На заметку: QIP Infuim по умолчанию при установке параметра “Защищенное соединение” пытается достучаться на порт 443. Нужно вручную указать порт 5223 и имя сервера.

Справка

TLS - соединения на стандартный порт джаббера 5222 с последующим переключением в защищенный режим.

SSL - защищенные соединения на порт 5223.

Определения (взято с Wikipedia).

SSL (англ. Secure Sockets Layer — уровень защищённых сокетов) — криптографический протокол, обеспечивающий безопасную передачу данных по сети Интернет. При его использовании создаётся защищённое соединение между клиентом и сервером. SSL изначально разработан компанией Netscape Communications.

TLS (англ. Transport Layer Security) — криптографический протокол, обеспечивающий защищённую передачу данных между узлами в сети Интернет.

TLS-протокол основан на Netscape SSL-протоколе версии 3.0 и состоит из двух частей — TLS Record Protocol и TLS Handshake Protocol. Различие между SSL 3.0 и TLS 1.0.

==================================
Openfire решение проблем кодировкой

Запись создана марта 9, 2008

Есть такой замечательный Jabber сервер, имя ему Openfire (ex. WildFire, ex. Jive Messanger),
ставится легко, настраивается через вебморду, туча плагинов (асечный транспорт протестил, работает нормально).

Бывает что в оффлайновых сообщениях кривится кодировка, фиксится это чрезвычайно просто, достаточно соблюсти:
1. Mysql база должна быть в utf-8
2. в конфиге мускуля my.cnf должно быть прописано:
[mysqld]
default-character-set = utf8
character-sets-dir = /usr/share/mysql/charsets

[client]
default-character-set = utf8
character-sets-dir = /usr/share/mysql/charsets

проверено, работает. Осталось найти фикс на проблему с кодировкой оффлайновых сообщений и Transcript у супер полезного FastParh.
===========================================

OpenFire как службу (с системной учетной записью).
Для того чтобы запустить OpenFire как службу необходимо выполнить следующее:
Пуск > Выполнить > "C:\Program Files\Openfire\bin\openfire-service.exe" /install
=============================================
Кроме того, если в Вашем лесу более двух субдоменов,
о попробуйте изменить дефолтный порт с 389 на 3268.
Это позволить получить доступ ко всем пользователям в лесу.
=============================================

Включаем возможность переподключения в Pandion
К сожалению в Jabber клиенте, который я использую в своей сети есть большой недостаток –
он не переподключается при потере соединения с сервером. Но, к счастью, это исправимо.

В C:\Program Files\Pandion\src\main\XMPPOnStream.js меняем блок (в районе 297-ой строки)

Было:

else if ( ReceivedXML.documentElement.selectSingleNode( ‘/stream:error’ ) )
{
if ( external.windows.Exists( ’signup’ ) )
OnLoginAbort();
else
{
external.globals( ‘XMPPReconnect’ ) = false;
var Str = ‘’;
warn( ‘SENT: ‘ + Str );
external.XMPP.SendText( Str );
external.XMPP.Disconnect();
}
}

Стало:

else if ( ReceivedXML.documentElement.selectSingleNode( ‘/stream:error’ ) )
{
if ( external.windows.Exists( ’signup’ ) )
OnLoginAbort();
else
{
if ( ReceivedXML.documentElement.selectSingleNode( ‘/stream:error/system-shutdown’ ) )
external.globals( ‘XMPPReconnect’ ) = true;
else
external.globals( ‘XMPPReconnect’ ) = false;
}
}
===================================
Не получится

Есть три варианта:
1. Юзвери остаются вида "user@local_computer_name" , а в свойствах подключения (почти все клиенты позволяют явным образом указать АйПи) указываешь свой внешний АйПи. Такой вариант я лично намерен опробовать на след неделе и твердо уверен что он заработает

2. Ты переименовываешь свой чат-сервер (именно чат-сервер, не комп, на котором он хостится!) так, чтоб он полагал своими юзверей вида "user@outer_domain_name" и обясняешь ДНСу что всех, кто ломится по такому адресу на такой-то порт отправлять на хост "local_computer_name".

3. Ты поднимаешь два чат-сервера. Один принимает юзверей "user@local_computer_name", второй принимает юзверей "user@outer_domain_name", после чего линкуешь эти сервера.

Автор: Fantom 14, Отправлено:23:46 06-02-2009

ясно... ну на счет пункта 1 я тебе сейчас скажу что он работает.

а как насчет s2s соединений с другими серверами?

Автор: VolodyaZloy, Отправлено:23:54 06-02-2009

Вдогонку.
В свое время с сдуру поднял чат-сервер на вторичном контроллере домена, гордо назвал его доменным именем (скажем, domen.loc) и э... понял что провтыкал минуты через 3 после поднятия, когда в ответ на имя "domen.loc" отозвался основной контроллер домена, на котором, разумеется, никакого чат-сервера не наблюдалось.

Так что рекомендую всеж таки для более легкого перемещения с хоста на хост именовать чат-сервер, к примеру, chat.domen.loc.

Второй момент. Вроде как многие клиенты понимают SRV записи в DNS и если ты назовешь чат-сервер "domen.loc" и разместишь его на хосте "admin_PC", но не забудешь создать SRV записи типа "_xmpp-server._tcp.domen.loc " и "_xmpp-client._tcp.domen.loc " с указанием портов и правильного хоста - то будет тебе щастье

Но это я тоже еще не пробовал

Добавлено:
а как насчет s2s соединений с другими серверами?

Все совсем просто. Ща Опенфайра под рукой нет, будет тока завтра, но там точно есть страничка, на которой ты 1) разрешаешь ему общаться с другими серваками; 2) можешь указать с какими именно.

Ну и главное - ессно что имена обоих серваков должны резолвиться

Как минимум - пинг по имени чат-сервера с хостов, на котором они расположены.

Есть заковыка, как обычно... Поисковый сервис, как и конференц-сервис, для одного чат-сервера можно и не прописывать в ДНС... А вот если ты связываешь чат-сервера - придется прописать.

Проверено, работает
========================================================