משתמשים ב- IM ובמשתמשים מקומיים - Networks PYMES

אינדקס כללי של הסדרה: רשתות מחשבים עבור חברות קטנות ובינוניות: מבוא

מאמר זה הוא המשך של:

שלום חברים וחברים!

אנו ממשיכים להוסיף שירותי רשת המבוססים על אימות משתמשים מקומי לשרת הקבוצות הקטנות. מתלהבים תוכנה חופשית, במיוחד CentOS.

תנאי העבודה של הקבוצה השתנו לטובה. כעת יש להם כמפקדה בית בן שלוש קומות עם מרתף וצריך ליישם שרת מסרים מיידיים והעברת קבצים בין תחנות העבודה, כדי להקל על הקושי לעלות ולרדת במדרגות או ללכת הרבה. ;-). לשם כך הם מציעים להשתמש בתוכנית תוֹרַת הַמִשׁקָל.

הם נחושים לפרסם את שירות הצ'אט באינטרנט רק עבור מתלהבים, והם מתכננים לקשר את שרת המסרים המיידיים שלהם לשרתי XMPP תואמים אחרים הממוקמים ברשת הרשתות. בשביל זה הם קנו את שם התחום fromlinux.fan ועד עכשיו כתובת ה- IP המשויכת לשם זה מנוהלת על ידי ספק הגישה לאינטרנט שלך.

שירות צ'אט דרך פרוזודי יאפשר להם להחליף הודעות מיידיות, להעביר קבצים, לערוך ועידות קול ווידאו ועוד.

מהו מסנג'ר מיידי של פרוזודי?

תוֹרַת הַמִשׁקָל זהו שרת תקשורת מודרני המבוסס על פרוטוקול XMPP. הוא נועד להתקנה קלה ולתצורה ולניהול יעיל של משאבי המערכת. פרוזודיה היא קוד פתוח - תוכנית קוד פתוח שנוצרה תחת הרישיון המתיר MIT / X11.

XMPP זוהי חלופה לא מסחרית לספק שירותי מסרים מיידיים. ניתן להטמיע אותו בסביבה עסקית של ייצור, ברשת משפחתית, ברשת פרטית של שכנים וכו '. הוא תומך במגוון רחב של תוכנות לקוח לפלטפורמות שולחניות וניידות. באמצעות XMPP ניתן לספק שירות זה לכל מכשיר.

בנוסף, הם יכולים קישור מספר התקנות של פרוסודי ושירותים אחרים התואמים לפרוטוקול XMPP ויוצרים רשת העברת הודעות בה תהיה לנו שליטה מוחלטת על תעבורת ההודעות והקבצים שתתרחש בצורה מאובטחת לחלוטין.

פרודיה ואימות כנגד משתמשים מקומיים

ב מפת אתר IM של פרוזודיה מצאנו את הקישור לדף ספקי אימות, הקובעת כי החל מגרסת 0.8 לפרוסודיה, נתמכים באמצעות ספקי אימות שונים תוספים. אתה יכול להשתמש ב- נהגים תוכנה מובנית, או יכולה להשתלב עם ספקי אימות ואחסון חיצוניים באמצעות ממשקי API.

ספקי אימות שאנו מעסיקים

שם תיאור -------------- ---------------------------------- -----------------------
מישור פנימי   אימות ברירת מחדל. סיסמאות טקסט רגיל נשמרות באמצעות אחסון מובנה.

פנימי_בהולה  סיסמאות המקודדות על ידי אלגוריתם פנימי נשמרות באמצעות אחסון מובנה.

סיירוס       שילוב עם Cyrus SASL (LDAP, PAM, ...)

אנונימי    מנגנון אימות באמצעות SASL 'ANONYMOUS' עם שם משתמש אקראי שאינו דורש אישורי אימות.

XMPP משתמש בפרוטוקול אימות פשוט של Secure Layer Simple לאימות - Sלנטרל Aאימות ו Sאקורה Lאתמול (SASL), כדי לאמת את אישורי הלקוחות. פרוזודי משלב את הספרייה SASL אשר כברירת מחדל מאמת אישורים כנגד חשבונות קיימים באחסון המובנה שלו.

מאז גרסה 0.7 של Prosody, ספק חיצוני נתמך סיירוס SALS אשר יכולים לאמת את האישורים שמספקים משתמשים חיצוניים כנגד מקורות אחרים כגון: PAM, LDAP, SQL ואחרים. זה גם מאפשר שימוש ב- GSSAPI לשירותי כניסה יחידה - שירותי כניסה יחידה.

במאמר זה בנושא Prosody, כדי להשיג אימות כנגד משתמשים מקומיים באמצעות PAM, נשתמש בספק האימות «סיירוס»מסופק על ידי החבילה«סיירוס-סאסל»וזה עובד משולב עם הדמון סאסלאותד.

סיירוס-סאסל וסאסלאותד

[root @ linuxbox ~] # yum להתקין את cyrus-sasl

הדמון של saslauthd כבר מותקן

[root @ linuxbox ~] # getsebool -a | grep saslauthd
saslauthd_read_shadow -> כבוי

[root @ linuxbox ~] # setsebool saslauthd_read_shadow מופעל
[root @ linuxbox ~] # getsebool -a | grep saslauthd
saslauthd_read_shadow -> פועל

[root @ linuxbox ~] # systemctl status saslauthd
● saslauthd.service - דמון אימות SASL. טעון: טעון (/usr/lib/systemd/system/saslauthd.service; מושבת; הגדרת ספק מראש: מושבתת) פעיל: לא פעיל (מת)

[root @ linuxbox ~] # systemctl מאפשר saslauthd
נוצר קישור סימלי מ /etc/systemd/system/multi-user.target.wants/saslauthd.service אל /usr/lib/systemd/system/saslauthd.service.

[root @ linuxbox ~] # systemctl התחל saslauthd
[root @ linuxbox ~] # systemctl status saslauthd
● saslauthd.service - דמון אימות SASL. טעון: נטען (/usr/lib/systemd/system/saslauthd.service; מופעל; הגדרת הגדרות קבועות מראש של ספק: מושבתת) פעיל: פעיל (רץ) מאז יום שבת 2017-04-29 10:31:20 EDT; לפני 2 שניות תהליך: 1678 ExecStart = / usr / sbin / saslauthd -m $ SOCKETDIR -a $ MECH $ FLAGS (code = exited, status = 0 / SUCCESS) PID ראשי: 1679 (saslauthd) CGroup: /system.slice/saslauthd. שירות ├─1679 / usr / sbin / saslauthd -m / run / saslauthd -a pam ├─1680 / usr / sbin / saslauthd -m / run / saslauthd -a pam ├─1681 / usr / sbin / saslauthd -m / run / saslauthd -a pam ├─1682 / usr / sbin / saslauthd -m / run / saslauthd -a pam └─1683 / usr / sbin / saslauthd -m / run / saslauthd -a pam

פרוזודיה ו- lua-cyrussasl

[root @ linuxbox ~] # yum install prosody
---- תלות נפתרה ==================================================== ==================================== ארכיטקטורת חבילות גרסה מאגר גודל ============ ===================================================== ================= התקנה: prosody x86_64 0.9.12-1.el7 Epel-Repo 249 k התקנה לתלות: lua-expat x86_64 1.3.0- 4.el7 Epel- Repo 32 k lua-systemystem x86_64 1.6.2-2.el7 Epel-Repo 28 k lua-sec x86_64 0.5-4.el7 Epel-Repo 31 k lua-socket x86_64 3.0-0.10.rc1.el7 Epel -Repo 176k סיכום עסקה ===================================================== ============================= התקן חבילה אחת (+1 חבילות תלויות) --- -

[root @ linuxbox ~] # getsebool -a | פרודיה של grep
prosody_bind_http_port -> כבוי
[root @ linuxbox ~] # setsebool prosody_bind_http_port ב
[root @ linuxbox ~] # getsebool -a | פרודיה של grep
prosody_bind_http_port -> ב

[root @ linuxbox ~] # systemctl מאפשר פרוסודיה
נוצר קישור סימלי מ /etc/systemd/system/multi-user.target.wants/prosody.service אל /usr/lib/systemd/system/prosody.service. [root @ linuxbox ~] # systemodyl status prosody ● prosody.service - שרת פרוסודי XMPP (Jabber) טעון: טעון (/usr/lib/systemd/system/prosody.service; מופעל; הגדרת הגדרות קבועות מראש: מושבתת) פעיל: לא פעיל (מת )

[root @ linuxbox ~] # systemctl התחל פרוזודיה
[root @ linuxbox ~] # prosctody status systemody
● prosody.service - שרת פרוסודי XMPP (Jabber) טעון: טעון (/usr/lib/systemd/system/prosody.service; מופעל; הגדרת הגדרות קבועות מראש: מושבתת) פעיל: פעיל (רץ) מאז יום שבת 2017-04-29 10:35:07 EDT; לפני 2 שניות תהליך: 1753 ExecStart = / usr / bin / prosodyctl start (code = exited, status = 0 / SUCCESS) PID ראשי: 1756 (lua) CGroup: /system.slice/prosody.service └─1756 lua / usr / lib64 /prosody/../../bin/prosody

[root @ linuxbox ~] # tail /var/log/prosody/prosody.log
29 באפריל 10:35:06 מידע כללי שלום וברוך הבא לפרוסודיה גרסה 0.9.12 29 באפריל 10:35:06 מידע כללי פרוזודי משתמשת בתקן האחורי הנבחר לצורך טיפול בחיבור 29 באפריל 10:35:06 מידע על פורטמן שירות 's2s' הופעל בתאריך [::]: 5269, [*]: 5269 29 באפריל 10:35:06 מידע על פורטמן השירות הופעל 'c2s' בתאריך [::]: 5222, [*]: 5222 אפריל 29 10:35:06 מידע על פורטמן הופעל שירות 'legacy_ssl' ללא יציאות 29 באפריל 10:35:06 מידע על mod_posix פרוזידי עומד להתנתק מהקונסולה, ומבטל הפלט נוסף של המסוף 29 באפריל 10:35:06 מידע על mod_posix הוחלף בהצלחה ל- PID 1756

[root @ linuxbox ~] # yum להתקין lua-cyrussasl

אנו יוצרים את המארח הווירטואלי "chat.desdelinux.fan" מ- "example.com" שמתקין את Prosody

[root @ linuxbox ~] # cp /etc/prosody/conf.d/example.com.cfg.lua \
/etc/prosody/conf.d/chat.desdelinux.fan.cfg.lua

[root @ linuxbox ~] # nano /etc/prosody/conf.d/chat.מ- linux.fan.cfg.lua
- מדור לצ'אט VirtualHost

VirtualHost "chat.desdelinux.fan"

- הקצה למארח זה אישור עבור TLS, אחרת הוא ישתמש במערך המוגדר בסעיף הגלובלי (אם קיים). - שים לב ש- SSL בסגנון ישן ביציאה 5223 תומך רק באישור אחד, - ותמיד ישתמש בתיק הגלובלי.
        ssl = {
                 key = "/etc/pki/prosody/chat.key";
                תעודה = "/etc/pki/prosody/chat.crt";
        }

------ רכיבים ------ - באפשרותך לציין רכיבים להוסיף מארחים המספקים שירותים מיוחדים, כמו ועידות מרובות משתמשים והובלות. - למידע נוסף על רכיבים, ראה http://prosody.im/doc/components --- הגדר שרת חדר MUC (צ'אט רב משתמשים) ב conference.chat.desdelinux.fan:
רכיב "conference.chat.desdelinux.fan" "muc"
שם = "מתלהבים" - האם שם חדר הכנסים להצהרה - מתי תצטרף לחדר
restrict_room_creation = true

- הגדר פרוקסי bytestream SOCKS5 להעברת קבצים המקושרים לשרת: - רכיב "proxy.chat" "proxy65" --- הגדר רכיב חיצוני (יציאת רכיב ברירת המחדל היא 5347) - - רכיבים חיצוניים מאפשרים הוספת שירותים שונים, כגון כשערים / - מעבירים לרשתות אחרות כמו ICQ, MSN ו- Yahoo. למידע נוסף - ראה: http://prosody.im/doc/components#adding_an_external_component - --Component "gateway.chat" - component_secret = "password"

אימות = "סיירוס"
cyrus_service_name = "xmpp"
cyrus_require_provisioning = שקר
cyrus_application_name = "פרוזודיה"
cyrus_server_fqdn = "chat.fromlinux.fan"

אנו מתאימים את הקבוצה שבבעלות הקובץ /etc/prosody/conf.d/chat.desdelinux.fan.cfg.lua

[root @ linuxbox ~] # ls -l /etc/prosody/conf.d/chat.מ- linux.fan.cfg.lua 
-rw-r -----. 1 שורש שורש 1361 29 באפריל 10:45 /etc/prosody/conf.d/chat.desdelinux.fan.cfg.lua

[root @ linuxbox ~] # שורש chown: prosody /etc/prosody/conf.d/chat.מ- linux.fan.cfg.lua 
[root @ linuxbox ~] # ls -l /etc/prosody/conf.d/chat.מ- linux.fan.cfg.lua 
-rw-r -----. פרוזודיה שורשית 1 1361 29 באפריל 10:45 /etc/prosody/conf.d/chat.desdelinux.fan.cfg.lua

אנו בודקים את התצורה

[root @ linuxbox ~] # luac -p /etc/prosody/conf.d/chat.מ- linux.fan.cfg.lua
[root @ linuxbox ~] #

אישורי SSL לחיבורים מאובטחים

כדי להתחבר לשרת פרוסודי - הן מהרשת המקומית ומהאינטרנט - ולהבטיח כי האישורים עוברים מוצפנים בבטחה, עלינו ליצור את אישורי ה- SSL - שכבת שקע אבטחה הוכרז בקובץ התצורה המארח הווירטואלי /etc/prosody/conf.d/chat.desdelinux.fan.cfg.lua:

[root @ linuxbox ~] # cd / etc / prosody / certs /

[root @ linuxbox certs] # ​​openssl req -new -x509 -days 365-צמתים \
-אוט "chat.crt" -newkey rsa: 2048 -keyout "chat.key"
יצירת מפתח פרטי RSA של 2048 סיביות ..... +++ .......... +++ כותב מפתח פרטי חדש ל- 'chat.key' ----- אתה עומד להתבקש הזן מידע שישולב בבקשת האישור שלך. מה שאתה עומד להזין הוא מה שמכונה שם מכובד או DN. ישנם לא מעט שדות, אך ניתן להשאיר חלק ריק. עבור שדות מסוימים יהיה ערך ברירת מחדל, אם תזין '.', השדה יישאר ריק. ----- שם מדינה (קוד בן 2 אותיות) [XX]: שם מדינה או מחוז CU (שם מלא) []: שם מקום קובה (למשל עיר) [עיר ברירת מחדל]: שם ארגון Habana (למשל, חברה) [ חברת ברירת מחדל בע"מ]: FromLinux.Fan שם היחידה הארגונית (למשל, קטע) []: חובבי השם הנפוץ (למשל, שמך או שם המארח של השרת שלך) []: chat.desdelinux.fan כתובת דוא"ל []: buzz@desdelinux.fan

אנו משנים את אפשרויות התצורה הגלובליות

סולמנטה אנו נערוך את האפשרויות הבאות בקובץ /etc/prosody/prosody.cfg.lua:

[root @ linuxbox certs] # ​​cp /etc/prosody/prosody.cfg.lua \ /etc/prosody/prosody.cfg.lua.original [root @ linuxbox ~] # nano /etc/prosody/prosody.cfg. Lua
- קובץ תצורה לדוגמא של פרוזודיה - - מידע על קביעת תצורה של פרוסודיה ניתן למצוא באתר האינטרנט שלנו בכתובת http://prosody.im/doc/configure - טיפ: ניתן לבדוק שהתחביר של קובץ זה תקין - לאחר שתסיים על ידי הפעלת: luac -p prosody.cfg.lua - אם יש שגיאות, זה יידע אותך מה והיכן - הן, אחרת זה ישמור על שקט. הדבר היחיד שנותר לעשות הוא לשנות את שם הקובץ הזה כדי להסיר את סיום ה- dist, ולמלא את החסר. בהצלחה, וג'ברינג שמח! ---------- הגדרות כלל השרת ---------- - ההגדרות בחלק זה חלות על השרת כולו והן הגדרות ברירת המחדל - עבור כל מארח וירטואלי - זהו (מאת ברירת מחדל, ריקה) של חשבונות שהם מנהלי מערכת - עבור השרת. שים לב שעליך ליצור את החשבונות בנפרד - (ראה http://prosody.im/doc/creating_accounts למידע) - דוגמה: admins = {"user1@example.com", "user2@example.net"}
מנהלים = {"buzz@chat.desdelinux.fan", "trancos@chat.desdelinux.fan"}

- אפשר שימוש ב- libevent לצורך ביצועים טובים יותר בעומס גבוה - למידע נוסף ראה: http://prosody.im/doc/libevent --use_libevent = true; - זו רשימת המודולים ש- Prosody יטען בעת ​​ההפעלה. - זה מחפש mod_modulename.lua בתיקיית התוספים, אז וודא שגם זה קיים. - תיעוד על מודולים ניתן למצוא בכתובת: http://prosody.im/doc/modules modules_enabled = {- בדרך כלל "סגל" נדרש; - אפשר למשתמשים לקבל סגל. מומלץ;) "saslauth"; - אימות ללקוחות ושרתים. מומלץ אם אתה רוצה להתחבר. "tls"; - הוסף תמיכה עבור TLS מאובטח בחיבורי c2s / s2s "חיוג חוזר"; - s2s חיוג תמיכה "דיסק"; - גילוי שירות - לא חיוני, אך מומלץ "פרטי"; - אחסון XML פרטי (לסימניות חדרים וכו ') "vcard"; - אפשר למשתמשים להגדיר כרטיסי vCard - אלה מוגשים כברירת מחדל מכיוון שיש להם השפעה על הביצועים - "פרטיות"; - תמיכה ברשימות פרטיות - "דחיסה"; - דחיסת זרם (הערה: מצריך חבילת RPM lua-zlib מותקנת) - נחמד שיש "גרסה"; - תשובות לבקשות גרסת שרת "זמן עבודה"; - דווח על משך זמן השרת "זמן"; - תן לאחרים לדעת את השעה כאן בשרת "פינג"; - תשובות לפינגים XMPP עם פונגים "פפ"; - מאפשר למשתמשים לפרסם את מצב הרוח שלהם, פעילותם, השמעת מוזיקה ועוד "הרשמה"; - אפשר למשתמשים להירשם בשרת זה באמצעות לקוח ולשנות סיסמאות - ממשקי מנהל "admin_adhoc"; - מאפשר ניהול באמצעות לקוח XMPP התומך בפקודות אד-הוק - "admin_telnet"; - פותח ממשק קונסולת telnet ביציאת localhost 5582 - מודולי HTTP
        "שְׁטוּיוֹת"; - הפעל לקוחות BOSH, המכונים "Jabber over HTTP"
        - "http_files"; - הגש קבצים סטטיים מספריה באמצעות HTTP - פונקציונליות ספציפית אחרת "posix"; - פונקציונליות POSIX, שולחת שרת לרקע, מאפשרת סיסלוג וכו '. - "קבוצות"; - תמיכה בסגל משותף - "הודיעו"; - שלח הודעה לכל המשתמשים המקוונים - "ברוך הבא"; - קבלת פנים של משתמשים אשר רושמים חשבונות - "רישומי שמירה"; - מנהלי התראות על רישומים - "motd"; - שלח הודעה למשתמשים כשהם נכנסים - "legacyauth"; - אימות מורשת. משמש רק כמה לקוחות ובוטים ותיקים. };

bosh_ports = {{port = 5280; path = "http-bind"; ממשק = "127.0.0.1"; }}

bosh_max_inactivity = 60
- השתמש אם מתווך ל- HTTPS-> HTTP בצד השרת
שקול_בוש_אבטחה = נכון
- אפשר גישה מסקריפטים בכל אתר ללא proxy (דורש דפדפן מודרני)
cross_domain_bosh = נכון

- מודולים אלה נטענים אוטומטית, אך אם תרצה - להשבית אותם ואז לבטל את הערתם כאן: modules_disabled = {- "לא מקוון"; - אחסן הודעות לא מקוונות - "c2s"; - טיפול בחיבורי לקוח - "s2s"; - טיפול בחיבורי שרת לשרת}; - השבת יצירת חשבון כברירת מחדל, למען האבטחה - למידע נוסף ראה http://prosody.im/doc/creating_accounts allow_registration = false; - אלה ההגדרות הקשורות ל- SSL / TLS. אם אינך רוצה - להשתמש ב- SSL / TLS, אתה יכול להגיב או להסיר את ה- ssl = {key = "/etc/pki/prosody/localhost.key"; תעודה = "/etc/pki/prosody/localhost.crt"; } - לאלץ לקוחות להשתמש בחיבורים מוצפנים? אפשרות זו תמנע מאיתור לקוחות לבצע אימות אלא אם כן הם משתמשים בהצפנה.

c2s_require_encryption = נכון

- לאלץ אימות אישורים לחיבורי שרת לשרת? - זה מספק אבטחה אידיאלית, אך דורש שרתים איתם מתקשרים - כדי לתמוך בהצפנה ולהציג אישורים תקפים ואמינים. - הערה: הגרסה שלך ל- LuaSec חייבת לתמוך באימות תעודות! - למידע נוסף ראה http://prosody.im/doc/s2s#security s2s_secure_auth = false - שרתים רבים אינם תומכים בהצפנה או בעלי תעודות לא חוקיות או חתומות עצמית. אתה יכול לרשום כאן דומיינים שלא יידרש - לאמת באמצעות אישורים. הם יאומתו באמצעות DNS. --s2s_insecure_domains = {"gmail.com"} - גם אם אתה משאיר את s2s_secure_auth מושבת, אתה עדיין יכול לדרוש אישורים תקפים עבור כמה דומיינים על ידי ציון רשימה כאן. --s2s_secure_domains = {"jabber.org"} - בחר את מגש האימות לשימוש. הספקים 'הפנימיים' - משתמשים באחסון הנתונים המוגדר של פרוסודי לאחסון נתוני האימות. - כדי לאפשר ל- Prosody להציע מנגנוני אימות מאובטחים ללקוחות, ספק ברירת המחדל מאחסן סיסמאות בטקסט רגיל. אם אינך סומך על השרת שלך - אנא עיין ב http://prosody.im/doc/modules/mod_auth_internal_hashed - למידע על השימוש בגב החשיפה.

- אימות = "פנימי_מישור"
אימות = "סיירוס"
cyrus_service_name = "xmpp"
cyrus_require_provisioning = שקר

- בחר את אחסון אחסון לשימוש. כברירת מחדל, פרוסודי משתמשת בקבצים שטוחים - בספריית הנתונים המוגדרת שלה, אך היא תומכת גם בתוכנות אחורה רבות יותר - באמצעות מודולים. כברירת מחדל, backend של "sql" כלול, אך דורש - תלות נוספות. למידע נוסף, ראה http://prosody.im/doc/storage. - סטוראז '= "sql" - ברירת המחדל היא "פנימי" (הערה: "sql" דורש התקנה - חבילת RPM של lua-dbi) - עבור backend "sql", אתה יכול לבטל את ההערה * אחד * מהמטה למטה כדי להגדיר: - sql = {driver = "SQLite3", database = "prosody.sqlite"} - ברירת מחדל. 'מסד נתונים' הוא שם הקובץ. --sql = {driver = "MySQL", database = "prosody", username = "prosody", password = "secret", host = "localhost"} --sql = {driver = "PostgreSQL", database = "prosody ", שם משתמש =" prosody ", סיסמה =" סוד ", host =" localhost "} - תצורת רישום - לרישום רישום מתקדם ראה http://prosody.im/doc/logging log = {- רשום הכל ברמת" מידע " ומעלה (כלומר הכל למעט הודעות "ניפוי באגים") - אל /var/log/prosody/prosody.log ושגיאות גם ל- /var/log/prosody/prosody.err
    ניפוי באגים = "/var/log/prosody/prosody.log"; - שנה 'מידע' ל'ניפוי באגים 'לצורך רישום מילולי
    error = "/var/log/prosody/prosody.err"; - רישום שגיאות גם לקובץ - error = "* syslog"; - התחבר שגיאות גם ל- syslog - log = "* console"; - היכנס לקונסולה, שימושי לניפוי באגים באמצעות daemonize = false} - תצורת POSIX, ראה גם http://prosody.im/doc/modules/mod_posix pidfile = "/run/prosody/prosody.pid"; --daemonize = false - ברירת המחדל היא "true" ------ קבצי תצורה נוספים ------ - למטרות ארגוניות, ייתכן שתעדיף להוסיף הגדרות VirtualHost ו- - רכיבים בקבצי התצורה שלהם. שורה זו כוללת - כל קבצי התצורה ב- /etc/prosody/conf.d/ כוללים "conf.d / *. Cfg.lua"

שינויים בתצורה של Dnsmasq ב- Linuxbox

/Etc/dnsmasq.conf

פשוט הוסף את הערך cname = chat.fromlinux.fan, linuxbox.fromlinux.fan:

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
----- # -------------------------------------------- ----------------------- # REGISTROSCNAMEMXTXT # ------------------------ ------------------------------------------- # סוג זה של רישום דורש ערך # בקובץ / etc / hosts # ex: 192.168.10.5 linuxbox. מ linux.fan linuxbox # cname = ALIAS, REAL_NAME cname = mail. מ linux.fan, linuxbox. מ linux.fan
cname = chat.fromlinux.fan, linuxbox.fromlinux.fan
----

[root @ linuxbox ~] # שירות dnsmasq הפעלה מחדש
[root @ linuxbox ~] # service dnsmasq service [root @ linuxbox ~] # צ'ט מארח
chat.desdelinux.fan הוא כינוי ל- linuxbox.desdelinux.fan. לכתובת linuxbox.desdelinux.fan יש כתובת 192.168.10.5 דואר linuxbox.desdelinux.fan מטופל על ידי 1 mail.desdelinux.fan.

קובץ /Etc/resolv.conf

[root @ linuxbox ~] # nano /etc/resolv.conf 
חפש שרת שמות desdelinux.fan 127.0.0.1 # לשאילתות DNS חיצוניות או שאינן דומיין # desdelinux.fan # local = / desdelinux.fan / nameserver 172.16.10.30

שינויים ב- DNS החיצוני אצל ספק האינטרנט

אנו מקדישים את המאמר כולו «שרת DNS סמכותי NSD + Shorewall - רשתות SME»לנושא כיצד להכריז על רשומות SRV הקשורות ל- XMPP כך ששירות ההודעות המיידיות יוכל לצאת לאינטרנט, ואפילו כדי ששרת Prosody יוכל להתאחד עם שאר שרתי ה- XMPP התואמים הקיימים באינטרנט.

אנו מפעילים מחדש את פרוזודיה

[root @ linuxbox ~] # הפעלה מחדש של פרוזודיה לשירות
הפניה מחדש ל- / bin / systemctl הפעלה מחדש של prosody.service
[root @ linuxbox ~] # מעמד של פרוזודיות שירות
הפניה מחדש ל / bin / systemctl status prosody.service ● prosody.service - שרת פרוזודי XMPP (Jabber) טעון: טעון (/usr/lib/systemd/system/prosody.service; מופעל; הגדרת הגדרות קבועות מראש: מושבתת) פעיל: פעיל (רץ) מאז יום ראשון 2017-05-07 12:07:54 EDT; לפני 8 שנים תהליך: 1388 ExecStop = / usr / bin / prosodyctl stop (code = exited, status = 0 / SUCCESS) תהליך: 1390 ExecStart = / usr / bin / prosodyctl start (code = exited, status = 0 / SUCCESS) PID ראשי : 1393 (lua) CGroup: /system.slice/prosody.service └─1393 lua /usr/lib64/prosody/../../bin/prosody

[root @ linuxbox ~] # tail -f /var/log/prosody/prosody.log
  • זה מאוד בריא לפתוח קונסולה חדשה עם הפקודה הקודמת פועלת, ולראות את הפלט של הבאגים של פרוסודיה בזמן שהשירות מופעל מחדש..

אנו מגדירים את Cyrus SASL

[root @ linuxbox ~] # nano /etc/sasl2/prosody.conf
pwcheck_method: saslauthd mech_list: PLAIN

[root @ linuxbox ~] הפעלה מחדש של שירות saslauthd
הפניה מחדש ל- / bin / systemctl הפעלה מחדש של saslauthd.service
[root @ linuxbox ~] # service saslauthd status

-- אם...
[root @ linuxbox ~] # הפעלה מחדש של פרוזודיה לשירות

תצורת PAM

[root @ linuxbox ~] # nano /etc/pam.d/xmpp
אימות כולל סיסמה-חשבון חשבון כולל סיסמה אימות

בדיקות אימות PAM

  • כדי לבדוק, עלינו לבצע את הפקודה הבאה בדיוק כפי שמצוין למטה, מכיוון שמדובר בביצוע פקודה כמשתמש "פרוזודי" ולא כמשתמש "שורש":
[root @ linuxbox ~] # sudo -u prosody testsaslauthd -s xmpp -u צעדים -p צעדים
0: אישור "הצלחה".

[root @ linuxbox ~] # sudo -u מבחני פרוזודיה aslauthd -s xmpp -u legolas -p legolas
0: אישור "הצלחה".

[root @ linuxbox ~] # sudo -u prosody testsaslauthd -s xmpp -u legolas -p Lengolas
0: לא "האימות נכשל"

תהליך האימות מול משתמשים מקומיים פועל כהלכה.

אנו משנים את ה- FirewallD

שימוש בכלי השירות הגרפי «חומת אש«, לאזור«ציבורי»אנו מפעילים את השירותים:

  • xmpp-bosch
  • xmpp-client
  • שרת xmpp
  • xmpp-local

באופן דומה לאזור «חיצוני»אנו מפעילים את השירותים:

  • xmpp-client
  • שרת xmpp

ואנחנו פותחים את הנמלים TCP 5222 ו- 5269.

לבסוף, אנו מבצעים שינויים ב זמן ביצוע a קבוע y טען מחדש את FirewallD.

לקוח XMPP Psi

כדי להתחבר לשרת ההודעות המיידיות של פרוסודי, אנו יכולים לבחור בין הלקוחות השונים הקיימים:

  • אמפתיה
  • גאג'ים
  • קאדו
  • Psi
  • Psi Plus
  • ז'ָרגוֹן
  • טלפתיה
  • Weechat

הרשימה נמשכת. בחרנו ב- Psi +. כדי להתקין אותו אנו משתמשים בפקודה המועדפת עליו או אנו עושים זאת באמצעות הכלים הגרפיים הזמינים עבור אותה משימה. לאחר ההתקנה, אנו מבצעים אותו, ובסוף המאמר אנו נותנים סדרת תמונות שאנו מקווים שיהיו שימושיים עבורך.

תקציר

  • אנו יכולים להתקין שירות מסרים מיידיים המבוסס על פרוסודיה עבור משתמשים מקומיים במערכת, ולוותר על יצירת משתמשים פרוסודי פנימיים או סוגים אחרים של אחסון אישורי אימות.
  • אישורי האימות יעברו מוצפנים מהלקוח לשרת, ותגובותיו של האחרון גם ללקוח.
  • אנו יכולים להתקין יותר משירות אחד המבוסס על אימות מקומי באמצעות PAM בשרת יחיד.
  • עד עכשיו השרת linuxbox.frllinux.fan מספקת את השירותים הבאים לרשת SME:
    • רזולוציה של שמות דומיינים או DNS.
    • הקצאה דינמית של כתובות IP או DCHP
    • שירות זמן רשת או NTP
    • גיבויים באמצעות SSH מלקוחות UNIX / Linux, או דרך WinSCP עבור לקוחות Microsoft Windows.
    • שירות מסרים מיידיים - צ'אט. זמין גם מהאינטרנט.
    • שירות שיתוף קבצים באמצעות הצ'אט עצמו. זמין גם מהאינטרנט
    • שירות שיחות ועידה שתוכלו להגדיר ב- Prosody.

וכל השירותים הקודמים עם כמה כלים גרפיים לתצורה של חומת האש - FirewallD, ולניהול המשתמשים והקבוצות של המערכת שבאמת קלים לשימוש אם יש לנו את הידע הבסיסי לגבי מה שאנחנו רוצים לעשות.

חשוב

הקפידו לבקר בכתובת האתר הבאה כדי לקבל מידע מלא על Pרוזודי: http: //prosody.im.

עד לפרק הבא!


תוכן המאמר עומד בעקרונותינו של אתיקה עריכתית. כדי לדווח על שגיאה לחץ כאן.

10 תגובות, השאר את שלך

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   גיירמו דיג'ו

    כמה מעניין כל התרומות שלך, תודה רבה על כולם.

  2.   איוו דיג'ו

    מזל טוב פדריקו לעוד מאמר נהדר.
    כאן המחבר נותן לנו ("נותן") את "כיצד לדעת" כיצד ליישם את שירות הצ'אט באמצעות פרוזודי המשתמשת בפרוטוקול XMPP ברשת להחלפת הודעות מיידיות, העברת קבצים, עריכת ועידות עם קול ווידאו, אימות מול מקומי. משתמשים באמצעות חיבורים מאובטחים.
    בנוסף, כרגיל בכל סדרת ה- SME, המחבר מאפשר את שילוב השירות שיוגדר עם שאר השירותים ו / או הפרמטרים שכבר פועלים ברשת:
    1- השינויים שעלינו לבצע בשירות ה- DNS כדי לכלול את שירות הצ'אט והכל עובד כהלכה.
    2- התצורה (והבדיקות) של ה- PAM לאימות מקומי של שירות הצ'אט.
    3- מה עלינו לעשות בחומת האש עבור הרשת המקומית ו"רשת הרשתות "כדי לאפשר את שירות הצ'אט, וזאת ברמת אבטחה מספקת.
    4- ולבסוף אימות הצ'אט מלקוח XMPP.
    אין מה לשמור את ההודעה בספריית TIPS כאשר יש ליישם שירות זה.

  3.   פדריקו דיג'ו

    אני מקווה שהם מועילים לך בדרך כלשהי. תודה על התגובה

  4.   פדריקו דיג'ו

    חבר IWO, קיבלת את עיקרי המאמר. רק הוסף שאנחנו מיישמים שירותים עבור רשת UNIX / Linux, גם אם כל הלקוחות שלה הם Microsoft Windows. ייתכן שקוראים רבים עדיין לא הבחינו בפרט הקטן הזה. 😉

  5.   קרבורוס גלגל המזלות דיג'ו

    תרומה טובה מאוד חבר פיקו. אתה יודע שעקבתי אחר כל המאמרים שלך ובארבעה האחרונים האלה למדתי שאלות רבות שלא הכרתי בגלל שהצעיף של Active Directory ושל בקר הדומיין מונח בפניי. נולדתי כמעט עם ה- NT 4 ועם ה- PDC וה- BDC שלו. לא הייתי מודע לכך שאני יכול לפשט את האימות ברשת למכונה אחת שמריצה Centos או לינוקס אחרת. עכשיו אני לומד פילוסופיה חדשה שאני רואה שהיא עתיקה כמו מקור ההיסטוריה של הרשתות. למרות שאתה מספר לי מעט על מה שאתה מתכוון לפרסם 😉 אני חושב שתמשיך ב- LDAP ואז ב- Active Directory המבוסס על סמבה 4?. תודה על המסירות שלך למען התוכנה החינמית. אני אחכה למאמרים הבאים שלך, פיקו.

  6.   אדוארדו נואל דיג'ו

    טייגר, מאמר נהדר !!!!!

    עמית, יש פרט קטן, בחלק ה- DNS, אתה מפנה את כל התחום מ- desdelinux.fan ל- IP 172.16.10.10, יש לך שרת זה מיושם בדביאן (ה- DNS), עכשיו, הצ'אט הזה נמצא ב- CentOS , אז כמובן שיש לה כתובת IP אחרת, מה שפספסתם היה להפנות את כל התעבורה בחומת האש ל- IP הזה שבו שירות המסרים המידיים יהיה ממוקם, מכיוון שכרגע הוא מצביע על אותו שרת DNS וזה לא קיים שירות השליחויות.

    אחרת הכל נהדר, חיבוק גדול.

  7.   פדריקו דיג'ו

    תודה אדוארדו על התגובה. קראת את הפסקה היטב:

    באופן דומה עבור האזור "החיצוני" אנו מפעילים את השירותים:

    xmpp-client
    xmpp-server

    ואנחנו פותחים את יציאות ה- tcp 5222 ו- 5269.

    אני מאפשר פלט של פרוטוקול XMPP דרך ממשק ens34. זכרו את הפוסט למטה, אפילו מתוך המאמר של דיונון. 😉

  8.   פדריקו דיג'ו

    חבר גלגל המזלות: אתה גורם לי להכריז מראש על ההפתעות שלי. לא, LDAP לא הולך עכשיו. יש את הליבה של שרת דואר המבוסס על Postfix, Dovecot, Squirrelmail, ועם אימות PAM, שיהיה האחרון בסדרת מיני זו. יותר נא. ;-). ואז אם השאר מגיע עד שנגיע לסמבה 4 AD-DC. ביי !.

  9.   אדוארדו נואל דיג'ו

    כן ידידי, אם אני קורא אותו, אבל אני לא רואה את ה- PREROUTING בשום מקום לשרת האחר, תסתכל.

  10.   פדריקו דיג'ו

    אדוארדו: בצע את ההתקנה. חבר מחשב נייד עם רשת משנה IP 172.16.10.0/24. התקן לקוח צ'אט עליו והתחבר ל- Prosody. אז עשיתי וזה עבד ככה. 😉
    ה- FirewallD הוא אחד עבור CentOS אשר יתמקד בדרכו שלו.