» Openfire (Wildfire/Jive Messenger) часть 2

Попытался соединиться с AD по ldap - все нормально, пытаюсь тоже самое повторить с Communigate - ошибка. Админский аккоунт воспринимает, но дальше на тесте uid - error
Проверил ldap browser`ом - и с AD и с CGP работает, ldap отвечает.

victorae

Не видит переменные окружения :/ берет в ldap запрос as is в ASCII:


Код:
2007.11.21 01:17:51 Created new LdapManager() instance, fields:
     host: [localhost]
     port: 389
     usernamefield: sAMAccountName
     usernameSuffix:
     baseDN: %OPENFIRE_BASEDN%
     alternateBaseDN: null

Поставил OpenFire 3.3.2 + FreeBSD + MySQL.
Есть следующие вопросы:
1) Можно ли это связать с AD
2) У Pandion постоянно проподает соединение. Реконектишься - и всё нармально... через время сново обрывает.

Цитата:

Можно ли это связать с AD

да, но не будет прозрачной авторизации


Цитата:

У Pandion постоянно проподает соединение.

учитывая отсутствие прозрачной авторизации не стоит привязываться к мертвому Пандиону.

Pandion уже везде стоит. Раньше стоял виндовый OpenFire 3.3.2 с базой пользователей. Я перенёс пользователей.

Можно линк на мануалы по подключению к AD?

Цитата:

Можно линк на мануалы по подключению к AD?

/OpenfireRoot/documentation/ldap-guide.html

Приветствую всех.
Поставил OpenFire 3.4.1. на W2k3 + патч Нормана.
В Pandion NTLM авторизация не проходит. В логах следующее:

2007.11.21 16:23:31 [org.jivesoftware.openfire.nio.ConnectionHandler.messageReceived(ConnectionHandler.java:134)
] Closing connection due to error while processing message: <auth xmlns="urn:ietf:params:xml:ns:xmpp-sasl" mechanism="NTLM"/>
java.lang.NullPointerException
at org.jivesoftware.openfire.net.SASLAuthentication.handle(SASLAuthentication.java:229)
at org.jivesoftware.openfire.net.StanzaHandler.process(StanzaHandler.java:152)
at org.jivesoftware.openfire.nio.ConnectionHandler.messageReceived(ConnectionHandler.java:132)
at org.apache.mina.common.support.AbstractIoFilterChain$TailFilter.messageReceived(AbstractIoFilterChain.java:570)
at org.apache.mina.common.support.AbstractIoFilterChain.callNextMessageReceived(AbstractIoFilterChain.java:299)
at org.apache.mina.common.support.AbstractIoFilterChain.access$1100(AbstractIoFilterChain.java:53)
at org.apache.mina.common.support.AbstractIoFilterChain$EntryImpl$1.messageReceived(AbstractIoFilterChain.java:648)
at org.apache.mina.filter.codec.support.SimpleProtocolDecoderOutput.flush(SimpleProtocolDecoderOutput.java:58)
at org.apache.mina.filter.codec.ProtocolCodecFilter.messageReceived(ProtocolCodecFilter.java:162)
at org.apache.mina.common.support.AbstractIoFilterChain.callNextMessageReceived(AbstractIoFilterChain.java:299)
at org.apache.mina.common.support.AbstractIoFilterChain.access$1100(AbstractIoFilterChain.java:53)
at org.apache.mina.common.support.AbstractIoFilterChain$EntryImpl$1.messageReceived(AbstractIoFilterChain.java:648)
at org.apache.mina.filter.executor.ExecutorFilter.processEvent(ExecutorFilter.java:240)
at org.apache.mina.filter.executor.ExecutorFilter$ProcessEventsRunnable.run(ExecutorFilter.java:284)
at java.util.concurrent.ThreadPoolExecutor$Worker.runTask(Unknown Source)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(Unknown Source)
at java.lang.Thread.run(Unknown Source)

Подскажите где копать!!!

DmAd

Цитата:

В Pandion NTLM авторизация не проходит

обычно причины
0. установка произведена без чтения и понимания инструкции
1. имя указанное в <realm> не совпадает с netbios именем домена
2. имя указанное в <realm> написано строчными, а не заглавными буквами
3. сервер ОпенФайр не мембер домена

victorae
а что по поводу пандиона? неужели ничего нельзя сделать?
пробывал поправить файл в пандионе. делает реконнект 1 раз, а потом всё равно обрывает.

Цитата:

робывал поправить файл в пандионе. делает реконнект 1 раз

не, по нормальному он не дисконектится сам по себе от сервера, это не нормально. другие клиенты теряют связь с сервером? консоль F12 у пандиона ничего подозрительного перед отключением не показывает? сами логи сервера смотреть на предмет ошибок, журнал событий контроллера домена смотреть, может он их логофит.

victorae


Цитата:

обычно причины
0. установка произведена без чтения и понимания инструкции
1. имя указанное в <realm> не совпадает с netbios именем домена
2. имя указанное в <realm> написано строчными, а не заглавными буквами
3. сервер ОпенФайр не мембер домена

0. Инструкции хоть и скудные, но вполне понятные, к тому же 150 страниц форума их дополняют.
1. Совпадает.
2. Заглавными.
3. Сервер ОпенФайр на контроллере домена - в этом может быть причина???

Может я еще чего упустил??

Цитата:

Сервер ОпенФайр на контроллере домена - в этом может быть причина?

может, если политиками контроллера запрещена локальная регистрация сетевых пользователей, посмотри журнал событий на сервере.

victorae

Нет, на контроллере все нормально.

Посмотри, пожалуйста, конфиг - может поймешь, где я ошибся:

[more=конфиг..]<?xml version="1.0" encoding="UTF-8" ?>
- <!--
This file stores bootstrap properties needed by Openfire.
Property names must be in the format: "prop.name.is.blah=value"
That will be stored as:
<prop>
<name>
<is>
<blah>value</blah>
</is>
</name>
</prop>

Most properties are stored in the Openfire database. A
    property viewer and editor is included in the admin console.


-->
- <!-- root element, all properties must be under this element
-->
- <jive>
- <sasl>
<mechs>ANONYMOUS,PLAIN,DIGEST-MD5,CRAM-MD5,NTLM</mechs>
- <!-- pick one of the following
-->
<realm>RGES</realm>
</sasl>
- <adminConsole>
- <!-- Disable either port by setting the value to -1
-->
<port>9090</port>
<securePort>9091</securePort>
</adminConsole>
- <admin>
- <!--
Use this section to define users that will have admin privileges. Below,
you will find two ways to specify which users are admins. Admins will
have access to the admin console (only local users) and may have also access
to other functionalities like ad-hoc commands.

-->
- <!--
By default, only the user with the username "admin" can login
to the admin console. Alternatively, you can specify a comma-delimitted
list usernames that should be authorized to login to the admin console
by setting the <authorizedUsernames> field below.

-->
- <!-- <authorizedUsernames></authorizedUsernames>
-->
- <!--
Comma-delimitted list of bare JIDs. The JIDs may belong to local
or remote users.

-->
- <!-- <authorizedJIDs></authorizedJIDs>
-->
<authorizedUsernames>rakhmaninda</authorizedUsernames>
</admin>
<locale>en</locale>
- <!--
Network settings. By default, Openfire will bind to all network interfaces.
Alternatively, you can specify a specific network interfaces that the server
will listen on. For example, 127.0.0.1. This setting is generally only useful
on multi-homed servers.

-->
- <!--
<network>
<interface></interface>
</network>


-->
- <connectionProvider>
<className>org.jivesoftware.database.EmbeddedConnectionProvider</className>
</connectionProvider>
- <ldap>
<host>server02</host>
<port>389</port>
<baseDN>ou=All,dc=rges,dc=local</baseDN>
<adminDN>cn=open_user,cn=Users,dc=rges,dc=local</adminDN>
<adminPassword>open_user</adminPassword>
<connectionPoolEnabled>true</connectionPoolEnabled>
<sslEnabled>false</sslEnabled>
<ldapDebugEnabled>false</ldapDebugEnabled>
<autoFollowReferrals>false</autoFollowReferrals>
<usernameField>sAMAccountName</usernameField>
<searchFilter>(objectClass=OrganizationalPerson)</searchFilter>
- <vcard-mapping>
- <![CDATA[
<vCard xmlns="vcard-temp">
<N>
<GIVEN>{cn}</GIVEN>
</N>
<EMAIL>
<INTERNET/>
<USERID>{mail}</USERID>
</EMAIL>
<FN>{displayName}</FN>
<ADR>
<HOME/>
<STREET>{homePostalAddress}</STREET>
<PCODE>{homeZip}</PCODE>
<CTRY>{co}</CTRY>
</ADR>
<ADR>
<WORK/>
<STREET>{streetAddress}</STREET>
<LOCALITY>{l}</LOCALITY>
<REGION>{st}</REGION>
<PCODE>{postalCode}</PCODE>
<CTRY>{co}</CTRY>
</ADR>
<TEL>
<HOME/>
<VOICE/>
<NUMBER>{homePhone}</NUMBER>
</TEL>
<TEL>
<HOME/>
<CELL/>
<NUMBER>{mobile}</NUMBER>
</TEL>
<TEL>
<WORK/>
<VOICE/>
<NUMBER>{telephoneNumber}</NUMBER>
</TEL>
<TEL>
<WORK/>
<CELL/>
<NUMBER>{mobile}</NUMBER>
</TEL>
<TEL>
<WORK/>
<FAX/>
<NUMBER>{facsimileTelephoneNumber}</NUMBER>
</TEL>
<TEL>
<WORK/>
<PAGER/>
<NUMBER>{pager}</NUMBER>
</TEL>
<TITLE>{title}</TITLE>
<ORG>
<ORGUNIT>{department}</ORGUNIT>
</ORG>
</vCard>

]]>
</vcard-mapping>
<nameField>cn</nameField>
<emailField>mail</emailField>
<groupNameField>cn</groupNameField>
<groupMemberField>member</groupMemberField>
<groupDescriptionField>description</groupDescriptionField>
<posixMode>false</posixMode>
<groupSearchFilter>(objectClass=group)</groupSearchFilter>
</ldap>
- <provider>
- <vcard>
<className>org.jivesoftware.openfire.ldap.LdapVCardProvider</className>
</vcard>
- <user>
<className>org.jivesoftware.openfire.ldap.LdapUserProvider</className>
</user>
- <auth>
<className>org.jivesoftware.openfire.ldap.LdapAuthProvider</className>
</auth>
- <authorization>
<classList>org.jivesoftware.openfire.sasl.StrictAuthorizationPolicy org.jivesoftware.openfire.sasl.DefaultAuthorizationPolicy</classList>
- <!-- other options: null, LdapAuthorizationProvider, UnixK5LoginProvider, Strict and Lazy
-->
</authorization>
- <group>
<className>org.jivesoftware.openfire.ldap.LdapGroupProvider</className>
</group>
</provider>
<setup>true</setup>
- <log>
- <debug>
<enabled>true</enabled>
</debug>
</log>
</jive> [/more]

DmAd

Цитата:

<host>server02</host>
<port>389</port>

попробуй на глобальный каталог GC обращаться по порту 3268
по конфигу нормально все. ява отдельно стоит или с опенфайром?

Добрый день всем. Установил OpenFired 3.4.1+AD+Mysql 5.1+Pandion 2.5. Всё работает. Но довольно часто какой либо из контактов может отправлять сообщения, но не получает ничего не от кого. Как бы зависает. Помогает только перезапуск сервера. И в логах сыплются ошибки типа:

Цитата:

Exception in thread "AWT-EventQueue-0" java.lang.ClassCastException: sun.java2d.HeadlessGraphicsEnvironment cannot be cast to sun.awt.Win32GraphicsEnvironment
    at sun.awt.windows.WToolkit$4.run(Unknown Source)
    at java.awt.event.InvocationEvent.dispatch(Unknown Source)
    at java.awt.EventQueue.dispatchEvent(Unknown Source)
    at java.awt.EventDispatchThread.pumpOneEventForFilters(Unknown Source)
    at java.awt.EventDispatchThread.pumpEventsForFilter(Unknown Source)
    at java.awt.EventDispatchThread.pumpEventsForHierarchy(Unknown Source)
    at java.awt.EventDispatchThread.pumpEvents(Unknown Source)
    at java.awt.EventDispatchThread.pumpEvents(Unknown Source)
    at java.awt.EventDispatchThread.run(Unknown Source)

может кто знает как с этим бороться

victorae

Цитата:

попробуй на глобальный каталог GC обращаться по порту 3268

не помогло

Цитата:

по конфигу нормально все. ява отдельно стоит или с опенфайром?

с опенвайром

Цитата:

не помогло

ну тогда не знаю. на твоем месте я бы перенес сервер на обычного мембера домена, поставил бы 3.3.2 т.к. стабильна и нет проблем с кубиками в словах, сменил встроенную базу на mysql или mssql, сделал бы в днс имя jabber.rges.local ссылкой на реальное имя сервера и тогда уже если не заработает по новой искал бы проблему.

Привет. Поставил OF 3.4.1 + LDAP + AD + патч Нормана + Pandion 2,5 (вроде как по мане)

При попытке зайти через NTLM авторизацию в Warn логе пишется:

2007.11.22 18:08:22 Unexpected packet tag (not message,iq,presence)<abort xmlns="urn:ietf:params:xml:ns:xmpp-sasl"/>

и авторизация не проходит.

Народ куды капать?

Вот такая бойда в логах...

Код:
at java.util.TimerThread.run(Timer.java:462)
at java.util.TimerThread.mainLoop(Timer.java:512)
at org.jivesoftware.openfire.audit.spi.AuditorImpl$SaveQueuedPacketsTask.run(AuditorImpl.java:329)
at org.jivesoftware.openfire.audit.spi.AuditorImpl.access$100(AuditorImpl.java:30)
at org.jivesoftware.openfire.audit.spi.AuditorImpl.ensureMaxDays(AuditorImpl.java:247)
java.lang.NullPointerException
2007.11.23 14:26:07 [org.jivesoftware.openfire.audit.spi.AuditorImpl$SaveQueuedPacketsTask.run(AuditorImpl.java:334)] Internal server error

Подскажите какой версии патч Нормана ставить для OpenFire 3.3.2
Если ставлю 7, то в логах:
2007.11.23 11:35:21 Ignoring plugin saslmechanisms: requires server version 3.4.0

DmAd
посмотри вот этот
http://norman.rasmussen.co.za/dl/sasl-sspi/archive/openfire-3.3.0-saslmechanisms.zip

И еще вопросик. Может кто нибуть уже распростронял у себя Mirand-у через GPO. Как вы решали проблему, если работает несколько пользавателей за одним компьютером. Нужно как то придумать создавать отдельные профили автоматом.... с помощью autoexec_.ini я могу настороить только один профиль и потом этот файл автозапуска удаляется... За идеи и может быть даже скрипты, зарание спасибо.

Langley1
Спасибо, все заработало.
victorae
Спасибо
Сделал так: на контроллере домена снес полностью OpenFire 3.4.1 и поставил 3.3.2, базу пока оставил его родную.
Теперь NTLM авторизация заработала.

DmAd
То есть, ты LDAP не включал, а завёл пользователей в базу OF и всё норм?

Langley1
Наоборот: включил LDAP, просто не использовал внешние базы типа MySQL, MSSQL. Оставил его внутреннюю базу данных. А все пользователи автоматом из AD цепляются.

DmAd
хммм... делал также... но с авторизацией чет не получилось... думаю может патч Нормана неправильно по поставил... подскажи как ты его поставил плз...

Ребята, подскажите, в чем может быть проблема?

OpenFire v3.3.2 + patch Нормана (часть с 3.3.0) + Pandion 2.5. Сервер на контроллере домена.

Аутентификация по NTLM олично работает, но почему-то часть пользователей тупо не пускает. Лог сервера тупо чист. Пользователи в одних и тех же группах. Все совершенно одинаково. Но не пускает по NTLM и все. Пишет пользователь не авторизован и Pandion создает в профиле папку типа user@jabber.server.org. Хотя у других создается папка user@server.org. По логину-паролю - пускает. Более того если войти под учеткой того пользователя который не логинится на комп где у другого по своей учеткой логинится - все равно не пускает. Так что дело не в локальных системах и не в java. В LDAP все совершенно одинаково, но одних пускает - других нет.

Не подскажете где копать?

Цитата:

Pandion создает в профиле папку типа user@jabber.server.org. Хотя у других создается папка user@server.org.

так разберись с именами в днс, не просто так это происходит.

В Pandian'е в поле IM Сервер надо вводить имя сервера, на котором установлен OF? Ив каком виде туда вводить?

Цитата:

В Pandian'е в поле IM Сервер надо вводить имя сервера, на котором установлен OF?

в это поле не просто имя сервера где стоит ОФ, а имя джаббер домена который обслуживает OF. в свою очередь имя обслуживаемого домена должно пинговаться и вести к серверу на котором стоит ОФ