{"id":1831,"date":"2016-09-20T08:11:29","date_gmt":"2016-09-20T08:11:29","guid":{"rendered":"http:\/\/esferas.org\/msqlu\/?p=1831"},"modified":"2016-09-20T08:11:33","modified_gmt":"2016-09-20T08:11:33","slug":"servidor-jabberxmpp-con-ldap-y-certificados-lets-encrypt","status":"publish","type":"post","link":"https:\/\/esferas.org\/msqlu\/2016\/09\/20\/servidor-jabberxmpp-con-ldap-y-certificados-lets-encrypt\/","title":{"rendered":"Servidor Jabber\/XMPP con LDAP y certificados Let’s Encrypt"},"content":{"rendered":"

Ya he tenido que hacerlo en tres instalaciones: una en mi lugar de trabajo, otra en mis servidores personales y otra en los de una amiga.<\/p>\n

<\/p>\n

En todos los casos pretendo conseguir lo siguiente:<\/p>\n

    \n
  1. Cuentas XMPP para todos los usuarios del dominio.<\/li>\n
  2. Conexiones seguras entre el servidor, los clientes y otros servidores.<\/li>\n
  3. Conservaci\u00f3n de datos (conversaciones, datos de usuario, …) en un servidor SQL.<\/li>\n<\/ol>\n

    Antes de proceder nos aseguramos de tener funcionando estos servicios:<\/p>\n

      \n
    1. Servidor LDAP con un \u00e1rbol de entradas para los usuarios.<\/li>\n
    2. Servidor SQL donde podamos crear una cuenta y una base de datos.<\/li>\n
    3. Certificados digitales para el dominio instalados y activos.<\/li>\n<\/ol>\n

      Y, dado que estamos en Debian, versi\u00f3n Jessie en el momento de escribir \u00e9sto, podemos emplear la versi\u00f3n de prosody<\/em> de sus repositorios. As\u00ed pues, s\u00f3lo necesitamos realizar lo siguiente:<\/p>\n

        \n
      1. Instalar el paquete prosody<\/em>.<\/li>\n
      2. Instalar el complemento mod_auth_ldap<\/a>:\n
          \n
        1. Crear un directorio especial para modulos locales \/usr\/local\/lib\/prosody\/modules<\/code> donde situar el archivo .lua<\/em> correspondiente.<\/li>\n
        2. Indicar a prosody<\/em> que busque all\u00ed otros m\u00f3dulos a\u00f1adiendo plugin_paths = { \"\/usr\/local\/lib\/prosody\/modules\" }<\/code> a su configuraci\u00f3n.<\/li>\n
        3. Declarar el m\u00f3dulo auth_ldap<\/code><\/em> como activo en la configuraci\u00f3n.<\/li>\n<\/ol>\n<\/li>\n
        4. Configurar el servidor para que use lo anterior, entre otros aspectos.<\/li>\n<\/ol>\n

          Configuraci\u00f3n<\/h4>\n

          El archivo principal de configuraci\u00f3n est\u00e1 en \/etc\/prosody<\/code> y se llama prosody.cfg.lua<\/code><\/code>. He realizado pocas modificaciones en el mismo; las m\u00e1s importantes son:<\/p>\n

          -- Identificaci\u00f3n de usuarios v\u00eda LDAP\r\n-- Conexi\u00f3n con servidor local, sin cifrado,\r\n-- e intentando acceso con contrase\u00f1a para validar\r\n-- usuarios en lugar de buscarlos (bind mode)\r\nauthentication = \"ldap\"\r\nanonymous_login = false\r\nldap_base       = \"ou=users,dc=empresa,dc=net\"\r\nldap_server     = \"localhost\"\r\nldap_filter     = \"(uid=$user)\"\r\nldap_tls        = false\r\nldap_mode       = \"bind\"\r\n\r\n-- Almacenamiento en servidor MySQL, conexi\u00f3n\r\n-- local y sin cifrado. Necesario el paquete \r\n-- lua-dbi-mysql y lo siguiente, incluyendo la\r\n-- autorizaci\u00f3n para gestionar tablas si no \r\n-- existen\r\nstorage = \"sql\"\r\nsql_manage_tables = true\r\nsql = { driver = \"MySQL\", \r\n        database = \"prosody\", \r\n        username = \"prosody\", \r\n        password = \"XXXXXXXX\", \r\n       host = \"localhost\" }\r\n\r\n-- Definimos el servidor virtual XMPP y los \r\n-- certificados que puede obtener del sistema\r\nVirtualHost \"empresa.net\"\r\n        enabled = true -- Remove this line to enable this host\r\n\r\n        ssl = { \r\n                key = \"\/etc\/letsencrypt.sh\/certs\/empresa.net\/privkey.pem\";\r\n                certificate = \"\/etc\/letsencrypt.sh\/certs\/empresa.net\/fullchain.pem\";\r\n        }\r\n<\/pre>\n
          Aspectos a tener en cuenta:<\/p>\n
            \n
          1. Los certificados digitales est\u00e1n creados y mantenidos por programas cliente para el proyecto Let’s Encrypt<\/a> y s\u00f3lo hay que tener en cuenta dos cosas:\n
              \n
            1. Es obligatorio que ambos archivos sean accesibles al usuario bajo el que funciona prosody<\/em>. Lo mejor es asignarlos a un grupo concreto y hacer que esa cuenta pertenezca a \u00e9l.<\/li>\n
            2. Cada vez que los certificados son renovados es necesario reiniciar el servidor (o que releea su configuraci\u00f3n seg\u00fan versi\u00f3n).<\/li>\n<\/ol>\n<\/li>\n
            3. Los servidores LDAP y MySQL est\u00e1n configurados para aceptar conexiones en claro sobre el interfaz local. Si se encuentran en otra m\u00e1quina conviene asegurar la comunicaci\u00f3n con cifrado.<\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"
              Ya he tenido que hacerlo en tres instalaciones: una en mi lugar de trabajo, otra en mis servidores personales y otra en los de una amiga.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_import_markdown_pro_load_document_selector":0,"_import_markdown_pro_submit_text_textarea":"","webmentions_disabled_pings":false,"webmentions_disabled":false,"footnotes":""},"categories":[2],"tags":[41,335,554,561,466],"class_list":["post-1831","post","type-post","status-publish","format-standard","hentry","category-software","tag-debian","tag-ldap","tag-lets-encrypt","tag-prosody","tag-xmpp"],"_links":{"self":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts\/1831","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/comments?post=1831"}],"version-history":[{"count":0,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts\/1831\/revisions"}],"wp:attachment":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/media?parent=1831"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/categories?post=1831"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/tags?post=1831"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}