Integrando senhas do AD com BPOS utilizando o MessageOps Password Synchronization

Publicado em 11 de agosto de 2010 por Julio Vaz

Integrando senhas do AD com BPOS utilizando o MessageOps Password Synchronization

Introdução

Como sabemos os serviços do Microsoft Online até o momento não integra senhas do AD, de forma geral todos os clientes lamentam a ausência desta integração, por isso, a Microsoft já divulgou para a próxima versão do BPOS o Active Directory Federation Services.

Para suprir a ausência da integração de senhas do AD a equipe da MessageOps desenvolveu um software que permite o sincronismo das senhas do AD para o Microsoft Online, MessageOps Password Synchronization.
O MessageOps Password Synchronization consiste em três partes:

Password Filter
Client Server
Server Service

O Password Filter captura as senhas geradas e armazenas no Local Security Authority (LSA) dos controladores de domínio (DC’s). O Client Service envia as requisições de senha para o Server Service. E o Server Service aceita as requisições de alteração de senha e configuram as senhas com o Microsoft Online.
Requerimentos

Client Server deve ser instalado em todos os controladores de domínio (DC) que possuem contas de usuário. É necessário reiniciar os servidores após a instalação.

.Net Framework
Windows Server 2003 ou superior
x86 e x64 são suportadas

Server Service é geralmente instalado em um servidor membro de sua organização e todas as requisições do Password Client são reportados para o servidor Password Server.

Microsoft Online Directory Synchronization precisa estar funcional em seu ambiente.

As politicas de complexidade de senha devem estar ativas em seu domínio e devem respeitar as politicas de senha do BPOS também:

Maiúsculas: A-Z
Minúsculas: a-z
Números: 0,1,2,3,4,5,6,7,8,9
Caracteres não alfanuméricos: ` ~ ! @ # $ % ^ & * ( ) _ + – = { } | [ ] \ : ” ; ‘ < > ? , . /
A senha não deve conter seu nome de usuário
Não é possível repetir as 24 senhas anteriores
Você deve alterar a senha pelo menos uma vez a cada 90 dias

http://www.microsoft.com/online/help/pt-br/helphowto/9b956f53-9c10-464b-942a-06a4fa9b04c2.htm

Instalando o Password Synchronization Server

O Password Synchronization Server geralmente é instalado em um single server em seu ambiente. Para empresas de pequeno e médio porte ele pode ser instalado no mesmo servidor do Microsoft Online Directory Synchronization.

1. Acesse o servidor utilizando uma conta de serviço criada especificamente para o Server Service. A criação da conta de serviço é recomenda para configuração de todos os serviços, crie uma conta semelhante à BPOSPasswordSvc.

2. Execute o PasswordServerService.msi e instale a aplicação. Durante o setup somente o caminho de instalação é solicitado.

3. Após instalar o Password Server, inicie os serviços do Windows e localize o serviço MessageOps Password Server Service. Altere a conta de serviço na guia Logon, insira a conta de serviço criada anteriormente.

clip_image002

Configurando o Password Server Service

1. Inicie o Password Server Admin (Start > Programs > MessageOps > PasswordServerService > Passowrd Server Admin).

2. Clique na guia Email. Configure o envio de notificações por e-mail em caso de falha no reset de senha. Na opção SMTP Server configure de acordo com as configurações de sua organização, se você utiliza mailbox do Microsoft Online você deve escolher a opção mail.global.frontbridge.com.

clip_image004

3. Clique na guia PowerShell. Insira a conta com acesso administrativo aos serviços do Microsoft Online. É recomendando que essa conta seja configurada para nunca expirar sua senha.

clip_image006

Verifique o caminho configurado em ToolSet, caso o Microsoft Online Migration Tools esteja instalado este caminho pode ser configurada automaticamente.

4. Clique na guia Server. Devemos configurar diversas opções nesta guia:

License Key: Insira a licença fornecida pela MessageOps. Quando o serviço é iniciado o MessageOps Server verifica o numero de usuário autorizado a fazer o sincronismo.
Bind/Listen on this IP Adress: Na maioria das vezes é deixado com 0.0.0.0 o que corresponde a todos os IP do seu servidor.
Listen Port: A porta default é 13746 somente ela deve ser suficiente.
Enforce Passord Complexity: Está opção deve ser marcada. Marcando está opção a verificação de complexidade de senhas não é verificada no Microsoft Online e sim em seu domínio.
Socket Close Delay: Por padrão deve ser configurado para um segundo.

Após configurar todas as opções clique em Save Config. Clique em Stop Service para parar o serviço e clique em Start Service para iniciar o serviço, fazendo o restart do mesmo.

clip_image008

5. Veja o log de instalação no caminho (C:\Program Files\MessageOps\PasswordServerService\service.cfg) e verifique se o serviço Server Service está iniciado.

Testando Power Shell no servidor

É recomendável que você verifique se as funções do Password Server estão funcionando corretamente antes de fazer instalação dos clientes. Siga os seguintes passos para validar o Power Shell:

1. Faça logon no Password Server com a conta que está configurada os serviços.
2. Inicie o Migration Command Shell
3. Entre com os seguinte commando:
Get-MsOnlineSubscription

Em seguida insira as credencias da conta de administrador no Microsoft Online.

4. Caso o comando retorne as informações de Subscription seu serviço está ok.

Instalando o Password Client Server

O Password Client precisa ser instalado em todos os controladores de Domínio (DC’s) que possuem contas de usuário. Se você possui controladores de Domínio que não possuem usuários que utilizam o BPOS não é necessário a instalação do serviço. O Password Client Server pode ser instalado nas versões x86 e x64, instale de acordo com a plataforma de seu servidor. Ao contrario do Password Server o Password Client é executado com a conta de serviço local, não é necessário criar uma nova conta.

1. Faça logon no Domain Controller com uma conta administrativa.
2. Executa o arquivo PasswordClient32.msi ou PasswordClient64.msi. Durante o processo de setup somente a pasta de instalação é solicitada.
3. Após a instalação reinicie o Domain Controller onde o serviço foi instalado.

Configurando o Password Client Service

1. Inicie o Password Server Admin (Start > Programs > MessageOps > PasswordClientServer > Password Client Admin).
2. Clique na guia Server .

clip_image010

A guia Server possui a maioria das configurações para o Password Client. Por padrão o único campo que temos que alterar é Server IP Address/Hostaname. No campo você deve configurar o IP ou o Hostaname do servidor Password Server. As outras opções são:

Server Port: Caso queira configurar uma porta diferente você deve configurar este campo.
Root Query: O nome do domain controller que ira fazer as consultas LDAP.
Filter: A opção Filter é a mais importante ela controla o sincronismo das senhas com o Microsoft Online. Por padrão ela é: (&(samAccountName={0})(objectCategory=person)(objectClass=user))

O reset de senha para objetos que não fazem parte da query são descartados. Digamos que você quer sincronizar somente usuários que são membros do Grupo Password Sync, teríamos a seguinte query:

(&(samAccountName={0})(objectCategory=person)(objectClass=user))(memberof=CN=Password Sync,OU=Groups,DC=domain,DC=local))

3. Uma vez que as configurações estejam feitas vamos clicar na guia Service.

clip_image011

4. Clique em Save Config.
5. Clique em Stop Service em seguida Start Service.
6. Verifique os logs na guia Log.

Testando o Password Client Service

1. Inicie o Active Directory Users and Computers no Domain Controller (das.msc).
2. Localize uma conta para efetuar teste de replicação com o Microsoft Online.
3. Clique com botão direito Reset Password.
4. Visualize os logs do Client Admin, você deve ver algo similar:

clip_image013

Isso indica que a senha foi redefinida com êxito no Microsoft Online.

Se você visualizar os logs do Password Server Admin você vera algo similar à figura abaixo:

clip_image015

Como você pode ver as configurações de senha foram feitas com sucesso.

Fonte:http://fernandoandreazi.spaces.live.com/blog/cns!A656D0E3ACFDBD8A!581.entry

Sobre Julio Vaz

15 years’ experience as an IT infrastructure consultant and Solution Architect. Accomplished IT professional recognized for excellence in the design, management, and development of complex business applications. Passion for delivering software and technology that meets the needs of the business. Proven ability to work with business users together with a strong development background make for an ideal analyst or solutions architect. I'm a results-driven IT professional on consulting for integration projects with extensive experience in the engineering, administration and support. Direct experience with customer relationships, complex problem troubleshooting, implementation, optimization, technology advisor and training deliveries. Always interested in professional growth as well as high-quality service delivery. Playing the role of solution architect and project leader focusing on migrations and deployments of Office 365 (Exchange Online, Sharepoint Online and Skype for Business) and Microsoft Azure (IaaS, PaaS, SaaS DRaaS). My main responsibilities were:-design and architecture scaling Exchange Server 2003 migration, 2007, 2010, 2013 and 2016 to Office 365 with ADFS in Microsoft Azure as IaaS; -Management of major project of Yammer and Sharepoint; -Development of strong relationship with partners and major customers.
Esse post foi publicado em BPOS - Microsoft Online Services. Bookmark o link permanente.

Deixe um comentário