IT-блог Жаконды

Продолжаю свое знакомство с XMPP-сервером, на базе ejabberd и реализацию задачи по организации достойного корпоративного мессенджера.

Рассмотрим как интегрировать ejabberd с Active Directory на базе Windows Server 2012 R2, в частности возможность входа на XMPP-сервер по доменным учетным данным, формирование списка контактов (ростера) на основе пользовательских данных с Active Directory, загрузка пользовательских сведений в vCard из Active Directory, а так же рассмотрим вариант настройки SSO (Single Sign On) авторизации в ejabberd.

Исходные данные:

• XMPP-сервер ejabberd 18.12.1 на Debian 9 (установленный по этой статье).
• Домен (example.com) развернут на Windows Server 2012 R2 (развернутый по этой статье).

Настройка домена

В конфигурационном файле /etc/ejabberd/ejabberd.yml указываем обслуживаемый виртуальный домен, в моем примере это example.com:

hosts:
  - "example.com"

Создание сертификата

Для использования SSL, генерируем самоподписной сертификат, для обслуживаемого домена:

openssl req -new -x509 -nodes -newkey rsa:1024 -days 1825 -keyout private.key -out ejabberd.pem
...
## Common Name (e.g. server FQDN or YOUR name) []:example.com

Далее добавляем приватный ключ к сертификату, назначает права на сертификат и перемещаем его для удобства в каталог установки ejabberd:

cat private.key >> ejabberd.pem 

chown root:ejabberd ejabberd.pem 
chmod 640 ejabberd.pem

mv ejabberd.pem /etc/ejabberd/ejabberd.pem

В конфигурационном файле /etc/ejabberd/ejabberd.yml, указываем использование сгенерированного сертификата:

certfiles:
    - "/etc/ejabberd/ejabberd.pem"

Настройка LDAP соединения

В конфигурационном файле /etc/ejabberd/ejabberd.yml, добавляем следующие строки:

ldap_servers:
  - "dc1.example.com"
ldap_port: 389
ldap_rootdn: "CN=ejabberd,OU=SystemUsers,DC=example,DC=com"
ldap_password: "Aa1234567"
ldap_base: "ou=ActiveUsers,dc=example,dc=com"
ldap_uids: ["sAMAccountName"]

auth_method:
  - ldap

Пояснения по строкам:

Так же в секции ACL, укажем учетную запись администратора:

acl:
  admin:
    user:
     - "superadmin"

Теперь можно подключится к домену @example.com, используя доменные учетные записи (прим. superadmin@example.com).

Настройка списка контактов LDAP

С авторизацией по доменным учетным записям разобрались, теперь для удобной работы нужно прокинуть всем пользователям контакты, всех сотрудников компании.

Для структурирования списка контактов по отделам, необходимо чтобы в свойствах пользователей были заполнены поля (Отдел). Для примера, приведу свойства одного из пользователей домена:

 В конфигурационном файле /etc/ejabberd/ejabberd.yml, в секции modules, добавляем описание модуля mod_shared_roster_ldap:

modules:
  mod_shared_roster_ldap:
    ldap_base: "ou=ActiveUsers,dc=example,dc=com"
    ldap_rfilter: "(objectClass=user)"
    ldap_groupattr: "department"
    ldap_groupdesc: "department"
    ldap_memberattr: "sAMAccountName"
    ldap_userdesc: "displayName"

Пояснения по строкам:

В итоге после авторизации, список контактов предстанет в таком виде:

В списке контактов, все сотрудники компании будут находится в своих отделах, что заметно упростит поиск того или иного контакта для переписки.

Загрузка сведений в vCard из LDAP

Последним шагом в интеграции ejabberd в корпоративную среду, у меня будет заполнение пользовательских данные vCard из данных Active Directory. Из свойств пользовательских учетных записей, будем брать нужную нам информацию и импортировать ее в vCard каждого пользователя.

В конфигурационном файле /etc/ejabberd/ejabberd.yml, в секции modules, добавляем описание модуля mod_vcard:

modules:
  mod_vcard:
    db_type: ldap
    ldap_vcard_map:
      "NICKNAME": {"%s": ["displayName"]}
      "FAMILY": {"%s": ["sn"]}
      "GIVEN": {"%s": ["givenName"]}
      "FN": {"%s": ["displayName"]}
      "EMAIL": {"%s": ["mail"]}
      "ORGNAME": {"%s": ["company"]}
      "ORGUNIT": {"%s": ["department"]}
      "TITLE": {"%s": ["title"]}
      "TEL": {"%s": ["telephoneNumber"]}
    ldap_search_fields:
      "User": "%u"
      "Full Name": "displayName"
      "Given Name": "givenName"
      "Family Name": "sn"
      "Email": "mail"
      "Organization Name": "company"
      "Organization Unit": "department"
      "Title": "title"
      "Telephone": "telephoneNumber"
    ldap_search_reported:
      "Full Name": "FN"
      "Nickname": "NICKNAME"

Пояснения по строкам:

В итоге в сведения о пользователе, будут автоматически взяты из Active Directory и будут выглядеть вот так:

Настройка SSO (Single Sign On)

Сервер ejabberd поддерживает SSO (Single Sign On) авторизацию, но к сожалению далеко не на все XMPP-клиентах можно воспользоваться данной функцией.

Я использую в качестве XMPP-клиента Miranda NG v0.95.10, она поддерживает SSO авторизацию.

Настройку SSO на Debian системе, я уже описывал в этой статье и они идентичны под текущую задачу. Выполняем все шаги в указанной статье (само собой изменяя такие данные как имя системы, имя служебного пользователя, доменное имя) до пункта «Настройка Apache (Debian 8 Jessie)».

Выставляем права на KEYTAB-файл:

chown root:ejabberd /etc/ejabberd/ejabberd.keytab
chmod 640 /etc/ejabberd/ejabberd.keytab

В конфигурационном файле /etc/ejabberd/ejabberd.yml, добавляем следующие строки:

auth_method:
  - anonymous
  - ldap

allow_multiple_connections: true
anonymous_protocol: both

Пояснения по строкам:

 Перезапускаем eJabberd сервер:

service ejabberd restart

На примере XMPP-клиента Miranda NG v0.95.10, добавляем учетную запись XMPP и в поле «Домен/Сервер», указываем название домена, отмечает галочкой пункт «Доменный логин».

Если все сделали правильно по инструкции, то авторизация будет осуществлена, без ввода имени пользователя и пароля.