Настройка своего сервера jabber : Операционные системы и программное обеспечение

Для памяти накидаю простенькую памятку.
Ориентируюсь на самостоятельный сервер, смотрящий в интернет.
Во-первых, я выбираю уже достаточно давно ejabberd, потому, что openfire на яве, а я ей для сервисов не доверяю, а jabberd-прародитель давно уже не развивается.
В общем, все достаточно просто, собрать, стартовать:
до кучи к нему
транспортом.
Надо сказать, что транспорт сильно подрос, у меня, например, в этот раз не было проблемы с потерей подписей к контактам, что раньше было всегда. На настройке особо останавливаться не буду, потому, что там всего лишь надо читать комментарии и менять значения по умолчанию.
Сращивать жаббер с транспортом лучше локально, от греха...
Необходимо отметить, что жаббер пользуется портами 5222, 5223 и 5269 (для межсерверных соединений s2s), еще варианты вроде веб-интерфейса, но это уже настраивается и в принципе без разницы.
Еще два нюанса.
Первый. Некоторые jabber-серверы (как я понимаю, это только гугл) без tls/ssl соединения вам ничего слать не будут, как и принимать тоже. Возникает вопрос наличия сертификатов для этого соединения. В Gentoo выдается самоподписанный сертификат, которому никто не доверяет. Т.е. он подойдет лишь для тех соединений, где правильность сертификата может быть проигнорирована (гугл этого не делает). Т.е. если не хотите заморачиваться - можете проигнорировать недоступность гугла, но я захотел сделать все правильно, а потому пошел на StartSSL Certificates & Public Key Infrastructure и получил себе сертификат. Чтобы не наступали на грабли, скажу, что сначала необходимо зарегистрироваться, причем указать полностью кучу персональных данных, иначе сертификат не выдадут. По успешному завершению процедуры, в браузер (у меня Firefox) будет импортирован сертификат, который действует вместо логина/пароля. Его лучше сразу забекапить. Далее начинается самое интересное. Надо зайти в контрольную панель и получить сертификат для жаббер-сервера. Все просто. Во-первых, не забудьте указать, что получаете сертификат для XMPP, то бишь жабера. Во вторых внимательно читайте, что вам пишут. В результате должно получиться 4 файла.
* ssl.key
* ssl.crt
* ca.crt
* sub.class1.server.ca.crt (или sub.class1.server.ca.pem, учтите это в строке объединения ниже)
Причем, первые два будут выданы текстом с указанием в какие файлы сохранить, а третий и четвертый - малозаметными ссылками на странице с кнопкой Finish. Сделано явно, чтобы тупые и невнимательные обломались. Честно сознаюсь, я в первый проход пропустил, куда какие текстовики сохранять. Вернуться и прогнать процедуру еще раз не удастся, т.ч. не делайте ошибок и все внимательно читайте. Полученные файлы немедленно забекапьте и обратите внимание, что в конце каждого файла должен быть перевод строки.
С одним из полученных файлов надо будет проделать следующее
Затем, со всеми остальными:
Обратите внимание, в каком файле будет искать сертификат ejabberd, файл прописывается в нехитром конфиге в ssl/tls-секции. Соответственно, пользователь, из под которого работает ejabberd (обычно ejabberd) имел право на чтение этого файла.
После запуска ejabber можно проверить, что сертификат установлен:
Вот и все по сертификатам :) Все просто, проще, чем кажется.
Чуть позднее напишу про SRV и выставление сервера в инет. Пока не успеваю.

Второй нюанс. В соответствии с общесетевыми законами роутинга, так же, как почту, удаленные домены будут стараться доставить именно на ваш домен. Т.е. если у меня olegon.ru откликается определенным IP, то стучаться все остальные жабберы при пересылке сообщений будут именно на него. Что меня совсем не устраивало, поскольку джаббер у меня стоит на совершенно другом сервере. Я был не одинок, судя по всему, и для перенаправления жаббера на другой сервер (в моем случае это придумали несколько SRV-записей в DNS, которые подсказывают, куда надо подключаться на самом деле. Естественно, при подготовке сертификата выше, я указывал olegon.ru и имя этого самого сервера.
Какие записи прописывать я указывал тут: Свой jabber на google -
Т.е. в случае одного жаббера, а не кластера, как у гугла, необходимо добавить по одной записи каждого типа.
Да, соответственно, если сервер джаббера и сервер домена совпадают, то SRV записи не нужны, хотя я бы не стал делать такой гибрид по соображениям безопасности.

Пришло время обновлять сертификаты. Делается просто. Во-первых, за две недели до истечения срока сертификатов приходит уведомление от startssl. Необходимо обновить не только сертификат на jabber-сервер, но и клиентский, на вход в контрольную панель startssl. Я использовал для работы Firefox без прокси. Для начала обязательно подтвердить емейл и домен на третьей закладке (емейл подтверждается высылкой кода на него, я подтверждал olegon@, домен подтверждается высылкой кода на postmaster@). Затем, на второй - необходимо будет сделать себе клиентский сертификат (MIME, High grade), который интегрируется в браузер, откуда надо будет его забекапить и интегрировать, например, в Chrome. Далее, надо для jabber-сервера сгенерировать сертификат, подчеркиваю еще раз, богатство состоит из четырех файлов:
1) RSA private key (на странице Generate Private Key введите пароль)
2) PEM encoded certificate
3) Intermediate certificate
4) Root certificate
последние, как уже писал выше, на страничке с Finish, ссылками в тексте Потом просто, по доке в первом сообщении и полученный ejabberd.pem кинуть туда, где он прописан в конфигурации жабер-сервера.

Наступил на болезненные грабли. Убил уйму времени, чтобы понять, почему со временем отлетали все пользователи на qip и gtalk с сообщением "Received error packet [remote-server-not-found] from $JID".
Упахался перекраивать свою стенку. Думал, что какие-то соединения запретил. Смущало и то, что по непонятным причинам ejabberd иногда не перезапускался, выдавая не очень внятные сообщения про gethostbyname или вроде того. В общем, решение оказалось простое. Ejabberd по умолчанию (файл inetrc конфигурации ejabberd) разрешает имена по файлу /etc/resolv.conf, который стал любезно перезатираться dhcp, включенный для провайдера. Внутри файлика любезно пишется, что надо вписывать свою конфигурацию в /etc/resolv.conf.head, куда я и прописал

А сертификата с startssl вообще достаточно, чтобы с пользователями gmail общаться. А то я его получил, но никаких изменений не заметил. Пока общаться получается только с пользователями jabber_ru. Но это и без сертификата можно было. То есть ничего не изменилось. Сертификат на s2s прикручивал по инструкции (сервер ejabberd). Как вообще определить, что он там работает?

Достаточно, сколько времени уж общаюсь и большинство жаберов в списке именно с гугла. Только они все равно должны подтвердить, что пускают тебя в список. И лучше штатным клиентом им не пользоваться, он теряет кучу служебных сообщений. А проверить просто - выше написано в первом сообщении, читай внимательнее.

Та эта штука то работает. Но это ж проверка только c2s. А вот как понять, что сертификат и на s2s подхватился?
Кто должен? gmail? Или пользователь? У меня есть акк на gmail. Добавляю себя в ростер с обоих сторон и разрешаю подписку. Не работает.

Если свой акк есть на двух сторонах, то можно посмотреть еще XMPP-консоль включить, посмотреть, что ходит, если клиент вроде psi-plus. Подтвердить, конечно, должен пользователь. Если нет подписки, он игнорит и ее запросы, если не ошибаюсь. Не помню. В идеале гугловый запрашивает у твоего юзера подписку, а тот уже подтверждает и запрашивает в ответ. Я для тестов использовал [email]ru2en@bot.talk.google.com[/email], хватает. Что касается проверки, то попробуй 5223 на 5269 заменить, суть без разницы, если сертификат в ежике есть, он будет выдаваться и там и там.
А что конкретно не работает? Мож, с хостами напутал? Коннектишься к одному, а засертифил другой? В ежике дебаг, кстати, можно включить. Не erlang-лог, понять что к чему вполне даже можно.

Как я понял, мой ejabberd по какой-то непонятной причине не может получить srv-записи для gmail_ Хотя nslookup у меня их получает_ О_о

Вот решение моей проблемы: www_ejabberd_im/fix-dns-srv

Добавлено через 3 минуты 50 секунд
Интересно, что это означает?