Geschlossener Benutzerkreis¶

Wer nicht über einen leistungsfähigen Server mit breiter Internetanbindung verfügt, möchte z.B. vielleicht nicht jedem ermöglichen, sich auf dem Server zu registrieren, sondern nur ausgewählten Bekannten/Mitarbeitern/Kunden einen Account zur Verfügung stellen. Dafür muss man nur ein %-Zeichen von einer in die andere Zeile setzen:

% Every username can be registered via in-band registration:
%{access, register, [{allow, all}]}.

% None username can be registered via in-band registration:
{access, register, [{deny, all}]}.

Jetzt kann nur noch der Admin neue Benutzerzugänge anlegen. Die automatische Registrierung über den Jabber-Client schlägt fehl.

1
2
3
4
5
6
7

%% No username can be registered via in-band registration:
%% To enable in-band registration, replace 'deny' with 'allow'
% (note that if you remove mod_register from modules list then users will not
% be able to change their password as well as register).
% This setting is default because it's more safe.
{access, register, [{deny, all}]}.
|}}

Webkonfiguration einschränken¶

Die webbasierte Administrationsoberfläche kann man bei Bedarf auf einen anderen Port legen - der Port 5280 wird ja nebenbei auch für HTTP-Polling benutzt - und auch an eine bestimmte Netzwerkschnittstelle binden, z.B. an die Loopback-Schnittstelle. Dafür einfach die folgende Zeile in der ejabberd.cfg-Datei suchen...

  {5280, ejabberd_http,    [http_poll, web_admin]}

... und durch folgende ersetzen:

  {5280, ejabberd_http,    [http_poll]},
  {5281, ejabberd_http,    [{ip, {127, 0, 0, 1}}, web_admin]}

Dabei besonders auf das Komma achten.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10

{5280, ejabberd_http, [
                         %%{request_handlers,
                         %% [
                         %%  {["pub", "archive"], mod_http_fileserver}
                         %% ]},
                         %%captcha,
                         http_bind,
                         http_poll %%,
                         %%web_admin
                        ]}

Anonymer Login¶

Manchmal möchte man bestimmten Clients einen temporären anonymen Zugang zum Server bieten, ohne gleich einen Account mit einem Passwort registrieren zu müssen.

Dafür bietet der ejabberd zwei verschiedene Protokolle an, nämlich sasl_anon und login_anon. login_anon benötigt keine besondere Unterstützung im Client. Es wird einfach jede JID/Passwort-Kombination akzeptiert, sofern die JID nicht von jemandem fest registriert wurde. sasl_anon ist dagegen ein eigenes Protokoll, mit dessen Hilfe der Server dem Client für die Dauer der Verbindung eine einzigartige, zufällige JID zuweist.

Obwohl der Server von sich aus darauf achtet, dass kein anonymer Benutzer sich eine real existierende JID von jemand anderem unter den Nagel reißt, sollte man anonyme Logins besser auf einen eigenen virtuellen Server auslagern, um Verwirrung zu vermeiden. Dazu ändert man die hosts-Zeile in der ejabberd.cfg ab und fügt einen entsprechenden Servernamen hinzu:

{hosts, ["jabber-server.tld", "anonymous.jabber-server.tld"]}.

Nun fügt man noch einen host-spezifischen Absatz ein, der die Authentifizierung regelt. (Es gibt schon einen auskommentierten Abschnitt, wo verschiedene host_config-Beispiele vorgestellt werden. An dieser Stelle passen die folgenden Zeilen sehr gut hin.)

{
host_config, "anonymous.jabber-server.tld", [{auth_method, anonymous},
                                     {allow_multiple_connections, false},
                                     {anonymous_protocol, sasl_anon}]}.

An der Stelle von sasl_anon kann man auch login_anon oder both eintragen, wenn man Clients verwenden will, die sasl_anon nicht unterstützen. In diesem Fall muss man je nach Verwendung evtl. auch allow_multiple_connections auf true setzen.

Benutzer registrieren/löschen¶

Wenn man die öffentliche Registrierung von JIDs wie oben beschrieben deaktiviert hat, muss man die Benutzerverwaltung selber übernehmen:

sudo ejabberdctl register Benutzername Servername Passwort                        # Benutzer hinzufügen
sudo ejabberdctl unregister Benutzername Servername                               # Benutzer löschen 

Backup der Benutzerdatenbank¶

Mit folgenden Befehlen kann man ein Backup der Benutzerdatenbank anlegen bzw. wiederherstellen:

sudo ejabberdctl backup Datei                                  # Sicherung anlegen
sudo ejabberdctl restore Datei                                 # Sicherung wiederherstellen 

Folgende Befehle funktionieren auch, benutzen aber auch für Menschen lesbare Dateien:

sudo ejabberdctl dump Datei                                 # Sicherung anlegen
sudo ejabberdctl load Datei                                 # Sicherung wiederherstellen 

Daten-Import¶

Wer vorher einen jabberd1.4-Server betrieben hat und jetzt umsteigen möchte, kann einzelne Benutzerdatensätze oder komplette Serversätze in ejabberd importieren:

sudo ejabberdctl import-file /wo/auch/immer/servername.tld/benutzername.xml                # Benutzer importieren
sudo ejabberdctl import-dir /wo/auch/immer/servername.tld                                  # kompletten Serverdatensatz importieren 

Informationen¶

So erfährt man wie viele Benutzer gerade online sind, welche Benutzer online sind bzw. welche Benutzerkonten überhaupt existieren:

sudo ejabberdctl connected-users-number
sudo ejabberdctl connected-users
sudo ejabberdctl vhost Servername registered-users   ## oder:
sudo ejabberdctl registered-users Servername         ## in neueren Versionen 

Für weitere Kommandos sei auf die Manpage von ejabberdctl verwiesen.

Konfiguration¶

Die ejabberd.cfg-Datei, zu finden im conf/-Verzeichnis, benutzt selbstverständlich dieselbe Syntax wie die aus dem Ubuntu-Paket (siehe oben), aber die Voreinstellungen sind anders - weniger sinnvoll.

Als erstes möchte man vielleicht - wie oben schon beschrieben - die automatische Registrierung neuer Benutzer sperren. Das funktioniert, indem man die access-register-Zeile folgendermaßen anpasst:

{access, register, [{deny, all}]}.

Außerdem ist der ejabberd aus dem Installer - im Gegensatz zu dem aus dem Ubuntu-Paket - standardmäßig nicht für SSL-/TLS-Verschlüsselung ausgelegt. Wer das ändern will, muss wie im folgenden Abschnitt dargestellt ein paar Kommentarzeichen ('%') verrücken:

{listen, [
      %%{5222, ejabberd_c2s, [{access, c2s}, {max_stanza_size, 65536}, {shaper, c2s_shaper}]},
          %% Use this line to enable SSL:
          %%{5223, ejabberd_c2s,     [{access, c2s}, {max_stanza_size, 65536}, tls, {certfile, "/opt/ejabberd-1.1.3/conf/serv
er.pem"}]},
          %%
          %% Use those lines instead for TLS support:
          {5222, ejabberd_c2s,     [{access, c2s}, {shaper, c2s_shaper}, starttls, {certfile, "/opt/ejabberd-1.1.3/conf/serve
r.pem"}]},
          {5223, ejabberd_c2s,     [{access, c2s}, tls, {certfile, "/opt/ejabberd-1.1.3/conf/server.pem"}]},

Es empfiehlt sich, das bin/-Verzeichnis in den eigenen Programm-Pfad aufzunehmen, damit man für die start-/stop-Skripte und ejabberdctl nicht immer den kompletten Pfad benutzen muss. Wie das geht, steht im Artikel Umgebungsvariable. Außerdem möchte man sich wahrscheinlich ein Startskript in /etc/init.d/ erstellen, um den Server gleich beim Systemstart hochzufahren ^[5].

Härten des ejabberd-Servers¶

Der ejabberd-Server wird mithilfe eines Skripts unter /etc/init.d/ejabberd gestartet/gestoppt. Dabei wird der Prozess unter dem Benutzer ejabberd gestartet. Dieser Benutzer hat in /etc/passwd als Shell "/bin/sh" definiert. Einen Server-Prozess unter Linux sollte möglichst als unpriviligierter Benutzer mit möglichst wenig Rechten laufen. Dazu wird die eingetragene Shell entfernt:

sudo usermod -s /usr/sbin/nologin ejabberd 

Nach dieser Änderung lässt sich ejabberd aber nicht mehr starten. Um das zu beheben, legt man zunächst eine Sicherung des bestehenden init-Skript an:

sudo cp -a /etc/init.d/ejabberd /etc/init.d/ejabberd.bak 

Danach passt man das init-Skript an:

sudo sed -i 's/su $EJABBERDUSER -c/sudo -u "$EJABBERDUSER" sh -c/g' /etc/init.d/ejabberd 

Jetzt sollte der Start-Befehl wieder funktionieren:

sudo service ejabberd start