» Openfire (Wildfire/Jive Messenger)

---

Openfire (Wildfire Server / Jive Messenger)
Текущая версия: 3.10.2

OpenFire Server - это Open Source XMPP сервер обмена мгновенными сообщениями.
Прост в настройке, администрируется через web-консоль, поддерживает LDAP.
Основные принципы работы и доступные клиенты(wiki) + jabberworld

---

ПАТЧ v.7.2(сервера 3.6.4+) Для прозрачной NTLM авторизации клиентов
Корпоративная сборка Миранды 0.9.20

---

Active Directory Explorer Просмотр структуры LDAP AD
Расширенная настройка фильтрации АД объектов
PyICQ-t
Переход со встроенной на внешнюю базу
Прозрачная авторизация для двух и более доменов

---

Сначала читаем статьи Установка и настройка - потом задаем вопрос!!!
Установка и настройка для Linux, установка и настройка для Windows
[more=Установка и настройка]
Установка под Windows

0)Перед началом установки сервера продумайте схему имен DNS. Идентификатор пользователя подобен обычному
емайлу и состоит из имени пользователя, собаки @ и идентификатора домена - user@domain.org Идентификатор
домена указывается в настройках как Server Name и к нему привязываются все пользовательские идентификаторы.
Если планируете открыть сервер для коммуникации с другими серверами в интернете имя домена должно резолвиться
как из локальной сети так и из интернета. Не привязывайте имя домена к реальному имени компьютера. Создайте
отдельную A или CNAME запись в DNS, в дальнейшем это избавит вас от гемороя при переносе сервера с одной
машины на другую.

1)Запустите openfire_x.exe и следуйте инструкциям
2)После установки и старта OpenFire запустите консоль администратора. По умолчанию имя администратора- admin пароль - admin.

Конфигурирование базы данных.
OpenFire использует HSQL db (Hypersonic) базу данных по умолчанию.
Рекомендуется использовать внешнюю базу, это ускорит работу сервера при большом кол-ве
пользователей и ведении архива сообщений.
Поддерживаются базы
MySQL (обязательно utf8 кодировка)
Oracle
Microsoft SQLServer
PostgreSQL
IBM DB2
Настройка под MS SQL server.

На закладке Database в веб-консоли администрирования
установите следующие параметры БД:
driver -- SQLServer
server -- jdbc:jtds:sqlserver://имя_сервера:1433/имя_базы; appName=jive
имя пользователя
пароль

Вот что должно быть в файле конфигурации по окончании настройки в файле conf/jive-messenger.xml :

<database>
<defaultProvider>
<driver>net.sourceforge.jtds.jdbc.Driver</driver>
<serverURL>jdbc:jtds:sqlserver://server:1433;databasename=jabber_base; appName=jive</serverURL>
<username>sql_user</username>
<password>password</password>
<minConnections>5</minConnections>
<maxConnections>5</maxConnections>
<connectionTimeout>1.0</connectionTimeout>
</defaultProvider>
</database>

Про настройку под другие СУБД можно почитать здесь(англ.):
http://www.jivesoftware.org/builds/messenger/docs/latest/documentation/database.html

Настройка LDAP(Active Directory).
Использование LDAP облегчает администрирование Jive messenger. Информация о логине/пароле/профиле пользователя в этом случае берется не из БД, а из LDAP.
Jive Messenger подключается к LDAP только в режиме read-only. Это означает, что через консоль администратора Jive messenger нельзя добавлять/удалять/редактировать пользователей.
Порядок настройки LDAP:
Остановить Jive Messenger. Отредактировать conf/jive-messenger.xml Перестартовать Jive Messenger.
Что должно быть в jive-messenger.xml:

Провайдеры сервисов LDAP в секции <provider> :


Код:
<provider>
<!-- Юзеры-->
<user>
<className>
org.jivesoftware.wildfire.ldap.LdapUserProvider
</className>
</user>
<!-- Аутентификация-->
<auth>
<className>
org.jivesoftware.wildfire.ldap.LdapAuthProvider
</className>
</auth>
<!-- Группы юзеров-->
<group>
<className>
org.jivesoftware.wildfire.ldap.LdapGroupProvider
</className>
</group>
<!-- Vcard - информация о пользователе-->
<vcard>
<className>
org.jivesoftware.wildfire.ldap.LdapVCardProvider
</className>
</vcard>

и кто же мне установить пароль на плагин monitoring service?? чтобы админов было несколько а переписку читал только один человек!!!

Цитата:

Доброго времени суток all! Помогите плз решить вопрос. Настроил s2s все работает нормально , только в клиенте psi пользователи домена1 к которому допустим я подключен отображаются Фамилия Имя Отчество , а пользователи домена 2 по нику , как сделать чтоб пользователи домена2 отображались тоже по ФИО

Цитата:

на сервере настраивай vcard mapping

Цитата:

А можно подробней , просто не знаком с openfire, ldap не использую , пользователи и группы создаются вручную.

Ну неужели никто не поможет ?

Здравствуйте!
Подскажите, пожалуйста: домен на вин2003, опенфаир на дебиане, юзеров затягивает через ldap - все замечательно работает, группы\юзеры отображаются как надо, но... проходит некоторое время и из общего числа юзеров (около 350) пропадают 2-4 человека. В AD они никуда не перемещались, не изменялись - просто пропали из списка опенфаира. Я так понял, это происходит в момент, когда идет синхронизация с ldap. Поиграл с параметрами типа cache.userCache.maxLifetime и им подобными, которые чаще всего в инете обсуждаются, почистил кэш, поперезапускал сервис - не видит сейчас двух юзеров, хоть убейся об стену. Что можно еще сделать в такой ситуации?

[more]
Цитата:

Добрый день!
Помогите в настройке NTLM авторизации.
Допустим такие настройки.
Домен: test1
Сервер: test2
Настройки в Openfire
http://i070.radikal.ru/1209/4c/c6c3a1cb695e.jpg
В файл jrelibsecurityjava.security добавлена строка
security.provider.10=net.za.darkskies.security.sasl.SSPIProvider
Файлы патча скопированы.
bin\SaslSspi.dll
lib\sasl-sspi.jar
plugins\saslmechanisms.jar
Клиент используется Miranda, его настройки:
http://s018.radikal.ru/i524/1209/cd/698ac9609bcf.jpg
При попытке подключения, клиент висит в состоянии "Подключение".
Скорей всего накасячил в настройке, но увидеть свою ошибку неполучается.(
Подскажите в чем проблема.

Цитата:

Попробуй указать в миранде в графе сервер\домен test2, должно заработать.
А в графе хост FQDN имя сервера

Цитата:

в миранде порт не 5223 а 5222, и на закладке "Дополнительно" поищи галку SASL и поиграй с нею

При попытке подключения в логах отладки пишет:
2012.09.21 11:09:05 org.jivesoftware.openfire.nio.ClientConnectionHandler - [/192.168.213.117:62337] appBuffer: java.nio.DirectByteBuffer[pos=26 lim=33330 cap=33330]
2012.09.21 11:09:05 org.jivesoftware.openfire.nio.ClientConnectionHandler - [/192.168.213.117:62337] Unwrap res:Status = BUFFER_UNDERFLOW HandshakeStatus = NOT_HANDSHAKING
bytesConsumed = 0 bytesProduced = 0
2012.09.21 11:09:05 org.jivesoftware.openfire.nio.ClientConnectionHandler - [/192.168.213.117:62337] appBuffer: java.nio.DirectByteBuffer[pos=0 lim=26 cap=33330]
2012.09.21 11:09:05 org.jivesoftware.openfire.nio.ClientConnectionHandler - [/192.168.213.117:62337] app data read: HeapBuffer[pos=0 lim=26 cap=26: 22 3F E1 07 F8 38 7A FA 29 D9 39 BA 1B 96 25 19 7B 3A 42 53 2F 00 00 00 FF FF] (22 3F E1 07 F8 38 7A FA 29 D9 39 BA 1B 96 25 19 7B 3A 42 53 2F 00 00 00 FF FF)
2012.09.21 11:09:05 org.apache.mina.filter.executor.ExecutorFilter - Launching thread for /192.168.213.117:62337
2012.09.21 11:09:05 org.jivesoftware.openfire.nio.ClientConnectionHandler - [/192.168.213.117:62337] Filtered Write: org.apache.mina.filter.support.SSLHandler@112b146
2012.09.21 11:09:05 org.jivesoftware.openfire.nio.ClientConnectionHandler - [/192.168.213.117:62337] encrypt: HeapBuffer[pos=0 lim=11 cap=29: 82 47 23 84 B2 03 00 00 00 FF FF]
2012.09.21 11:09:05 org.jivesoftware.openfire.nio.ClientConnectionHandler - [/192.168.213.117:62337] Wrap res:Status = OK HandshakeStatus = NOT_HANDSHAKING
bytesConsumed = 11 bytesProduced = 37
2012.09.21 11:09:05 org.jivesoftware.openfire.nio.ClientConnectionHandler - [/192.168.213.117:62337] encrypted buf: HeapBuffer[pos=0 lim=37 cap=37: 17 03 01 00 20 3A FC FC C7 DF 39 40 DB A7 49 FB 37 E2 0C 38 2E C3 6E B4 94 BF 37 3E F7 FC 63 72 FF 72 58 87 10]
2012.09.21 11:09:05 org.jivesoftware.openfire.nio.ClientConnectionHandler - [/192.168.213.117:62337] write outNetBuffer: java.nio.DirectByteBuffer[pos=0 lim=37 cap=16665]
2012.09.21 11:09:05 org.jivesoftware.openfire.nio.ClientConnectionHandler - [/192.168.213.117:62337] session write: HeapBuffer[pos=0 lim=37 cap=37: 15 03 01 00 20 7E CA 9A BF AF 67 48 DF C8 0B BA 00 41 7E E2 A1 3F 0B 1B 41 B4 05 04 B5 D1 15 90 40 CD 90 C9 90]
2012.09.21 11:09:05 org.apache.mina.filter.executor.ExecutorFilter - Exiting since queue is empty for /192.168.213.117:62337
2012.09.21 11:09:05 org.jivesoftware.openfire.nio.ClientConnectionHandler - [/192.168.213.117:62337] Unexpected exception from SSLEngine.closeInbound().
javax.net.ssl.SSLException: Inbound closed before receiving peer's close_notify: possible truncation attack?
at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Unknown Source)
at com.sun.net.ssl.internal.ssl.SSLEngineImpl.fatal(Unknown Source)
at com.sun.net.ssl.internal.ssl.SSLEngineImpl.fatal(Unknown Source)
at com.sun.net.ssl.internal.ssl.SSLEngineImpl.closeInbound(Unknown Source)
at org.apache.mina.filter.support.SSLHandler.destroy(SSLHandler.java:167)
at org.apache.mina.filter.SSLFilter.sessionClosed(SSLFilter.java:367)
at org.apache.mina.common.support.AbstractIoFilterChain.callNextSessionClosed(AbstractIoFilterChain.java:269)
at org.apache.mina.common.support.AbstractIoFilterChain.access$800(AbstractIoFilterChain.java:53)
at org.apache.mina.common.support.AbstractIoFilterChain$EntryImpl$1.sessionClosed(AbstractIoFilterChain.java:633)
at org.apache.mina.common.support.AbstractIoFilterChain$HeadFilter.sessionClosed(AbstractIoFilterChain.java:484)
at org.apache.mina.common.support.AbstractIoFilterChain.callNextSessionClosed(AbstractIoFilterChain.java:269)
at org.apache.mina.common.support.AbstractIoFilterChain.fireSessionClosed(AbstractIoFilterChain.java:264)
at org.apache.mina.common.support.IoServiceListenerSupport.fireSessionDestroyed(IoServiceListenerSupport.java:224)
at org.apache.mina.transport.socket.nio.SocketIoProcessor.doRemove(SocketIoProcessor.java:188)
at org.apache.mina.transport.socket.nio.SocketIoProcessor.access$600(SocketIoProcessor.java:45)
at org.apache.mina.transport.socket.nio.SocketIoProcessor$Worker.run(SocketIoProcessor.java:489)
at org.apache.mina.util.NamePreservingRunnable.run(NamePreservingRunnable.java:51)
at java.util.concurrent.ThreadPoolExecutor$Worker.runTask(Unknown Source)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(Unknown Source)
at java.lang.Thread.run(Unknown Source)
2012.09.21 11:09:05 org.apache.mina.filter.executor.ExecutorFilter - Launching thread for /192.168.213.117:62337
2012.09.21 11:09:05 org.apache.mina.filter.executor.ExecutorFilter - Exiting since queue is empty for /192.168.213.117:62337
2012.09.21 11:09:09 org.jivesoftware.util.log.util.JettyLog - JettyLog: servlet holder=
2012.09.21 11:09:09 org.jivesoftware.util.log.util.JettyLog - JettyLog: chain=
2012.09.21 11:09:09 org.jivesoftware.util.log.util.JettyLog - JettyLog: servlet holder=
2012.09.21 11:09:09 org.jivesoftware.util.log.util.JettyLog - JettyLog: chain=
2012.09.21 11:09:10 org.jivesoftware.util.log.util.JettyLog - JettyLog: servlet holder=
2012.09.21 11:09:10 org.jivesoftware.util.log.util.JettyLog - JettyLog: chain=
2012.09.21 11:09:10 org.jivesoftware.util.log.util.JettyLog - JettyLog: servlet holder=
2012.09.21 11:09:10 org.jivesoftware.util.log.util.JettyLog - JettyLog: chain=
2012.09.21 11:09:10 org.jivesoftware.util.log.util.JettyLog - JettyLog: servlet holder=
2012.09.21 11:09:10 org.jivesoftware.util.log.util.JettyLog - JettyLog: chain=
2012.09.21 11:09:10 org.jivesoftware.util.log.util.JettyLog - JettyLog: servlet holder=
2012.09.21 11:09:10 org.jivesoftware.util.log.util.JettyLog - JettyLog: chain=

В чем проблема, подскажите... [/more]

Смотрю вроде никто не сталкивался стоял jre 6u31
позавчера на сервере обновили ПО, установили jre 7 (и 32 и 64)
перестала работать доменная авторизация(ntlm), на 6 версии явы всё работало ок.
изменения в java.security внёс (и в 32 и в 64)
"security.provider.11=net.za.darkskies.security.sasl.SSPIProvider"
правда пришлось ставить пункт 11 так как 10 уже занят

зы [more=в логах рисует юзер не найден]

2012.09.21 10:28:39 org.apache.mina.filter.executor.ExecutorFilter - Launching thread for /10.30.1.57:50262
2012.09.21 10:28:39 org.jivesoftware.openfire.net.SASLAuthentication - SASLAuthentication: SaslException
javax.security.sasl.SaslException: NTLM: generate response failure [Caused by com.sun.security.ntlm.NTLMException: Unknown user]
at com.sun.security.sasl.ntlm.NTLMServer.evaluateResponse(Unknown Source)
at org.jivesoftware.openfire.net.SASLAuthentication.handle(SASLAuthentication.java:325)
at org.jivesoftware.openfire.net.StanzaHandler.process(StanzaHandler.java:183)
at org.jivesoftware.openfire.nio.ConnectionHandler.messageReceived(ConnectionHandler.java:169)
at org.apache.mina.common.support.AbstractIoFilterChain$TailFilter.messageReceived(AbstractIoFilterChain.java:570)
at org.apache.mina.common.support.AbstractIoFilterChain.callNextMessageReceived(AbstractIoFilterChain.java:299)
at org.apache.mina.common.support.AbstractIoFilterChain.access$1100(AbstractIoFilterChain.java:53)
at org.apache.mina.common.support.AbstractIoFilterChain$EntryImpl$1.messageReceived(AbstractIoFilterChain.java:648)
at org.apache.mina.common.IoFilterAdapter.messageReceived(IoFilterAdapter.java:80)
at org.apache.mina.common.support.AbstractIoFilterChain.callNextMessageReceived(AbstractIoFilterChain.java:299)
at org.apache.mina.common.support.AbstractIoFilterChain.access$1100(AbstractIoFilterChain.java:53)
at org.apache.mina.common.support.AbstractIoFilterChain$EntryImpl$1.messageReceived(AbstractIoFilterChain.java:648)
at org.apache.mina.filter.codec.support.SimpleProtocolDecoderOutput.flush(SimpleProtocolDecoderOutput.java:58)
at org.apache.mina.filter.codec.ProtocolCodecFilter.messageReceived(ProtocolCodecFilter.java:185)
at org.apache.mina.common.support.AbstractIoFilterChain.callNextMessageReceived(AbstractIoFilterChain.java:299)
at org.apache.mina.common.support.AbstractIoFilterChain.access$1100(AbstractIoFilterChain.java:53)
at org.apache.mina.common.support.AbstractIoFilterChain$EntryImpl$1.messageReceived(AbstractIoFilterChain.java:648)
at org.apache.mina.filter.CompressionFilter.messageReceived(CompressionFilter.java:161)
at org.apache.mina.common.support.AbstractIoFilterChain.callNextMessageReceived(AbstractIoFilterChain.java:299)
at org.apache.mina.common.support.AbstractIoFilterChain.access$1100(AbstractIoFilterChain.java:53)
at org.apache.mina.common.support.AbstractIoFilterChain$EntryImpl$1.messageReceived(AbstractIoFilterChain.java:648)
at org.apache.mina.filter.executor.ExecutorFilter.processEvent(ExecutorFilter.java:239)
at org.apache.mina.filter.executor.ExecutorFilter$ProcessEventsRunnable.run(ExecutorFilter.java:283)
at java.util.concurrent.ThreadPoolExecutor.runWorker(Unknown Source)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(Unknown Source)
at org.apache.mina.util.NamePreservingRunnable.run(NamePreservingRunnable.java:51)
at java.lang.Thread.run(Unknown Source)
Caused by: com.sun.security.ntlm.NTLMException: Unknown user
at com.sun.security.ntlm.Server.verify(Unknown Source)
... 27 more
2012.09.21 10:28:39 org.apache.mina.filter.executor.ExecutorFilter - Exiting since queue is empty for /10.30.1.57:50262
2012.09.21 10:28:39 org.apache.mina.filter.executor.ExecutorFilter - Launching thread for /10.30.1.57:50262
2012.09.21 10:28:39 org.apache.mina.filter.executor.ExecutorFilter - Exiting since queue is empty for /10.30.1.57:50262
[/more]

Здравствуйте, следующая проблема:
Учетные записи без пробелов нормально авторизуются. А с пробелами типа Иванов ИИ - уже не может авторизоваться. Как исправить проблему не переименовывая учетки, просто все такого плана созданы.
С пробелами читает только Spark, а остальные не пашут. Но в Spark нет ntlm-аутентификации

Все доброго времени суток.
У меня 2 небольших вопроса, надеюсь поможете.
1й Возможно ли авторизироваться на сервере с 2х устройств под одной учеткой и одновременно получать сообщения? Например с мобильника и настольного пк.
2й Как удобнее всего смотреть историю сообщений? Плагин?

Никто что-ли не сталкивался с такой проблемой??

Какой выбрать файл трансфер для клиентов Miranda в корпоративной среде?

dalight
1. возможно.
сообщения будут доставляться на оба клиента.

dalight
1. у клиентов должны быть одинаковые приоритеты
2. зависит от клиента.

zwe
зависит от структуры сети и установленного на компах защитного ПО. обычно, хватает пир-ту-пир.

Partizannen

Цитата:

зависит от структуры сети и установленного на компах защитного ПО.

На компах штатный файервол Windows XP, Windows 7 и NOD32
Сеть вся прозрачная, даже если через несколько шлюзов и VPN-каналов.
Но она не вся покрыта M$ AD


Цитата:

обычно, хватает пир-ту-пир.

Не нравится, что нужно делать исключение в файерволе.
Хотелось бы забирать через один сервер

Partizannen я пока копал настройки Resource Policy, но результата не получил или туда и смотреть не стоит?
Приоритет клиента устанавливается в настройках сервера или в самом приложении клиента?


Еще вопрос, как увеличить Java Memorу?

dalight Приоритет - в настройках соединения, на клиенте

Здравствуйте, следующая проблема:
Учетные записи без пробелов нормально авторизуются. А с пробелами типа Иванов ИИ - уже не может авторизоваться. Как исправить проблему не переименовывая учетки, просто все такого плана созданы.
С пробелами читает только Spark, а остальные не пашут. Но в Spark нет ntlm-аутентификации

zwe

Цитата:

Хотелось бы забирать через один сервер

Тогда включайте передачу через сервер и настраивайте опенфаер. Что имеено надо в миранде настроить - не подскажу, не пользовался.

Приоритеты у клиентов одинаковые. Клиенты Miranda Me и IM+ (Android). Сообщения приходят на тот клиент, который был последним залогинен. Куда глядеть?

Скажите можно ли где-то в настройках Openfire или Pandion (Miranda) выставить, чтобы пробелы в учетных записях в LDAP он заменял на \20 .

ivanov ii - не авторизуется в Pandion, Miranda
ivanov\20ii - авторизуется в Pandion, Miranda

Настроена ntlm аутентификация, пандион автоматически подставляет ivanov ii и пишет ошибку авторизации. Как побороть?

dalight

Цитата:

Сообщения приходят на тот клиент, который был последним залогинен. Куда глядеть?

скорее всего, это проблема опенфаера.

batmanblood
оба клиента - опен сорс. напишите о проблеме разработчикам или сделайте патч самостоятельно.
правда, пандион скорее мертв, чем жив, зато миранда развивается достаточно активно.

и кто же мне установить пароль на плагин monitoring service?? чтобы админов было несколько а переписку читал только один человек!!!

Добрый день,

Установил Openfire 3.7.1 при выборе групп (расшаривании списка): Enable contact list group sharing и если поставить галочку: The following groups выбрав из списка нужные группы, и нажатии кнопки сохранения, выходит пустая страница.

У меня одного такой глюк?

Кстати и еще: Spark: как настроить чтобы при новом сообщении в окне контактов мигало? Или такой функции нет?

День добрый. Установил на centos 6.2 openfire 3.7.1.1, подключил к базе postgresql, выбрал авторизацию домен, настроил, зашёл, при тестах показывало всё так как надо. В админку попал, а в вкладку пользователи/группы не могу попасть. Пишет ожидание ответа и не отвечает... Пару раз удавалось попасть в "пользователи", а в "группы" - никак... В чём может быть причина?
Версия Java\:     1.6.0_24 Sun Microsystems Inc. -- Java HotSpot(TM) Server VM

Добрый день! Поставил openfire 3.7.1 c авторизацией в AD(windows 2003s ). Все хорошо работает, но одно но - пользователи с пустыми паролями не подключаются. Подскажите куда копать?

just86
смотрите логи

DarkDes

Цитата:

пользователи с пустыми паролями не подключаются

предполагаю, что копать надо в сторону AD. возможно, какие-то политики ограничивают авторизацию таких пользователей.

Partizannen

Цитата:

предполагаю, что копать надо в сторону AD. возможно, какие-то политики ограничивают авторизацию таких пользователей.

В групповых политиках есть разрешение на использование пустых паролей, так же включил анонимный доступ к каталогу. Так же не пускает

Подскажите, какое ограничение на длину строки ldap.groupsearchfilter в openfire 3.7.1? ОС Linux Mint Debian Editions x86.
Авторизация через домен в котором много групп, хотелось бы чтоб в чате пользователи были в своих группах. Например, (&(objectClass=group)(|(cn=kib)(cn=kor)(cn=kit)(cn=kie)(cn=kil)(cn=kis)(cn=klb)(cn=kpr)(cn=ktr)(cn=kdr)(cn=kod)(cn=kiv)(cn=kid)(cn=IT)(cn=kbr)(cn=kpi)(cn=kip)(cn=kim)(cn=kma)))

В реальности эта строка мега-длинная.
Может есть какой то перенос строки?

just86
Если нужно лишь отфильтровать ростеры пользователей, то проще расшарить только нужные группы.
А так длина строки может быть ограничена используемой БД. Однако, например, шаблон для vcard очень большой, однако с ним проблем нет.

Partizannen
Проблема в том, что все группы нужные. Эксперементальным путём пришёл к тому что поле ldap.groupSearchFilter может содержать не больше 4000 символов, когда больше появляется ошибка "1000 символов max.", почему пишет 1000 - история умалчивает. Если работать на прямую с базой - ничего не получится - пробовал писать, openfire не видит записи сделанные вручную. Кроме того не нашёл таблиц в которые он пишет значение именно этого фильтра.
Если например указывать выборочно группы и их много то браузер ругается на слишком длинный http запрос обложили со всех сторон...
А есть какой то скрипт по расшариванию груп, чтоб не заходить в каждую и не указывать какие доступны?

Добавлено:
ХА, таблицу нашёл таблицу, изменил параметры на 8000 и да будет счастье, осталось расшарить группы... только там 3 параметра на каждую группу и они разными строками в записях... беда...

just86
А что, групп, которых не должно быть в ростере, так много, что необходим фильтр?
Мне лично ни разу это не требовалось, все нужные группы лежали в OU, на который настроен опенфаер, остальные группы в нем отсутствовали и потому не видны.