Удалёнка: опыт и лайфхаки
25 января 2009

Популярные ошибки администраторов jabber-серверов

Системы обмена сообщениями
В связи с тем, что после недавних событий стали как грибы после дождя плодиться топики о том, как настроить свой jabber-сервер, я решил перечислить некоторые основные ошибки и заблуждения тех, кто настраивает jabber-сервер в первый раз. Речь пойдет про:
  • SRV-записи
  • SSL-сертификаты
  • Заблуждения о транспортах

SRV-записи


Да, эти записи опциональны согласно RFC 3920 и RFC 3921, но не раз встречались упоминания о том, что без этих записей возникают проблемы. Создать записи _xmpp-server._tcp.example.com и _xmpp-client._tcp.example.com не сложно, но это может избавить вас от головной боли. Не прописать SRV-записи для jabber-сервера это примерно то же самое, что не прописать MX-записи для почтового сервера, и то и другое не является строго обязательным[1], но от некоторых проблем спасает.
Чтобы не быть голословным, скажу, что клиент Telepathy в одной из версии с настройками по-умолчанию не мог подключиться к серверу, если в DNS-зоне отсутствовала SRV-запись.

Подробнее в пункте 11.2 RFC 3921 и пунктах 14.3 и 14.4 RFC 3920.

SSL-сертификаты


Вы можете сказать «мы люди честные, нам шифровать нечего», но это не совсем так. Вспомните GMail — они принудительно используют шифрование при работе с почтой через IMAP или POP3. Вполне возможно, что при полном отсутствии какого-либо SSL-сертификата соединение между вашим сервером и GTalk не будет установлено. Также год назад XMPP-консулом была озвучена идея Trusted Federation, т.е. запрета незашифрованных соединений между серверами. Из всего этого следует, что SSL использовать стоит.

Пункт 14.2 RFC 3920 разрешает использование любых сертификатов, в том числе и самоподписанных сертификатов, которые зачастую устанавливаются по-умолчанию. Но также этот пункт гласит о том, что в случае самоподписанного сертификата клиент ОБЯЗАН выдать пользователю предупреждение о недостоверном сертификате — это, конечно же, верно с точки зрения безопасности, но пользователю радости не доставит. Итак, следовательно, стоит получить «нормальный» сертификат.

Если у вас нет собственного CA, которому доверяют все ваши пользователи или вы не желаете тратить несколько сотен долларов на приобретение SSL-сертификата у одного из известных CA, то можно воспользоваться ICA XMPP Foundation, получение SSL-сертификата для вашего jabber-сервера в данном случае бесплатно. Более того, заметное число популярных jabber-клиентов «доверяет» сертификатам, выданным XMPP ICA.

Заблуждения о транспортах


Основное заблуждение пользователей о транспортах звучит так:
нужно зарегистрироваться на сервере, где много транспортов.
Это заблуждение, предположительно, культивируется тем, что большинство администраторов jabber-серверов либо запрещают доступ к своим транспортам с других серверов, либо просто забывают прописать соответствующие A и SRVcitation needed! [2] DNS-записи для своих транспортов и, таким образом, пользователи других сервером не имеют технической возможности использовать их.

P.S. кстати, jabber 4го января исполнилось 10 лет :-)

[1] Да, MX записи не обязательны. RFC 5321 это утверждает.
[2] Я не уверен, что для транспортов требуется прописывать SRV-записи. По логике — требуется, но нигде упоминания об этом я не встречал.
Теги: jabber транспорт xmpp ssl tls rfc dns srv
Хабы: Системы обмена сообщениями
+65
26,7k 109
Комментарии 60
Реклама

Рекомендуем