Diferència entre revisions de la pàgina «ASIX/M08/UF3/PT21/3»

De Lordwektabyte Wiki
Salta a la navegació Salta a la cerca
m (Guillem ha mogut M08/UF3/PT21/3 a ASIX/M08/UF3/PT21/3 sense deixar una redirecció: Crear subnivell ASIX)
 
(Hi ha 16 revisions intermèdies del mateix usuari que no es mostren)
Línia 1: Línia 1:
{{titol|Ejjaberd. Configuració}}
+
{{titol|Configuració}}
 
==Firewall==
 
==Firewall==
 
Per a poder comunicar-nos amb el servidor de IM, haurem d'obrir 3 ports al firewall; 2 necessaris per a la comunicació entre clients-servidor i servidor-servidor (en casos de servidors federats) i un 3r que serà el que ens permetrà accedir a la pàgina web d'administració.
 
Per a poder comunicar-nos amb el servidor de IM, haurem d'obrir 3 ports al firewall; 2 necessaris per a la comunicació entre clients-servidor i servidor-servidor (en casos de servidors federats) i un 3r que serà el que ens permetrà accedir a la pàgina web d'administració.
Línia 31: Línia 31:
  
 
D'aquesta manera, fem que el servidor escolti en totes les interfícies IPv4 que tingui la màquina on està executant-se.
 
D'aquesta manera, fem que el servidor escolti en totes les interfícies IPv4 que tingui la màquina on està executant-se.
 +
 +
==Certificats SSL==
 +
Per defecte, l'arxiu de configuració contempla que usarem certificats de Let's Encrypt i figuren rutes per a usar xifrat SSL a les línies '''39''' i '''40''' del <code>ejabberd.yml</code>
 +
<source>
 +
- "/etc/letsencrypt/live/localhost/fullchain.pem"
 +
- "/etc/letsencrypt/live/localhost/privkey.pem"
 +
</source>
 +
 +
L'opció que tenim més fàcil és crear certificats auto-signats i canviar aquestes rutes per les que corresponguin. Ho farem de la següent manera, des del directori <code>/root</code> per conveniència.
 +
<source>
 +
openssl genrsa -des3 -out practica.ejabberd.key 2048
 +
openssl req -new -key practica.ejabberd.key -out practica.ejabberd.csr
 +
openssl x509 -req -days 365 -in practica.ejabberd.csr -signkey practica.ejabberd.key -out practica.ejabberd.crt
 +
</source>
 +
 +
Si llistem amb la comanda <code>ls</code> els arxius que hi ha al directori on hem creat el certificat i la clau veurem
 +
<source>
 +
practica.ejabberd.crt
 +
practica.ejabberd.csr
 +
practica.ejabberd.key
 +
</source>
 +
 +
Ara és qüestió de posar l'arxiu ''.crt'' i ''.key'' a un lloc conegut que ''ejabberd'' pugui llegir. Normalment, i és un mètode estàndard, aquest tipus d'arxius es desen sota <code>cd /etc/pki/tls/
 +
</code> al subdirectori <code>certs</code> o bé <code>private</code> segons sigui un certificat o una clau privada, respectivament. Ho fem:
 +
<source>
 +
[root@ejabberd tls]# mv /root/practica.ejabberd.crt /etc/pki/tls/certs/practica.ejabberd.crt
 +
[root@ejabberd tls]# mv /root/practica.ejabberd.key /etc/pki/tls/private/practica.ejabberd.key
 +
</source>
 +
 +
Aleshores modificarem les línies '''39''' i '''40''' de <code>/usr/local/etc/ejabberd/ejabberd.yml</code> per a concordar les rutes de la clau i el certificat segons correspongui:
 +
<source>
 +
  - "/etc/pki/tls/certs/practica.ejabberd.crt"
 +
  - "/etc/pki/tls/private/practica.ejabberd.key"
 +
</source>
 +
 +
Farem un restart del servei ejabberd:
 +
<source>
 +
[root@ejabberd tls]# /usr/local/sbin/ejabberdctl stop
 +
[root@ejabberd tls]# /usr/local/sbin/ejabberdctl start
 +
</source>
 +
 +
:*'''Problema: ''' si fem un <code>netstat</code> veurem que els ports d'ejjaberd no estan llistats perquè el servidor no ha arrencat. Als logs de <code>/usr/local/var/log/ejabberd/error.log</code> ens hi apareix el missatge
 +
<source>
 +
2018-12-13 20:12:13.997 [error] <0.350.0>@ejabberd_pkix:add_file:250 Failed to read PEM file /etc/pki/tls/private/practica.ejabberd.key: at line 1: encrypted certificate
 +
2018-12-13 20:12:13.997 [critical] <0.350.0>@ejabberd_pkix:stop_ejabberd:356 ejabberd initialization was aborted due to invalid certificates configuration
 +
2018-12-13 20:12:41.360 [error] <0.350.0>@ejabberd_pkix:add_file:250 Failed to read PEM file /etc/pki/tls/private/practica.ejabberd.key: at line 1: encrypted certificate
 +
2018-12-13 20:12:41.360 [critical] <0.350.0>@ejabberd_pkix:stop_ejabberd:356 ejabberd initialization was aborted due to invalid certificates configuration
 +
</source>
 +
 +
:*'''Solució:''' els certificats que espera ejabber són del tipus PEM, i nosaltres no els hem creat així. Per a simplificar, puc utilitzar l'script <code>/etc/pki/tls/certs/make-dummy-cert</code> que em permet crear ràpidament un certificat PEM amb la comanda
 +
<source>
 +
make-dummy-cert practicam08.ejabberd.pem
 +
</source>
 +
 +
Una vegada creat, editarem l'arxiu de configuració d'ejabberd en conseqüència: haurem d'esborrar una de les 2 línies ja que el certificat creat ja conté la clau privada i el certificat junt; de manera que només fa falta dir-li un arxiu a ejabberd per a utilitzar.
 +
 +
Després de modificar la configuració, tornarem a engegar el servei de IM i mirarem si ha engegat bé. Ara sí.
 +
<source>
 +
root@ejabberd certs]# /usr/local/sbin/ejabberdctl start
 +
 +
[root@ejabberd certs]# /usr/local/sbin/ejabberdctl status
 +
The node ejabberd@localhost is started with status: started
 +
ejabberd 18.12.24 is running in that node
 +
</source>
  
 
==Usuari administrador==
 
==Usuari administrador==
Línia 45: Línia 109:
 
<source>/usr/local/sbin/ejabberdctl register admin ejabberd contrasenya</source>
 
<source>/usr/local/sbin/ejabberdctl register admin ejabberd contrasenya</source>
  
<source>[root@ejabberd ejabberd]# ejabberdctl register admin ejabberd contrasenya
+
<source>[root@ejabberd ~]# /usr/local/sbin/ejabberdctl register admin ejabberd contrasenya
{"init terminating in do_boot",{undef,[{ejabberd_ctl,start,[],[]},{init,start_it,1,[]},{init,start_em,1,[]}]}}
+
WARNING: It is not recommended to run ejabberd as root
 +
User admin@ejabberd successfully registered
 +
</source>
 +
 
 +
Ara podem navegar a http://ejabberd:5280/admin (havent modificat prèviament l'arxiu <code>/etc/hosts</code> del client i accedir amb les credencials creades abans:
 +
{{imatge|M08UF3PT211.png||thumb|Pàgina principal de la interfície web}}
 +
 
 +
==Virtual Hosts==
 +
Una sola instància d'ejabberd pot gestionar més d'un "domini" XMPP utilitzant ''Virtual Hosts''; com un servidor web ''Apache'' o ''Nginx''. En el nostre cas, només hem configurat un sol domini (@ejabberd). De manera que els nostres usuaris tindran un ''login'' del tipus usuari@ejabberd amb la seva contrasenya per a poder utilitzar el servei.
 +
 
 +
==Registre d'usuaris==
 +
De la mateixa manera que hem afegit l'usuari administrador de la web GUI, afegirem 2 usuaris més que seran els clients que faran login des del Fedora amfitrió i un altre Fedora Virtual.Per a registrar-los ho farem amb la comanda <code>register</code> d'<code>ejabberdctl</code>
 +
<source>
 +
[root@ejabberd ~]# /usr/local/sbin/ejabberdctl register gsola96 ejabberd passwordguillem
 +
User gsola96@ejabberd successfully registered
  
Crash dump was written to: /opt/ejabberd/logs/erl_crash_20181213-174924.dump
+
[root@ejabberd ~]# /usr/local/sbin/ejabberdctl register jugalo ejabberd passwordjulian
init terminating in do_boot ()
+
User jugalo@ejabberd successfully registered
 
</source>
 
</source>
 +
 +
Un cop donats d'alta, podrem provar d'iniciar sessió al servidor i intentar xatejar.

Revisió de 11:25, 15 abr 2020

Firewall

Per a poder comunicar-nos amb el servidor de IM, haurem d'obrir 3 ports al firewall; 2 necessaris per a la comunicació entre clients-servidor i servidor-servidor (en casos de servidors federats) i un 3r que serà el que ens permetrà accedir a la pàgina web d'administració.

  • Port 5222
firewall-cmd --add-port=5222/tcp --permanent
  • Port 5269
firewall-cmd --add-port=5269/tcp --permanent
  • Port 5443
firewall-cmd --add-port=5280/tcp --permanent

Una vegada oberts els ports, haurem de recarregar el firewall perquè aquestes noves normes tinguin efecte 

firewall-cmd --reload

Ports i interfícies

Segons la documentació pública d'aquest programa, podem buscar com cal configurar el servidor ejabberd segons les nostres necessitats. Per defecte, el programa s'instal·larà sota /usr/local/etc/ejabberd/; de manera que allà trobarem l'arxiu de configuració, dins el subdirectori. De la mateixa manera, des d'inici, aquest arxiu fa que el programa escolti només per IPv6; cosa que ens impedeix accedir-hi, de moment. Haurem de modificar l'arxiu /usr/local/etc/ejabberd/ejabberd.yml amb un editor de text que ens vagi bé i buscar les línies següents:

  • Línia 49: editar
ip: "0.0.0.0"
  • Línia 57: editar
ip: "0.0.0.0"
  • Línia 62: editar
ip: "0.0.0.0"

D'aquesta manera, fem que el servidor escolti en totes les interfícies IPv4 que tingui la màquina on està executant-se.

Certificats SSL

Per defecte, l'arxiu de configuració contempla que usarem certificats de Let's Encrypt i figuren rutes per a usar xifrat SSL a les línies 39 i 40 del ejabberd.yml 

- "/etc/letsencrypt/live/localhost/fullchain.pem"
- "/etc/letsencrypt/live/localhost/privkey.pem"

L'opció que tenim més fàcil és crear certificats auto-signats i canviar aquestes rutes per les que corresponguin. Ho farem de la següent manera, des del directori /root per conveniència. 

openssl genrsa -des3 -out practica.ejabberd.key 2048
openssl req -new -key practica.ejabberd.key -out practica.ejabberd.csr
openssl x509 -req -days 365 -in practica.ejabberd.csr -signkey practica.ejabberd.key -out practica.ejabberd.crt

Si llistem amb la comanda ls els arxius que hi ha al directori on hem creat el certificat i la clau veurem 

practica.ejabberd.crt
practica.ejabberd.csr
practica.ejabberd.key

Ara és qüestió de posar l'arxiu .crt i .key a un lloc conegut que ejabberd pugui llegir. Normalment, i és un mètode estàndard, aquest tipus d'arxius es desen sota cd /etc/pki/tls/ al subdirectori certs o bé private segons sigui un certificat o una clau privada, respectivament. Ho fem: 

[root@ejabberd tls]# mv /root/practica.ejabberd.crt /etc/pki/tls/certs/practica.ejabberd.crt
[root@ejabberd tls]# mv /root/practica.ejabberd.key /etc/pki/tls/private/practica.ejabberd.key

Aleshores modificarem les línies 39 i 40 de /usr/local/etc/ejabberd/ejabberd.yml per a concordar les rutes de la clau i el certificat segons correspongui: 

  - "/etc/pki/tls/certs/practica.ejabberd.crt"
  - "/etc/pki/tls/private/practica.ejabberd.key"

Farem un restart del servei ejabberd: 

[root@ejabberd tls]# /usr/local/sbin/ejabberdctl stop
[root@ejabberd tls]# /usr/local/sbin/ejabberdctl start
  • Problema: si fem un netstat veurem que els ports d'ejjaberd no estan llistats perquè el servidor no ha arrencat. Als logs de /usr/local/var/log/ejabberd/error.log ens hi apareix el missatge
2018-12-13 20:12:13.997 [error] <0.350.0>@ejabberd_pkix:add_file:250 Failed to read PEM file /etc/pki/tls/private/practica.ejabberd.key: at line 1: encrypted certificate
2018-12-13 20:12:13.997 [critical] <0.350.0>@ejabberd_pkix:stop_ejabberd:356 ejabberd initialization was aborted due to invalid certificates configuration
2018-12-13 20:12:41.360 [error] <0.350.0>@ejabberd_pkix:add_file:250 Failed to read PEM file /etc/pki/tls/private/practica.ejabberd.key: at line 1: encrypted certificate
2018-12-13 20:12:41.360 [critical] <0.350.0>@ejabberd_pkix:stop_ejabberd:356 ejabberd initialization was aborted due to invalid certificates configuration
  • Solució: els certificats que espera ejabber són del tipus PEM, i nosaltres no els hem creat així. Per a simplificar, puc utilitzar l'script /etc/pki/tls/certs/make-dummy-cert que em permet crear ràpidament un certificat PEM amb la comanda
make-dummy-cert practicam08.ejabberd.pem

Una vegada creat, editarem l'arxiu de configuració d'ejabberd en conseqüència: haurem d'esborrar una de les 2 línies ja que el certificat creat ja conté la clau privada i el certificat junt; de manera que només fa falta dir-li un arxiu a ejabberd per a utilitzar.

Després de modificar la configuració, tornarem a engegar el servei de IM i mirarem si ha engegat bé. Ara sí. 

root@ejabberd certs]# /usr/local/sbin/ejabberdctl start

[root@ejabberd certs]# /usr/local/sbin/ejabberdctl status
The node ejabberd@localhost is started with status: started
ejabberd 18.12.24 is running in that node

Usuari administrador

Editarem la línia 103 de l'arxiu de configuració i hi posarem 

- allow: local

que permetrà registrar usuaris als propis usuaris locals del sistema. Per defecte està en blanc i està restringit i dóna un error de could_not_register a l'executar la comanda.

També editarem la línia 30 per a definir un nom de host per a aquell node 

  - "ejabberd"

Crearem un usuari administrador des de la consola (o via SSH) a la màquina on s'executa el servei d'IM 

/usr/local/sbin/ejabberdctl register admin ejabberd contrasenya
[root@ejabberd ~]# /usr/local/sbin/ejabberdctl register admin ejabberd contrasenya
WARNING: It is not recommended to run ejabberd as root
User admin@ejabberd successfully registered

Ara podem navegar a http://ejabberd:5280/admin (havent modificat prèviament l'arxiu /etc/hosts del client i accedir amb les credencials creades abans:

Pàgina principal de la interfície web


Virtual Hosts

Una sola instància d'ejabberd pot gestionar més d'un "domini" XMPP utilitzant Virtual Hosts; com un servidor web Apache o Nginx. En el nostre cas, només hem configurat un sol domini (@ejabberd). De manera que els nostres usuaris tindran un login del tipus usuari@ejabberd amb la seva contrasenya per a poder utilitzar el servei.

Registre d'usuaris

De la mateixa manera que hem afegit l'usuari administrador de la web GUI, afegirem 2 usuaris més que seran els clients que faran login des del Fedora amfitrió i un altre Fedora Virtual.Per a registrar-los ho farem amb la comanda register d'ejabberdctl 

[root@ejabberd ~]# /usr/local/sbin/ejabberdctl register gsola96 ejabberd passwordguillem
User gsola96@ejabberd successfully registered

[root@ejabberd ~]# /usr/local/sbin/ejabberdctl register jugalo ejabberd passwordjulian
User jugalo@ejabberd successfully registered

Un cop donats d'alta, podrem provar d'iniciar sessió al servidor i intentar xatejar.

Obtingut de «http://wiki.lordwektabyte.cat/index.php?title=ASIX/M08/UF3/PT21/3&oldid=5026»