User:Frahm

From Univention Wiki

Revision as of 09:38, 19 October 2012 by Frahm (talk | contribs)
Jump to: navigation, search

Note: Cool Solutions are articles documenting additional functionality based on Univention products. Not all of the shown steps in the article are covered by Univention Support. For questions about your support coverage contact your contact person at Univention before you want to implement one of the shown steps.

Also regard the legal notes at Terms of Service.
Note: This article is not yet reviewed.
Produktlogo UCS Version 3.0

Jabber Server mit UCS

Dieser Artikel beschreibt die Einrichtung und deren Anbindung an UCS. Da der Funktionsumfang recht groß ist, wird im Artikel auf folgende Themen eingegangen:

  • LDAP Authentifzierung
  • SSL/Plaintext (Port 5223)
  • vCard (aus dem LDAP)
  • shared roster
  • Anbindung an andere IM Protokolle (im folgendem Transports genannt)
  • Chatrooms

Die benötigten Softwarepakete können entweder direkt über UCS installiert werden, oder als Debian Quellcodepaket heruntergeladen, auf dem UCS System übersetzt und mit den UCS üblichen Kommandos installiert werden.

eJabberd

Benötigte Software Pakete: erlang-base, ejabberd, subversion, erlang-nox

eJabberd ist ein Jabber Server der in der Sprache "Erlang" geschrieben wurde, welcher durch diverse Module eine recht große Funktionsvielfalt bietet.

Konfiguriert wird eJabberd über die Datei /etc/ejabberd/ejabberd.cfg. Im folgenden werden die wichtigsten Parameter bearbeitet. NAME, DOMAINNAME, LDAPBASE etc. müssen angepasst werden. Der wert von Name ist die ausgabe zweier UCR Variablen, welche durch einen Punkt getrennt werden

ucr get hostname
ucr get domainname

z.B. master.example.org

Allgemeine Einstellungen

...
%% Administrator Account des Jabber Servers auf einen normalen Administrator mappen
{acl, admin, {user, "administrator", "NAME"}}.
...
%% Der Domainname des Jabber Servers
{hosts, ["DOMAINNAME"]}. %Ausgabe von ucr get domainname

Authentifizering (LDAP)

...
% Auskommentieren!
%{auth_method, internal}

%% LDAP Authentifizerung mit HOSTNAME
%% LDAPBASE ist die Ausgabe von "ucr get ldap/base"
{auth_method, ldap}.
{ldap_servers, ["NAME"]}. % List of LDAP servers
{ldap_port, 7389}.
{ldap_base, "cn=users,LDAPBASE"}. % Search base of LDAP directory
{ldap_uidattr, "uid"}. % LDAP attribute that holds user ID

vCard (LDAP)

Hier ist noch zu beachten das nur die Werte in {ldap_rootdn, {ldap_password und den Wert von LDAPBASE veränderz bzw. eingetragen werden sollen. Die Restlichen Werte müssen als Standard bleiben!

%% Used modules:
{modules,
[
  %% Um die vCard an den LDAP Server zu binden
  %% Weitere Felder können hinzugefügt werden.
  {mod_vcard_ldap, [
    {ldap_servers, ["localhost"]},
    {ldap_rootdn, ""}, % Hier muss etwas eingetragen werden! Vorzeugsweise der Administrator!
    {ldap_password, ""}, % Passwort des Administrators
    {ldap_base, "cn=users,LDAPBASE"},
    {ldap_uidattr, "uid"},
    {ldap_filter, ""},
    {ldap_vcard_map, [
      {"NICKNAME", "%u", []},
      {"FN", "%s", ["cn"]},
      {"EMAIL", "%s", ["mailPrimaryAdress"]},
      {"DESC", "%s", ["description"]}
    ]},
    {ldap_search_fields, [
      {"User", "%u"},
      {"Name", "givenName"},
      {"Family Name", "sn"},
      {"Email", "mail"}
    ]},

    {ldap_search_reported, [
      {"Full Name", "FN"},
      {"Nickname", "NICKNAME"},
      {"Description", "DESC"}
    ]}
  ]},
  ...
  %% Das mod_vcard Modul sollte auskommentiert werden
  %{mod_vcard, []},
  ...
]}.

In neueren eJabberd Versionen sind die Transports bereits in der Konfigurationsdatei enthalten. Um diese zu Aktivieren genügt es die Kommentarzeile zu entfernen. Der Transport für ICQ sieht z.B. folgendermaßen aus:

  %% Jabber ICQ Transport
  %%{5555, ejabberd_service, [
  %%                        {ip, {127, 0, 0, 1}},
  %%                        {access, all},
  %%                        {shaper_rule, fast},
  %%                        {hosts, ["icq.localhost", "sms.localhost"],
  %%                                   [{password, "secret"}]}
  %%                        ]},

Falls ein ältere eJabberd Server verwendet wird müssen die Transports extra angelegt werden. Weiter Informationen dafür in die weiterführenden Links.

Shared Roster

Shared Roster sind verteilte, automatische Kontaktlisten für Jabber Benutzer. Leider funktionieren diese nicht richtig mit anbidung an die LDAP Datenbank. Es gibt aber ein weiteres Modul mod_ctlextra mit dessen Hilfe man zumindest jeden Account mit jedem bekannt machen kann (push-alltoall).

-> cd /opt
-> svn co https://svn.process-one.net/ejabberd-modules
-> cd /opt/ejabberd-modules/mod_ctlextra/trunk
-> ./build.sh

In neueren eJabberd Versionen

-> cp ebin/mod_ctlextra.beam /usr/lib/ejabberd/ebin

In älteren eJabberd Versionen

-> cp ebin/mod_ctlextra.beam /usr/lib/erlang/lib/ejabberd-1.1.2/ebin

Nach diesen Schritten kann das Modul ctl_extra in der Konfigurationsdatei aktiviert werden.

% Used modules:
{modules, [
  ...
  {mod_ctlextra, []}, % !!!
  ...
  {mod_version, []}
]}.

Nach einem Neustart des Jabber Servers

-> /etc/init.d/ejabberd restart

kennt das ejabberd Kommandozeilenprogramm "ejabberdctl" zusätzliche Befehle

% Alle Accounts werden allen Accounts in der Gruppe everybody
% bekannt gemacht
-> ejabberdctl push-alltoall JABBERSERVER everybody

% Alle Authorisierungen löschen
-> ejabberdctl rosteritem-purge -remote *.@JABBERSERVER -subs both

% user2 mit "nick" in der Roster Gruppe "group" von user1 mit Subscription Typ
% "both"
-> ejabberdctl add-rosteritem user1 JABBERSERVER user2 JABBERSERVER nick group both
...

Mit diesen Kommandos sind die Shared Roster relativ schnell zusammengebaut.

Noch ein Hinweis zur Konfigurationsdatei des ejabberd. Leider ist die Syntax etwas kompliziert und die Fehlermeldungen bei falscher Syntax sind nicht sehr aussagekräftig. Man sollte also auf jeden Punkt und jedes Komma achten.

{aaa, bbb, [
  {auth, method, anonymous}, %hier muss ein Komma stehen
  {allow_multipble_connections, false}, %hier muss ein Komma stehen
  {anonymous_protocol, sasl_anon} %hier darf kein Komma stehen
  ]
}. %hier muss ein Punkt stehen

Hiernach müssen wir prüfen ob der eJabberd Server auch richtig läuft.

ejabberctl status

Die richtige Ausgabe sollte folgendermaßen aussehen:

The node ejabberd@example is started with status: started
ejabberd 2.1.5 is running in that node

Wenn der Jabber Server richtig läuft müssen noch einige Ports in der Firewall freigeschaltet werden. Benötigt werden die Ports 5222 und 5269. Im folgenden prüfen wir ob diese Ports schon freigeschalted sind und schalten diese frei wenn die Ports noch geschlossen sind. Prüfen ob die Ports bereits offen sind:

netstat -plna | grep 5222
netstat -plna | grep 5269

Ports in der Firewall öffnen

ucr set security/packetfilter/ejabberd/tcp/5222/all=ACCEPT
ucr set security/packetfilter/ejabberd/tcp/5269/all=ACCEPT

Nachdem die Ports geöffnet wurden muss die Firewall neugestartet werden:

/etc/init.d/univention-firewall restart

Jetzt sollte der Jabber Server korrekt laufen.

Personal tools