Jabberd2:安装和管理指南
本文的英文原文来自 http://www.jabberdoc.org/jabberd_guide
Jabberd2安装和管理指南
目录 |
绪论
本文包括 Jabberd 2 服务器 (Jabberd) 的安装和管理指南 , 流行的基于Jabber协议的开源即时消息系统的最新版本. Jabber的目标是为客户端和客户端之间同步和异步的通讯提供一个XML协议, 尽管Jabber主要用于即时消息 (IM).
Jabberd 服务器是Jabberd协议原始的开源服务器实现, 并且留下了大部分流行的软件,无论是布署在公司或作为一个公开的 IM 服务. Jeremie Miller在1998年开始了Jabber项目,提供给所有的IM服务一个自由和开放的选择. Jabberd服务器继续成为Jabber项目的核心, 并且Jabberd 2相对于于使用更广泛的Jabberd 1.4服务器来说是成功者. Jabberd 2 是基于一个新体系结构的完整的新代码, 额外的功能,并更好地遵守了Jabber协议.
一个常见的消息协议的建立, 现在大家知道的XMPP (可扩展的消息和出席信息协议), 允许在Jabberd服务器之外新建更多的Jabber服务器实现. 这许多的开源项目中, 包含WP Jabber 和 ejabberd, 以及许多软件来自商业机构如 i3connect, Jabcast, Tipic 和 Jabber, Inc.
目的和范围
本文的作者打算提供一个完整的关于 jabberd 2 安装, 管理和开发的指南:
- 系统准备
- 服务器准备
- 服务器配置
- 体系结构概述
目标受众是那些希望在Unix或其某个变种安装和/或维护一个jabberd 2服务器的人. 因此, 本文仅覆盖了Unix操作系统上的Jabberd安装.
需要的背景知识
作者做了很多努力来制作这个手把手的指南; 然而, 还是假定读者对Unix 或 Linux 操作系统比较熟悉:
- 能使用Linux命令行控制台
- 熟悉文件系统,你的服务器将装在那里
- 熟悉一个文本编辑器, 如 vi, Nano 或 NEdit
- 基本的编辑 XML 文件的能力
假定读者基本熟练使用一个Jabber客户端. 另外, 假定读者熟悉硬件和软件, 例如防火墙, 路由器或调制解调器, 如果使用了这类硬件,jabber服务器将用来连接到互联网. 这些次要程序和设备的配置超出了本指南的范围.
如何使用本文档
本指南根据用户的使用来组织章节:
- 安装和配置 Jabberd 2 (2到4章)
- 一般的配置和管理任务 (5到6章)
- Jabberd 2配置文件概要 (7到12章)
- Jabber 2体系结构 (13章)
- Jabberd 快速指南 (附录A)
- Jabberd 2 常见问题(FAQ)
快速指南是为有经验的用户尽快运行而设计的. 详细的 Jabberd 2 安装指导开始于第二章,准备安装Jabberd2. 第5和第6章分别列出了常见的配置和管理任务, 剩下的章节提供了详细的配置信息.
本文使用的约定
本文主要是作为一个安装指南提供的, 因此, 使用了特定的约定来使安装对用户来说更容易. 以下出现的约定贯穿本指南的安装章节:
表 1.4. 本指南使用的文档约定
约定 | 名称 | 描述 |
---|---|---|
P | 参数 | 一个配置文件中关于你的特定安装的信息, 等等. |
C | 检查点 | 一个点,停止并检查你的安装 |
N | 注意 | 强调信息 |
I | 重要 | 重要的强调或警告 |
F | 必需的文件 | 完成这一步或下列步骤所需要的软件或特定文件 |
O | 可选步骤 | 这一步在大部分基本安装中不是必需的步骤 |
E | 外部系统 | 这一步可能需要在外部系统配置,如路由器 |
这些里面最有用的约定是参数"Parameters." 第2章开始于一个关于你的安装的信息(参数)的列表,在你的安装步骤中将需要用到它们. 你可以在开始安装Jabberd之前收集所有这些信息, 然后你可以在每一步显示了P的地方参考.
这个安装指南用编号来组织这些步骤,下级步骤. 鼓励用户把本指南当成一个检查列表来使用. 当一个步骤的所有下级步骤完成, 接着上级步骤本身也完成了. 注意一个 "可选步骤"的所有子 (下级步骤) 也是可选的. 注意 "可选步骤" 设计用来满足关于在哪个条件和/或下可选步骤应被执行的需求.
标为"外部系统"的步骤提供信息给用户,表示安装可能需要执行于一个jabberd之外的系统. 这些系统包括路由器, 防火墙, DNS服务器, 等等. "外部系统" 提示主要是信息提示而不是详尽的. 剩下的约定是不言自明的.
注意本指南列出的每个命令引用的一个命令都是进入了一个命令行提示或命令行提示shell, 例如 X-term 或 E-term. 也要注意在本文里, 术语 "Jabberd" 指的是 Jabberd 2 服务器, 除非特别声明. 术语 "Jabber" 指基于Jabber的系统或系统们, 而 "XMPP" 指Jabber系统运行的协议.
本文使用结构化的文本建立. 结构化的文本使用标准文本格式化约定, 例如 underscores, 来展示格式化的文本. 已经做了很多努力来让文本和HTML格式接近. 一个例外是,在文本版本中使用的 bang 字符 ("!") ,在HTML版本中是用来避免不想要的格式的. "Bangs" 出现在文本版本的一些行的开始, 而这些可能被忽略. 它们不显示在 HTML 版本中.
更多阅读
访问Jabber软件基金会 获得关于jabberd 2, jabber客户端, 和Jabber协议的最新新闻. Jabber Faq 回答关于Jabber的基本问题. 鼓励读者访问关于jabber管理的提问 Jadmin归档, 或订阅 Jadmin邮件列表得到最新的jabberd管理信息. Jabberd 2开发信息可以在Jabberd归档找到,或订阅Jabberd邮件列表.
也有许多好的关于Jabber的书. 注意以下的书关于jabberd 1.4的只是写于2003年:
- Jabberd Administration Guide for version 1.4
- Programming Jabber by D.J. Adams
- Instant Messaging for Java by Iain Shigeoka
- Jabber Programming by Stephen Lee and Terence Smelser
- Jabber Developer's Handbook from Sams Publishing
法律术语
Jabberd安装和管理指南的版权(2003)由Will Kamishlian and Robert Norris所有。
这项工作是根据创作共用许可署名,类似非商业性使用方式共享许可。要查看本许可协议,请访问 http://creativecommons.org/licenses/by-nc-sa/1.0/ 或发信到 Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.
来源
Robert Norris, 主要的Jabberd 2开发者, 以及Jabberd List的发起人,为本文提供了技术信息.
准备安装Jabberd2
本章让你和你的系统准备好安装Jabberd 2:
本章的表 2.1. 列出了Jabberd 2安装需要的信息. 在这个点上收集这个信息是可选的; 然而, 现在完成这个表格将使安装更容易.
收集必需的信息
下表列出的信息是安装过程中需要的. 以下是每个参数提供的信息:
- 参数Parameter
- 必需的Required
- 章节Section
- 描述Description
- 你的信息Your Information
"Parameter" 是信息的名称部分. 贯穿整个指南, 特定的参数指向 P 约定. "Required 要么是 "Y" (yes), "N" (no), 要么是 可选的名称. 可选的名称指向这个参数需要的选项. 一些条目有建议的内容给"Your Information." 这些条目要么显示受限的选择要么显示缺省值. 这里给出了缺省值, 它们被用于本指南的例子.
对于最小安装, 完成所有必需的参数. 对于什么条件下需要可选的参数的更多信息, 详见参考章. "Description" 是一个简短描述. 再一次的, 详见参考章.
I Important: Table Contains Passwords
下表包含了密码. 如果你在下表写下了你的密码, 把本文(或页)存在一个安全的地方.
表 2.1. Jabberd2安装必需的信息
参数 | 必需的 | 章节 | 描述 | 你的信息 |
---|---|---|---|---|
Jabberd User and Group | Y | 2.2 | Linux(或其他OS)用户和组,将用于运行Jabberd | user: jabber group: jabber |
PID Directory | Y | 2.3 | Jabberd存储PID文件的目录 | /usr/local/var/jabberd/pid |
Log Directory | N | 2.3 | 用于Jabberd logs的目录. 如果在配置文件中不指定, 日志缺省存在syslog. | /usr/local/var/jabberd/log |
Authentication Package | Y | 2.4.3 3.3, | Jabberd验证管理使用的第三方包 | MySQL, PostgreSQL, Berkeley DB, OpenLDAP or PAM |
Data Storage Package | Y | 2.4.4 4.3 | 用于存储Jabberd数据的第三方包 | MySQL, PostgreSQL or Berkeley DB |
Data Directory | Berkeley DB | 4.1.1, 4.2.1, | 用于存储Berkeley DB数据文件的目录 | /usr/local/var/jabberd/db |
MySQL User and Password | MySQL | 3.5.2.2, 4.1.2, 4.2.2, | Jabberd用于连接MySQL的MySQL用户名和密码 | user: jabberd2 password: secret |
PostgreSQL User and Password | PostgreSQL | 3.5.3.1, 1 3, 4.2.3, | Jabberd用于连接PostgreSQL的PostgreSQL用户名和密码 | user: jabberd2 password: secret |
OpenLDAP Connection Settings | OpenLDAP | 2.5 | 用于你的OpenLDAP服务器连接设置: 指定LDAP服务器(或IP)的FQDN,端口,和LDAP使用的版本(要么v2要么v3) | |
OpenLDAP User and Password | OpenLDAP | 4.2.5 | 连接到你的OpenLDAP服务器的用户名和密码. 只有你的OpenLDAP服务器不允许匿名绑定(访问)时才需要 | |
OpenLDAP Query Settings | OpenLDAP | 4.2.5 | Base DN (识别名) 和 User ID 属性用于为OpenLDAP服务器建立查询. Base DN 可以要么是服务器的root DN 要么是一个可以在它那找到 User ID's 的 RDN (相对的识别名). | |
Hostname | Y | 4.4 | 你的安装了Jabberd服务器的主机名. 对于可从互联网访问的服务器, 看起来类似 somedomain.com | |
SSL Key Location | N | 5.3.1, 5.3.2 | OpenSSL证书文件的位置. 对于SSL加密通讯是必需的 | /usr/local/etc/jabberd/server.pem |
Router User and Password | N | 5.4 | 用于别的组件连接到Jabberd Router组件的用户名和密码 | user: jabberd2 password: secret |
新建Jabber用户和组
你应该新建一个jabber用户和组来运行服务器:
P 参数: Jabber User and Group
新建一个用于运行Jabberd(作为超级用户)的用户和组:
su groupadd jabber useradd -g jabber jabber
I 重要: 检查你的用户和组命令
以上命令只是一个例子. 在你的系统中增加一个用户和组的命令和参数可能不同. 如果对这些命令有任何疑问请参考手册.
为PID's和Logs新建目录
你应该为Jabberd新建一个目录来存储它的PID和log文件, 并让之前新建的用户拥有这些目录的所有权.
P 参数: PID Directory
为PID文件(作为超级用户)新建一个目录:
su mkdir -p /usr/local/var/jabberd/pid/ chown -R jabber:jabber /usr/local/var/jabberd/pid/
以上目录是Jabberd PID 文件的缺省的位置.
你也可以选择为logs新建一个目录.
O 可选的: Log Directory
如果你想要, 为logs新建一个独立的目录, 并把所有权赋予你的jabber用户:
mkdir -p /usr/local/var/jabberd/log/ chown -R jabber:jabber /usr/local/var/jabberd/log
N 注意: Log文件缺省为Syslog
注意Jabberd缺省地把消息写到syslog. 为了强制Jabberd把它的logs写到上述目录, 必须编辑组件的XML文件以指定上述新建的目录.
安装先决条件
Jabberd2有四个先决条件:
- OpenSSL (版本0.9.6b或更高)
- Libidn (版本0.3.0或更高)
- 数据存储包
- 验证包
技术上来讲, Jabberd 2的安装可以不需要OpenSSL或Libidn; 然而, 强烈推荐在安装Jabberd之前安装这些包. Jabberd 2也要求数据存储包用于应用和验证; 然而, 一个单独的包, 例如 MySQL, 也可能同时满足数据存储和验证的要求.
OpenSSL
OpenSSL为Jabber提供客户端到服务器以及服务器之间的通讯的加密. XMPP协议要求Jabber服务器支持TLS (传输安全层). TLS是SSL的继任者.
N 注意: 最小OpenSSL版本
Jabberd 2依赖OpenSSL版本0.9.6b或更高.
I 重要: OpenSSL升级问题
如果你升级了OpenSSL, 你可能需要重新编译安装目前依赖于老版本OpenSSL的软件. 提出这个警告是因为很多工具依赖于OpenSSL, 而且OpenSSL升级之后这些工具可能停止运作. 建议谨慎地更新OpenSSL, 升级OpenSSL的详细指引超出了本文范围.
更多信息请看OpenSSL网站. OpenSSL下载在OpenSSL Source页. 为Jabberd 2安装OpenSSL的指引在本指南的附录里. 参见为Jabberd安装OpenSSL.
Libidn
Libidn为Jabberd 2提供必要的字符处理功能. 在Jabberd 2稳定版3之前, libidn已经被包含在Jabberd 2分发版里; 然而, 版权冲突使得libidn必须提前独立安装.
N 注意最小libidn版本
Jabberd 2依赖于libidn版本0.3.0或更高.
详见Libidn网站. Libidn下载在Libidn Source页. 安装libidn指引在本指南的附录. 参见为Jabberd安装Libidn.
数据存储包
Jabberd 2对数据库集成的支持比以前更好了, 而且Jabberd 2能使用三种自由数据库之一来提供数据存储:
MySQL是推荐以及缺省的数据存储. 文件也可以用来存储Jabberd 2数据; 然而, 这是不推荐的.
N 注意: MySQL和Unicode支持
MySQL版本4.1和更高版本支持Unicode (UCS-2和UTF8) 字符编码. 如果你的安装需要支持多字母编码, 并且希望使用MySQL, 选择4.1或更高版本.
如果你已安装了这些数据库中的一个, 你可以配置它为Jabberd工作. 反之, 你应该选择这些数据库中之一并在继续安装Jabberd之前安装它. MySQL是推荐的数据库; 然而, Berkeley DB 需要的安装和管理工作更少. 从而, 对于用户比较少的安装来说,Berkeley DB 也是理想的选择.
I 重要: MySQL需要开发库和头文件
注意Jabberd需要的不止是最小的MySQL安装. 除了基本的MySQL安装, Jabberd要求开发库和头文件也要安装. 要么执行一个MySQL Downloads页列出的最大安装, 要么独立的安装服务器, 客户端程序, 库和头文件, 以及动态客户端库. 为了安装附加的库,可能需要卸载当前的 MySQL安装.
本文的附录包括了为Jabberd 2安装MySQL或Berkeley DB的指引. 参见为Jabberd安装Berkeley DB或为Jabberd安装MySQL.
验证包
Jabberd 2能使用五种第三方数据包之一来处理用户验证:
注意三种支持的一个应用数据包也被用于管理验证信息. 所以, 安装MySQL, Berkeley DB 或 PostgreSQL 之一同时满足了Jabberd数据包的要求. 可以用一个文件存储验证数据; 然而, 这是不推荐的. 推荐的和缺省的包是MySQL.
如果你已经安装了以上五种验证数据包之一, 你可以配置它用于Jabberd 2. 如果没有, 你应该安装以上五个包中的一个或多个.
本文的附录包括了为Jabberd 2安装MySQL或Berkeley DB的指引. 参见为Jabberd安装Berkeley DB或为Jabberd安装MySQL.
安装Jabberd 2
本章描述如何编译和安装Jabberd 2.
下载Jabberd 2
F 必需的文件
从 Jabber Studio下载文件 jabberd-2.0sn.tar.gz , 这里 "n" 是Jabberd 2的最新稳定版本号.
下载上述文件到一个 /home 下的目录,用于编译这些安装文件. 撰写本文的时候, Jabberd 2 稳定发布版3 是最新的版本并且用于下面的例子.
提取Jabberd安装文件
进入到你下载上述文件的目录然后通过命令行提取Jabberd 2文件:
tar -zxvf jabberd-2.0s3.tar.gz
配置Jabberd编译
|| 待做: 准备重写配置指引使得它们更清晰. 也许放一些特别的配置到 FAQ ||
进入上面建立的文件夹:
cd jabberd-2.0s3
O 可选的: 查看配置选项
在配置Jabberd之前, 你可以查看所有配置选项,运营以下命令:
./configure --help
这将提供一个设置配置选项的清单和语法. 例如, 你可以安装Jabberd到一个特定的目录,通过使用 --prefix=PREFIX 选项. 通过提供一个 PREFIX 路径, 所有的Jabberd文件将被安装在这个目录下. 如果你正在测试一个新的Jabberd安装,这可能很有用. 另一个有用的选项是 --enable-debug. 这个选项允许Jabberd提供详细的调试信息; 然而, 在生产系统上它应该慎用.
I 重要: 配置选项已经在稳定版本3中改变了
Jabberd 2稳定版本3为配置脚本改变了一些参数. 以下信息属于Jabberd 2稳定版本3和更高版本.
I 重要: 对于OpenSSL和Libidn使用明确的选项
推荐Jabberd 2把OpenSSL和Libidn配置成明确的选项. 这些包从技术上是可选的. 所以, 配置可以不用它们而编译Jabberd 2,如果当配置运行的时候它们的库和头文件没找到.
P 参数: 应用程序数据包和验证数据包
验证包和数据包应该以 --enable- 选项指定. 选项为 --enable-mysql, --enable-pgsql, --enable-db, --enable-pam or --enable-ldap. 尽管 --enable-mysql 是缺省的, 如果使用了MySQL,还是推荐指定它. 例如, 这个命令将被用于允许MySQL成为验证和存储包,但不支持调试:
./configure --enable-mysql --enable-ssl --enable-idn
以下命令将用于配置Jabberd使用Berkeley DB,同时用于存储和验证并允许调试:
./configure --enable-db --enable-debug --enable-ssl --enable-idn
如果Jabberd的先决条件之一被安装在一个非标准的位置, 你将需要在运行配置的时候指定这个位置. 指定替代的头文件路径可以使用 --with-extra-include-path 选项,指定替代的库文件路径可使用 -with-extra-library-path 选项. 多路径, 分别位于不同克隆, 可以指定. 例如, 如果OpenSSL和MySQL被安装在 /usr/local, 你可以用以下指令配置:
./configure --enable-pgsql --enable-ssl --enable-idn \ --with extra-include-path=/usr/local/include:/usr/local/include/mysql \ --with-extra-library-path=/usr/local/lib:/usr/local/lib/mysql
I 重要: 不正确的参数会被忽略
Jabberd忽略不正确的配置参数. 因而, 一个不正确的配置参数可能仍会成功配置, 即使错误的Jabberd配置. 如果有疑问运行 ./configure --help .
I 重要: Redhat 9配置
在Redhat 9编译Jabberd 2要求特定的配置,因为Redhat 9自带了自己的Kerberos版本. 详见 FAQ 中关于 Redhat 9 的部分.
如果你希望使用缺省配置,简单地运行配置命令:
./configure
这将配置Jabberd使用MySQL和安装到 /usr/local 目录. 如果你接收到错误, 你可能希望检查 FAQ,你将发现许多系统特定的工作环境.
编译Jabberd
编译Jabberd,运行以下命令:
make
安装Jabberd
切换到超级用户:
su
运行make install:
make install
缺省文件位置
你的Jabberd 2安装完成了. 以下是一个缺省安装的文件位置列表:
/usr/local/etc/jabberd Jabberd Configuration Files /usr/local/bin Jabberd Binaries (jabberd, c2s, resolver, router, s2s, sm)
设置配置文件的所有权
Jabberd配置文件包含密码; 所以, 你应该对这些文件设置所有权和许可,这样他们只能被你的jabber用户读和被root用户写. 使用你的配置文件的位置和你的jabberd用户, 设置这些文件的所有权:
chown -R root:jabber /usr/local/etc/jabberd/*
然后, 给这些文件设置许可,这样别人不能读写它们:
chmod -R 640 /usr/local/etc/jabberd/*
现在, 只有你的jabber用户和和超级用户能读和编辑你的配置文件.
O 可选的: 为配置文件建立符号连接
如果你使用缺省的位置安装Jabberd, 你可能希望在 /etc 目录为配置文件新建一个符号连接(作为超级用户). 这将使你更容易找到和修改它们:
ln -s /usr/local/etc/jabberd/ /etc/jabberd
Jabberd 2现在安装完了. 继续下一章配置你的安装.
基本配置
本章为大多数基本配置和你的Jabberd 2的测试提供一个快速的路线图. Jabberd 2的基本安装包含这三个步骤:
Jabberd 2是通过它的6个XML文件来配置的. 对于缺省的安装, 这些配置文件在 /usr/local/etc/jabberd/, 而且它们可以从 /etc/jabberd 访问,如果你为这个目录建立了符号连接的话. 注意如果你在前面第二章收集了必需的信息,本章更容易完成.
在sm.xml和c2s.xml设置主机名
基本配置的第一步包括在sm.xml 和 c2s.xml设置主机名.
P 参数: Hostname
你的服务器主机名(网络ID) 必须同时在 c2s.xml 和 sm.xml 里设置,这样这个 ID 为你的服务器提供一个可解析的引用. 在 c2s.xml 里,这个 ID 位于头标记为 Local network configuration 的位置(大约第63行), 在 sm.xml 里这个 ID 位于 Session manager configuration (第一行). 编辑 sm.xml 和 c2s.xml ,这样这个 ID 引用你的服务器.
在 sm.xml :
<!-- Session manager configuration --> <sm> <!-- Our ID on the network. Users will have this as the domain part of their JID. If you want your server to be accessible from other Jabber servers, this ID must be resolvable by DNS.s (default: localhost) --> <id>somemachine.somedomain.com</id>
在 c2s.xml :
<!-- Local network configuration --> <local> <!-- Who we identify ourselves as. This should correspond to the ID (host) that the session manager thinks it is. You can specify more than one to support virtual hosts, as long as you have additional session manager instances on the network to handle those hosts. The realm attribute specifies the auth/reg or SASL authentication realm for the host. If the attribute is not specified, the realm will be selected by the SASL mechanism, or will be the same as the ID itself. Be aware that users are assigned to a realm, not a host, so two hosts in the same realm will have the same users. If no realm is specified, it will be set to be the same as the ID. --> <id>somemachine.somedomain.com</id>
如在 c2s.xml 文件看到的, 这个主机名将被加到你的用户名后面以建立Jabber ID's, 而且为了Jabberd能通过互联网访问,它必须可通过DNS解析,.
N 注意
你可以仅使用一个域名(somedomain.com) 给你的Jabberd 2网络ID,如果你的DNS之前被配置成解析那个ID到你的服务器. 关于为Jabberd 2设置 DNS SRV 记录的信息,参见5.7章.
对存储和验证包的提供和配置
要让Jabberd 2和你选择的外部存储和验证包一起工作,包括这些步骤:
- 提供和Jabberd 2协作的外部包
- 为你选择的存储包配置 sm.xml
- 为你选择的验证包配置 c2s.xml
大多数 Jabberd 2 安装包依赖于单个包, 例如 MySQL, 来同时提供存储和验证服务. 如果你的安装包依赖于单个的包, 你将需要为Jabberd 2配置这个包,并且在 sm.xml 和 c2s.xml里都加入类似的连接信息.
P 参数: 数据存储和验证包
跟随本指南,为你选择的存储和验证包完成有关的条款. (用于存储的 Berkeley DB, MySQL 或 PostgreSQL. 用于验证的 Berkeley DB, MySQL, PostgreSQL, PAM 或 OpenLDAP.)
跳到你选择的外部存储包开始:
然后你将被引导继续提供(如果需要) 和配置你的验证包. 一旦你的外部包准备好了, 并且Jabberd被配置好使用它们, 你将进入服务器测试.
提供和配置BerkeleyDB
Berkeley DB 提供最简单的方法来让你的Jabberd 2服务器快速启动运行. Jabberd 2需要的最低版本是 4.1.24 或更高.
提供BerkeleyDB
如果你把Berkeley DB用来存储或验证,请完成本节. 让你的系统提供Berkeley DB是很简单的. Berkeley DB只需要一个目录存储数据文件, 而jabber用户或组拥有这个目录的所有权.
P 参数: 数据目录
- 新建一个目录并为Berkeley DB设置权限 (使用之前已经建立的用户和组). (以超级用户身份):
mkdir -p /usr/local/var/jabberd/db chown -R jabber:jabber /usr/local/var/jabberd
现在Berkeley DB已经准备好用于Jabberd了.
配置存储使用BerkeleyDB(sm.xml)
如果你使用Berkeley DB来存储,请完成本节. Jabberd 2要求的最低配置是使用Berkeley DB作为后端存储. 简单地设定使用的驱动并指定数据库的位置.
在 sm.xml 里的 Storage database configuration (存储数据库配置)段落, 编辑 driver 使用 db (Berkeley DB):
<!-- Storage database configuration --> <storage> <!-- By default, we use the MySQL driver for all storage --> <driver>db</driver>
P 参数: 数据目录
- 在 sm.xml 里的 Berkeley DB driver configuration 段落, 为你的数据库设定路径 (在上面 4.3.1. 建立的):
<!-- Berkeley DB driver configuration --> <db> <!-- Directory to store database files under --> <path>/usr/local/var/jabberd/db</path> <!-- Synchronize the database to disk after each write. If you disable this, database accesses may be faster, but data may be lost if jabberd crashes. --> <sync/> </db>
现在Jabberd 2贝配置成使用Berkeley DB存储了.
如果你希望使用别的Berkeley DB之外的包作为验证包, 跳到你选择的验证包:
否则, 继续到 4.3.3. 直接往下完成你的Jabberd 2配置.
配置验证使用BerkeleyDB(c2s.xml)
如果你使用Berkeley DB来验证,请完成本节. Jabberd 2对于Berkeley DB验证配置的要求同上,除了包含在 c2s.xml 的信息.
在 c2s.xml 的 Authentication/registration database configuration (验证/注册 数据库配置)段落, 编辑 module 使用 db (Berkeley DB):
<!-- Authentication/registration database configuration --> <authreg> <!-- Backend module to use --> <module>db</module>
P 参数: 数据目录
- 在 c2s.xml 的 Berkeley DB module configuration 段落, 为你的数据库设定路径 (在上面 4.3.1. 建立的):
<!-- Berkeley DB module configuration --> <db> <!-- Directory to store database files under --> <path>/usr/local/var/jabberd/db</path> <!-- Synchronize the database to disk after each write. If you disable this, database accesses may be faster, but data may be lost if jabberd crashes. --> <sync/> </db>
你的Jabberd 2的存储和验证配置现在完成了. 在转移到其他配置任务(例如 第五章 的配置SSL)之前,跳到 测试服务器 去开始测试你的服务器.
提供和配置MySQL
MySQL 是用于存储和验证的缺省的Jabberd 2包.
提供MySQL
如果你使用MySQL存储 和/或 验证请完成本节. 为了给Jabberd配置MySQL, 你必须运行Jabberd 2分发包里带的安装脚本. 脚本运行之后, 你应该新建衣蛾用户并赋予数据库权限.
首先, 运行MySQL安装脚本. 这个脚本位于Jabberd源码目录下的/tools子目录. 切换到tools目录并启动MySQL控制台(MySQL服务应该已经在运行中). 然后, 从MySQL控制台运行 db-setup.mysql 脚本:
mysql -u root -p mysql>\. db-setup.mysql
现在一个用于Jabberd的数据库已经存在于MySQL数据目录, 新建一个MySQL用户给Jabberd用来连接MySQL服务器.
P 参数: MySQL用户名和密码
- 从MySQL控制台, 运行以下SQL指令, 用你选择的Jabberd MySQL用户的密码替换 secret:
GRANT select,insert,delete,update ON jabberd2.* to jabberd2@localhost IDENTIFIED by 'secret';
注意密码 secret 是Jabberd配置文件中用于MySQL的缺省密码.
MySQL现在准备好用于Jabberd了.
N 注意: 缺省的MySQL Socket
- Jabberd 2稳定版3 连接MySQL服务器的socket位于 ‘’/tmp/mysql.sock‘’ . 从源码安装MySQL时的缺省socket是 ‘’/var/lib/mysql/mysql.sock‘’ . 如果 ‘’/tmp/mysql.sock‘’ 不存在,你需要新建一个软连接:
ln -s /var/lib/mysql/mysql.sock /tmp/mysql.sock
如果你不确定你的MySQL服务器的socket在哪, 参考你的MySQL配置文件(通常位于 /etc/my.cnf 或 /etc/mysql/my.cnf ).
配置存储使用MySQL(sm.xml)
如果你使用MySQL存储,请完成本节. 大多数使用MySQL存储的安装只需要设置驱动, 用户和密码.
在 sm.xml 里标为 Storage database configuration 的段落下, 确保 driver 是用 mysql . (缺省这driver应该被设为mysql.):
<!-- Storage database configuration --> <storage> <!-- By default, we use the MySQL driver for all storage --> <driver>mysql</driver>
P 参数: MySQL用户名和密码
- 在 sm.xml 里标为 MySQL driver configuration 的段落下, 把 secret 替换成你的MySQL密码. 如果你不使用缺省用户(jabberd2)则还要修改用户名 :
<!-- MySQL driver configuration --> <mysql> <!-- Database server host and port --> <host>localhost</host> <port>3306</port> <!-- Database name --> <dbname>jabberd2</dbname> <!-- Database username and password --> <user>jabberd2</user> <pass>secret</pass> <!-- Transaction support. If this is commented out, transactions will be disabled. This might make database accesses faster, but data may be lost if jabberd crashes. This will need to be disabled if you are using a MySQL earlier than v3.23.xx, as transaction support did not appear until this version. --> <transactions/>
注意只有你的MySQL服务器运行在另一个主机上你才应该修改host设置. 只有你的MySQL服务器运行在一个非标准端口(3306是MySQL安装后的缺省端口)你才应该修改port设置. transaction support 段落则是不言自明的了.
现在Jabberd 2已经配置成使用MySQL来存储了.
如果你希望使用一个不同于MySQL的验证包, 跳到你选择的验证包:
否则, 继续到 4.4.3. 直接往下完成你的Jabberd 2配置.
配置验证使用MySQL(c2s.xml)
如果你使用MySQL来验证,请完成本节. Jabberd 2对于MySQL验证配置的要求同上,除了包含在 c2s.xml 的信息.
在 c2s.xml 的 Authentication/registration database configuration (验证/注册 数据库配置)段落, 确保 driver 使用 mysql (驱动缺省应该就是mysql):
<!-- Authentication/registration database configuration --> <authreg> <!-- Backend module to use --> <module>mysql</module>
P 参数: MySQL用户名和密码
- 在 c2s.xml 的 MySQL module configuration 段落, 把 secret 替换成你的MySQL密码. 如果你不使用缺省用户(jabberd2)则还要修改用户名 :
<!-- MySQL module configuration --> <mysql> <!-- Database server host and port --> <host>localhost</host> <port>3306</port> <!-- Database name --> <dbname>jabberd2</dbname> <!-- Database username and password --> <user>jabberd2</user> <pass>secret</pass> </mysql>
注意只有你的MySQL服务器运行在另一个主机上你才应该修改host设置. 只有你的MySQL服务器运行在一个非标准端口(3306是MySQL安装后的缺省端口)你才应该修改port设置.
你的Jabberd 2的存储和验证配置现在完成了. 在转移到其他配置任务(例如 第五章 的配置SSL)之前,跳到 测试服务器 去开始测试你的服务器.
提供和配置PostgreSQL
PostgreSQL 和MySQL一样,提供一个非常易于管理的后端用于存储和验证. 和MySQL不同的是, PostgreSQL提供了更好的 unicode支持.
提供PostgreSQL
如果你使用PostgreSQL存储 和/或 验证请完成本节. 为了给Jabberd配置PostgreSQL, 你必须新建一个数据库,新建一个PostgreSQL用户并运行Jabberd 2分发包里带的PostgreSQL脚本.
为Jabberd新建数据库. (PostgreSQL服务器应该已经在运行):
createdb -U postgres jabberd2
以上命令讲新建一个数据库,你可以在那个数据库运行接哦本来安装Jabberd PostgreSQL数据库.
N 注意: Unicode支持
- 如果你希望为你的PostgreSQL数据库激活Unicode支持, 把以上命令修改如下:
createdb -U postgres -E UNICODE jabberd2
P 参数: PostgreSQL用户名和密码
- 新建你的Jabberd数据库用户, 输入以下命令:
createuser -P -U postgres jabberd2
这个命令将初始化一个交互用户创建脚本. 当看到提示, 输入将来用于连接到你的PostgreSQL数据库的Jabberd的密码:
Enter password for user "jabberd2": Enter it again: Shall the new user be allowed to create databases? (y/n) n Shall the new user be allowed to create more new users? (y/n) n CREATE USER
CREATE USER 信息表示命令执行成功.
在你的jabberd用户创建之后, 你已经准备好运行PostgreSQL安装脚本了. 这个脚本位于 '\[Jabberd Source Files\]\/tools'. 切换到 tools 目录并以jabberd2用户身份启动PostgreSQL控制台:
psql -U jabberd2 jabberd2
然后, 从PostgreSQL控制台运行 db-setup.pgsql 脚本:
jabberd2=>\i db-setup.pgsql
PostgreSQL现在准备好用于Jabberd了.
配置存储使用PostgreSQL(sm.xml)
如果你使用PostgreSQL存储,请完成本节. 大多数使用PostgreSQL存储的安装只需要设置驱动, 用户和密码.
在 sm.xml 里标为 Storage database configuration 的段落下, 确保 driver 是用 pgsql (PostgreSQL):
<!-- Storage database configuration --> <storage> <!-- By default, we use the MySQL driver for all storage --> <driver>pgsql</driver>
P 参数: PostgreSQL用户名和密码
- 在 sm.xml 里标为 PostgreSQL driver configuration 的段落下, 把 secret 替换成你的PostgreSQL密码. 如果你不使用缺省用户(jabberd2)则还要修改用户名 :
<!-- PostgreSQL driver configuration --> <pgsql> <!-- Database server host and port --> <host>localhost</host> <port>5432</port> <!-- Database name --> <dbname>jabberd2</dbname> <!-- Database username and password --> <user>jabberd2</user> <pass>secret</pass> <!-- Transaction support. If this is commented out, transactions will be disabled. This might make database accesses faster, but data may be lost if jabberd crashes. --> <transactions/> </pgsql>
注意只有你的PostgreSQL服务器运行在另一个主机上你才应该修改host设置. 只有你的PostgreSQL服务器运行在一个非标准端口(5432是PostgreSQL安装后的缺省端口)你才应该修改port设置. transaction support 段落则是不言自明的了.
现在Jabberd 2已经配置成使用PostgreSQL来存储了.
如果你希望使用一个不同于PostgreSQL的验证包, 跳到你选择的验证包:
否则, 继续到 4.5.3. 直接往下完成你的Jabberd 2配置.
配置验证使用PostgreSQL(c2s.xml)
如果你使用PostgreSQL来验证,请完成本节. Jabberd 2对于PostgreSQL验证配置的要求同上,除了包含在 c2s.xml 的信息.
在 c2s.xml 的 Authentication/registration database configuration (验证/注册 数据库配置)段落, 确保 driver 使用pgsql (PostgreSQL):
<!-- Authentication/registration database configuration --> <authreg> <!-- Backend module to use --> <module>pgsql</module>
P 参数: PostgreSQL用户名和密码
- 在 c2s.xml 的 PostgreSQL module configuration 段落, 把 secret 替换成你的PostgreSQL密码. 如果你不使用缺省用户(jabberd2)则还要修改用户名 :
<!-- PostgreSQL module configuration --> <pgsql> <!-- Database server host and port --> <host>localhost</host> <port>5432</port> <!-- Database name --> <dbname>jabberd2</dbname> <!-- Database username and password --> <user>jabberd2</user> <pass>secret</pass> </pgsql>
注意只有你的PostgreSQL服务器运行在另一个主机上你才应该修改host设置. 只有你的PostgreSQL服务器运行在一个非标准端口(5432是PostgreSQL安装后的缺省端口)你才应该修改port设置.
你的Jabberd 2的存储和验证配置现在完成了. 在转移到其他配置任务(例如 第五章 的配置SSL)之前,跳到 测试服务器 去开始测试你的服务器.
提供和配置PAM
PAM(Linux的可插拔验证模块)为Jabberd 2提供内建的验证支持.
提供PAM
如果你使用PAM验证请完成本节. 通过PAM验证需要一个有效的PAM配置文件 jabberd . 对于多数系统, 这个配置文件应该位于 /etc/pam.d .创建 Jabberd PAM配置文件超出了本指南的范围; 无论如何, 创建这个配置文件有个捷径. 拷贝 system-auth 配置文件到 jabberd (以root身份):
cp /etc/pam.d/system-auth /etc/pam.d/jabberd
这将新建一个PAM配置文件给Jabberd2使用.
I 重要: PAM验证需要访问PAM数据库
- 通过PAM做Jabberd验证需要Jabberd2有权访问PAM数据库. 对多数系统, 该数据库就是 /etc/shadow 文件. 因此, Jabberd2必须以root身份运行, 或jabberd用户必须被授予对此文件的读权限. 以root身份运行Jabberd2服务是不推荐的.
N 注意: Winbind可用于集成NT验证到PAM
- 来自Samba项目的Winbind包可被用于支持通过Windows NT做Jabber验证. 当Winbind成功安装并配置之后, 配置Jabberd使用PAM来验证. 然后新建jabberd PAM配置文件如下:
auth required pam_winbind.so password required pam_winbind.so account required pam_winbind.so session required pam_winbind.so
PAM现在准备好用于Jabberd了. 接下来开始配置通过PAM做Jabberd 2验证.
配置验证使用PAM(c2s.xml)
如果你使用PAM来验证,请完成本节. Jabberd 2需要一点配置来使用PAM.
在 c2s.xml 的 Authentication/registration database configuration (验证/注册 数据库配置)段落, 编辑 module 使用pam:
<!-- Authentication/registration database configuration --> <authreg> <!-- Backend module to use --> <module>pam</module>
用户不能创建他们自己的帐号当使用PAM验证时. 所以, 应该禁止公开帐号注册, 同时激活 auto-create ,这样会话管理器可以在用户第一次登录时自动创建帐号.
在 c2s.xml 里的 Authentication/registration database configuration 段落里查找 Registration configuration 子段落. 如下注释掉 enable 标签将禁止公开注册:
<!-- Registration configuration --> <register> <!-- Account registration is enabled by default (provided the auth/reg module in use supports it). Comment this out to disable. --> <!-- <enable/> -->
在 sm.xml 里标为 User options 的段落 (靠近文件底部), 如下取消注释 auto-create 标签,这样会话管理器将在用户初次登录时创建一个信的Jabberd2帐号:
<!-- User options --> <user> <!-- By default, users must explicitly created before they can start a session. The creation process is usually triggered by a c2s component in response to a client registering a new user. Enableing this option will make it so that a user create will be triggered the first time a non-existant user attempts to start a session. This is useful if you already have users in an external authentication database (eg LDAP) and you don't want them to have to register. --> <auto-create/>
你的Jabberd 2的存储和验证配置现在完成了(前提是你得提供和配置好存储包). 在转移到其他配置任务(例如 第五章 的配置SSL)之前,跳到 测试服务器 去开始测试你的服务器.
提供和配置OpenLDAP
OpenLDAP提供分布式跨平台跨地区的验证支持. Jabberd 2要求的最低版本是OpenLDAP 2.1.0.
提供OpenLDAP
如果你使用OpenLDAP验证请完成本节. 你安装的OpenLDAP应该不需要为Jabberd 2特别配置; 无论如何, 在撰写本文的此刻(Jabberd 2稳定版3), 关于使用Jabberd连接OpenLDAP v3服务器有一个重要的问题. 目前Jabberd 2使用v2的语法. 缺省的, OpenLDAP v3服务器要求使用v3语法.
有一个办法来解决这个问题. 添加以下声明到你的 slapd.conf 文件, 并重启你的 slapd 守护进程:
allow bind_v2
配置验证使用OpenLDAP(c2s.xml)
如果你使用OpenLDAP来验证,请完成本节. OpenLDAP配置更详细,因为配置需要主机,连接以及查询设置.
在 c2s.xml 的 Authentication/registration database configuration (验证/注册 数据库配置)段落, 编辑 driver 使用ldap(OpenLDAP):
<!-- Authentication/registration database configuration --> <authreg> <!-- Backend module to use --> <module>ldap<module>
P 参数: LDAP连接设置
- 在 c2s.xml 的 LDAP module configuration 的第一个部分处理连接你的OpenLDAP服务器所需要的设置. host 必须要么是这个OpenLDAP服务器的可以被服务器解析的主机名要么是它的IP地址. 端口389是OpenLDAP服务器的缺省端口, 所以大部分情况下, port 应该放在那不动. v3 标签指明你的OpenLDAP服务器是否v3版本. 如果是,取消这个标签的注释. 如果使用OpenLDAP v2服务器则保留注释 v3 标签. 最后, 如果你的服务器支持加密(参见下面的备注),则取消注释 starttls 或 ssl 标签:
<!-- LDAP module configuration --> <ldap> <!-- LDAP server host and port (default: 389) --> <host>ldap.example.com</host> <port>389</port> <!-- Use LDAP v3 if possible. If disabled, v2 will be used. Encryption options are only available if v3 is enabled. --> <!-- <v3/> --> <!-- Encryption. If enabled, this will create an encrypted channel to the LDAP server using the LDAP STARTTLS mechanism. --> <!-- <starttls/> --> <!-- Encryption. If enabled, this will create an encrypted channel to the server using the old-style "ldaps://" mechanism. It is recommended that you use <starttls/> instead of this. --> <!-- <ssl/> -->
I 重要: 密码是明文传送的
- 目前本本的Jabberd 2 (stable 3)通过OpenLDAP验证时需要使用明文密码. 所以, 允许加密是绝对重要的. 如上所述, 加密选项只在连接OpenLDAP v3服务器时有效.
N 注意: 加密选项
- 作者已经成功的使用Jabberd 2和STARTTLS连接到一个OpenLDAP服务器的最新版本. STARTTLS运行于标准端口(389), 所以允许STARTTLS需要做的就是取消注释 v3 和 starttls 标签. 另一方面, 作者未能成功的使用SSL加密连接Jabberd 2和OpenLDAP. 要设置SSL, 你应该指定OpenLDAP SSL 主机名(如果不同于 非SSL 主机名). 通常类似于 ldaps.example.com . 更重要的是, 你应该指定SSL端口. OpenLDAP的标准SSL端口(LDAPS)是636. 最后, 你应该取消注释 ssl 标签.
P 参数: OpenLDAP用户名和密码
- OpenLDAP配置的下一部分处理查询OpenLDAP服务器的用户名和密码. 只有你的OpenLDAP服务器不允许为必需的搜索匿名绑定(验证)的时候才需要一个用户名和密码. 如果你的OpenLDAP服务器的连接要求验证取消注释这个段落. 注意 binddn 是用户的完整RDN(相对可分辨名称). 可能类似于 cn=admin,ou=people,dc=example,dc=com :
<!-- DN to bind as for searches. If unspecified, the searches will be done anonymously. --> <!-- <binddn>cn=Directory Manager</binddn> <bindpw>secret</bindpw> -->
P 参数: LDAP查询设置
- 最后, 必须为OpenLDAP查询设置用户ID和基础DN. 用户ID由 uidattr 标签指定. 这个ID应该是你的用户在特定基础DN(可分辨的名称)的唯一性标识的属性. 换句话说, 当查询指定的基础DN时, 这个特定的 uidattr 应该是唯一性地标识每个用户. basedn 属性指定查询运行的基础. 这可能是该OpenLDAP服务器的顶级DN, 例如 dc=example,dc=com 或着它可能是一个专门存放用户条目的RDN, 例如 ou=people,ou=sales,dc=example,dc=com . 使用一个低级的RDN好像可以加速OpenLDAP查询. 最后, 如果你的配置要求多个域, 你可以在 basedn 标签使用 realm 属性,为每个域指定一个基础DN. 注意如果你没有使用多个域, 就只需要指定一个单独的 basedn 而不需要 realm 属性:
<!-- LDAP attribute that holds the user ID (default: uid) --> <uidattr>uid</uidattr> <!-- base DN of the tree. You should specify a DN for each authentication realm declared in the <local/> section above, by using the realm attribute. --> <basedn realm='company'>o=Company.com</basedn> <basedn>o=Example Corp.</basedn> </ldap>
以下是一个笔者工作中的OpenLDAP配置的展示:
<!-- LDAP module configuration --> <ldap> <!-- LDAP server host and port (default: 389) --> <host>ldap.mydomain.org</host> <port>389</port> <!-- Use LDAP v3 if possible. If disabled, v2 will be used. Encryption options are only available if v3 is enabled. --> <v3/> <!-- Encryption. If enabled, this will create an encrypted channel to the LDAP server using the LDAP STARTTLS mechanism. --> <starttls/> <!-- Encryption. If enabled, this will create an encrypted channel to the server using the old-style "ldaps://" mechanism. It is recommended that you use <starttls/> instead of this. --> <!-- <ssl/> --> <!-- DN to bind as for searches. If unspecified, the searches will be done anonymously. --> <!-- <binddn>cn=admin,dc=mydomain,dc=org</binddn> <bindpw>snip</bindpw> --> <!-- LDAP attribute that holds the user ID (default: uid) --> <uidattr>uid</uidattr> <!-- base DN of the tree. You should specify a DN for each authentication realm declared in the <local/> section above, by using the realm attribute. --> <basedn>ou=people,ou=design,dc=mydomain,dc=org</basedn> </ldap>
当使用OpenLDAP验证时用户不能创建他们自己的帐号. 所以, 应该禁止公开帐号注册, 同时激活 auto-create ,这样会话管理器可以在用户第一次登录时自动创建帐号.
在 c2s.xml 里的 Authentication/registration database configuration 段落里查找 Registration configuration 子段落. 如下注释掉 enable 标签将禁止公开注册:
<!-- Registration configuration --> <register> <!-- Account registration is enabled by default (provided the auth/reg module in use supports it). Comment this out to disable. --> <!-- <enable/> -->
在 sm.xml 里标为 User options 的段落 (靠近文件底部), 如下取消注释 auto-create 标签,这样会话管理器将在用户初次登录时创建一个信的Jabberd2帐号:
<!-- User options --> <user> <!-- By default, users must explicitly created before they can start a session. The creation process is usually triggered by a c2s component in response to a client registering a new user. Enableing this option will make it so that a user create will be triggered the first time a non-existant user attempts to start a session. This is useful if you already have users in an external authentication database (eg LDAP) and you don't want them to have to register. --> <auto-create/>
你的Jabberd 2的存储和验证配置现在完成了(前提是你得提供和配置好存储包). 在转移到其他配置任务(例如 第五章 的配置SSL)之前,跳到 测试服务器 去开始测试你的服务器.
测试服务器
设置好主机名, 提供了外部包, 并配置Jabberd使用外部包之后, 你的服务器已经准备好测试了.
C 检查点: 启动你的服务器
- 你应该可以使用Jabberd 2启动脚本(以你的jabber用户身份)启动并测试你的Jabberd 2服务器,:
su su jabber cd /usr/local/bin ./jabberd
N 注意: 疑难解答
- 如果Jabberd无法启动, 确保任何之前的实例已经停止. 这些实例包括所有Jabberd运行时组件( jabberd , router , resolver , sm , s2s 和 c2s ). 注意你的jabber用户(如果按第二章的说明创建了的话.) 可能没有缺省路径; 所以, 你应该 cd 到 /usr/local/bin 目录并如上运行 jabberd . 检查你选择的数据包服务器是否正常运行(除了Berkeley DB, 它不需要启动). 检查你的 syslog 查看错误信息. 如果你的服务器启动失败, 你可以用debug选项启动Jabberd 2(注意这需要在编译Jabberd 2时带上debug选项 — 参见3.3章):
/usr/local/bin/jabberd -D
I 重要: Jabberd 2不应该用超级用户运行
- 和所有守护进程一样, Jabberd 2不应该以超级用户身份运行. 以超级用户身份运行Jabberd 2不仅对系统有破坏的风险, 而且可能导致创建文件许可的问题.
N 注意: 公开注册
- Jabberd2缺省允许新用户公开注册. 因此, 测试你的服务器时, 你能通过使用新用户名登录来新建一个用户.
C 检查点: 从同网络的一台机器连接
- 一旦你检查你的服务器已经正常启动, 尝试从一个同网络的机器连接. 在一个Jabber客户端, 输入一个JID(Jabber ID),使用你在4.1章 sm.xml 设置的ID, 并尝试连接到你的服务器.
C 检查点: 从远程网络的客户端连接
- 如果你可以从同网络连接到你的服务器, 那么使用一个Jabber客户端从一个远程网络连接它. 这将测试那个 id 是否正确设以及机器名是否正确的进行DNS解析.
你的Jabberd 2服务器现在准备好使用了. 继续到 常规配置任务 了解更详细的配置选项, 例如允许SSL连接等.
常规配置任务
在进入详细的Jabberd配置之前, 这里尝试为大部分常规的Jabberd配置任务提供一个指南:
- 为互联网访问配置防火墙
- 配置Jabberd 2使用SSL连接
- 修改Router密码
- 创建管理员用户
- 禁止公开注册
- 允许用户修改密码
- 设置DNS SRV记录
- 使用Jabberd 1.4连接外部服务
- 使用JCR连接外部服务
- 安装一个使用Users-Agent的JUD
- 集成vCard数据到Users-Agent(仅限私有服务器)
注意有两个选项用于连接Jabberd 1.4外部服务到你的Jabberd 2安装. Jabberd 2可以连接到服务例如会议和网关, 运行一个Jabberd 1.4进程. 另外, 一个名为JCR的组件封装器已经发布了, 这个封装器允许一个Jabber 1.4组件(用C写的)被编译后以Jabberd 2服务运行. 本文撰写期间, JCR只和MU Conferencing测试通过了.
为互联网访问配置防火墙
尽管防火墙配置超出了本文范围, 管理员应该注意TCP端口需要被允许通过互联网访问:
- 端口 5222 — 非SSL客户端通讯
- 端口 5223 — SSL客户端通讯
- 端口 5269 — 服务器间通讯
如果你的Jabberd 2安装是用于互联网访问,根据你的配置,以上TCP端口应该被允许.
配置Jabberd 2使用SSL连接
Jabberd 2不仅为Jabberd客户端和服务器之间提供STARTTLS和SSL连接, 而且在Jabberd服务组件( sm , resolver , s2s 和 c2s )和Jabberd router 之间也提供. 这两个功能(Jabber客户端到Jabberd以及Jabberd组件到router)可以共用一个SSL证书, 也可以使用独立的密钥. 如何为Jabberd 2创建你自己的自签名证书,参见附录 生成自签名的SSL证书.
N 注意: 自签名证书是不被信任的
- 注意自签名证书不会自动被Jabber客户端信任,因为没有信任链来验证授权. 然而, 新建一个自签名证书不仅让你的Jabber用户可以通过一个安全通道连接(客户端可能会显示一个警告), 而且这样一个证书将为5个Jabberd组件( router , sm , resolver , s2s 和 c2s )之间提供安全通讯.
N 注意: 添加证书到PSI Jabber客户端
分配一个用于Jabber客户端的证书
用于Jabber客户端的SSL密钥的配置位于 c2s.xml . 注意 c2s.xml 包含用于Jabber客户端的SSL密钥的位置和用于 c2s 到 router 通讯的SSL密钥的位置.
P 参数: SSL密钥位置
- 在标为 Local network configuration 的位置取消注释 pemfile (你的SSL密钥), 并把它改成你的SSL密钥的路径. 注意如果你的PEM文件在缺省位置 /usr/local/etc/jabberd/server.pem , 你只需要取消注释以下这个段落:
<!-- File containing a SSL certificate and private key for client connections. If this is commented out, clients will not be offered the STARTTLS stream extension --> <pemfile>/usr/local/etc/jabberd/server.pem</pemfile>
以上修改将在5222端口激活STARTTLS. 旧的Jabber客户端使用5223端口来进行SSL通讯. 如果你希望在5223端口支持SSL, 取消注释 ssl-port 标签:
<ssl-port>5223</ssl-port>
你的服务器现在准备好STARTTLS/SSL连接了. 你只需要重启C2S组件就可以使SSL的配置变更生效了.
N 注意: 禁止非STARTTLS通讯
- 强制要求STARTTLS通讯, 取消注释 require-starttls 标签,如下:
<!-- Require STARTTLS. If this is enabled, clients must do STARTTLS before they can authenticate. Until the stream is encrypted, all packets will be dropped. --> <require-starttls/>
分配一个用于Jabberd组件的证书
5个Jabberd组件都要各自配置 组件到路由器 的加密通讯. 因此, 这5个配置文件都必须修改并提供Jabberd组件之间的安全通讯:
router.xml sm.xml resolver.xml s2s.xml c2s.xml
P 参数: SSL密钥位置
- 在以上每一个文件中, 取消注释 pemfile 标签用于路由器通讯. 在 router.xml 文件, pemfile 被定义在标为 Local network configuration 的段落. 在以上剩下的四个配置文件的每个文件里面, pemfile 定义于标为 Router connection configuration 的段落. 取消注释这个段落并修改它指向你的SSL密钥的位置. 例如, 你讲修改 c2s.xml 如下,如果你的SSL密钥使用缺省路径:
<!-- Router connection configuration --> <router> <!-- IP/port the router is waiting for connections on --> <ip>127.0.0.1</ip> <!-- default: 127.0.0.1 --> <port>5347</port> <!-- default: 5347 --> <!-- Username/password to authenticate as --> <user>jabberd</user> <!-- default: jabberd --> <pass>secret</pass> <!-- default: secret --> <!-- File containing a SSL certificate and private key to use when setting up an encrypted channel with the router. If this is commented out, or the file can't be read, no attempt will be made to establish an encrypted channel with the router. --> <pemfile>/usr/local/etc/jabberd/server.pem</pemfile>
重启你的Jabberd服务使配置变更生效.
修改Router密码
Jabberd配置文件包含了组件连接到路由器的密码,因为组件和路由器之间的通讯是通过TCP/IP上的XML实现的. 这些密码帮助确保只有你安装的组件可以和路由器通讯. 配置文件, router-users.xml , 包含了允许连接到路由器的ID和密码. 缺省的ID是 jabberd 密码是 secret .
另外, 每个组件(除了 router )在它的配置文件里都有一个用户ID和密码. 这个ID和密码配合给各自的组件用来连接 router . 因此, 对一个可以连接到路由器的组件来说, 该组件的配置文件里必须有一个用户名和密码组合, 并且那个组合必须和 router-users.xml 的ID和密码组合匹配.
为了给Jabberd安装你的提高安全性, 你应该修改密码. 这包括修改 router-users.xml 以及 sm.xml , resolver.xml , s2s.xml 和 c2s.xml .
P 参数: Router用户名和密码
- 为了修改路由器验证用的密码, 首先修改 router-users.xml 如下(用新密码替换掉 newpass ):
<users> <user> <name>jabberd</name> <secret>newpass</secret> </user> </users>
然后, 修改 sm.xml , resolver.xml , s2s.xml 和 c2s.xml 中的密码 . 在每个文件中的 router 段落有一些标签是给路由器用户的. 修改密码如下(用新密码替换掉 newpass ):
<!-- Router connection configuration --> <router> <!-- IP/port the router is waiting for connections on --> <ip>127.0.0.1</ip> <!-- default: 127.0.0.1 --> <port>5347</port> <!-- default: 5347 --> <!-- Username/password to authenticate as --> <user>jabberd</user> <!-- default: jabberd --> <pass>newpass</pass> <!-- default: secret -->
重启你的Jabberd服务器使变更生效.
N 注意: 允许多密码
- 注意如果你需要,可以为每一个组件分配一个用户和ID.
N 注意: 如果用户变更那么 router.xml 必须修改
- 注意以上只描述了如何修改路由器密码. 如果 router-users.xml 中的用户名修改了, 那么 router.xml 中的 acl 段落也必须修改:
<!-- Access control information --> <aci> <!-- The usernames listed here will get access to all restricted functions, regardless of restrictions further down --> <acl type='all'> <user>jabberd</user> </acl>
创建管理员用户
管理员用户的设置位于 sm.xml 文件的 aci 段落 . 缺省的管理员用户为 admin@localhost . 为了让管理员用户能远程操作, 把 jid 改成一个你自己拥有的用户如下:
<acl type='all'> <jid>admin@lsomedomain.com</jid> </acl>
你也可能需要从Jabber客户端手工来创建这个用户. 登录后, 该管理员用户将接收到用户创建的提示, 并且他也将能查询到所有在线用户, 接收帮助请求, 发送 MOTD (当日消息), 等等.
注意以上用户被授权访问所有管理功能. 你可以通过指定 acl 类型来给用户赋予一些特定的管理权限. 参见 sm.xml 文件里的例子.
重启你的 Jabberd 服务使得修改生效.
禁止公开注册
缺省情况下, Jabberd 允许所有用户公开注册, 也就是说能连上你的服务器的任何用户可以在你的服务器上创建他们自己的 Jabberd 用户. 为了阻止公开注册, 编辑 c2s.xml 配置文件.
在 Authentication/registration database configuration 段落, 寻找 Registration configuration 子段落. 注释掉 enable 标签将禁止公开注册:
<!-- Authentication/registration database configuration --> <authreg> <!-- Backend module to use --> <module>mysql</module> <!-- Registration configuration --> <register> <!-- Account registration is enabled by default (provided the auth/reg module in use supports it). Comment this out to disable. --> <!-- <enable/> -->
如果配置使用了 PAM 或 OpenLDAP ,那么应该禁止公开注册, 因为 Jabberd 2 不支持通过 PAM 或 OpenLDAP 进行公开注册.