» Openfire (Wildfire/Jive Messenger)

FYI
суть
Авторизация NTLM для пользователей с именами кириллицей (группы в AD также кириллицей).
Openfire 3.6.0(a)-3.8.2- 3.9.3 Embedded base - SSO NTLM для русских имен работает на Миранде и Pandion.

Судя по сообщениям , в более новых версиях поломали кириллицу в именах.
С версии 3.10.0 SSO с кириллицей в именах не работает.

Кто нибудь может озвучить проблему на офф форуме?
там на мой взгляд сначала все в штыки воспринимают и моего английского на диалог не хватит.

Всем привет, спешу поделится отзывов по работе с версией Openfire 4.0.2
Для меня она самая подходящая, т.к. наконец-то в ней исправили давнешний баг:
[OF-829] - Ghost sessions left on a server when using Pidgin client
Теперь проблема, при которой у некоторых пользователей создавалось несколько сессий с только одной активной и при этом включенной опцией на запуск только одной сессии, решена.
Плюс вроде как-то по стабильнее всё стало работать, теперь убрал из планировщика ребут openfire раз в сутки.

Используется Openfire 3.7.1 + AD + Pandion + NTLM авторизация + 2003 сервер

+ http://forum.ru-board.com/topic.cgi?forum=8&topic=45052&start=40#8

Проработал чат больше 2х лет без перебоев.

После реконструкции групп в АД, в чате появилась группа КОНТАКТЫ в ней отображаются сотрудники с другой группы "Отдел продаж"

Подскажите, что может быть?

Здравствуйте. Есть OpenFire 4.0.2 на 2012r2. + NTML патч.
Миранда отлично заходит. А вот vacuum-im никак. Пользователя подтягивает - но пароль все-таки требует ввести.
Подскажите, что может быть не так, уже куча часов на поиски убиты:
initial-options.xml

Цитата:

<options>
<accounts>
<account ns="{e03f5329-1953-4761-9a6b-929002c68620}">
<auto-connect type="1">true</auto-connect>
<enable-ntlm-auth type="1">true</enable-ntlm-auth>
<connection ns="DefaultConnection">
<proxy/>
<host type="10">dmt-dc.lan.local</host>
<port/>
<use-legacy-ssl/>
</connection>
<name type="10">%USERNAME%@lan</name>
<streamJid type="10">%USERNAME%@lan</streamJid>
<resource type="10">%COMPUTERNAME%</resource>
<enable-ntlm-auth/>
<auto-reconnect type="1">true</auto-reconnect>
</account>
</accounts>
</options>

сборка ночная

Arheii
Если сборка vacuum-im_1.3.0.20160327, то у меня тоже пароль просит.
В версии от 1 марта 2016 всё нормально работало, после, видимо, что-то поломали.

[more] [more]
Цитата:

    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модераторуИспользуется Openfire 3.7.1 + AD + Pandion + NTLM авторизация + 2003 сервер

+ http://forum.ru-board.com/topic.cgi?forum=8&topic=45052&start=40#8

Проработал чат больше 2х лет без перебоев.

После реконструкции групп в АД, в чате появилась группа КОНТАКТЫ в ней отображаются сотрудники с другой группы "Отдел продаж"

Подскажите, что может быть?

Решил проблему странным способом.

- зашёл в ац - пользователи/группы - список пользователей
Вижу: JID - ник - Группы - подписки.

И у некоторых пользователей к и общей группе "Отдел продаж" была прописана группа "контакты" прописью, не кликабельна.
http://s8.hostingkartinok.com/uploads/images/2016/04/0c11e9371cfa73caa0f550a15b9904d9.png
(Если её вырезать выскакивала ошибка).

- Открываю в новой вкладке группы - выбираю "отдел продаж" - меняю значение "Все пользователи" на "определенные группы"
http://s8.hostingkartinok.com/uploads/images/2016/04/647cb2e5339bd29d3b5b92f92dc92a61.png

Жму сохранить, и быстро возвращаюсь в предыдущую вкладку, обновляю её "список пользователей" и рядом с дефектными юзерами появился возможность их удалить из списка (красный крестик).

После всех манипуляций с удаление пользователей с списка, вернул старые настройки группе "отдел продаж" - и все дефектные пользователи лишились не размеченной группы. [/more] [/more]

Господа, помогите как то настроить SSO через Kerberos.

Использую OpenFire 4.0.2 (на Debian 8 или CentOS 7)+ Postgresql + AD 2003

Код:
# dpkg-query -l *sasl* krb* openfire openjdk* | grep ^ii
ii krb5-config 2.3 all Configuration files for Kerberos Version 5
ii krb5-doc 1.12.1+dfsg-19+deb8u2 all Documentation for MIT Kerberos
ii krb5-locales 1.12.1+dfsg-19+deb8u2 all Internationalization support for MIT Kerberos
ii krb5-user 1.12.1+dfsg-19+deb8u2 amd64 Basic programs to authenticate using MIT Kerberos
ii libauthen-sasl-perl 2.1600-1 all Authen::SASL - SASL Authentication framework
ii libsasl2-2:amd64 2.1.26.dfsg1-13+deb8u1 amd64 Cyrus SASL - authentication abstraction library
ii libsasl2-modules:amd64 2.1.26.dfsg1-13+deb8u1 amd64 Cyrus SASL - pluggable authentication modules
ii libsasl2-modules-db:amd64 2.1.26.dfsg1-13+deb8u1 amd64 Cyrus SASL - pluggable authentication modules (DB)
ii libsasl2-modules-gssapi-mit:amd64 2.1.26.dfsg1-13+deb8u1 amd64 Cyrus SASL - pluggable authentication modules (GSSAPI)
ii openfire 4.0.2 all A high performance XMPP (Jabber) server.
ii openjdk-7-jre:amd64 7u95-2.6.4-1~deb8u1 amd64 OpenJDK Java runtime, using Hotspot JIT
ii openjdk-7-jre-headless:amd64 7u95-2.6.4-1~deb8u1 amd64 OpenJDK Java runtime, using Hotspot JIT (headless)

После настройки ldap, при первом входе возникает ошибка java... Что это и как исправить?


Цитата:

HTTP ERROR 500

Problem accessing /index.jsp. Reason:

Server Error

Caused by:

java.lang.NullPointerException
at org.jivesoftware.openfire.admin.index_jsp._jspService(index_jsp.java:173)
at org.apache.jasper.runtime.HttpJspBase.service(HttpJspBase.java:70)
at javax.servlet.http.HttpServlet.service(HttpServlet.java:790)
at org.eclipse.jetty.servlet.ServletHolder.handle(ServletHolder.java:812)
at org.eclipse.jetty.servlet.ServletHandler$CachedChain.doFilter(ServletHandler.java:1669)
at com.opensymphony.module.sitemesh.filter.PageFilter.parsePage(PageFilter.java:118)
at com.opensymphony.module.sitemesh.filter.PageFilter.doFilter(PageFilter.java:52)
at org.eclipse.jetty.servlet.ServletHandler$CachedChain.doFilter(ServletHandler.java:1652)
at org.jivesoftware.util.LocaleFilter.doFilter(LocaleFilter.java:76)
at org.eclipse.jetty.servlet.ServletHandler$CachedChain.doFilter(ServletHandler.java:1652)
at org.jivesoftware.util.SetCharacterEncodingFilter.doFilter(SetCharacterEncodingFilter.java:53)
at org.eclipse.jetty.servlet.ServletHandler$CachedChain.doFilter(ServletHandler.java:1652)
at org.jivesoftware.admin.PluginFilter.doFilter(PluginFilter.java:80)
at org.eclipse.jetty.servlet.ServletHandler$CachedChain.doFilter(ServletHandler.java:1652)
at org.jivesoftware.admin.AuthCheckFilter.doFilter(AuthCheckFilter.java:162)
at org.eclipse.jetty.servlet.ServletHandler$CachedChain.doFilter(ServletHandler.java:1652)
at org.eclipse.jetty.servlet.ServletHandler.doHandle(ServletHandler.java:585)
at org.eclipse.jetty.server.handler.ScopedHandler.handle(ScopedHandler.java:143)
at org.eclipse.jetty.security.SecurityHandler.handle(SecurityHandler.java:577)
at org.eclipse.jetty.server.session.SessionHandler.doHandle(SessionHandler.java:223)
at org.eclipse.jetty.server.handler.ContextHandler.doHandle(ContextHandler.java:1127)
at org.eclipse.jetty.servlet.ServletHandler.doScope(ServletHandler.java:515)
at org.eclipse.jetty.server.session.SessionHandler.doScope(SessionHandler.java:185)
at org.eclipse.jetty.server.handler.ContextHandler.doScope(ContextHandler.java:1061)
at org.eclipse.jetty.server.handler.ScopedHandler.handle(ScopedHandler.java:141)
at org.eclipse.jetty.server.handler.ContextHandlerCollection.handle(ContextHandlerCollection.java:215)
at org.eclipse.jetty.server.handler.HandlerCollection.handle(HandlerCollection.java:110)
at org.eclipse.jetty.server.handler.HandlerWrapper.handle(HandlerWrapper.java:97)
at org.eclipse.jetty.server.Server.handle(Server.java:499)
at org.eclipse.jetty.server.HttpChannel.handle(HttpChannel.java:311)
at org.eclipse.jetty.server.HttpConnection.onFillable(HttpConnection.java:257)
at org.eclipse.jetty.io.AbstractConnection$2.run(AbstractConnection.java:544)
at org.eclipse.jetty.util.thread.QueuedThreadPool.runJob(QueuedThreadPool.java:635)
at org.eclipse.jetty.util.thread.QueuedThreadPool$3.run(QueuedThreadPool.java:555)
at java.lang.Thread.run(Thread.java:745)

и не пропускает дальше
стоит только релогнуть сервер как все настройкаи сбрасывает на дефолтные

Цитата:

После настройки ldap, при первом входе возникает ошибка java... Что это и как исправить?

Не уверен, но попробуй покопать в сторону прав доступа для папок с опенфайр и джавой.
+ если запускается не службой - запускать от имени администратора

Цитата:

Если сборка vacuum-im_1.3.0.20160327, то у меня тоже пароль просит.
В версии от 1 марта 2016 всё нормально работало, после, видимо, что-то поломали.

А может кто-нибудь рабочую версию выложить? Весь инет перерыл, только от 27.03

на офф сайте есть vacuum-im_1.3.0.20151030 но только msi
можно его и брать

Долго мучился с 4.0.2 - не хотел работать NTLM ни с Pandion, ни с Vacuum 1.2.5.

С Openfire 3.8.2 и патчем NTLM - сразу все заработало, Vacuum 1.2.5 от июня 2015 и Pandion - ok.

Потом попробовал Vacuum 1.3.0 от 27.03 - по NTLM отказался.

Подумал "может с 4.0.2 этот 1.3.0 заработает" (ну, типа, и то и другое свежее).
Поставил 4.0.2 опять с патчем, и опять убедился, что ни один клиент по NTLM не подключается

Win2012R2, пробовал и 7 яву, и свежую, и встроенную в of.. Ошибка:


Цитата:

2016.04.26 11:30:25 ERROR [socket_c2s-thread-2]: org.jivesoftware.openfire.nio.ConnectionHandler - Closing connection due to error while processing message: <auth xmlns="jabber:client" xmlns="urn:ietf:params:xml:ns:xmpp-sasl" mechanism="NTLM"/>
org.xmlpull.v1.XmlPullParserException: duplicated namespace declaration for default prefix (position: START_DOCUMENT seen ...uth xmlns="jabber:client" xmlns="urn:ietf:params:xml:ns:xmpp-sasl"... @1:68)

Может есть идеи? А то читал, что 4.0.1 работает в похожих связках. Неужели такая минорная разница так подкосила..

Levitator
работает 4.0.2 c патчем.

varbasik
Может какой-то нюанс есть? Ведь 3.8.2 - сделал все по мануалу, и СРАЗУ заработал. Хотя до этого с 4.0.2 сражался часа четыре.

Какая винда? Какая джава?

Добавлено:
Господа, почему-то заработало.
Точно сказать не могу, почему, но что делал (пишу сразу с некоторыми подробностями для домена, может кому-то поможет):

Создал в нашей зоне DNS SRV-запись для XMPP сервера - типа DOMAIN.RU -> JABBER.DOMAIN.RU
Создал A запись JABBER.DOMAIN.RU указывающую на сервер опенфаера

Чтобы учетки были типа v.pupkin@domain.ru , а не v.pupkin@jabber.domain.ru

Поставил SQL EXPRESS, создал базу openfire
Поставил openfire 4.0.2 , запустил как службу

В процессе установки
Указал домен или зону (как она там называется у of) - domain.ru
Настроил LDAP (указав OU где искать пользователей, учетку пользователя джаберу, под которой он будет рыскать в LDAP, и фильтр поиска пользователей (objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2))
Настроил внешнюю базу типа jdbc:jtds:sqlserver://localhost/openfire;appName=jive; instance=SQLEXPRESS
Остальное по умолчанию
Зашел в админку, проверил работу, добавил в админке переменные:
sasl.mechs
ANONYMOUS,PLAIN,NTLM
sasl.realm
DOMAIN
provider.authorization.classList
org.jivesoftware.openfire.sasl.StrictAuthorizationPolicy
org.jivesoftware.openfire.sasl.DefaultAuthorizationPolicy

В настройках клиентских соединений -> 5222 -> расширенные перенес все варианты из поддерживаемых в используемые (справа налево)

Остановил службу
Удалил его встроенную джаву, поставил последнюю с оракла
Разместил файлы патча по папочкам джавы (lib,bin), плагин sasl запихнул в openfire\plugins
В java\lib\security изменил список таким образом:


Цитата:

security.provider.1=sun.security.provider.Sun
security.provider.2=sun.security.rsa.SunRsaSign
security.provider.3=net.za.darkskies.security.sasl.SSPIProvider
#security.provider.3=sun.security.ec.SunEC
security.provider.4=com.sun.net.ssl.internal.ssl.Provider
security.provider.5=com.sun.crypto.provider.SunJCE
security.provider.6=sun.security.jgss.SunProvider
#security.provider.7=com.sun.security.sasl.Provider
security.provider.7=org.jcp.xml.dsig.internal.dom.XMLDSigRI
security.provider.8=sun.security.smartcardio.SunPCSC
security.provider.9=sun.security.mscapi.SunMSCAPI

Запустил службу, подождал, попробовал Vacuum 1.2.5 - входит по NTLM. 1.3.0 от 27.03 так и не входит.

Цитата:

А может кто-нибудь рабочую версию выложить?

Вот ссылка с версией vacuum-im 1.3, что у себя использую -
https://mega.nz/#!7AMHDYwL!2JisgOV26JzM09oxS-xSeQa6NCg4tMes1S6izM_z3es
Собирал с github с помощью MS Visual express 2010, версия от 1 марта 2016 г.
NTLM c Openfire работает. На 4.0.2 не забывайте, что ещё нужно копировать saslsspi.dll в java_home\bin
Собирал для себя, поэтому удалил несколько плагинов - статистика, sip-телефон, ещё что-то. datastreamspublisher.dll - не работает.
Внутри файл автонастроек - vacuum-im\resources\initial-options.xml

casm82, спасибо огромное, завтра затестируем.

Levitator

Цитата:

Господа, почему-то заработало

не почему то, а в следствии

Цитата:

Разместил файлы патча по папочкам джавы (lib,bin)

+ список

Остальное на работу патча не влияет.

varbasik
Файлики рассовывал по всем подряд папкам каждый раз со времен самого начала экспериментов. Это точно.
Из нового - немного по-другому сделанный файлик в либ\секурити и перетянутые варианты комбинации шифров из доступных в используемые. Но, конечно, нельзя исключать магию.
В любом случае: всем спасибо за помощь, и надеюсь кому-то помогут мои хождения по граблям.

Levitator
Была та же фигня. За сим больше трогать не буду. Пусть себе работает

Всем Привет! Стоит задача объединить несколько серверов openfire.
на всех серверах свой домен, интернета нет (сеть только ведомственная), соединение по VPN, у всех стоит межсетевой экран ИВК «Кольчуга».
Необходимо чтобы список контактов и групп у всех был общим. Если vpn не работает тогда только локальные группы.
Подскажите как это реализовать? Возможно этот вопрос поднимался не раз, но мне до сих пор непонятно)
Поиском нашел несколько инструкций, но в них либо один общий домен либо всего 2 сервера
Инструкция из шапки не подходит, в качестве БД используется Mysql и пользователи создаются и группируются только средствами openfire.
Спасибо!
P.s. нашел что [more=похожее..]Скажем так... По сути продолжение предыдущего поста.
Суть этого поста заключается в объединении 2х jabber серверов на основе OpenFire.
Проколупавшись весь день, рассмотрев кучу вариантов, нашел достаточно простое решение, а что самое главное - достаточно вменяемое.

И так. У нас есть 2 сервера, находятся в разных офисах. Существуют в одном домене. Связь организована через vpn, но это не суть. Главное заключается в том, что необходимо иметь именно 2 сервера. Причина заключается в следующем - падает канал - пользователи могли видеть хотя бы себя в пределах офиса. Фишка s2s (server 2 server) работала как то совсем невменяемо, как скрещивать их оба - инфы тоже не особо густо было.

Решение пришло внезапно. Причем достаточно банальное - транспорт xmpp через xmpp. Извращенное извращение, конечно, и все же работает прекрасно.

Все, что нам нужно - скачать с http://kraken.blathersource.org/ плагин для OpenFire, установить и просто врубить в настройках транспорт xmpp.

Рассмотрим немного подробнее.

Версия Кракена (стабильная) 1.1.2. Ее и вытягиваем. Ставим в админке Plugins-Plugins-Brose..-Upload. Все. Плагин установлен.
Далее во вкладке Server появляется вкадка Gateways. В ней ставим галочку на XMPP. В options выбираем адрес второго удаленного сервера. Остальное не трогаем - жмем на Save options.
Эти же действия можно произвести и на удаленном сервере, хотя смысла от них будет не много.
По сути, если офисов много, то можно всеми остальными поделючаться к 1 самомму стабильному серверу.

Ну и конечно же про саму клиентскую часть. После того, как мы перезупастили Spark, на верхней панели иконок появляется лампочка - наш транспорт джаббера. На нее жвмем - войти. И вводим доменные учетные данные пользователя. Источник[/more]
Пока не пробовал, но не понял будет ли один общий список групп и пользователей, если все серверы укажут в настройках один главный?

Я вот здесь описывал как мы это делаем у себя, тоже несколько доменов независимых и конторы объединены по vpn. Полет 3ий год нормально, проблем нет вообще.
В ссылке приложен более подробный мануал, скрипты, я постарался сделать их более-менее универсальными чтобы подошли для всех. С этим комплектом можно поразбираться, на моменте ознакомления 1-2 дня уйдет, мне бы чтобы сейчас отстроить с моими мануалами с 0 ну часа 2-3 понадобиться с учетом ручной настройки серверов.
Сама идея банальна и проста... Вообщем почитайте, если возникнет желание заморочиться могу помочь.

DeisGood
Изучаю, Спасибо! Если не разберусь, напишу в личку)
P.s. Еще вопрос: Что есть кластеризация и как работает?
P.p.s. На данный момент удалось объединить 2 сервера посредством плагина Kraken IM Gateway, получается так (образно)
Цитата:

Долгое время мучились со связкой серверов (в плане пользователи удаленных серверов добавляются ручками, но где админ проленился, где не доглядели…) Ростер раздувался был жутко большим, не актуальным… Openfire торомозил и глючил, вообщем геморрой еще тот…

Пользователей всего 4 на 2 сервера, но глюки уже есть(
Поэтому пока в раздумьях как их все объединять...Работа предстоит большая около 30 офисов, в среднем по 30 пользователей, плюс все соединения идут через сетевой экран на linux, на каждом нужно прописать маршруты и открыть определенные порты. в соединениях м/у серверами будет указываться не локальный адрес сервера, а адрес сетевого экрана, который в свою очередь будет переадресовывать на сервак. Лажа в общем...
Суть в чем, если делать авторизацию по AD, то работы прибавится конкретно (на большинстве компов одинаковая учетка, либо вообще от другого пользователя - с этим никто никогда не парился), поэтому было решено использовать базу mysql и встроенные учетки средствами openfire

Цитата:

Суть в чем, если делать авторизацию по AD, то работы прибавится конкретно (на большинстве компов одинаковая учетка, либо вообще от другого пользователя - с этим никто никогда не парился)

AD в принципе и не обязательно, основная фишка метода заключается в том что формируется файлик общего списка контактов, и из него наполняются ростеры на серверах.
При желании можно адаптировать и под себя. Файлик может наполнять местный админ при изменениях, не так же часто люди меняются, и пару строк в текстовый файлик добавить не так уж и много времени займет
30*30 = 900 юзеров, неплохо так... руками в данном случае тяжковато будет.

Плагин кластеризации вроде как призван синхронизировать базы данных юзеров опенфайер
Hazelcast Clustering Plugin

Цитата:

Плагин кластеризации вроде как призван синхронизировать базы данных юзеров опенфайер

Самое оно, но как его настроить. Установил давно уже его, но пока кластеризацию не включал. Так как прочитал, что включить нужно один раз и распространится на все остальные серверы. Где то нужно будет прописать все ip сереверов, но где и когда это нужно делать)
Чет туплю... я ж его удалил уже, после того несколько раз прочитал описание. и понял что мне это не надо=)

DeisGood

Код: if case == 'dom1.local':

D['ou'] = 'OU=Users,DC=dom1,DC=local'

D['region'] = 'dm1'

Цитата:

D['region'] = 'иник идент'

вот здесь, это вроде как уникальный идентификатор сервера, я не знаю как с кирилицей и пробелом, может не сработать.
По поводу вырезки отправки сообщений и лога, сам попробую сегодня, если не получится нашего программера потерзаю, поди найдет 5 минуток

DeisGood
иник идент - эт я с дома писал, не знал какой уникальный идентификатор в домене
Спасибо!

Идентификатор не обязательно к доменному должен быть привязан, у нас это например номер региона в котором завод расположен.
Переделал файл объединения контактов (не без помощи программиста конечно ) потестил у себя вроде работает.
Дабы совсем файл не кромсать строки и блоки работы с почтой закоментил, добавил поэтапную запись в лог-файл, сейчас в папке запуска скрипта создается файл mergecontacts.log с приблизительно следующим содержанием:


Код:
-------------------------
Started: 2016-05-04 14:18:35.268000
Ошибка при обращении к общей папке на сервере 192.168.0.10.
Ошибка при обращении к общей папке на сервере 192.168.1.10.
Ошибка при обращении к общей папке на сервере 192.168.2.10.
Копирование с сервера 192.168.3.10. Успешно!!!
Копирование с сервера 192.168.4.10. Успешно!!!
Копирование с сервера 192.168.5.10. Успешно!!!
Производим сбор данных в один файл. Успешно!!!
Выполнили перекодировку файлов!!!
Удалили временный файл с кодировкой UTF-16.
Ошибка при копировании файла общих контактов на сервер 192.168.1.10
Ошибка при копировании файла общих контактов на сервер 192.168.2.10
Файл с общими контактами успешно скопирован на сервер 192.168.3.10
Файл с общими контактами успешно скопирован на сервер 192.168.4.10
Файл с общими контактами успешно скопирован на сервер 192.168.5.10
Finished: 2016-05-04 14:19:47.302000

Привет всем. Проблема на работе появилась серьезная. Админ старый ушел, который поднимал OpenFire 3.9.3 по LDAP
Проблема вот в чём. Сбросили пароль админа, зашли в вебморду опенфайера и хотели посмотреть архивы сообщение. Потом веб морда закрылась и с новым паролем не пускала. Перезагрузили сервер openfire и теперь все сотрудники не могут попасть в Spark - invalid username or password/
Даже не могу понять, что делать. Старый сис админ говорит - что пароль забыл от своей учетки. Помогите, будьте добры

JerikoQ
Так а в конечном итоге можете сейчас зайти в веб-морду или нет?

Если старый админ был человеком который "уже делает бекапы", то в идеале проще взять бекап папки опенфайера и запуститься из неё. А потом уже посканить эту тему, в ней поднимался вопрос как восстановить/поменять пароль к админской учетке (просто сам с ходу не помню). Это вариант "малой крови"

Судя по описанию слетели настройки лдап, просто надо пробежатся по настройкам и всё перепроверить, даже если с нуля лдап настроить ну это около 5 минут, при условии что можете зайти в веб-морду.

Если не можете, могу ошибиться но кажется, в конфиге Openfire.xml есть параметр:

Код: <setup>true</setup>