Ceci est une ancienne révision du document !
Table des matières
XMPP
XMPP (ou eXtensible Messaging and Presence Protocol) est un ensemble de protocoles standards ouverts de l’Internet Engineering Task Force (IETF) pour la messagerie instantanée, et plus généralement une architecture décentralisée d’échange de données. XMPP est également un système de collaboration en quasi-temps-réel et d’échange multimédia (Wikipédia).
On utilise comme serveur le logiciel ejabberd, écrit en erlang et développé avec des réseaux d'entreprise en tête.
Mise en place du serveur
Installation
ejabberd est packagé dans pour stretch.
sudo apt install ejabberd
Configuration
ejabberd utilise le format yaml pour son fichier de configuration.
Le yaml est sensible à l'indentation, qui doit être faite uniquement avec des espaces…
La Documentation officielle est très complète (peut-être trop).
Voici un résumé des modifications par rapport au fichier par défaut :
hosts
/etc/ejabberd/ejabberd.yml
hosts: - "xmpp.federez.net" - "federez.net"
Certificats
ejabberd ne peut utiliser directement le certificat Let's Encrypt pour deux raisons :
- ejabberd ne tourne pas en root
- il attend un format différent de certificat
On ajoute donc les lignes suivantes au script /root/scripts/renew_letsencrypt_certificates.sh
cat /etc/letsencrypt/live/dragon.federez.net/privkey.pem /etc/letsencrypt/live/dragon.federez.net/fullchain.pem > ~ejabberd/ejabberd.pem chown ejabberd:ejabberd ~ejabberd/ejabberd.pem
On peut ensuite remplacer toutes les apparition de certfile: par
/etc/ejabberd/ejabberd.yml
certfile: "<ejabberd home>/ejabberd.pem"
Au passage vous pouvez en profiter pour décommenter les instances de - “no_tlsv1”
.
Authentification LDAP
On souhaite fournir ce service à tous les membres de FedeRez, on utilise donc l'authentification LDAP.
ejabberd ne supporte pas ldap avec STARTTLS, on utilise donc ldaps sur le port 636.
On commente donc auth_method: internal
et on remplit le bloc ldap:
auth_method: ldap ldap_servers: - "ldap.federez.net" ldap_encrypt: tls ldap_port: 636 ldap_rootdn: "cn=xmpp,ou=service-users,dc=federez,dc=net" ldap_password: "P455w02d" ldap_base: "ou=users,dc=federez,dc=net" ldap_uids: - "cn": "%u"
On n'oubliera bien-sûr pas de créer l'utilisateur ad-hoc sur le LDAP federez.
Access Control
On ne veut pas laisser le serveur grand ouvert, on va donc restreindre l'accès à certaines fonctionnalités:
register: - deny
Bridge IRC
On utilise [admin:services:biboumi] pour relier le serveur XMPP à IRC.
Par défaut, [admin:services:biboumi] se connecte sur le port 5347, on modifie donc le bloc ejabberd_service
en conséquence :
- port: 5347 module: ejabberd_service access: local shaper_rule: fast ip: "127.0.0.1" privilege_access: roster: "both" message: "outgoing" presence: "roster" hosts: "irc.xmpp.federez.net": password: "<gateway password>"
À noter : le mot de passe est le même que celui défini dans la conf de biboumi.