» Openfire (Wildfire/Jive Messenger) часть 3

Вдогонку.
В свое время с сдуру поднял чат-сервер на вторичном контроллере домена, гордо назвал его доменным именем (скажем, domen.loc) и э... понял что провтыкал минуты через 3 после поднятия, когда в ответ на имя "domen.loc" отозвался основной контроллер домена, на котором, разумеется, никакого чат-сервера не наблюдалось.

Так что рекомендую всеж таки для более легкого перемещения с хоста на хост именовать чат-сервер, к примеру, chat.domen.loc.

Второй момент. Вроде как многие клиенты понимают SRV записи в DNS и если ты назовешь чат-сервер "domen.loc" и разместишь его на хосте "admin_PC", но не забудешь создать SRV записи типа "_xmpp-server._tcp.domen.loc " и "_xmpp-client._tcp.domen.loc " с указанием портов и правильного хоста - то будет тебе щастье

Но это я тоже еще не пробовал

Добавлено:
а как насчет s2s соединений с другими серверами?

Все совсем просто. Ща Опенфайра под рукой нет, будет тока завтра, но там точно есть страничка, на которой ты 1) разрешаешь ему общаться с другими серваками; 2) можешь указать с какими именно.

Ну и главное - ессно что имена обоих серваков должны резолвиться

Как минимум - пинг по имени чат-сервера с хостов, на котором они расположены.

Есть заковыка, как обычно... Поисковый сервис, как и конференц-сервис, для одного чат-сервера можно и не прописывать в ДНС... А вот если ты связываешь чат-сервера - придется прописать.

Проверено, работает

Fantom 14

пользователей сразу надо сажать на имя джаббер домена. не получится что бы сервер джаббера домена был A.B.ru , а пользователи user@'имя_компа'

Привет. Что прописать в ldap.groupSearchFilter чтобы из ростера убрались те пользователи которые допустим уволились и мы их отключили/заблокировали? Поиском пользовался но наверное пропустил, уж очень много постов.

Сейчас в фильтре только это - ((objectCategory=group)(cn=IM-*)) что ещё прописать из основного?

еще такой вопрос: можно ли и если можно, то как забекапить конфиги настроек сервера?

Fantom 14

все настройки в базе. бекапь базу, потом ее подключишь к серверу и получишь настройки

в смысле sql базу бекапить?

Цитата:

Поиском пользовался но наверное пропустил, уж очень много постов.

Одназначно пропустил Это тута обсуждалось раз *цать.

Потратил 1 минуту специально для тебя.
http://forum.ru-board.com/topic.cgi?forum=8&topic=27991&start=560

за отсев заблоченых юзверей отвечает (!(useraccountcontrol:1.2.840.113556.1.4.803:=2))

Блин, пора разработать небольшой мануал по построению фильтров для ОпенФайра и прибить вверху

мануал-то это хорошо.... но вот еще бы мануал по тонкой настройки данного сервака.... а то я уже 3 сутки моск насилую как его к другим сервакам прицепить и пока решения не нашел.........

?! я с первого раза прикрутил...

не получается порты проброшены, порт стандартный использую в настройках для соединения с серверами и все равно не могу отправлять сообщения на jabber.ru или gmail.com (для примера)..... подскажите где что прописать нужно в таком случае....

Fantom 14

шутишь?.. а как ты почтовые сервера друг к другу прикручивал бы?

из интернета пингуется домен часть твоего JID-a ?

М-да... Я так понял, чат-сервер имеет имя "chat.my_LOCAL_domain.loc". Верно?

Мне просто любопытно каким образом гугл сможет отыскать АйПи твоего сервера по его имени... Ну хотя бы теоретическую модель

Я ж вроде внятно написал - имена чат-серверов должны резолвиться на хостах.

Т.е. если ты хочешь связать свой чат-сервер и гугловский, то твой чат-сервер должен иметь возможность получить АйПи гугловского (резолвить имя в адрес), а гугловский сервер должен получить АйПи твоего чат-сервера.

Ну и откуда гуглу узнать, что у твоего чат-сервера, который представляется ""chat.my_LOCAL_domain.loc", твой замечательный внешний статический ай-пи?

Вот если б твой чат-сервер представлялся внешним доменным именем (т.е. тем именем, которое может быть разрешимо в АйПи-адрес ЛЮБЫМ пользователем и-нета. ), тогда гугловский чат-сервер еще бы подумал - а стоит ли принимать от твоего чат сервера пакеты или нет?

Ибо:
Часть вторая марлезонского балета.
А сертификатик то у тебя самоподписаный... Ну и с каких чудес гугл будет общаться с твоим сервером? Где гарантия того, что ты надежный источник пакетов, а не хакер малолетный с динамик-ДНС услугой на 1 день? Ну или еще какие причины.
Но приличный сертификат тебе потребуется.
Лезешь в Гугл (блин, тавтология) и гуглишь какие сертификаты гугловский чат-сервер согласен полагать надежными.

Есть шанс, что в этом списке есть и бесплатные сервера

VolodyaZloy. Спасибо тебе добрый человек. Сейчас буду пробовать

VolodyaZloy
на счет домена ты оказался прав. с тем доменным именем что часто используем проблемы и возникли, сменили доменное на другое(было еще одно) и сразу все стало ок. хотя оба домена резолвятся на один и тот же IP-адрес... спасибо за внимание...

Вообщем получились два фильтра

отсеивает группы начинающиеся с IM
((objectCategory=group)(cn=IM-*))
отсеивает выключенных
((objectClass=organizationalPerson)(useraccountcontrol:1.2.840.113556.1.4.803:=2))

По отдельности работают вместе нет, соеденить их не получаеться а очень нужно.
Несколько страниц назад такое обсуждалось, в качестве решения предлагалось скачать исходники что то подправить и собрать, другого пути нет? В идеале хотелось бы чтобы отфильтровывались только нужные группы в ростер а потом ещё и отбрасывались юзеры которых выключили

Цитата:

Вообщем получились два фильтра

отсеивает группы начинающиеся с IM
((objectCategory=group)(cn=IM-*))
отсеивает выключенных
((objectClass=organizationalPerson)(useraccountcontrol:1.2.840.113556.1.4.803:=2))

Ну вот нет у меня сейчас под рукой домена шоб потестить
Итак. Что делает первый фильтр...
не отсеивает, а выбирает группы у которых поле cn равно "IM-*"
Что делает второй фильтр? Выбирает ВСЕХ (и компы в том числе, кстати), кто имеет соответсвующие значения в соответсвующих полях. Мало того, ты еще и пропустил восклицательный знак... Который, между прочим, не от фонаря там стоял...

Качаешь прибитый сверху AdExplorer и коннектишься к АД. Смотришь че у тя в полях юзверя интересного и какие значения можно заюзать.

Можешь попробовать и другой фильтр (повторюсь, домена нет, делаю по памяти. Если не поможет - завтра скину свой фильтр)

(&(ObjectClass=User)(memberOf=CN=IM-*)(!(useraccountcontrol:1.2.840.113556.1.4.803:=2)))

Блин, вот что значит воскресенье...

((objectCategory=group)(cn=IM-*)) - фильтр для групп в принципе верный

А для пользователей укажешь мой. Если буде пусто - выкинешь секцию (memberOf=CN=IM-*)



Добавлено:
Поправка:

To return all users that are direct members of a specified group. You must specify the Distinguished Name of the group. Wildcards are not allowed:

"(&(objectCategory=person)(objectClass=user)" _

& "(memberOf=cn=TestGroup,ou=Sales,dc=MyDomain,dc=com))"

Что означает, в использовании поля "memberOf=" подстановочные символы недопустимы

Прибейте это руководство плиз наверх
http://www.rlmueller.net/ADOSearchTips.htm

VolodyaZloy

Цитата:

Прибейте это руководство плиз наверх

эх... вместе с переводчиком?.. народ поиском не пользуется.. откроет эту ссылку и свалит устанавливать аськи каждому..
..уже в шапке под эксплорером АД

Могу рискнуть перевести основное
Ток своего сайта у мну нет, вывесить некуда будет

VolodyaZloy.
Спасибо, всё заработало. Если не сложно то пришли завтра как сможешь свой фильтр интересно поглядеть. В админке правда всё равно отображаються все включеные юзеры которые даже не являються членами группы IM-* и понятно почему, но зато в группы в ростер они не попадают, а это самое то

Получилось вот что
На юзеров:
(&(objectCategory=person)(objectClass=user)(!(useraccountcontrol:1.2.840.113556.1.4.803:=2)))

На группы:
((objectCategory=group)(cn=IM-*))

По поводу NTLM тоже всё настроил жаль что у PSI нету её. Как вам Pandion-2.5 хорошо себя внутри сети показывает?

Цитата:

Как вам Pandion-2.5 хорошо себя внутри сети показывает?

Сведения противоречивые... На предыдущем месте работы на 70 юзверей вроде не глючил, но данная ветка пестрит сообщениями о глках пандиона.

Д
Цитата:

В админке правда всё равно отображаються все включеные юзеры которые даже не являються членами группы IM-*

Не скромный вопрос - а зачем тебе именно так? Т.е. несколько групп с префиксом "IM-" ?

Если их много и они таки нужны, то возможно стоит попробовать какой-то другой признак фильтрации для юзверей, входящих в них? Полей много...

Цитата:

Не скромный вопрос - а зачем тебе именно так? Т.е. несколько групп с префиксом "IM-" ?

Если их много и они таки нужны, то возможно стоит попробовать какой-то другой признак фильтрации для юзверей, входящих в них? Полей много...

Ну впринципе я как планирую на работе зделать (вчера делал у себя дома на виртуальном домене )
Что касаеться фильтрации юзеров то такой способ с отсеиванием только выключеных больше всего подходит потому что все остальные контакты нужны в ростере. А фильтр групп IM-* тоже показался наиболее удобным, решил создать в каждом контейнере где юзеры новую группу с названием IM-название подрезделения-название отдела. Ну допустим IM-DIS-ACCOUNTS и вписать в них нужных юзеров, сотрудников соответствующего отдела. Мне так легче почему то, кому как

Скоро буду внедрять может и по иному зделаю...

вышел Kraken XMPP IM Gateway http://kraken.blathersource.org/
кто пробовал?

А никто случайно не знает, возможно ли, что бы сообщения отправленые на определенный JID доходили всем активным подключениям с таким JID'ом, но разными именами ресурсов, приоритеты тоже одинаковые. По дефалту приходит в сессию с большим приоритетом.

Sovka

теже яйца.. без вкарда.. ждемс..

еще момент, Psi онлайн контакты видит через него, Миранда нет..

Добавлено:
cemick

Цитата:

с таким JID'ом, но разными именами ресурсов, приоритеты тоже одинаковые. По дефалту приходит в сессию с большим приоритетом.

так все таки - одинаковые приоритеты или нет?

Добавлено:

Цитата:

так все таки - одинаковые приоритеты или нет?

когда делаю приоритеты одинаковые, то приходит на последнию активную сессию, когда разные на сессию с большим приоритетом, но не это важно. Меня интересует как сделать так, что если несколько подключений было выполнено под одним JID'ом то сообещение посланное на данный JID дошло всем подключениям..
В Gtalk, например, сообщение приходит всем подключениям, если все подключения долго были не активны, в противном случае на
последнее активное.

Гуру настройки Джаббера помогайте!
Описание системы+проблемы:
Изначально система была настроена на АД(Контроллер домена на 2000 Win)Опенфайр 3.5.2 стоит на Дебиане,база на Мускуле.
Вроде всё нормально,но частенько клиентов выбивает с сервера и надо перелогиниваться,бывает не пускат-помогает полный ребут сервера(Может Ява глючит,ибо рестарт сервиса результатов не приносит).Понадобилось изменить контроллер домена на Win2k3.Старые уз, которые были заведены на 2000 АД работают по прежнему,а вот новые когда завожу не канают.Сабж не понимает русский язык в Имени и Фамилии уз(тоесть когда я смотрю состав группы то вижу пользователей в Формате a.a.user@server.ru * (Note: Remote users or entities should accept presence subscriptions automatically.)
а Если пишу Имя и Фамилию на Английском то всё ок!Могу прислать openfire.xml
Выручайте,а то скоро пойду за вазелином)!!!

Цитата:

А фильтр групп IM-* тоже показался наиболее удобным, решил создать в каждом контейнере где юзеры новую группу с названием IM-название подрезделения-название отдела. Ну допустим IM-DIS-ACCOUNTS и вписать в них нужных юзеров, сотрудников соответствующего отдела. Мне так легче почему то, кому как

Т.е. ты хочешь чтоб НЕ все сотрудники отдела могли получать доступ к чату?

Если так, то мне кажется более правильным просто создать группы безопасности для собтрудников отдела, включить всех сотрудников туда (вообще, как мне кажется, любой аккаунт в домене должен быть включен в группу безопасности согласно роду деятельности или согласно структуре подразделения ибо так легче раздавать ресурсы сети - скажем, общие папки для хранения документации отдела - с органичением по роду деятельности или согласно структуре предприятия), а отдельно создать группу с названием, к примеру, chat-enabled, и включить туда всех сотрудников, которые имеют право пользоваться чатом. ну и поменять фильтр для пользователей добавив секцию (memberOf=CN=chat-enabled,DC=mydomain,DC=loc)

Добавлено:
К вопросу о моем фильтре. У меня специфический фильтр...
У мну все должны иметь доступ в чат, но вот с группами веселее... Наш Пси умеет делать вложенные группы. А значит группы должны браться из АД не напрямую, а формироваться в базе с правильным именем для шары. Т.е. с перечислением всех вышестоящих орг-юнитов. Таким образом, формируется древовидная структура в чате, посторяющая структуру организации.

Для этого в настройках опенфайра убивается один параметр и пишется скрипт, который по расписанию выполняется и наполняет базу Опенфайра группами и их мемберами напрямую



Добавлено:
to rudok

Нифига не понял из твоего поста. Честно

Цитата:

а Если пишу Имя и Фамилию на Английском то всё ок

Куда пишешь, в какие поля..
у мну юзвери тож из Ад берутся. Открываю админку опенфайра, смотрю:
- Username - логин пользователя,
- name - ФИО русскми

Openfire на Debian, контроллер домена - Win2003

Цитата:

Т.е. ты хочешь чтоб НЕ все сотрудники отдела могли получать доступ к чату?

Если так, то мне кажется более правильным просто создать группы безопасности для собтрудников отдела, включить всех сотрудников туда (вообще, как мне кажется, любой аккаунт в домене должен быть включен в группу безопасности согласно роду деятельности или согласно структуре подразделения ибо так легче раздавать ресурсы сети - скажем, общие папки для хранения документации отдела - с органичением по роду деятельности или согласно структуре предприятия), а отдельно создать группу с названием, к примеру, chat-enabled, и включить туда всех сотрудников, которые имеют право пользоваться чатом. ну и поменять фильтр для пользователей добавив секцию (memberOf=CN=chat-enabled,DC=mydomain,DC=loc)

Напротив, хочу чтобы все имели. Просто не хотел создавать фильтр на основе существующих групп безопасности, у нас довольно развитая система групп как раз разделённые на орг. подразделения, отделы и другие особености. А для Openfire будут отдельные, так будет и админить легче, если вдруг захочу когото исключить из чата но при этом юзер останеться во всех остальных.

Я так понимаю что фильтр вида (memberOf=CN=chat-enabled,DC=mydomain,DC=loc) работает только у тебя так как у вас по другому групы формируються. У меня он работает тоже но не правильно. Я не могу прописать (memberOf=CN=IM-*,DC=mydomain,DC=loc) приходиться писать (memberOf=CN=IM-BUH,DC=mydomain,DC=loc) при это юзвери естесно беруться только из IM-BUH, членов остальных груп IM нет Если знаешь как это обойти скажи.

Увы, это не обходится. Использование подстановочных символов в данном случае недопустимо.
Мало того, существует ограничение на количество символов в фильтре Када первый раз решил сгенерить скриптом и вставить - столкнулся


Цитата:

А для Openfire будут отдельные

Вот этот момент меня и интересует - зачем отдельные (множественное число, то бишь)? Просто создай одну группу, в которые входят все, кому чат разрешен.

Получим следующее:
1) При твоем текущем фильтре групп в чат у тебя попадают те группы, которые имеют префикс "IM-". Т.е. структура групп в чате у тебя будет верная.
2) А при применении к пользователям фильтра
(&(objectCategory=person)(objectClass=user)(memberOf=CN=chat-enabled,DC=mydomain,DC=loc)(!(useraccountcontrol:1.2.840.113556.1.4.803:=2)))
в чат попаду только те пользователи, которым чат разрешен явно.

Таким образом у тебя и все нужные группы отобразятся, и лишних пользователей не будет.

Я имел ввиду когда создаёшь пользователя в АД,- Username - логин пользователя,
- name - ФИО русскми ввожу и пользователей джаббер не видит!А если name - ФИО англ,то всё ОК!Мож чё с кодировками!