1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
879
880
881
882
883
884
885
886
887
888
889
890
891
892
893
894
895
896
897
898
899
900
901
902
903
904
905
906
907
908
909
910
911
912
913
914
915
916
917
918
919
920
921
922
923
924
925
926
927
928
929
930
931
932
|
<!DOCTYPE html>
<html lang="fr">
<head>
<title>Mise en place d'un client web XMPP avec liens de création de compte (conversejs+prosody)</title>
<link rel='stylesheet' type='text/css' href='styles.css'>
<meta charset='utf-8'/>
</head>
<body>
<h1>Mise en place d'un client web XMPP avec liens de création de compte (conversejs+prosody)</h1>
<small>[<a href='partage.les-miquelots.net/blog/2021/index.html#mise-en-place-dun-client-web-xmpp-avec-liens-de-creation-de-compte-conversejsprosody'>lien</a>—<a href='index.fr.html'>billet seul</a>]</small>
<p><b>maj 28/05/2021</b>: corrections des iptables (régles dupliqués), ajout de liens de
documentation, ajout d'une entrée de DNS pour websocket. <samp>http_altconnect</samp> rajouté en module prosody
pour éviter les erreurs dans la console du navigateur
<p><b>maj 22/05/2021</b>: OMEMO par pas défaut au final, on laisse le choix à
l'utilisateur de l'activer dans ses discussions, et c'est mieux niveau historique des messages
sur plusieurs appareils. On améliore aussi la commande apt (-y --no-install-recommends). <br><br>
<p>Bonjour à tous, <br><br>
<p>Aujourd'hui je vais vous montrer comment mettre en place un serveur XMPP avec un
client Web sur la même machine, avec la
possibilité
d'envoyer des liens d'invitations de création de comptes ou d'ajout
en contact pour faciliter l'embarquement de vos proches et amis.
Je ne fais pas de présentation du protocole XMPP, c'est hors de la
portée de ce guide et des gens l'explique mieux que moi, je pense
surtout à <a
href="https://www.goffi.org/b/S%C3%A0T_DOTCLEAR_IMPORT_BLOG_default_goffi_99%3A2015%2F06%2F24%2FParlons-XMPP-%C3%A9pisode-1-les-bases">cette
suite d'articles de chez goffi.org</a>.<br>
<b>pavé césar gépalu lol</b>: c'est un protocole
composé d'une myriade de standards permettant
la construction de réseaux de messagerie instantanée
décentralisés et sécurisés. Possibilité d'avoir
des salons publics et privés.
<br><br>
<p><div id="guide-sommaire">
<u>Sommaire:</u>
<ol>
<li><a href="#xmpp-guide-prereq">Prérequis</a></li>
<li><a href="#xmpp-guide-dnszone">Configuration zone DNS</a></li>
<li><a href="#xmpp-guide-iptables">Configuration pare-feu</a></li>
<li><a href="#xmpp-guide-pkgs">Installation des
paquets</a></li>
<li><a href="#xmpp-guide-certs">Installation des
certificats</a></li>
<li><a href="#xmpp-guide-confpkgs">Configuration des
paquets</a></li>
<li><a href="#xmpp-guide-con">Connexion à l'interface web</a></li>
<li><a href="#xmpp-guide-genlinks">Génération des liens d'invitation</a></li>
<li><a href="#xmpp-guide-remarks">Remarques</a></li>
<li><a href="#xmpp-guide-docs">Documentations</a></li>
<li><a href="#xmpp-guide-thanks">Remerciements</a></li>
</ol>
</div>
<br><br>
<h3 id="xmpp-guide-prereq"><a href="#xmpp-guide-prereq">1.
Prérequis</a></h3>
<p>Trêve de bavardages, voici ce que l'on va devoir installer:
<ul>
<li><samp>certbot</samp>: génération des certificats
pour renforcer la sécurité de la communication
client=>serveur et serveur<=>serveur.</li>
<li><samp>prosody</samp>: le serveur XMPP, la pièce maîtresse.</li>
<li><samp>nginx</samp>: le proxy inversé qui gérera les
connexions à l'interface web et les connexions <span
style="color:green"><b>HTTPS</b></span>.</li>
<li><samp>conversejs</samp>: l'interface web pour notre serveur XMPP.</li>
<li><samp>libjs-bootstrap4 libjs-jquery</samp>: le module
<samp><a
href="https://modules.prosody.im/mod_invites.html#external-dependencies"
target="_blank" rel="noopener" >mod_invites</a></samp> de Prosody a
besoin de ces bibliothèques pour le CSS et bouts de JavaScript.
<li><samp>hg</samp>: pour cloner le dépôt des modules de
<samp>prosody</samp> et les maintenir à jour.</li>
</ul><br>
<p>Mettez-vous d'accord sur votre nom de domaine: vous remplacerez les
occurences de <samp>exemple.fr</samp> dans ce guide par votre
nom de domaine. On va aussi utiliser un sous-domaine pour
l'interface web, <samp>chat.exemple.fr</samp>, un qui contiendra les
salons publics et privés, <samp>salons.exemple.fr</samp> et un
autre pour le serveur d'envoi de fichiers,
<samp>f.exemple.fr</samp>.<br>
N'oubliez pas de rajouter des entrées DNS type A pour ces
sous-domaines.
<br><br>
<h3 id="xmpp-guide-dnszone"><a href="#xmpp-guide-dnszone">2. Configuration zone DNS</a></h3>
<p>Tout d'abord, rendez-vous dans la zone DNS de votre nom de domaine, on va
rajouter quelques entrées de type SRV et TXT pour faciliter la
communication des clients et serveurs XMPP avec nous (plus de
détails en anglais <a
href="https://wiki.xmpp.org/web/SRV_Records">par là</a> ou <a
href="https://prosody.im/doc/dns">encore ici</a>):
<pre>
_xmpp-client._tcp.exemple.fr 86400 SRV 1 1 5222 exemple.fr.
_xmpps-client._tcp.exemple.fr 86400 SRV 1 1 5223 exemple.fr.
_xmpp-server._tcp.exemple.fr 86400 SRV 1 1 5269 exemple.fr.
_xmppconnect.exemple.fr TXT _xmpp-client-xbosh=https://chat.exemple.fr/http-bind
_xmppconnect.exemple.fr TXT _xmpp-client-websocket=wss://chat.example.fr/xmpp-websocket
</pre>
<p><b>À noter:</b> le <samp>exemple.fr</samp> à de gauche
reprénte le domaine XMPP, celui de droite est le serveur qui
répondra aux requêtes et une entrée DNS de type A
doit exister pour celui-ci, pas de raccourci type CNAME autorisé.
C'est pratique quand vous voulez des adresses utilisateurs "propres" tel
que <u>vous@exemple.fr</u> mais que le serveur est en fait sur le
sous-domaine <samp>xmpp.exemple.fr</samp>. Si c'est le cas, changez
alors le <samp>exemple.fr</samp> de droite par
<samp>xmpp.exemple.fr</samp>.<br><br>
<h3 id="xmpp-guide-iptables"><a href="#xmpp-guide-iptables">3. Configuration pare-feu</a></h3>
<p><b><u>IMPORTANT</u>:Connectez-vous en tant que root avant d'exécutez les
commandes contenues dans
ce tutoriel</b>. On va ensuite configurer des règles
<samp>iptables</samp> pour éviter de se mordre les doigts
de rage par la suite. Je pars du principe que vous avez déjà
configuré quelques règles vous permettant de SSH tranquillou.
<pre>
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 5222 -j ACCEPT # on accepte les connexions client à serveur
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 5223 -j ACCEPT # pareil que le dessus mais celles qui sont chiffrés.
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 5269 -j ACCEPT # connexions serveur à serveur.
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT # HTTP pour l'interface web
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT # HTTPS
iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT # pour envoyer des requête DNS
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT # en output aussi si des serveurs utilisant l'HTTP upload pour les pjs
iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
iptables-save > /etc/iptables/iptables.rules
# pareil pour l'ipv6
ip6tables -A INPUT -p tcp -m state --state NEW -m tcp --dport 5222 -j ACCEPT
ip6tables -A INPUT -p tcp -m state --state NEW -m tcp --dport 5223 -j ACCEPT
ip6tables -A INPUT -p tcp -m state --state NEW -m tcp --dport 5269 -j ACCEPT
ip6tables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT # HTTP pour l'interface web
ip6tables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT # HTTPS
ip6tables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT # pour envoyer des requête DNS
ip6tables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT # en output aussi si des serveurs utilise l'HTTP upload pour les pjs
ip6tables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
ip6tables-save > /etc/iptables/ip6tables.rules
systemctl enable --now iptables # activation du service iptables si pas
# déjà fait pour garder la config du pare-feu après reboot.
</pre><br>
<h3 id="xmpp-guide-pkgs"><a href="#xmpp-guide-pkgs">4. Installation des paquets</a></h3>
<p>Après ceci, installez <samp>prosody</samp> depuis <a
href="https://prosody.im/doc/installing_from_source">les sources</a> ou
votre <a href="https://prosody.im/download/start">installeur de
paquets</a>. On en profitera pour installer les autres composants requis
à ce guide. Sur un Debian classique celà donnera:<br>
<pre>sudo apt-get install -y --no-install-recommends prosody nginx-full \
certbot python3-certbot-nginx \
mercurial libjs-bootstrap4 libjs-jquery</pre><br>
<p>On va maintenant cloner les <samp>prosody-modules</samp> depuis la
source. Il n'est pas toujours à jour dans les dépôts de
paquets:
<pre>
hg clone https://hg.prosody.im/prosody-modules/ /usr/lib/prosody/modules/
</pre>
<p>On prépare en même temps un script pour mettre
à automatiquement via la crontab. Créez le fichier
<samp>/usr/local/sbin/maj_prosodymods.sh</samp> avec le contenu suivant:
<pre>
#!/bin/sh
MODDIR="/usr/lib/prosody/modules/"
if test -d $MODDIR; then
cd $MODDIR
hg pull --update
else
mkdir -p /usr/lib/prosody
hg clone https://hg.prosody.im/prosody-modules/ $MODDIR
fi
</pre>
<p>N'oubliez pas de faire un coup de <samp>chmod +x</samp> dessus...
<br><br>
<p>On va ensuite télécharger <samp>conversejs</samp>.
À ce jour sur Debian Buster, il n'y a pas de paquet à jour
officiel pour <samp>conversejs</samp>, donc on va faire un script qu'on
intégrera dans notre crontab.<br>
Insérez le contenu suivant
dans le fichier <samp>/usr/local/sbin/update_conversejs.sh</samp> puis
rendez-le exécutable:
<pre>
#!/bin/sh
TEMPDIR="$(mktemp -d)"
LOG=/var/log/update_conversejs.log
WWWDIR='/var/www/chat.exemple.fr'
WWWUSER='www-data' # cette valeur sera sûrement différente
# si vous n'êtes pas sur Debian avec nginx.
# par ex. ça sera 'http' sous Arch avec nginx.
mkdir -p $WWWDIR/dist
cd $TEMPDIR
printf "\n\n$(date) - INFO - Starting updating conversejs..." | tee -a $LOG
CURL_ERR=$(curl -s \
https://api.github.com/repos/conversejs/converse.js/releases/latest | \
grep -o "https://.*\.tgz" | \
grep converse\.js- | \
xargs curl -fsOJL) || \
(printf "\n$(date) - ERR - Updating conversejs failed." | tee -a $LOG && exit)
# on installe libsignal pour pouvoir utiliser OMEMO
# dans le client web
if test -e "$WWWDIR/dist/libsignal-protocol.min.js"; then
printf "\n$(date) - TOK - Libsignal already installed, skipping." | tee -a $LOG
else
curl -fsOJL \
https://cdn.conversejs.org/3rdparty/libsignal-protocol.min.js || \
(printf "\n$(date) - ERR - Updating libsignal-protocol-javascript failed." | \
tee -a $LOG)
cp libsignal*.js $WWWDIR/dist/
fi
tar xzf *.tgz
cp -rf package/dist $WWWDIR/
sed "s/fullscreen\.html/index\.html/g" package/manifest.json > $WWWDIR/manifest.json
chown $WWWUSER:$WWWUSER -R $WWWDIR/
chmod 755 -R $WWWDIR/
rm -rf $TEMPDIR
printf "\n$(date) - TOK - Done." | tee -a $LOG
</pre>
<p>Exécutez ce fichier pour gagner du temps dans l'<a
href="#xmpp-guide-confpkgs">étape 6</a>, vous n'aurez pas à
créer le <samp>$WWWDIR</samp>.
<h3 id="xmpp-guide-certs"><a href="#xmpp-guide-certs">5. Installation des
certificats</a></h3>
<p>On va ensuite lancer certbot pour générer des certificats.
Je pars du principe que vous avez configuré les entrées de
type A pour <samp>exemple.fr</samp>, <samp>chat.exemple.fr</samp>
et <samp>f.exemple.fr</samp> dans votre zone DNS:
<pre>certbot certonly --agree-tos --nginx --deploy-hook "prosodyctl --root cert import /etc/letsencrypt/live" -d chat.exemple.fr -d exemple.fr -d f.exemple.fr -d salons.exemple.fr </pre>
<p>Une fois que cette commande s'exécute avec succés, des
dossiers correspondants aux domaines demandés devrait
apparaître dans <samp>/etc/letsencrypt/live/</samp>.
<br><br>
<h3 id="xmpp-guide-confpkgs"><a href="#xmpp-guide-confpkgs">6. Configuration des
paquets</a></h3>
<p>Le moment est venu! On va tâter â prosody et sa
configuration.<br>
Ouvrez le fichier <samp>/usr/lib/prosody/net/http/server.lua</samp>, on va simplifier la
connexion entre l'interface HTTP de prosody (BOSH) et nginx.<br>
Dans le
fichier, trouver la ligne suivante:
<pre>
headers = { date = date_header, connection = response_conn_header };
</pre>
<p>et remplaçez la par:
<pre>
headers = { date = date_header, connection = response_conn_header,
access_control_allow_origin = "exemple.fr" };
-- si 'exemple.fr' ne résout pas le soucis de connexion, mettez
-- un '*' à la place. Pour rappel, c'est l'adresse du serveur XMPP
-- qui faut mettre, et non celle du domaine.
</pre><br>
<p>Ensuite, on va s'occuper du script qui permettra d'envoyer des fichiers
à d'autres utilisateurs. Exécutez ceci:
<pre>
mkdir -p /var/www/upload
chown www-data:www-data /var/www/upload # l'utilisateur de nginx peut
# différer selon la distrib, faites gaffe
mkdir -p /usr/local/lib/perl
wget -O /usr/local/lib/perl/upload.pm https://raw.githubusercontent.com/weiss/ngx_http_upload/master/upload.pm
</pre>
<p>Ouvrez le fichier <samp>upload.pm</samp>, cherchez un bout de texte
ressemblant à <samp>my $external_secret = 'it-is-secret';</samp>
et changez le <samp>it-is-secret</samp> par un mot de passe fort, de
préfèrence sans apostrophe ou antislash pour éviter
que le programme en Perl plantouille quand on va tout démarrer.<br>
Notez-vous ce mot de passe sur un bout de papier, on va en avoir besoin
derechef.<br><br>
<p>Passons à la configuration de prosody: éditez le fichier
<samp>/etc/prosody/prosody.cfg.lua</samp> avec les informations
suivantes:
<pre>
admins = { "vous@exemple.fr" }
-- For more information see: https://prosody.im/doc/libevent
-- use_libevent = true
plugin_paths = { "/usr/lib/prosody/modules" }
modules_enabled = {
-- Generally required
"roster"; -- Allow users to have a roster. Recommended ;)
"saslauth"; -- Authentication for clients and servers. Recommended if you want to log in.
"tls"; -- Add support for secure TLS on c2s/s2s connections
"dialback"; -- s2s dialback support
"disco"; -- Service discovery
-- Not essential, but recommended
"carbons"; -- Keep multiple clients in sync
"carbons_copies";
"carbons_copies_adhoc";
"pep"; -- Enables users to publish their avatar, mood, activity, playing music and more
"private"; -- Private XML storage (for room bookmarks, etc.)
"blocklist"; -- Allow users to block communications with other users
"vcard4"; -- User profiles (stored in PEP)
"vcard_legacy"; -- Conversion between legacy vCard and PEP Avatar, vcard
"smacks";
"bookmarks"; -- vieux module mais compatible avec la
-- majorité des clients XMPP contrairement
-- à bookmarks2
--"bookmarks2";
"presence"; -- voir l'état de l'utilisateur (en ligne, hors
-- ligne, etc...)
"offline";
-- Nice to have
"version"; -- Replies to server version requests
"uptime"; -- Report how long server has been running
"time"; -- Let others know the time here on this server
"ping"; -- Replies to XMPP pings with pongs
"register"; -- Allow users to register on this server using a client and change passwords
"mam"; -- Store messages in an archive and allow users to access it
"csi";
"csi_simple"; -- Simple Mobile optimizations
"csi_battery_saver";
"vjud"; -- recherche d'utilisateurs dans les salons
-- Admin interfaces
"admin_adhoc"; -- Allows administration via an XMPP client that supports ad-hoc commands
-- HTTP modules
"bosh"; -- Enable BOSH clients, aka "Jabber over HTTP"
"websocket"; -- XMPP over WebSockets
"http_altconnect";
-- Other specific functionality
"posix"; -- POSIX functionality, sends server to background, enables syslog, etc.
"limits"; -- Enable bandwidth limiting for XMPP connections
"groups"; -- Shared roster support
"server_contact_info"; -- Publish contact information for this service
"announce"; -- Send announcement to all online users
"welcome"; -- Welcome users who register accounts
"watchregistrations"; -- Alert admins of registrations
"motd"; -- Send a message to users when they log in
--"legacyauth"; -- Legacy authentication. Only used by some old clients and bots.
--"proxy65"; -- Enables a file transfer proxy service which clients behind NAT can use
}
-- These modules are auto-loaded, but should you want
-- to disable them then uncomment them here:
modules_disabled = {
-- "offline"; -- Store offline messages
-- "c2s"; -- Handle client connections
-- "s2s"; -- Handle server-to-server connections
}
motd_text = [[Bonjour à tous ! Bienvenue sur mon serveur XMPP. Clavardez heureux !]]
welcome_message = "C'est ta première connexion, $username. Bienvenue à toi."
daemonize = false;
pidfile = "/run/prosody/prosody.pid";
trusted_proxies = { "127.0.0.1", "::1" }
-- Force certificate authentication for server-to-server connections
c2s_require_encryption = true -- chiffrement requis pour connexion client à serveur
s2s_require_encryption = true -- chiffrement requis pour connexion entre serveurs
s2s_secure_auth = true
authentication = "internal_hashed"
-- mam settings
archive_expires_after = "never" -- historique permanent des chats
log = {
-- Log files (change 'info' to 'debug' for debug logs):
info = "/var/log/prosody/prosody.log";
error = "/var/log/prosody/prosody.err";
-- Syslog:
{ levels = { "error" }; to = "syslog"; };
}
-- http and certificate shenanigans
certificates = "certs"
-- Include "conf.d/*.cfg.lua"
legacy_ssl_ports = { 5223 }
-- http_ports = { 5280 }
-- http_interface = { "*" }
-- https_ports = { 5281 }
-- https_interfaces { "*" }
cross_domain_bosh = { "https://chat.exemple.fr" }
cross_domain_websocket = { "https://chat.exemple.fr" }
consider_bosh_secure = true
consider_websocket_secure = true
allow_registration = true -- nécessaire pour mod_invites
registration_invite_only = true -- inscription autorisé seulement avec les invitations
vjud_mode = "opt-in" -- l'utilisateur doit consentir pour que la recherche vjud
-- le fasse remonter dans les résultats.
-- https://prosody.im/security/advisory_20210512/
gc = {
speed = 500;
}
c2s_stanza_size_limit = 256 * 1024
s2s_stanza_size_limit = 512 * 1024
limits = {
c2s = {
rate = "10kb/s";
};
s2sin = {
rate = "3kb/s";
};
}
-- https://prosody.im/security/advisory_20210512/
ssl = {
key = "certs/exemple.fr.key";
certificate = "certs/exemple.fr.crt";
}
VirtualHost "exemple.fr"
invites_page = "https://chat.exemple.fr/invite?{invite.token}"
webchat_url = "https://chat.exemple.fr/"
http_external_url = "https://chat.exemple.fr/"
invite_expiry = 86400 * 7 -- 7 jours avant qu'un lien d'invitation expire
http_paths = {
invites_page = "/invite";
invites_register_web = "/register";
}
modules_enabled = {
"invites";
"invites_adhoc";
"invites_page";
"invites_register";
"invites_register_web";
"http_libjs";
}
contact_info = {
abuse = { "mailto:vous@exemple.fr", "xmpp:vous@exemple.fr" };
admin = { "mailto:vous@exemple.fr", "xmpp:vous@exemple.fr" };
security = { "mailto:vous@exemple.fr", "xmpp:vous@exemple.fr" };
support = { "mailto:vous@exemple.fr", "xmpp:vous@exemple.fr" };
};
https_certificate = "certs/exemple.fr.crt";
ssl = {
key = "certs/exemple.fr.key";
certificate = "certs/exemple.fr.crt";
}
Component "f.exemple.fr" "http_upload_external"
http_upload_external_base_url = "https://f.exemple.fr/"
http_upload_external_secret = "its-a-secret"
http_upload_external_file_size_limit = 104857600 -- limite de à 100Mo pour les envois de pjs
ssl = {
key = "certs/f.exemple.fr.key";
certificate = "certs/f.exemple.fr.crt";
}
Component "salons.exemple.fr" "muc"
name = "Salons (chatrooms) chez exemple.fr"
modules_enabled = { "muc_mam", "vcard_muc" }
muc_room_default_language = "fr"
muc_log_expires_after = "never" -- histo permanent des groupes de
-- chats
log_all_rooms = true
muc_log_by_default = true
muc_log_presences = false
restrict_room_creation = "admin" -- seul l'admin peut créer des salons
ssl = {
key = "certs/salons.exemple.fr.key";
certificate = "certs/salons.exemple.fr.crt";
}
</pre>
<p>Oui, il faut remplaçer <u><samp>its-a-secret</samp></u> par le
mot de passe que vous avez noté tout à l'heure.<br>
Certains auront aussi remarqué qu'on a défini un utilisateur
administrateur au début du fichier de config,
<u>vous@exemple.fr</u>. On va donc créer l'utilisateur avec la
commande:
<pre>
prosodyctl check # ça va vérifier si y'a des soucis dans la configuration
prosodyctl adduser vous@exemple.fr
</pre><br>
<p>Créez le fichier
<samp>/var/www/chat.exemple.fr/index.html</samp> avec le texte suivant:
<pre>
<!DOCTYPE html>
<html class="no-js" lang="en">
<head>
<title>Converse</title>
<meta charset="utf-8"/>
<meta name="viewport" content="width=device-width, initial-scale=1.0"/>
<meta name="description" content="Converse XMPP/Jabber Chat"/>
<meta name="keywords" content="xmpp chat webchat converse.js" />
<link rel="manifest" href="/manifest.json">
<link type="text/css" rel="stylesheet" media="screen" href="/dist/converse.min.css" />
<script src="/dist/libsignal-protocol.min.js"></script>
<script src="/dist/converse.min.js"></script>
</head>
<body class="converse-fullscreen">
<noscript>You need to enable JavaScript to run the Converse.js chat app.</noscript>
<div id="conversejs-bg"></div>
<script>
/*
@licstart
This is free and unencumbered software released into the public domain.
Anyone is free to copy, modify, publish, use, compile, sell, or
distribute this software, either in source code form or as a compiled
binary, for any purpose, commercial or non-commercial, and by any
means.
In jurisdictions that recognize copyright laws, the author or authors
of this software dedicate any and all copyright interest in the
software to the public domain. We make this dedication for the benefit
of the public at large and to the detriment of our heirs and
successors. We intend this dedication to be an overt act of
relinquishment in perpetuity of all present and future rights to this
software under copyright law.
THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND,
EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF
MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT.
IN NO EVENT SHALL THE AUTHORS BE LIABLE FOR ANY CLAIM, DAMAGES OR
OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE,
ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR
OTHER DEALINGS IN THE SOFTWARE.
For more information, please refer to <http://unlicense.org/>
@licend
*/
converse.initialize({
auto_away: 300, //absent au bout de 5minutes
auto_list_rooms: true,
auto_reconnect: true,
auto_xa: 600, //absence prolongée au bout de 10minutes
bosh_service_url: 'https://chat.exemple.fr/http-bind/',
csi_waiting_time: 60,
enable_smacks: true,
i18n: 'fr', // pour avoir l'interface en français
locked_domain: exemple.fr, // on verouille le domaine autoriséà se connecter
message_archiving: 'always',
persistent_store: 'IndexedDB', // jcbrand a dit qu'en 8.0.0
play_sounds: true,
// ça va aller plus vite avec l'IndexedDB
theme: 'concord',
view_mode: 'fullscreen',
websocket_url: 'wss://chat.exemple.fr/xmpp-websocket',
});
</script>
</body>
</html>
</pre><br>
<p>C'est presque la fin de ce guide ! On va maintenant créer les
fichiers de configuration nginx. <br>
Créons <samp>/etc/nginx/sites-enabled/exemple.fr.conf</samp> pour
commencer:
<pre>
server {
listen 80;
server_name exemple.fr;
location / {
return 301 https://$host$uri;
}
}
server {
listen 443 ssl;
server_nam exemple.fr;
ssl_certificate /etc/letsencrypt/live/exemple.fr/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/exemple.fr/privkey.pem;
# this block is for the prosody's http_altconnect module
location ~* host-(meta|meta\.json) {
proxy_pass http://example.com:5280$uri;
proxy_http_version 1.1;
}
}
</pre><br>
<p>Ensuite, créez
<samp>/etc/nginx/sites-enabled/f.exemple.fr.conf</samp>, ce sera pour le
composant
qui gérera les pièces jointes:
<pre>
perl_modules /usr/local/lib/perl; # Path to upload.pm.
perl_require upload.pm;
server {
listen 80;
server_name f.exemple.fr;
location / {
return 301 https://$host$request_uri;
}
}
server {
# Specify directives such as "listen", "server_name", and TLS-related
# settings for the "server" that handles the uploads.
listen 443 ssl http2;
server_name f.exemple.fr;
ssl_certificate /etc/letsencrypt/live/f.exemple.fr/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/f.exemple.fr/privkey.pem;
# Uploaded files will be stored below the "root" directory. To minimize
# disk I/O, make sure the specified path is on the same file system as
# the directory used by Nginx to store temporary files holding request
# bodies ("client_body_temp_path", often some directory below /var).
root /var/www/upload;
index index.html;
# Specify this "location" block (if you don't use "/", see below):
location / {
perl upload::handle;
}
# Upload file size limit (default: 1m), also specified in your XMPP
# server's upload module configuration (see below):
client_max_body_size 100m;
}
</pre>
<p>Exécutez <samp>nginx -t</samp> pour tester la configuration. Si
aucune erreur n'est détectée, créer le fichier
<samp>/etc/nginx/sites-enabled/chat.exemple.fr.conf</samp>:
<pre>
server {
listen 80;
server_name chat.exemple.fr;
location / {
return 301 https://$host$uri;
}
}
server {
listen 443 ssl http2;
ssl_certificate /etc/letsencrypt/live/chat.exemple.fr/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/chat.exemple.fr/privkey.pem;
root /var/www/chat.exemple.fr;
index index.html;
# XMPP BOSH
location ^~ /http-bind {
proxy_pass https://exemple.fr:5281/http-bind;
proxy_http_version 1.1;
proxy_set_header Host exemple.fr;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_buffering off;
tcp_nodelay on;
}
# XMPP HTTP-Upload
location ^~ /upload {
proxy_pass https://f.exemple.fr; proxy_http_version 1.1;
proxy_set_header Host exemple.fr;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_buffering off;
tcp_nodelay on;
}
# XMPP Websockets
location /xmpp-websocket {
proxy_pass http://exemple.fr:5280/xmpp-websocket;
proxy_http_version 1.1;
proxy_buffering off;
proxy_set_header Connection "Upgrade";
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_read_timeout 900s;
}
# XMPP Account invite
location ^~ /invite {
proxy_pass https://exemple.fr:5281/invite;
proxy_http_version 1.1;
proxy_set_header Host exemple.fr;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_buffering off;
tcp_nodelay on;
}
# XMPP account register
location ^~ /register {
proxy_pass https://exemple.fr:5281/register;
proxy_http_version 1.1;
proxy_set_header Host exemple.fr;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_buffering off;
tcp_nodelay on;
}
# sur mon vps debian j'ai eu besoin de ça pour
# que les pages d'invitation soit bien
# formatées
location = /share/bootstrap4/css/bootstrap.min.css {
alias /usr/lib/nodejs/bootstrap/dist/css/bootstrap.min.css;
}
location = /share/jquery/jquery.min.js {
alias /usr/lib/nodejs/jquery/dist/jquery.min.js;
}
location = /share/bootstrap4/js/bootstrap.min.js {
alias /usr/lib/nodejs/bootstrap/dist/js/bootstrap.min.js;
}
}
</pre>
<p>Exécutez de nouveau <samp>nginx -t</samp> pour détecter
d'éventuels problèmes de configuration. Une fois que tout
est OK, ajoutez la ligne <samp>127.0.0.1 exemple.fr</samp>
dans le fichier <samp>/etc/hosts</samp>.<br>
Redémarrez le serveur Prosody et Nginx:
<pre>
systemctl start prosody nginx
# ou
prosodyctl start && nginx -s reload
</pre><br>
<h3 id="xmpp-guide-con"><a
href="#xmpp-guide-con">7. Connexion à l'interface web:</a></h3>
<p>Rendez-vous maintenant sur la page web du chat: pour notre
guide ça serait <a
href="https://chat.exemple.fr">https://chat.exemple.fr</a>
, adaptez avec ce que vous avez.<br>
Vous devriez voir quelque chose comme ça:<br>
<a href="img/conversejs_login.png"><img
src="img/conversejs_login.png"></a>
<p><b>Petite astuce</b>: si vous voulez vous connecter avec l'utilisateur
<u><samp>vous@exemple.fr</samp></u> vous pouvez omettre la partie droite
de votre adresse, comme ceci:<br>
<a href="img/conversejs_logintrick.png"><img
src="img/conversejs_logintrick.png"></a>
<p>C'est grâce à la configuration de
<samp><a
href="https://conversejs.org/docs/html/configuration.html?highlight=locked_domain#locked-domain"
target="_blank" rel="noopener">locked_domain</a></samp> lors de l'initialisation de Converse.js.<br>
Une fois connecté, l'interface ressemblera a ceci:<br>
<a href="img/conversejs_main.png"><img
src="img/conversejs_main.png"></a>
<p>Vous pouvez alors commencer à utiliser XMPP et rejoindre ou
créer des salons, ajouter des contacts et bien sûr discuter depuis
cette interface web !<br><br>
<h3 id="xmpp-guide-genlinks"><a href="#xmpp-guide-genlinks">8.
Génération des liens d'invitation</a></h3>
<p>La chose qui nous intéresse surtout c'est la création
de liens d'invitation accessible depuis le Web.<br>
Pour ce faire, cliquez gauche sur la roue dentée en haut à gauche
à côté de votre nom, cliquez sur <u>Commandes</u>.
Dans le champ <u>"Sur quelle entité voulez-vous lancer des
commandes ?"</u> rentrez le nom de votre serveur XMPP, puis cliquez sur
<u>"Lister les commandes disponibles"</u>. Vous devez avoir quelque chose
de similaire à ceci:<br>
<a href="img/conversejs_adhoc1.png"><img
src="img/conversejs_adhoc1.png"></a><br>
<p>Descendez un peu jusqu'à voir <u>"Create new contact invite"</u>
et cliquez dessus:<br>
<a href="img/conversejs_adhoc2.png"><img
src="img/conversejs_adhoc2.png"></a><br>
Une invitation s'est créée ! Vous pouvez alors copier le texte
contenu dans <u>"Invite web page"</u> et l'envoyer à l'un de vos amis,
proches, etc...<br>
Une fois ouvert, le lien amène sur une page de ce type:<br>
<a href="img/conversejs_invitepage.png"><img
src="img/conversejs_invitepage.png"></a><br>
<p>La page détecte automatiquement votre plateforme et vous propose
des applications XMPP natives en fonction. Dans le cas ou la plateforme
est un smartphone, ça aménera sur la page de
téléchargement de l'application puis ouvrira celle-ci tout
en continuant l'inscription.<br>
Le lien entouré de rouge
en bas avec le texte <u>"register an account manually"</u> permet de
s'inscrire via un formulaire web. Pratique pour juste créer le
compte et le tester plus tard. Voici à quoi ça
ressemble:<br>
<a href="img/conversejs_register1.png"><img
src="img/conversejs_register1.png"></a><br>
<p>Vous pouvez voir que j'ai commencé a remplir le formulaire: une
fois l'inscription envoyée en cliquant sur le bouton
<u>"Submit"</u>, vous serez accueilli par l'écran
suivant:<br>
<a href="img/conversejs_register2.png"><img
src="img/conversejs_register2.png"></a><br>
<p>Une page vous confirmant votre inscription s'affiche, avec la
possibilité de montrer de nouveau le mot de passe saisie lors de
l'inscription ou cas où (le bouton <u>"Show"</u>).<br>
Le bouton entoûré de rouge, <u>"Log in via web"</u>,
permettra
à l'utilisateur inscrit de se connecter à l'interface web
configurée pendant ce tutoriel, et il vous aura en tant que
contact.<br>
<a href="img/conversejs_chatting.png"><img
src="img/conversejs_chatting.png"></a><br>
<h3 id="xmpp-guide-remarks"><a href="#xmpp-guide-remarks">9. Remarques</a></h3>
<p>Le guide se finit ici! Je reviendrais pour corriger quelques fautes,
étourderies et oublis si j'en aperçois.
J'ai des remarques à faire sur le logiciel:
<ul style="list-style:disclosure-closed">
<li>Les messages chiffrés OMEMO ne semblent pas lisibles entres
clients Converse.js. L'envoyeur peut lire son message OMEMO, mais si
le destinataire utilise uniquement converse.js, il y a de fortes
chances qu'il voit un message du type <u>"Ceci est un message chiffré
avec OMEMO, que votre client ne semble pas prendre en charge..."</u>.
Des clients tel que Gajim ou Dino n'ont pas de soucis de ce
côté là d'aprés mon expérience. J'ai
peut-être aussi une erreur de configuration...</li>
<li>Je vous conseille d'utilisateur un seul navigateur pour
Converse.js si vous aimez avoir un historique des messages consistant.</li>
<li>Le chiffrement des pièces jointes n'est pas encore
implémenté (source: @jcbrand dans le salon
discuss@conference.conversejs.org).</li>
<li>Si vous voulez traduire en français les pages
d'inscriptions, je vous invite à regarder le code source des
modules <samp>mod_invites_pages</samp>, <samp>mod_register_web</samp>
et <samp>mod_register_apps</samp>.
</ul>
<h3 id="xmpp-guide-docs"><a href="#xmpp-guide-docs">10.
Documentations</a></h3>
<p>Ces liens m'ont bien aidé:
<ul style="list-style:square">
<li><b>Converse.js</b>: <a
href="https://conversejs.org/docs/html/index.html" target="_blank"
rel="noopener">Général</a>, <a
href="https://conversejs.org/docs/html/configuration.html#configuration-settings"
target="_blank"
rel="noopener">paramétrage et initialisation</a>, lire le code source HTML de la page <a
href="https://inverse.chat" target="_blank" rel="noopener">https://inverse.chat</a>
</li>
<li><b>Prosody</b>: <a
href="https://prosody.im/doc" target="_blank" rel="noopener">Général</a>, <a
href="https://prosody.im/doc/setting_up_bosh" target="_blank"
rel="noopener">BOSH+Nginx</a>,
<a href="https://prosody.im/doc/websocket" target="_blank"
rel="noopener">Websockets+Nginx</a>,
<a href="https://modules.prosody.im/xeps.html" target="_blank"
rel="noopener">Liens XEPs <=>
modules</a>, le <a
href="https://modules.prosody.im/mod_invites.html" target="_blank"
rel="noopener">module d'inscription via invitation</a>, le <a
href="https://modules.prosody.im/mod_http_upload_external.html"
target="_blank" rel="noopener">module d'envoi de fichiers via
script externe</a> et l'implémentation d'Holger (<a
href="https://github.com/weiss/ngx_http_upload" target="_blank"
rel="noopener">upload.pm</a>).</li>
<li><b>XMPP</b>: <a href="https://wiki.xmpp.org/">le wiki officiel</a>, <a href="https://compliance.conversations.im/">
tests de compliance des serveurs</a>.
</ul>
<h3 id="xmpp-guide-thanks"><a href="#xmpp-guide-thanks">11.
Remerciements</a></h3>
<p>Tout ceci n'aurait pas été possible sans les logiciels
libres et leurs collaborateurs. Merci à vous.<br>
Plus spécifiquement:
<ol style="list-style:square">
<li><a href="https://blog.laxu.de">laxu.de</a>, l'auteur de <a
href="https://blog.laxu.de/2018/09/08/conversejs-prosody/">
https://blog.laxu.de/2018/09/08/conversejs-prosody/</a>, pour le patch de
<samp>net/http/server.lua</samp> et les bouts de configuration nginx</li>
<li><a href="https://qorg11.net/">qorg</a> pour son guide sur XMPP, plus
particulièrement l'"HTTP upload"
(<a
href="https://kill-9.xyz/guides/xmpp_server" target="_blank"
rel="noopener">https://kill-9.xyz/guides/xmpp_server</a>)</li>
<li> <a
href="https://wiki.xmpp.org/web/Jan-Carel_Brand_Application_2021"
target="_blank" rel="noopener">jcbrand</a>, l'auteur et
développeur principal de <a
href="https://conversejs.org/" target="_blank"
rel="noopener">Converse.js</a>. Très réactif aux
questions concernant XMPP et Converse.js dans le salon <a
href="xmpp:discuss@conference.conversejs.org?join">discuss@conference.conversejs.org</a>.</li>
<li><a href="xmpp:holger@jabber.fu-berlin.de?message">Holger Weiß</a>,
développeur travaillant sur le serveur XMPP ejabberd et admin du salon
<a
href="xmpp:ejabberd@conference.process-one.net?join">ejabberd@conference.process-one.net</a>
qui a pris de son temps pour me dépanner (<a
href="https://partage.les-miquelots.net/blog/un-rappel-lorsque-vous-mettez-en-place-un-serveur-xmpp-avec-prosody.html">le
problème en question</a>).</li>
</ol><br>
<p>À bientôt, passez une excellente journée et si vous
avez des questions, remarques, suggestions ou améliorations
à me faire part, n'hésitez pas à me contacter via
mail ou XMPP à l'adresse <u>lionel ( @ ) les-miquelots ( . )
net</u>.
<footer>par <strong><a href='http://partage.les-miquelots.net/'>Miquel Lionel</a></strong></footer>
</body>
</html>
|