A sorozat általános mutatója: Számítógépes hálózatok kkv-k számára: Bevezetés
Ez a cikk a következők folytatása:
- Squid + PAM hitelesítés a CentOS 7-en.
- Helyi felhasználók és csoportok kezelése
- Hiteles DNS-kiszolgáló NSD + Shorewall
Helló barátok és barátok!
A helyi felhasználók hitelesítésén alapuló hálózati szolgáltatásokat továbbra is hozzáadjuk a kiscsoportos kiszolgálóhoz. Rajongók Ingyenes szoftver, különösen a CentOS.
A csoport munkakörülményei javultak. Székhelyük egy háromszintes ház van egy alagsorral, és azonnali üzenetküldő szervert és a munkaállomások közötti fájlátvitelt kell megvalósítaniuk, hogy enyhítsék a lépcsőn való fel- és lefelé járás vagy a sok gyaloglás nehézségeit. ;-). Ehhez javasolják a program használatát Verstan.
Elhatározták, hogy csak az Enthusiasts számára teszik közzé az Internet Chat szolgáltatást, és azt tervezik, hogy azonnali üzenetküldő szerverüket összekapcsolják más, a Hálózatok Hálózatában található XMPP szerverekkel. Erre megvették a domain nevet desdelinux.ventilátor és mindeddig az ehhez a névhez tartozó IP-címet az internet-hozzáférés-szolgáltató kezeli.
A csevegés a Prosody szolgáltatással lehetővé teszi számukra azonnali üzenetek cseréjét, fájlok továbbítását, hang- és videokonferenciák készítését és még sok mást.
Mi az a Prosody Instant Messenger?
Verstan ez egy modern kommunikációs szerver, amely az XMPP protokollon alapszik. Könnyű telepítéshez és konfiguráláshoz, valamint a rendszererőforrások hatékony kezeléséhez tervezték. A Prosody egy nyílt forráskódú - nyílt forráskódú program, amelyet megengedett licenc alapján hoztak létre MIT / X11.
XMPP nem kereskedelmi alternatíva az azonnali üzenetküldő szolgáltatások nyújtása. Megvalósítható termelési üzleti környezetben, családi hálózatban, a szomszédok magánhálózatában stb. A kliens szoftverek széles skáláját támogatja asztali és mobil platformokhoz. Az XMPP-n keresztül ez a szolgáltatás bármely eszközhöz nyújtható.
Ezenkívül megtehetik link a Prosody számos telepítése és más szolgáltatások, amelyek kompatibilisek az XMPP protokollal, és olyan üzenetküldő hálózatot képeznek, amelyben teljes mértékben ellenőrizhetjük a teljesen biztonságos módon bekövetkező üzenet- és fájlforgalmat.
Prozódia és hitelesítés a helyi felhasználók ellen
In the Prosody IM webhelytérkép megtaláltuk az oldalra mutató linket Hitelesítés-szolgáltatók, amely kimondja, hogy a Prosody 0.8-as verziójától kezdve a különféle hitelesítés-szolgáltatók támogatottak Plugins. Használhatja a illesztőprogramok beépített szoftver, vagy integrálható a külső hitelesítési és tárolási szolgáltatókkal a saját szoftverük segítségével API-k.
Hitelesítési szolgáltatókat alkalmazhatunk
Név Leírás -------------- ---------------------------------- ----------------------- belső_magyarázat Alapértelmezett hitelesítés. Az egyszerű szöveges jelszavakat a beépített tároló segítségével tároljuk. belső_tört A belső algoritmus által kódolt jelszavakat beépített tároló segítségével tárolják. cyrus Integráció a Cyrus SASL-lel (LDAP, PAM,...) névtelen Hitelesítési mechanizmus SASL 'ANONYMOUS' használatával véletlenszerű felhasználónévvel, amelyhez nincs szükség hitelesítési hitelesítő adatokra.
Az XMPP a szabványos Secure Layer Simple Authentication protokollt használja a hitelesítéshez - Svégrehaj Authentálás és Sgyógymód LTegnap (SASL), hogy ellenőrizze az ügyfelek hitelesítő adatait. Prosody magában foglalja a könyvtárat SASL amely alapértelmezés szerint hitelesítő adatokat hitelesít a beépített tárolójában lévő meglévő fiókokhoz képest.
A Prosody 0.7 verziója óta a külső szolgáltató támogatott Cyrus SALS amelyek hitelesíteni tudják a külső felhasználók által megadott hitelesítő adatokat más forrásokkal, például: PAM, LDAP, SQL és mások. Ez lehetővé teszi a GSSAPI az egyszeri bejelentkezési szolgáltatásokhoz - Egyszeri bejelentkezési szolgáltatások.
Ebben a cikkben a Prosody-ról a helyi felhasználók PAM-on keresztüli hitelesítésének eléréséhez a hitelesítés-szolgáltatót fogjuk használni.cyrus»A csomag által biztosított«cyrus sasl»És ez a démonnal integrálva működik saslauthd.
cyrus-sasl és saslauthd
[root @ linuxbox ~] # yum telepítse a cyrus-sasl fájlt
A saslauthd démon már telepítve van
[root @ linuxbox ~] # getsebool -a | grep saslauthd
saslauthd_read_shadow -> ki
[root @ linuxbox ~] # setsebool saslauthd_read_shadow be
[root @ linuxbox ~] # getsebool -a | grep saslauthd
saslauthd_read_shadow -> be
[root @ linuxbox ~] # systemctl állapot saslauthd
● saslauthd.service - SASL hitelesítési démon. Betöltve: betöltve (/usr/lib/systemd/system/saslauthd.service; letiltva; szállítói előre beállított: letiltva) Aktív: inaktív (halott)
[root @ linuxbox ~] # systemctl engedélyezi a saslauthd-t
A /etc/systemd/system/multi-user.target.wants/saslauthd.service oldalról létrehozta a Symlink linket az /usr/lib/systemd/system/saslauthd.service webhelyről.
[root @ linuxbox ~] # systemctl start saslauthd
[root @ linuxbox ~] # systemctl állapot saslauthd
● saslauthd.service - SASL hitelesítési démon. Betöltve: betöltve (/usr/lib/systemd/system/saslauthd.service; engedélyezve; szállítói előre beállított: letiltva) Aktív: aktív (futó) szombat óta 2017-04-29 10:31:20 EDT; 2s ago Process: 1678 ExecStart = / usr / sbin / saslauthd -m $ SOCKETDIR -a $ MECH $ FLAGS (kód = kilépett, állapot = 0 / SIKER) Fő PID: 1679 (saslauthd) CGroup: /system.slice/saslauthd. szolgáltatás ├─1679 / usr / sbin / saslauthd -m / run / saslauthd -a pam ├─1680 / usr / sbin / saslauthd -m / run / saslauthd -a pam ├─1681 / usr / sbin / saslauthd -m / run / saslauthd -a pam ├─1682 / usr / sbin / saslauthd -m / run / saslauthd -a pam └─1683 / usr / sbin / saslauthd -m / run / saslauthd -a pam
Prozódia és lua-cyrussasl
[root @ linuxbox ~] # yum install prosody
---- Megoldott függőségek ============================================ == ================================== Csomag architektúra verzió Tárház mérete ========= == ================================================ ==== ================= Telepítés: prosody x86_64 0.9.12-1.el7 Epel-Repo 249 k Telepítés függőségek esetén: lua-expat x86_64 1.3.0- 4.el7 Epel- Repo 32 k lua-fájlrendszer x86_64 1.6.2-2.el7 Epel-Repo 28 k lua-sec x86_64 0.5-4.el7 Epel-Repo 31 k lua-socket x86_64 3.0-0.10.rc1.el7 Epel -Repo 176k Tranzakciók összesítése ========================================= ========= =============================== 1 csomag telepítése (+4 függő csomag) --- -
[root @ linuxbox ~] # getsebool -a | grep prosody
prosody_bind_http_port -> ki
[root @ linuxbox ~] # setsebool prosody_bind_http_port be
[root @ linuxbox ~] # getsebool -a | grep prosody
prosody_bind_http_port -> be
[root @ linuxbox ~] # systemctl engedélyezi a prozódiát
Létrehozta az /etc/systemd/system/multi-user.target.wants/prosody.service szimbólum linkjét az /usr/lib/systemd/system/prosody.service címre. [root @ linuxbox ~] # systemctl állapot prosody ● prosody.service - Prosody XMPP (Jabber) szerver betöltve: betöltve (/usr/lib/systemd/system/prosody.service; engedélyezve; szállítói előre beállítva: letiltva) Aktív: inaktív (halott) )
[root @ linuxbox ~] # systemctl prozódia indítása
[root @ linuxbox ~] # systemctl állapotprozódia
● prosody.service - Prosody XMPP (Jabber) szerver betöltve: betöltve (/usr/lib/systemd/system/prosody.service; engedélyezve; szállítói előre beállított: tiltva) aktív (futó) szombat óta 2017-04-29 10:35:07 EDT; 2 másodperccel ezelőtt Folyamat: 1753 ExecStart = / usr / bin / prosodyctl start (kód = kilépett, állapot = 0 / SIKER) Fő PID: 1756 (lua) CGroup: /system.slice/prosody.service /prozódia/../../bin/prozódia
[root @ linuxbox ~] # tail /var/log/prosody/prosody.log
Április 29. 10:35:06 általános információ Üdvözöljük, üdvözlöm a Prosody 0.9.12-es verziójában Április 29. 10:35:06 általános információ A Prosody a kiválasztott háttérprogramot használja a kapcsolat kezeléséhez. Április 29. 10:35:06 portmanager információ Aktivált szolgáltatás 's2' on: [::]: 5269, [*]: 5269 április 29, 10:35:06 portmanager info A „legacy_ssl” szolgáltatás nincs porton, április 2. 5222:5222:29 mod_posix info
[root @ linuxbox ~] # yum telepítse a lua-cyrussasl fájlt
Létrehozzuk a virtuális hosztot «chat.desdelinux.fan" a Prosody által telepített "example.com" webhelyről
[root @ linuxbox ~] # cp /etc/prosody/conf.d/example.com.cfg.lua \ /etc/prosody/conf.d/chat.desdelinux.fan.cfg.lua [root @ linuxbox ~] # nano /etc/prosody/conf.d/chat.desdelinux.fan.cfg.lua - Szakasz a VirtualHost csevegéshez VirtualHost "csevegés.desdelinux.ventilátor" - Rendeljen ehhez a gazdagéphez egy tanúsítványt a TLS-hez, különben a globális szakaszban beállítottat használja (ha van ilyen). - Vegye figyelembe, hogy a régi stílusú SSL az 5223-as porton csak egy tanúsítványt támogat, - és mindig a globálisat fogja használni. ssl = { kulcs = "/etc/pki/prosody/chat.key"; tanúsítvány = "/etc/pki/prosody/chat.crt"; } ------ Összetevők ------ -- Megadhat összetevőket speciális szolgáltatásokat nyújtó gazdagépek hozzáadásához, például többfelhasználós konferenciákhoz és szállításokhoz. -- Az összetevőkkel kapcsolatos további információkért lásd: http://prosody.im/doc/components ---MUC (multi-user chat) szobaszerver beállítása a Conference.chat webhelyen.desdelinux.ventilátor: A "conference.chat.desdelinux.fan" "muc" name = "rajongók" - A KONFERENCIA SZOBA NEVE, HOGY NYILATKOZZON - MIKOR CSATLAKOZIK A SZOBA limit_room_creation = true - SOCKS5 bytream proxy beállítása a kiszolgáló által proxy fájlátvitelhez: - Component "proxy.chat" "proxy65" --- Külső komponens beállítása (alapértelmezett komponens port 5347) - - A külső komponensek lehetővé teszik különféle szolgáltatások, például átjáróként / - más hálózatokra szállít, mint például az ICQ, az MSN és a Yahoo. További információ: lásd: http://prosody.im/doc/components#adding_an_external_component - --Component "gateway.chat" - component_secret = "password" hitelesítés = "cyrus" cyrus_service_name = "xmpp" cyrus_require_provisioning = hamis cyrus_application_name = "prozódia" cyrus_server_fqdn = "csevegés.desdelinux.ventilátor"
Beállítjuk az /etc/prosody/conf.d/chat fájlt birtokló csoportot.desdelinux.fan.cfg.lua
[root @ linuxbox ~] # ls -l /etc/prosody/conf.d/chat.desdelinux.fan.cfg.lua -rw-r -----. 1 gyökérgyökér 1361. április 29. 10:45 /etc/prosody/conf.d/chat.desdelinux.fan.cfg.lua [root @ linuxbox ~] # chown gyökér: prosody /etc/prosody/conf.d/chat.desdelinux.fan.cfg.lua [root @ linuxbox ~] # ls -l /etc/prosody/conf.d/chat.desdelinux.fan.cfg.lua -rw-r-----. 1 gyökér prozódia 1361. április 29. 10:45 /etc/prosody/conf.d/chat.desdelinux.fan.cfg.lua
Ellenőrizzük a konfigurációt
[root @ linuxbox ~] # luac -p /etc/prosody/conf.d/chat.desdelinux.fan.cfg.lua [root @ linuxbox ~] #
SSL tanúsítványok a biztonságos kapcsolatokhoz
Ha csatlakozni akarunk a Prosody kiszolgálóhoz - mind a helyi hálózatról, mind az internetről -, és biztosítjuk, hogy a hitelesítő adatok biztonságosan titkosítva legyenek, elő kell állítanunk az SSL tanúsítványokat - Biztonsági aljzatréteg deklarálva a virtuális gazdagép konfigurációs fájljában /etc/prosody/conf.d/chat.desdelinux.fan.cfg.lua:
[root @ linuxbox ~] # cd / etc / prosody / certs / [root @ linuxbox certs] # openssl req -new -x509 -days 365 -nodes \ -out "chat.crt" -új kulcs rsa: 2048 -keyout "chat.key" 2048 bites RSA privát kulcs generálása .....+++ ..........+++ új privát kulcs írása a 'chat.key'-be ----- Arra készül, hogy adja meg azokat az információkat, amelyeket beépít a tanúsítványkérelmébe. Amit most beír, az úgynevezett megkülönböztetett név vagy elutasított név. Jó néhány mező van, de néhány mezőt üresen hagyhat Egyes mezőknél alapértelmezett érték lesz. Ha beírja a „.” értéket, a mező üresen marad. ----- Ország neve (2 betűs kód) [XX]: CU állam vagy tartomány neve (teljes név) []: Kuba település neve (pl. város) [Alapértelmezett város]: Havanna szervezet neve (pl. cég) [ Default Company Ltd.]:DesdeLinux.Fan szervezeti egység neve (pl. szekció) []:Enthusiasts Common Name (pl. az Ön neve vagy a szerver gazdagépneve) []:chat.desdelinux.fan e-mail cím []:buzz@desdelinux.ventilátor
Módosítjuk a globális konfigurációs lehetőségeket
Solamente szerkeszteni fogjuk fájlban a következő opciókat /etc/prosody/prosody.cfg.lua:
[root @ linuxbox certs] # cp /etc/prosody/prosody.cfg.lua \ /etc/prosody/prosody.cfg.lua.original [root @ linuxbox ~] # nano /etc/prosody/prosody.cfg. lua - Prosody példa konfigurációs fájlra - - A Prosody konfigurálásával kapcsolatos információk a - weboldalunkon találhatók a http://prosody.im/doc/configure címen - - Tipp: Ha végzett, ellenőrizheti, hogy a fájl szintaxisa megfelelő-e. futtatással: luac -p prosody.cfg.lua - Ha bármilyen hiba van, akkor tudatja veled, hogy mi és hol van, különben csendben marad. - - Csak annyit kell tennie, hogy átnevezi ezt a fájlt, hogy eltávolítsa a .dist végződést, és kitöltse a - üres helyeket. Sok szerencsét és boldog fecsegést! ---------- Kiszolgálószintű beállítások ---------- - Az ebben a szakaszban szereplő beállítások az egész szerverre vonatkoznak, és az alapértelmezett beállítások - minden virtuális gazdagép számára - Ez egy (by alapértelmezett, üres) a fiókok listája, amelyek rendszergazdák - a kiszolgálóhoz. Ne feledje, hogy a fiókokat külön kell létrehoznia - (az információkért lásd: http://prosody.im/doc/counting_accounts) - Példa: admins = {"user1@example.com", "user2@example.net"} admins = { "buzz@chat.desdelinux.fan", "trancos@chat.desdelinux.fan" } - Engedélyezze a libevent használatát a jobb teljesítmény érdekében nagy terhelés mellett. - További információ: http://prosody.im/doc/libevent --use_libevent = true; - Ez a modulok listája, amelyet a Prosody indításkor betölt. - A mod_modulename.lua fájlt keresi a plugins mappában, ezért győződjön meg róla, hogy ez is létezik. - A modulokról szóló dokumentáció megtalálható a következő címen: http://prosody.im/doc/modules modules_enabled = {- Általánosan szükséges "névsor"; - Engedje meg a felhasználóknak, hogy névsoruk legyen. Ajánlott;) "saslauth"; - Hitelesítés az ügyfelek és a szerverek számára. Ajánlott, ha bejelentkezni szeretne. "tls"; - Támogatás hozzáadása a biztonságos TLS-hez a c2s / s2s kapcsolatokon "tárcsázás"; - az s2s visszahívási támogatása "lemez"; - Szolgáltatás felfedezése - Nem elengedhetetlen, de ajánlott "privát"; - Privát XML-tároló (szobai könyvjelzőkhöz stb.) "Vcard"; - Lehetővé teszi a felhasználók számára, hogy vCard-okat állítsanak be - Ezeket alapértelmezés szerint kommentálják, mivel hatással vannak a teljesítményre - "adatvédelem"; - Adatvédelmi listák támogatása - "tömörítés"; - Stream tömörítés (Megjegyzés: Telepített lua-zlib RPM csomag szükséges) - Örülök, hogy van "verziója"; - A szerver verzióra adott válaszok "üzemidőt" kérnek; - Jelentse, hogy a szerver mióta fut "time"; - Tájékoztassa másokat az időpontról, ezen a szerveren "ping"; - Az XMPP ping-ekre "pep" pongokkal válaszol; - Lehetővé teszi a felhasználók számára, hogy közzétegyék hangulatukat, tevékenységüket, zenelejátszásukat és még több "regisztrációt"; - Lehetővé teszi a felhasználók számára, hogy kliens használatával regisztráljanak a szerveren, és megváltoztassák a jelszavakat - Az adminisztrátori interfészek "admin_adhoc"; - Lehetővé teszi az adminisztrációt egy XMPP kliensen keresztül, amely támogatja az ad-hoc parancsokat - "admin_telnet"; - Megnyitja a Telnet konzol felületét az 5582 localhost porton - HTTP modulok "szamárság"; - Engedélyezze a BOSH klienseket, más néven "Jabber HTTP felett" - "http_files"; - Statikus fájlok kiszolgálása egy könyvtárból HTTP-n keresztül - Egyéb speciális funkciók "posix"; - POSIX funkcionalitás, szervert háttérbe küld, engedélyezi a syslogot stb. - "csoportok"; - Közös beosztási támogatás - "bejelentés"; - Küldjön bejelentést minden online felhasználónak - "üdvözlöm"; - Üdvözlő felhasználók, akik regisztrálják a fiókokat - "figyelőregisztrációk"; - Riasztási adminisztrátorok a regisztrációról - "motd"; - Üzenet küldése a felhasználóknak, amikor bejelentkeznek - "legacyauth"; - Régi hitelesítés. Csak néhány régi kliens és robot használja. }; bosh_ports = {{port = 5280; path = "http-bind"; interfész = "127.0.0.1"; }} bosh_max_inaktivitás = 60 - Használja, ha a szerver oldalon proxying HTTPS-> HTTP-t használ fontolja_bosh_secure = igaz - Hozzáférés engedélyezése a szkriptekről minden olyan webhelyen, amelynek nincs proxyja (modern böngészőt igényel) cross_domain_bosh = igaz - Ezek a modulok automatikusan betöltődnek, de ha szeretné - letiltja őket, majd itt tegye le a megjegyzést: modules_disabled = {- "offline"; - Offline üzenetek tárolása - "c2s"; - Ügyfélkapcsolatok kezelése - "s2s"; - Kiszolgáló-szerver kapcsolatok kezelése}; - Alapértelmezés szerint tiltsa le a fiók létrehozását a biztonság kedvéért - További információ: http://prosody.im/doc/creating_accounts allow_registration = false; - Ezek az SSL / TLS-hez kapcsolódó beállítások. Ha nem akarja - az SSL / TLS használatához, megjegyzést fűzhet hozzá, vagy eltávolíthatja ezt az ssl = {key = "/etc/pki/prosody/localhost.key"; tanúsítvány = "/etc/pki/prosody/localhost.crt"; } - Kényszeríteni az ügyfeleket titkosított kapcsolatok használatára? Ez az opció megakadályozza az ügyfelek hitelesítését, hacsak nem titkosítást használnak. c2s_require_encryption = igaz - Kényszeríteni a tanúsítvány hitelesítését a szerver-szerver kapcsolatoknál? - Ez ideális biztonságot nyújt, de olyan szerverekre van szükség, amelyekkel kommunikál - a titkosítás támogatásához ÉS érvényes, megbízható tanúsítványok bemutatásához. - MEGJEGYZÉS: A LuaSec verziójának támogatnia kell a tanúsítványellenőrzést! - További információ: http://prosody.im/doc/s2s#security s2s_secure_auth = false - Sok szerver nem támogatja a titkosítást, vagy érvénytelen vagy önaláírt tanúsítványokkal rendelkezik. Ide sorolhatja azokat a domaineket, amelyekre nem lesz szükség - hitelesítés tanúsítványokkal. DNS-en keresztül fogják hitelesíteni őket. --s2s_insecure_domains = {"gmail.com"} - Még akkor is, ha az s2s_secure_auth funkciót letiltja, továbbra is megkövetelhet érvényes - tanúsítványokat néhány domainhez, ha itt megad egy listát. --s2s_secure_domains = {"jabber.org"} - Válassza ki a használni kívánt hitelesítési háttérprogramot. A „belső” szolgáltatók - a Prosody konfigurált adattárolóját használják a hitelesítési adatok tárolására. - Annak érdekében, hogy a Prosody biztonságos hitelesítési mechanizmusokat kínálhasson az ügyfeleknek, az alapértelmezett szolgáltató a jelszavakat sima szövegben tárolja. Ha nem bízik a szerverében, kérjük, olvassa el a http://prosody.im/doc/modules/mod_auth_internal_hashed címet - a kivonatolt háttérprogram használatáról. - hitelesítés = "belső_magyarázat" hitelesítés = "cyrus" cyrus_service_name = "xmpp" cyrus_require_provisioning = hamis - Válassza ki a használni kívánt tároló háttérképet. Alapértelmezés szerint a Prosody lapos fájlokat használ - konfigurált adatkönyvtárában, de több háttérprogramot is támogat - modulokon keresztül. Az "sql" háttérprogram alapértelmezés szerint szerepel, de további függőségeket igényel. További információ: http://prosody.im/doc/storage. --storage = "sql" - Az alapértelmezett érték "belső" (Megjegyzés: az "sql" telepítéséhez telepítésre van szükség - lua-dbi RPM csomag) - Az "sql" háttérprogramhoz a konfiguráláshoz az alábbiak egyikét * megjegyzéssel törölheti: - sql = {driver = "SQLite3", database = "prosody.sqlite"} - Alapértelmezett. 'adatbázis' a fájlnév. --sql = {driver = "MySQL", adatbázis = "prosody", felhasználónév = "prosody", password = "secret", host = "localhost"} --sql = {driver = "PostgreSQL", database = "prosody" ", felhasználónév =" prosody ", password =" titkos ", host =" localhost "} - Naplózási konfiguráció - A haladó naplózást lásd: http://prosody.im/doc/logging log = {- Minden" Info "naplózása és magasabb (vagyis minden, kivéve a "hibakeresés" üzeneteket) - a /var/log/prosody/prosody.log fájlba és a hibákat a /var/log/prosody/prosody.err fájlba is debug = "/var/log/prosody/prosody.log"; - A részletes naplózáshoz módosítsa az „info” értéket „debug” -ra hiba = "/var/log/prosody/prosody.err"; - Naplózza a hibákat a fájlba is - error = "* syslog"; - Naplózási hibák a syslogba is - log = "* konzol"; - Jelentkezzen be a konzolra, hasznos a daemonize = false} hibakereséshez - POSIX konfiguráció, lásd még: http://prosody.im/doc/modules/mod_posix pidfile = "/run/prosody/prosody.pid"; --daemonize = false - Az alapértelmezett érték "true" ------ További konfigurációs fájlok ------ - Szervezési célokból előnyösebb lehet a VirtualHost és - Component definíciók hozzáadása a saját konfigurációs fájljaikba. Ez a sor tartalmazza - az /etc/prosody/conf.d/ összes konfigurációs fájlját. Tartalmazza a "conf.d / *. Cfg.lua"
Módosítások a Dnsmasq konfigurációjában a linuxboxban
/Etc/dnsmasq.conf fájl
Csak add hozzá az értéket cname=csevegés.desdelinux.fan,linuxbox.desdelinux.ventilátor:
[root @ linuxbox ~] # nano /etc/dnsmasq.conf
----- # --------------------------------------------- ----------------------- # RECORDSCNAMEMXTXT # ------------------------- -------------------------------------------- # Az ilyen típusú regisztrációhoz egy # bejegyzés az /etc/hosts fájlban # pl.: 192.168.10.5 linuxbox.desdelinux.fan linuxbox # cname=ALIAS,REAL_NAME cname=mail.desdelinux.fan,linuxbox.desdelinux.ventilátor
cname=csevegés.desdelinux.fan,linuxbox.desdelinux.ventilátor
ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK
[root @ linuxbox ~] # service dnsmasq restart
[root @ linuxbox ~] # service dnsmasq állapot [root @ linuxbox ~] # host chat
csevegés.desdelinuxA .fan a linuxbox álneve.desdelinux.ventilátor. linuxbox.desdelinuxA .fannak 192.168.10.5 linuxbox címe van.desdelinuxA .fan mailt 1 levél kezeli.desdelinux.ventilátor.
/Etc/resolv.conf fájl
[root @ linuxbox ~] # nano /etc/resolv.conf keresés desdelinux.fan nameserver 127.0.0.1 # Külső vagy # nem domain DNS-lekérdezésekhez desdelinux.fan # local=/desdelinux.fan/ nameserver 172.16.10.30
Az internetszolgáltató külső DNS-jének módosításai
A teljes cikket dedikáljuk «NSD autoriter DNS szerver + Shorewall - kkv hálózatok»Az XMPP-hez kapcsolódó SRV rekordok deklarálásának témaköréhez, hogy az azonnali üzenetküldő szolgáltatás kimenjen az internetre, és még arra is, hogy a Prosody szerver egyesülhessen az interneten lévő többi kompatibilis XMPP szerverrel.
Újraindítjuk a Prosody-t
[root @ linuxbox ~] # service prosody újraindítás
Átirányítás a / bin / systemctl helyre, indítsa újra a prosody.service alkalmazást
[root @ linuxbox ~] # szolgáltatás prozódia állapota
Átirányítás a / bin / systemctl állapotra prosody.service ● prosody.service - Prosody XMPP (Jabber) szerver Betöltve: betöltve (/usr/lib/systemd/system/prosody.service; engedélyezve; szállítói előre beállított: letiltva) Aktív: aktív (futó) vasárnap óta 2017-05-07 12:07:54 EDT; 8s ago Process: 1388 ExecStop = / usr / bin / prosodyctl stop (kód = kilépett, állapot = 0 / SIKER) Folyamat: 1390 ExecStart = / usr / bin / prosodyctl start (kód = kilépett, status = 0 / SIKER) Fő PID : 1393 (lua) CGroup: /system.slice/prosody.service └─1393 lua /usr/lib64/prosody/../../bin/prosody
[root @ linuxbox ~] # tail -f /var/log/prosody/prosody.log
- Nagyon egészséges új konzolt nyitni az előző parancs futtatásával, és a szolgáltatás újraindításakor figyelni a Prosody hibakeresési kimenetét.
Konfiguráljuk a Cyrus SASL-t
[root @ linuxbox ~] # nano /etc/sasl2/prosody.conf
pwcheck_method: saslauthd mech_list: PLAIN
[root @ linuxbox ~] # service saslauthd indítsa újra
Átirányítás a / bin / systemctl helyre, indítsa újra a saslauthd.service alkalmazást
[root @ linuxbox ~] # service saslauthd állapot
- Ha ...
[root @ linuxbox ~] # service prosody újraindítás
PAM konfiguráció
[root @ linuxbox ~] # nano /etc/pam.d/xmpp
hitelesítés tartalmazza a jelszó-hitelesítést
PAM hitelesítési ellenőrzések
- Az ellenőrzéshez a következő parancsot PONTOSAN kell végrehajtanunk az alábbiak szerint, mivel egy parancs végrehajtásáról van szó mint "prosody" felhasználó és nem mint "root" felhasználó:
[root @ linuxbox ~] # sudo -u prozódia tesztekaslauthd -s xmpp -u strides -p lépések 0: OK "Siker". [root @ linuxbox ~] # sudo -u prosody testsaslauthd -s xmpp -u legolas -p legolas 0: OK "Siker". [root @ linuxbox ~] # sudo -u prosody testsaslauthd -s xmpp -u legolas -p Lengolas 0: NEM "a hitelesítés nem sikerült"
A helyi felhasználók elleni hitelesítési folyamat megfelelően működik.
Módosítjuk a FirewallD-t
A grafikus segédprogram használata «tűzfalak«, A területre«nyilvános»Aktiváljuk a szolgáltatásokat:
- xmpp-bosch
- xmpp-kliens
- xmpp-szerver
- xmpp-local
Hasonlóan a területre «külső»Aktiváljuk a szolgáltatásokat:
- xmpp-kliens
- xmpp-szerver
És kinyitjuk a kikötőket tcp 5222. és 5269. ábra.
Végül, változtatunk a Végrehajtási idő a Állandó y töltse be újra a tűzfalD.
XMPP Psi kliens
Az újonnan telepített Prosody Instant Messaging kiszolgálóhoz való csatlakozáshoz választhatunk a létező különféle kliensek közül:
- Átélés
- Gajim
- kadu
- Psi
- psi plusz
- tört angolság
- Telepátia
A lista folytatódik. Mi választottuk a Psi +. Telepítéséhez használjuk a kívánt parancsot, vagy az adott feladathoz rendelkezésre álló grafikus eszközökön keresztül hajtjuk végre. A telepítés után végrehajtjuk, és a cikk végén képsorozatot adunk, amelyek remélhetőleg hasznosak lesznek az Ön számára.
Összegzés
- Telepíthetünk egy Prosody-alapú azonnali üzenetküldő szolgáltatást a rendszer helyi felhasználói számára, és eltekinthetünk a belső Prosody-felhasználók vagy más típusú hitelesítési adatok tárolásától.
- A hitelesítési adatok titkosítva kerülnek az ügyfélről a szerverre, és az utóbbi válaszai az ügyfélhez is.
- Több szolgáltatást telepíthetünk a PAM-on keresztüli helyi hitelesítés alapján egyetlen szerverre.
- Eddig a szerver linuxbox.desdelinux.ventilátor az alábbi szolgáltatásokat nyújtja a kkv-hálózat számára:
-
Domainnevek vagy DNS felbontása.
- Dinamikus IP vagy DCHP címek megadása
- Hálózati időszolgáltatás vagy NTP
- Biztonsági másolatok készítése SSH-n keresztül UNIX / Linux ügyfelektől, vagy a Microsoft Windows kliensek WinSCP-jén keresztül.
- Azonnali üzenetküldő szolgáltatás - Csevegés. Interneten is elérhető.
- Fájlmegosztó szolgáltatás a Csevegőn keresztül. Interneten is elérhető
- Telekonferencia szolgáltatás, amelyet a Prosody-ban konfigurálhat.
-
És az összes előző szolgáltatás néhány grafikus eszközzel a Tűzfal - FirewallD konfigurálásához, valamint a rendszer felhasználói és csoportkezeléséhez, amelyek valóban egyszerűen használhatók, ha rendelkezünk alapvető ismeretekkel arról, hogy mit akarunk csinálni.
fontos
Mindenképpen látogasson el a következő URL-t, hogy teljes információval rendelkezzen én Prózsás: http: //prodody.im.
A következő részletig!
Milyen érdekes minden hozzászólásod, köszönöm szépen mindannyiukat.
Ezer gratuláció Federico újabb remek cikkhez.
Itt a szerző megadja ("megadja") a "hogyan kell tudni", hogyan lehet megvalósítani a csevegőszolgáltatást a Prosody-n keresztül, amely az XMPP protokollt használja a hálózaton azonnali üzenetek cseréjére, fájlok átadására, konferenciák készítésére hanggal és videóval, hitelesítéssel a helyi ellen felhasználók biztonságos kapcsolaton keresztül.
Ezenkívül, a teljes PYMES sorozatban megszokott módon, a szerző megkönnyíti a konfigurálandó szolgáltatás integrálását a többi szolgáltatással és / vagy paraméterrel, amelyek már működnek egy hálózatban:
1- A DNS-szolgáltatás módosításai, amelyek tartalmazzák a csevegőszolgáltatást, és minden megfelelően működik.
2- A PAM konfigurációja (és ellenőrzése) a Chat szolgáltatás helyi hitelesítéséhez.
3- Mit kell tennünk a tűzfalban, hogy a helyi hálózat és a "Hálózatok hálózata" lehetővé tegye a csevegőszolgáltatást, és ezt megfelelő szintű biztonsággal.
4- És végül a csevegés ellenőrzése XMPP kliensből.
Nincs semmi, ami mentené a bejegyzést egy TIPS könyvtárba, amikor ezt a szolgáltatást végre kell hajtani.
Remélem, ezek valamilyen szempontból hasznosak számodra. Köszönöm a megjegyzést
IWO barát, megkapta a cikk valódi lényegét. Csak tegye hozzá, hogy UNIX / Linux hálózathoz nyújtunk szolgáltatásokat, még akkor is, ha az összes kliens Microsoft Windows. Lehet, hogy sok olvasó még nem vette észre ezt a kis részletet. 😉
Nagyon jó közreműködő barát, Fico. Tudod, hogy követtem az összes cikkedet, és ebben az utolsó 4-ben sok olyan kérdést tanultam, amelyeket nem tudtam, mert az Active Directory és a Domain Controller fátylát az arcomba tették. Gyakorlatilag az NT 4-el, annak PDC-jével és BDC-jével születtem. Nem tudtam, hogy egyszerűsíthetek egy hálózaton keresztüli hitelesítést egyetlen, Centos vagy más Linuxot futtató gépen. Most egy új filozófiát tanulok, amely szerintem olyan régi, mint a hálózatok történetének eredete. Bár keveset mesél arról, hogy mit fog publikálni 😉 Azt hiszem, folytatja az LDAP-t, majd a Samba 4 alapú Active Directory-t? Köszönjük elkötelezettségét az ingyenes szoftverek iránt. Várom a következő cikkeidet, Fico.
Tigris, nagyszerű cikk !!!!!
Kolléga, van egy apró részlet, a DNS részben a teljes domaint jelzi desdelinux.fan a 172.16.10.10 IP-re, ezt a szervert Debianban implementáltad (a DNS-t), most ez a csevegőszerver CentOS-ben van, tehát logikusan más IP-címe van, amire szüksége volt a tűzfal összes forgalmának átirányításához ez az IP, ahol az azonnali üzenetküldő szolgáltatás található, mivel jelenleg ugyanarra a DNS-kiszolgálóra mutat, és nem rendelkezik üzenetküldő szolgáltatással.
Egyébként minden pompás, nagy ölelés.
Köszönöm Eduardo a hozzászólást. Jól olvasta a bekezdést:
Ugyanígy aktiváljuk a szolgáltatásokat a "külső" területen is:
xmpp-client
xmpp-server
Megnyitjuk az 5222 és 5269 tcp portokat.
Engedélyezem az XMPP protokoll kimenetét az ens34 interfészen keresztül. Ne feledje az alábbi bejegyzést, még a Squid cikkből sem. 😉
Zodiákus barát: arra késztetsz, hogy előre kinyilvánítsam meglepetéseimet. Nem, az LDAP most nem megy. Van egy Postfix, Dovecot, Squirrelmail és PAM hitelesítéssel rendelkező levelezőszerver magja, amely ennek a mini sorozatnak az utolsó lenne. Na na. ;-). Aztán ha a többi megjön, amíg el nem jutunk a Samba 4 AD-DC-be. Viszlát!.
Igen, barátom, ha elolvastam, de sehol nem látom a PREROUTING-ot a másik szerver felé, nézzen meg.
Eduardo: Végezze el a telepítést. Csatlakoztasson egy laptopot egy 172.16.10.0/24 alhálózattal. Telepítsen rá egy Chat klienst, és csatlakozzon a Prosody-hoz. Tehát megcsináltam és így működött. 😉
A FirewallD a CentOS egyike, amely a maga módján előrehalad.