Adicionando seus grupos do Active Directory(AD) no OpenFire


Olá para todos!

Depois de um tempo sem postar, resolvi esclarecer algo que ainda não tinha feito no post de instalação do OpenFire, pois entendo que ficou algo incompleto.

fonte: https://mastigado.wordpress.com

Após você terminar a instalação e integração do OpenFire com o Active Directory, você deve configurá-lo para que seu messenger client(Pandion, Pidgin, Spark, entre outros) se conecte e já receba toda a lista de grupos contida no AD. Você tem que saber que os grupos do AD, o OpenFire já detecta após a integração, mas antes você tem que filtrá-los no gerenciador web do OpenFire logo após a integração para que sejam exibidos nos clientes.

Veja abaixo.

Local onde são listados os grupos do AD

Lista dos grupos do AD no OpenFire

Você deve seguir em Usuários/Grupos > Grupos para visualizar todos os grupos do AD no OpenFire.

Edição de grupos no OpenFire

Edição de grupos do OpenFire

Após escolher um dos grupos listados, você pode alterar o seu nome que será exibido no cliente mensageiro ou mantê-lo;

Eu deixei marcado a opção Compartilhar grupo com usuários adicionais porque a empresa onde trabalho precisa que todos os usuários do Spark tenham visibilidade de todos os usuários.

Lista de grupos e usuários no Pandion/Spark/Pidgin

Lista de grupos e usuários no mensageiro

Depois é só ligar o seu cliente mensageiro, se conectar no servidor onde está instalado o OpenFire e digitar seu login e senha do AD.

Pronto, é só isso aí.

Importante: Caso seus usuários, mesmo estando no grupo específico para o Spark ainda assim não estiverem aparecendo no Spark, você deve colocar o seu grupo principal sendo como Domain/Users no Active Directory, para só assim este usuário aparecer na lista de usuários do Spark(caso ainda tenha outras dúvidas, consulte o post de instalação do OpenFire).

fonte: https://mastigado.wordpress.com

Sobre Mastigado
Sou um daqueles que precisa mudar o mundo.

23 Responses to Adicionando seus grupos do Active Directory(AD) no OpenFire

  1. Quero mais uma vez parabeniza-lo pelos excelente posts falando sobre OpenFire.
    Estou utilizando o Openfire 3.8.2 com cliente Spark 2.6.3, a integração com o AD esta otimo, o chat esta ótimo o único problema esta com a transferência de arquivos quando as estações Wildianos estão no Domínio. Se colocar o Spark em maquinas fora do domínio a transferência funciona bem se estiverem no domínio fica muito lento e não concluiu.

    Você já teve um senário deste?

    Curtir

    • mastigado disse:

      Olha, muito obrigado pelo elogio. Agora, quanto a falha no tráfego de arquivos pelo Spark, eu ainda não testei neste cenário porque os pcs da empresa onde trabalho são centralizados em um único prédio e o pessoal daqui não tem o hábito de utilizar esta função. Eu aconselharia você tentar utilizar outros clientes, como Pandion e Pidgin e tentar perceber se o problema se repete com eles.
      Por último, aconselho você participar da lista de emails do Openfire, pois os melhores profissionais que conheço sobre o assunto estão lá. O endereço é http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/openfire-br.

      Curtir

  2. André Belluci disse:

    Olá, instalei o openfire em um cliente, utilizando Banco de Dados Interno + AD. Nesse caso o técnico do suporte fica livre para criar usuários e grupos, o Openfire importa tudo. Porém, como faço para fazer uma conexão server to server, pois preciso adicionar meu grupo e minhas contas no Openfire. Alguma dica?

    Curtir

    • mastigado disse:

      Olha só, como seria este server to server? Você já foi na área de importação de grupos? Até hoje eu achava que ele só acessava uma base de dados de cada vez.
      Mas, você também pode tentar conversar com o pessoal da lista(http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/openfire-br).

      Curtir

      • André Belluci disse:

        Obrigado!! Vou tentar

        Curtir

  3. Carlos Alberto disse:

    Olá, achei seu artigo bastante interessante. No meu ambiente de trabalho estou usando o OpenFire 3.8.2 e o Pandion, integrados com o AD. Estou querendo organizar a maneira como os grupos estão listados no Pandion, que hoje é em ordem alfabética.
    Tipo: Diretoria, coordenação01, seções_coordenação01, coordenação02, seções_coordenação02.
    Tem como?

    Curtir

    • mastigado disse:

      Caríssimo.
      Acho que se quiser ordenação, terá de fazer no AD, após ter se integrado a ele. E vou ser mais taxativo. Você vai ter de colocar algo assim: 01_FINAN, 02_ADM, etc. Isso se o AD aceitar números no ínicio do nome dos grupos, caso contrário teria de ser algo assim: A_FINAN, B_ADM, e por aí vai. Digo isso porque uso o Pandion e estou notando que ele começa listando pela letra A Eu não sei também se dá para criar subgrupos no AD e depois listá-los como grupos e subgrupos no Pandion, isto eu nunca testei.

      Curtir

  4. Luiz Barbosa disse:

    Como eu faço para perguntar algo sobre o OpenFire ?

    Curtir

    • mastigado disse:

      Pede e receberás, pergunte e responderei(se puder).

      Curtir

      • Luiz Barbosa disse:

        Então. Uso o OpenFire para gerenciar o Pandion. Criei um grupo com vários usuários. Agora tenho que criar outros usuários mas preciso que eles se comuniquem com alguns usuários específicos. Tentei criar outro grupo mas não adiantou, no momento que eu “uno” esses grupos todos passam a se comunicar. Exemplo. Tenho o grupo “x” com o usuário 1, 2, 3, 4 e 5. Agora preciso criar o grupo “Y” com os usuários 6 e 7. Esses por sua vez só podem entrar em contato com o usários 2 e 4 do grupo “X”. É possível isso ? Grato

        Curtir

      • mastigado disse:

        Meu caro, desculpe a demora na resposta. Mas para este tipo de dúvida, recomendo você entrar em contato com o pessoal da lista de discussão sobre o Openfire(http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/openfire-br). Eu também participo da lista e posso dizer que lá tem muitas “feras” sobre o assunto.

        Curtir

  5. Bruno Lacet disse:

    Gostaria de saber onde configuro o tempo do refresh do openfire em relação ao AD em atualizações que ocorrerem.
    Por exemplo:
    – Inclui um novo usuário, grupo ou renomear algo etc… Lá no openfire não mostra automaticamente, eu tenho que reiniciar o serviço para aparecer as inclusões ou alterações seja o que for que tenha feito no AD.

    Alguém pode me ajudar nesse sentido para não precisar reiniciar o serviço para aparecer as atualizações após as mudanças?

    Obrigado.

    Curtir

    • mastigado disse:

      Olha, faço o seguinte, crio um usuário no AD e coloco ele no grupo do Openfire(no tutorial chamei o grupo de Spark) e pronto. Confesso que também fiquei preocupado com este delay, mas percebi que não preciso reiniciar o Openfire para isso, eu costumo aguardar um pouco que aparece normalmente na lista de usuários do Spark do cliente ou num pior caso, reinicio o próprio Spark.

      Curtir

  6. Herman Monteiro disse:

    Boa tarde amigo.

    Estou com o seguinte problema, configurei tudo conforme este tutorial, o openfire rodou de boa, inclusive importou todos meus usuários do AD, porem quando eu instalo o spark no pc do cliente e insiro nome,senha e ip do servidor onde instalei o openfire, da erro de conexão e não faz logon.

    Testei direto no servidor que instalei o openfire e por la o spark loga normalmente, já habilitei o spark e o openfire no firewall do windows mas não resolveu, já viu este erro?

    Curtir

    • mastigado disse:

      Isto pode ser alguma porta fechada no firewall da sua empresa.

      Curtir

  7. Sid disse:

    Bom dia, Amigo
    Seguinte, segui seu tutorial para instalação do openfire integrado no ad e deu tudo certitinho, conectou, integrou todos os usuários e grupos do ad no openfire certinho, compartilhei os grupos do spark e tambem deu certo. Só que como nem tudo são rosas surgiu um problema tenho casos de uma mesmo usuário fazer parte de mais de grupo (EX. josé faz parte no grupo no ad do financeiro e faturamento) e esse usuário ele aparece nos dois grupo la no spark. Sabe me dizer como eu reconfiguro para que ele filtre somente um usuário.?
    Uso openfire 3.9.3, spark 2.6.3 e windows server 2008.

    Curtir

    • mastigado disse:

      Pois é meu caro, aqui na empresa onde trabalho acontece a mesma coisa, mas isso não é um problema do Openfire e sim a forma como você está trabalhando. Quando integrei o Openfire no AD o meu chefe usou este mesmo argumento para comigo: “Tem usuário que está aparecendo em mais de um grupo e não pode!”. Bem, nesta empresa onde atualmente trabalho, percebi que ao invés de ele criar grupos com permissões específicas para usuários(tipo acessointernetcompleto, acessoyoutube, acessovpn, etc), ele deixou que cada setor da empresa tivesse um tipo de permissão, aí, o cara do grupo do Almoxarido por trabalhar só cadastrando coisas, meu chefe achou que ele não precisava acessar internet, então ele não colocou a permissão de acesso a internet neste grupo. Daí, existe outro cara que é chefe do Almoxarifado e precisa acessar a rede pela vpn, então, o meu chefe coloca ele num grupo de acesso do setor Administrativo que tem acesso a VPN e deixa o cara nos dois grupos.
      Olha, eu entendo que um empregado pode trabalhar sim em mais de um setor, mas se for o caso, basta em colocar em apenas um grupo e criar grupos de acesso específicos que não aparecerão no Spark.

      Curtir

  8. Parabéns por este e todos os demais artigos que você fez sobre Openfire. E pensar que é um artigo de 2013, me ajudou muito em pleno 2016, e vai continuar ajudando muita gente.

    Gostaria de contribuir com o artigo adicionando uma informação que eu não achei aqui: Eu testei primeiramente com o grupo Domain Users, mas não listava nenhum usuário (na parte de baixo Membros deste grupo), acho que o Openfire não consegue listar membros de grupos que vem por padrão no AD, como é o caso do Domain Users. Então criei um grupo teste e adicionei ele como membro do grupo Domain Users, mesmo assim não deu certo.

    Resolvi esse problema adicionando a conta dos usuários diretamente no grupo que eu criei, ai apareceu como membro de grupo dentro do Openfire. Logo, pode-se concluir que não pode ter Grupo dentro de Grupo, ou grupo padrão do AD.

    Com isso, sugiro habilitar apenas os grupos do AD dos setores da empresa, proavelmente você deve ter ai grupos tipo G_TI, G_FINANCEIRO ou G_COMERCIAL, enfim, grupos criados no AD que contenham os usuários da empresa direto.

    Dá pra criar um grupo a parte e ir adicionando todo mundo manualmente, mas o trabalho vai ser maior se comparado com o que informei antes (antes habilitar alguns grupos no Openfire, do que criar um grupo novo no AD e adicionar todos da empresa, ainda mais se for um lugar com muitos funcionários).

    No Spark/Xaaber, não precisei fazer logoff ou sair do programa, já atualizou automaticamente.

    Ah e o que você disse como Importate no final do artigo, eu verifiquei e o grupo Domain users já era o grupo primário dos usuários que eu tava testando.

    Por fim, utilizei um Windows Server 2012 R2 (sem atualização) e o Openfire 4.0.2, autenticado no AD que nem o artigo deste site ensina.

    Obrigado!

    Curtir

    • Mastigado disse:

      Olá Rafael.

      Muito obrigado pela contribuição e pelo reconhecimento porque definitivamente eu sou chato mesmo e gosto de fazer mega tutoriais (espere para ver o tamanho do tutorial que estou produzindo de integração do PHP com o Linux), mas vamos lá.

      Primeiro quero deixar claro que para dúvidas com maior aprofundamento de conhecimento sugiro buscar orientação na lista de emails do Openfire aqui do Brasil http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/openfire-br que é excelente, pois os melhores profissionais que conheço e que trabalham com Openfire estão nela.

      Quando você diz “Eu testei primeiramente com o grupo Domain Users, mas não listava nenhum usuário (na parte de baixo Membros deste grupo), acho que o Openfire não consegue listar membros de grupos que vem por padrão no AD, como é o caso do Domain Users“, eu não entendi direito, pois o que o Openfire me mostrou na primeira tela deste post foram todos os grupos do AD. Veja bem que este poste é totalmente dependente do post que fiz sobre instalação do Openfire porque lá eu digo “Criei um usuário no AD que é membro dos grupos Administrators, Domain Admins, Domains Users” e eu utilizei este usuário na instalação do Openfire, ou seja, criei um usuário que tem permissões mais elevadas que as minhas aqui na empresa para gerenciar o Openfire e talvez seja por isso que você disse que os grupos não eram listados em Domain Users.

      Resolvi esse problema adicionando a conta dos usuários diretamente no grupo que eu criei, ai apareceu como membro de grupo dentro do Openfire. Logo, pode-se concluir que não pode ter Grupo dentro de Grupo, ou grupo padrão do AD“. Bem, sobre isso não tive problema porque como disse anteriormente, o usuário que criei para instalar o Openfire tem permissões suficientes para que ele não seja impedido de listar ou apagar nada.

      Com isso, sugiro habilitar apenas os grupos do AD dos setores da empresa, proavelmente você deve ter ai grupos tipo G_TI, G_FINANCEIRO ou G_COMERCIAL, enfim, grupos criados no AD que contenham os usuários da empresa direto“. A política de grupos do AD de uma empresa é muito pessoal e como já conversei com um usuário em um dos comentários deste post foi que onde eu trabalhava anteriormente a política era ter grupos dividos por permissão de usuário, já aqui em meu novo emprego a política do meu chefe é se você trabalha na gerência Administrativa, então você vai ficar no grupo do AD chamado Administrativo e define as regras de acesso do grupo administrativo não por um novo grupo ou regra, mas no próprio grupo do Administrativo e por que ele faz isso? Falta de informação? É…sei lá né? Mas o que quero deixar aqui a partir do meu ponto de vista é isso, políticas de grupos do AD divergem de local para local.

      Bem, sobre “Dá pra criar um grupo a parte e ir adicionando todo mundo manualmente, mas o trabalho vai ser maior se comparado com o que informei antes (antes habilitar alguns grupos no Openfire, do que criar um grupo novo no AD e adicionar todos da empresa, ainda mais se for um lugar com muitos funcionários)“, eu não entendi direito, mas pelo que pude interpretar e que já escrevi sobre isso no post de instalação foi a respeito de eu ter definido algumas regras de acordo com um administrador de redes que me orientou na instalação, que uma delas foi criar um grupo chamado “Spark” (que conceitualmente deveria ter sido chamado de Openfire) e adicionar somente o usuários que você acredita que podem se conectar em algum tipo de comunicador que utilize o Openfire pois no caso da empresa em que trabalho estagiários não podem usar o comunicador.
      Já sobre adicionar as pessoas manualmente eu fiz isso porque tive a necessidade de fazer ainda um filtro maior, um para renomear o grupo na hora em que fosse exibido nos clientes e porque meu chefe disse que algumas pessoas não deveriam aparecer em determinados grupos mesmo estando marcados no AD com o grupo Spark. Então saiba que este fato de adicionar os usuários manualmente foi mais por uma questão de pós customização.

      Quando você diz: “Ah e o que você disse como Importate no final do artigo, eu verifiquei e o grupo Domain users já era o grupo primário dos usuários que eu tava testando“, não é bem assim. Você pode não ter tido problemas com isso, mas aqui na empresa eu tive. Como disse antes, quando você muda de local de trabalho as políticas de trabalho também mudam. Você não pode garantir que toda a área de infra seguirá as melhores práticas e por isso, quando ouvi meu chefe doido dizendo pra mim que após eu ter integrado no AD alguns membros não estavam aparecendo no Spark, eu tive que fazer uma comparação de configuração entre os usuários que estavam e os que não estavam aparecendo e foi aí que eu vi as pessoas que criavam os usuários de rede por aqui não tinham essa preocupação ou…noção técnica adequada? É…não vamos polemizar né? Pois o que você perde de um lado por vezes você ganha de outro e eu também não sou da área de infra, sou apenas um programador que pelo fato de sempre ter cutucado a área de infra com vara curta meu chefe achou que eu serveria para executar a integração do Openfire.

      E por fim, quando você diz “Por fim, utilizei um Windows Server 2012 R2 (sem atualização) e o Openfire 4.0.2, autenticado no AD que nem o artigo deste site ensina”, eu tenho consciência disso. Este tutorial está servindo de base para muita gente porque pela que vejo, em 3 anos, foram mais de 60000 acessos só para o tutorial de instalação do Openfire e o fato de eu ainda não ter feito um novo com a instalação do Openfire 4 foi porque vou esperar mais um pouco por questões de estabilização de versão mesmo, pois mesmo tendo visto vários casos de sucesso em sua instalação, tenho visto alguns downgrades sendo feitos e isso me deixa inseguro não só pelo fato de ter de postar um tutorial sobre algo que pode não ficar 100% em todas as ocasiões, mas sim também porque meu chefe já não curte muito que eu fique inventando moda toda a hora, ainda mais para trocar algo que está funcionando, porém já o avisei que vou atualizar o Openfire para a versão 4 e quando for farei um novo tutorial.

      E por demais observações obrigado, vou melhorar no que puder.

      Curtir

  9. João disse:

    Boa tarde
    Numa solução openfire/spark
    é possivel organizar os contactos da seguinte forma

    Group
    — Subgroup

    desde já obrigado

    Curtir

    • Mastigado disse:

      Olá João, boa tarde.
      Se você for utilizar integração com o Active Directory posso-lhe adiantar que nesta modalidade não é possível porque o Openfire importa os grupos do AD e os coloca em somente leitura. Agora, se você não utilizar essa integração é possível sim habilitar a criação de grupos e subgrupos. Veja um exemplo:

      Para maiores detalhes consulte os links:
      https://community.igniterealtime.org/thread/39471
      https://community.igniterealtime.org/thread/36372

      Curtir

      • joao disse:

        Boa noite,
        desde já obrigado pela resposta, que foi muito boa🙂
        Mas se não tiver a integração com a ad nunca terei os users de lá

        Curtir

      • Mastigado disse:

        É, conheço algumas pessoas que trabalham sem integração no AD e que tem a liberdade para construir os subgrupos como você gostaria. Eu fico pensando que talvez o AD lhe dê essa opção de criar subgrupos, mas não necessariamente sei se daria certo.

        Curtir

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: