Integrando senhas do AD com BPOS utilizando o MessageOps Password Synchronization


Introdução

Como sabemos os serviços do Microsoft Online até o momento não integra senhas do AD, de forma geral todos os clientes lamentam a ausência desta integração, por isso, a Microsoft já divulgou para a próxima versão do BPOS o Active Directory Federation Services.

Para suprir a ausência da integração de senhas do AD a equipe da MessageOps desenvolveu um software que permite o sincronismo das senhas do AD para o Microsoft Online, MessageOps Password Synchronization.
O MessageOps Password Synchronization consiste em três partes:

Password Filter
Client Server
Server Service

O Password Filter captura as senhas geradas e armazenas no Local Security Authority (LSA) dos controladores de domínio (DC’s). O Client Service envia as requisições de senha para o Server Service. E o Server Service aceita as requisições de alteração de senha e configuram as senhas com o Microsoft Online.

Requerimentos

Client Server deve ser instalado em todos os controladores de domínio (DC) que possuem contas de usuário. É necessário reiniciar os servidores após a instalação.

.Net Framework
Windows Server 2003 ou superior
x86 e x64 são suportadas

Server Service é geralmente instalado em um servidor membro de sua organização e todas as requisições do Password Client são reportados para o servidor Password Server.

Microsoft Online Directory Synchronization precisa estar funcional em seu ambiente.

As politicas de complexidade de senha devem estar ativas em seu domínio e devem respeitar as politicas de senha do BPOS também:

Maiúsculas: A-Z
Minúsculas: a-z
Números: 0,1,2,3,4,5,6,7,8,9
Caracteres não alfanuméricos: ` ~ ! @ # $ % ^ & * ( ) _ + – = { } | [ ] \ : " ; ‘ < > ? , . /
A senha não deve conter seu nome de usuário
Não é possível repetir as 24 senhas anteriores
Você deve alterar a senha pelo menos uma vez a cada 90 dias

http://www.microsoft.com/online/help/pt-br/helphowto/9b956f53-9c10-464b-942a-06a4fa9b04c2.htm

Instalando o Password Synchronization Server

O Password Synchronization Server geralmente é instalado em um single server em seu ambiente. Para empresas de pequeno e médio porte ele pode ser instalado no mesmo servidor do Microsoft Online Directory Synchronization.

1. Acesse o servidor utilizando uma conta de serviço criada especificamente para o Server Service. A criação da conta de serviço é recomenda para configuração de todos os serviços, crie uma conta semelhante à BPOSPasswordSvc.

2. Execute o PasswordServerService.msi e instale a aplicação. Durante o setup somente o caminho de instalação é solicitado.

3. Após instalar o Password Server, inicie os serviços do Windows e localize o serviço MessageOps Password Server Service. Altere a conta de serviço na guia Logon, insira a conta de serviço criada anteriormente.

Configurando o Password Server Service

1. Inicie o Password Server Admin (Start > Programs > MessageOps > PasswordServerService > Passowrd Server Admin).

2. Clique na guia Email. Configure o envio de notificações por e-mail em caso de falha no reset de senha. Na opção SMTP Server configure de acordo com as configurações de sua organização, se você utiliza mailbox do Microsoft Online você deve escolher a opção mail.global.frontbridge.com.

3. Clique na guia PowerShell. Insira a conta com acesso administrativo aos serviços do Microsoft Online. É recomendando que essa conta seja configurada para nunca expirar sua senha.

Verifique o caminho configurado em ToolSet, caso o Microsoft Online Migration Tools esteja instalado este caminho pode ser configurada automaticamente.

4. Clique na guia Server. Devemos configurar diversas opções nesta guia:

License Key: Insira a licença fornecida pela MessageOps. Quando o serviço é iniciado o MessageOps Server verifica o numero de usuário autorizado a fazer o sincronismo.
Bind/Listen on this IP Adress: Na maioria das vezes é deixado com 0.0.0.0 o que corresponde a todos os IP do seu servidor.
Listen Port: A porta default é 13746 somente ela deve ser suficiente.
Enforce Passord Complexity: Está opção deve ser marcada. Marcando está opção a verificação de complexidade de senhas não é verificada no Microsoft Online e sim em seu domínio.
Socket Close Delay: Por padrão deve ser configurado para um segundo.

Após configurar todas as opções clique em Save Config. Clique em Stop Service para parar o serviço e clique em Start Service para iniciar o serviço, fazendo o restart do mesmo.

5. Veja o log de instalação no caminho (C:\Program Files\MessageOps\PasswordServerService\service.cfg) e verifique se o serviço Server Service está iniciado.

Testando Power Shell no servidor

É recomendável que você verifique se as funções do Password Server estão funcionando corretamente antes de fazer instalação dos clientes. Siga os seguintes passos para validar o Power Shell:

1. Faça logon no Password Server com a conta que está configurada os serviços.
2. Inicie o Migration Command Shell
3. Entre com os seguinte commando:
Get-MsOnlineSubscription

Em seguida insira as credencias da conta de administrador no Microsoft Online.

4. Caso o comando retorne as informações de Subscription seu serviço está ok.

Instalando o Password Client Server

O Password Client precisa ser instalado em todos os controladores de Domínio (DC’s) que possuem contas de usuário. Se você possui controladores de Domínio que não possuem usuários que utilizam o BPOS não é necessário a instalação do serviço. O Password Client Server pode ser instalado nas versões x86 e x64, instale de acordo com a plataforma de seu servidor. Ao contrario do Password Server o Password Client é executado com a conta de serviço local, não é necessário criar uma nova conta.

1. Faça logon no Domain Controller com uma conta administrativa.
2. Executa o arquivo PasswordClient32.msi ou PasswordClient64.msi. Durante o processo de setup somente a pasta de instalação é solicitada.
3. Após a instalação reinicie o Domain Controller onde o serviço foi instalado.

Configurando o Password Client Service

1. Inicie o Password Server Admin (Start > Programs > MessageOps > PasswordClientServer > Password Client Admin).
2. Clique na guia Server .

A guia Server possui a maioria das configurações para o Password Client. Por padrão o único campo que temos que alterar é Server IP Address/Hostaname. No campo você deve configurar o IP ou o Hostaname do servidor Password Server. As outras opções são:

Server Port: Caso queira configurar uma porta diferente você deve configurar este campo.
Root Query: O nome do domain controller que ira fazer as consultas LDAP.
Filter: A opção Filter é a mais importante ela controla o sincronismo das senhas com o Microsoft Online. Por padrão ela é: (&(samAccountName={0})(objectCategory=person)(objectClass=user))

O reset de senha para objetos que não fazem parte da query são descartados. Digamos que você quer sincronizar somente usuários que são membros do Grupo Password Sync, teríamos a seguinte query:

(&(samAccountName={0})(objectCategory=person)(objectClass=user))(memberof=CN=Password Sync,OU=Groups,DC=domain,DC=local))

3. Uma vez que as configurações estejam feitas vamos clicar na guia Service.

4. Clique em Save Config.
5. Clique em Stop Service em seguida Start Service.
6. Verifique os logs na guia Log.

Testando o Password Client Service

1. Inicie o Active Directory Users and Computers no Domain Controller (das.msc).
2. Localize uma conta para efetuar teste de replicação com o Microsoft Online.
3. Clique com botão direito Reset Password.
4. Visualize os logs do Client Admin, você deve ver algo similar:

Isso indica que a senha foi redefinida com êxito no Microsoft Online.

Se você visualizar os logs do Password Server Admin você vera algo similar à figura abaixo:

Como você pode ver as configurações de senha foram feitas com sucesso.

Fernando Andreazi
http://fernandoandreazi.spaces.live.com

Sobre Fernando Andreazi

Fernando Andreazi, profissional de TI desde 2004, especialista em tecnologias Microsoft em soluções de Infraestrutura, Gerenciamento e Online Services. Microsoft Certified Trainer (MCT) e Microsoft Most Valuable Professional (MVP) em Office 365. Technical Speaker palestrando sobre tecnologias Microsoft nas principais universidades de São Paulo, TechEd2011 e na Comunidade TechNet. Certificado em Windows XP, Windows Vista, Windows 7, MDOP, Forefront, SCCM2007, SCOM2007, Windows Server 2003, Windows Server 2008, Lync 2010, Exchange Server 2007 , 2010, 2013 e Office 365. MCP, MCSA, MCITP, MCTS e MCDST. Atualmente atua em uma empresa Microsoft LAR como Cloud Specialist e é também Owner da empresa de treinamento Learning365.

Publicado em 05/08/2010, em Microsoft Online / BPOS. Adicione o link aos favoritos. Deixe um comentário.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: