極北別世界通信

■技術書典
OSM 2nd Version3　マイナーOS駆け足レビュー
dabble in...　Vol.3　KeyCloakで既存環境にSSO導入（のさわり）

■エアコミケ
多分同時期なので基本は技術書典と同じ。
dabble in... のExtra Editionは作ろうと思っています。
ネタはアセットマネジメントのSNIPE ITか多目的CMSのodooか…

■コミケ99
OSM 2nd Version4　いまさらOS/2 WARPをVirtual Boxで動かしてみる（仮）
dabble in...　Vol.4　Docker＋gitlab＋jenkinsでプライベートDocker Hub構築（仮）

ただコミケ99のネタは少し前に検討したけど自身の環境でそれほどDockerを現状は使っていないのでどうなるか未定。

それ以外に「架空の会社の社内システムを全部OSSで作ってみる」という演習を1年間かけてやってみる予定なので、その途中経過とかの本になるかもしれません。

sd★はもちろん例です。

■物理HDD ⇒ RAW
sudo dd if=/dev/sd★ of=./sd★.img　※Linuxでやるほうが楽なのでこうしてます。Windowsでもできるツールはあります

■RAW ⇒ VDI
VBoxManage convertfromraw sd★.img sd★.vdi --format VDI

■RAW ⇒ VMDK
VBoxManage convertfromraw sd★.img sd★.vmdk --format VMDK

■VDI ⇒ VMDK
VBoxManage clonehd sd★.vdi sd★.vmdk --format VMDK

■VMDK ⇒ VDI
VBoxManage clonehd sd★.vmdk sd★.vdi --format VDI

■VDI ⇒ RAW
VBoxManage clonehd sd★.vdi sd★.img --format RAW

■RAW ⇒ 物理HDD
sudo dd if=./sd★.img of=/dev/sd★　※最初の物理 ⇒ RAWと同様Linuxで実施

主にダウンロードしたマイナーOSのHDDイメージを変換する際に利用してます。

■その他

・GoogleのSearch consoleやらは放置しすぎてたのとodooで構築してたサイトが度々接続切れてたせいかGoogle八分食らってて草生える。ちゃんとしないと。

・コソコソいろんな仕事の対応したりしてたら異常にいそがしく

・技術書典10に申し込んだがなにやろう。

・とりあえず自分で使ってて最も有用なApacheGuacamoleは押し続けたい所存。ログ取りやら解析やらそのあたりももう少し踏み込んでやりたい

・今更シェルスクリプト書いたりしてるけどなんというかコードがきったねぇ。エレガントに？書く訓練もしとらんからあれだが

OSごとに多少なり違いはありそうですが、潤沢な仮想マシンリソースを使ってとりあえず立ててみます。

■準備

OS:Ubuntu server 20.04 LTS

マインクラフトサーバ

オフィシャルサイトからダウンロードしますが、なんか、日本版のサイトだと2020年11月現在ダウンロードできないっぽい

なのでUSサイトからダウンロードします。

https://www.minecraft.net/en-us/download/server/bedrock

■手順

1 Ubuntuをインストール

ベースは別のUbuntu上のVirtualBox仮想マシン。8コア16GB割当。実際はもっと少なくてもいいはず。

なおインストール中に設定したほうが楽なのでIPアドレスとホスト名はちゃんと決めておきましょう

 ダウンロードしたファイル内にあるhtmlファイルに詳細な情報が載ってるので、正直インストールとかは全然難しくないです。

2 unzipをインストール

最初のアップデートを実施後、unzipをインストールします

$ sudo apt -y install unzip

3 ダウンロードしたマインクラフトサーバソフトを任意のディレクトリに配置

他のファイルを置かない空のディレクトリ作成してそこに置くのが推奨のようです　

今回は自身のホームディレクトリ配下に作成したディレクトリ内に展開するので以下のようにしています。

$~ mkdir bdc
$ cd bdc
$ unzip bedrock-server-1.16.40.02.zip

※上記は2020/11/17現在のバージョン

※余談
オフィシャルサイトからはwgetとかで持ってきてもいいですが、

Windowsでダウンロード→サーバにTera Termでsshログイン→Tera Term画面にD＆D

 でも事足ります。便利になりましたなぁ(じじいくさい)

4 screenのインストール

このまますぐに起動してしまってもいいんですが、screenを使って起動してあげるとサーバから抜けても稼働し続けてくれるので楽。

やり方はまぁ何でもいいですが、

$ LD_LIBRARY_PATH=. screen -dmS bds ./bedrock_server

とやって、dbsというスクリーン内で起動し、デタッチしてしまうのが割と楽かと。

コンソールからScreenにアクセスする(アタッチする　Ubuntu→BDS）には

$ screen -r bds

Screenから抜けてコンソールに戻る)デタッチする　BDS→Ubuntu）には

Ctrl+a d

※ctrlキーを押しながら a を押下し、続けて d を押下すると抜けます。

もちろんsystemctlに登録して自動起動するように設定したりもできますがまぁその辺はお好みで。

※もしちょっとしらべて登録したらまた追記するかもしれません。

…実はまだクライアント購入してないんで、購入したら子供に感想でも聞いてみます。

■Apache Guacamole

ちょっとまえに構築して現状、自分の立てたやつではぶっちぎりで利用しているので簡単に書く。

なお、ネタとしては こちら でやられていることのほぼ丸パクリ+LDAP、あとはリバースプロキシ対応をしています。

1．仮想マシン

VirtualBoxにUbuntu 18.04をインストールしてベースにする。

SELinux、Firewallを外す

2．Docker、docker-composeのインストール

・Dockerのインストール

オフィシャルのスクリプトで行います。

$ curl -fsSL https://get.docker.com -o get-docker.sh

$ sudo sh get-docker.sh

dockerグループに操作ユーザーを加えて再ログイン

$ sudo usermod -aG docker $USER

・docker-composeをインストール

$ sudo curl -L "https://github.com/docker/compose/releases/download/1.25.4/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
$ sudo chmod +x /usr/local/bin/docker-compose

3．Guacamoleのインストール

・作業ユーザのディレクトリにguacamoleディレクトリを作成

$ mkdir guacamole
$ cd guacamole/

・⁠docker-compose.yml を作成
なお、ファイル内の「⁠guacamole_root_password」と「guacamole_user_password」は，適切なパスワードに変更する。

version: "3"
services:
  guacd:
    container_name: my-guacd
    image: guacamole/guacd
    restart: always
  guacamole_db:
    container_name: my-guacamole-db
    image: mysql
    restart: always
    environment:
      MYSQL_ROOT_PASSWORD: guacamole_root_password # NEED TO CHANGE
      MYSQL_DATABASE: guacamole_db
      MYSQL_USER: guacamole_user
      MYSQL_PASSWORD: guacamole_user_password # NEED TO CHANGE
    volumes:
      - ./dbdata:/var/lib/mysql
      - ./dbinit:/docker-entrypoint-initdb.d
  guacamole:
    container_name: my-guacamole
    image: jkbys/guacamole:1.1.0ja
    #image: guacamole/guacamole
    restart: always
    environment:
      GUACD_HOSTNAME: my-guacd
      MYSQL_HOSTNAME: my-guacamole-db
      MYSQL_DATABASE: guacamole_db
      MYSQL_USER: guacamole_user
      MYSQL_PASSWORD: guacamole_user_password # NEED TO CHANGE
      GUACAMOLE_HOME: /guacamole-home
    volumes:
      - ./home:/guacamole-home
    depends_on:
      - guacamole_db
      - guacd
    ports:
      - "8080:8080"

・必要なディレクトリを作成

$ mkdir -p dbdata dbinit home/extensions

・MySQLの初期化スクリプトを出力

$ docker run --rm jkbys/guacamole:1.1.0ja /opt/guacamole/bin/initdb.sh --mysql > ./dbinit/initdb.sql

・docker-composeを実行してGuacamoleを起動

$ docker-compose up -d

起動するまではちょっと時間がかかるので慌てず待つ。

この時点で、

http://【ServerIP】:8080/guacamole

にアクセスすることで、Guacamoleが使える状態になっています。guacadmin/guacadminでログイン可能(パスはすぐ変更すること)

4．LDAP利用の設定を行う

docker-compose.ymlに追記

LDAP_HOSTNAME: 192.168.1.xxx　※LDAPサーバのIPアドレス
LDAP_PORT: 389
LDAP_USER_BASE_DN: dc=xxx,dc=xxx
　※ユーザー検索のベース
LDAP_SEARCH_BIND_DN: uid=admin,cn=ldapadmin,ou=Group,dc=xxx,dc=xxx
　※検索する際にバインドするユーザーのDN
LDAP_SEARCH_BIND_PASSWORD: 【Pass】
　※検索する際にバインドするユーザーのパスワード
SKIP_IF_UNAVAILABLE: ldap
　※LDAPでのログインに失敗した際に無視する
　　→別にSQL  Serverにアカウントが登録されてればそちらで、設定ファイルに
　　　ユーザー登録があればそれを使うための設定

今回は公開されない範囲でやってますので平文で通信してますが、必要に応じてSSL対応とかやったほうがいいとは思います。

・LDAP認証のためのGuacamoleのエクステンションを持ってくる

$ wget http://apache.org/dyn/closer.cgi?action=download&filename=guacamole/1.1.0/binary/guacamole-auth-ldap-1.1.0.tar.gz
$ tat xzf guacamole-auth-ldap-1.1.0.tar.gz

・展開した中のldap接続エクステンションを、guacamoleが認識できるようにguacamole/home/extensions/ 配下に移動

$ cp -p guacamole-auth-ldap-1.0.0/guacamole-auth-ldap-1.1.0.jar guacamole/home/extensions/guacamole-auth-ldap-1.1.0.jar

・docker-compose.ymlを書き換えたので再起動

$ docker stop
$ docker-compose up -d

これでLDAPユーザーはログインできますが、現状何も設定していないので接続ができません。

管理者アカウントでログインし、LDAPの管理アカウント(LDAPの他のユーザーが全員見られるアカウント)に対して、Guacamoleの管理権限を与えます。

※元々あるGuacamoleアカウントは、LDAP側の権限がないので他のユーザー情報が見得ません。LDAP側で権限があるアカウントに、Guacamole側の権限を与えます。

あとはそのユーザーで接続に必要な情報を展開するなどの対応を行います。

5．リバースプロキシ対応

リバースプロキシ設定の際のTomcat側のserver.xml書き換え方法です。
Tomcat側に「この通信はリバースプロキシ経由だよ」というのを教えてあげないとCSRFと判断されてエラーになります。

通常の構築であればTomcatのインストールディレクトリを探せばいいですが、今回はDockerで導入しているので、コンテナ内のファイル強引に書き換えてます。

起動時にオプションで引数として設定ファイルを渡すなり、起動のタイミングで設定ファイルをコピーする方法もあるようですが、当方はDocker自体にそこまで詳しくないので、強引にコンテナ内のファイルを書き換えています。

・Dockerイメージ内の設定ファイルをコピー

$ sudo cp /var/lib/docker/overlay2/【docker-dir】/merged/usr/local/tomcat/conf/server.xml　．

・Hostディレクティブ内に追記

$ vi server.xml
        <Valve className="org.apache.catalina.valves.RemoteIpValve"
               internalProxies="192.168.1.91"
               remoteIpHeader="x-forwarded-for"
               remoteIpProxiesHeader="x-forwarded-by"
               protocolHeader="x-forwarded-proto" />

・Dockerイメージ内の設定ファイルを書き戻し

$ sudo cp server.xml /var/lib/docker/overlay2/【docker-dir】/merged/usr/local/tomcat/conf/

6．リバースプロキシ設定(nginx側)

別途nginxでのリバースプロキシは構築済みとします。

※時間が取れれば別途書きます。

なお、基本的にリバースプロキシをかましているのは、以前にもちょっと書いた気がしますが

・SSLを全部nginx側で終端する
・自宅サーバメインなので、ルータのポートをたくさん開放したり特殊なポートを開けたりしたくない
というような理由によります。

SSL(Let's Encrypt)設定は別途実施済みの前提で、プロキシ設定は以下のようにしています。

server{
    server_name    【guacamoleの接続ホスト名】;
    listen 443 ssl;
    listen [::]:443 ssl;
　～SSL設定省略～
    location / {
    proxy_pass    http://192.168.1.xxx:8080/guacamole/;
    proxy_buffering off;
    proxy_set_header    X-Forwarded-Host        $host;
    proxy_set_header    X-Real-IP               $remote_addr;
    proxy_set_header    X-Forwarded-Server      $host;
    proxy_set_header    X-Forwarded-For $proxy_add_x_forwarded_for ;
    proxy_set_header    X-Forwarded-Proto https;
    proxy_http_version  1.1;
    proxy_set_header    Upgrade $http_upgrade;
    proxy_set_header    Connection "upgrade";
    proxy_cookie_path /guacamole/ /;
    }
        gzip on;
}

※nginxでの各種SSL終端+リバースプロキシ設定はもしかしたら多少ニーズがあるかもしれないのでそのうち別途まとめて書きます。

ちなみにKeyCloakは、単にテスト用程度に構築する分には実はそれほど難しくありません。

JDKのインストール

# yum update -y
# yum install java-1.8.0-openjdk

keycloakのインストール

# cd /opt
# sudo wget https://downloads.jboss.org/keycloak/11.0.2/keycloak-11.0.2.tar.gz
# tar xfpz keycloak-11.0.2.tar.gz
# mv keycloak-11.0.2 keycloak

Keycloakの設定

構築内容や状況によってはほかにもいろいろ必要だが、下記はおそらく絶対必要な対応ではないかと。

# vi /opt/keycloak/standalone/configuration/standalone.xml

<interfaces>
 <interface name="management">
 <inet-address value="${jboss.bind.address.management:[KeycloakサーバーのIP]}"/>
 </interface>
 <interface name="public">
 <inet-address value="${jboss.bind.address:[KeycloakサーバーのIP]}"/>
 </interface>
</interfaces>

なお、実際の構築時にはいつも通りリバースプロキシを通すのでSSL化のために下記の太字部分を書き換えている

<subsystem xmlns="urn:jboss:domain:undertow:7.0" default-server="default-server" default-virtual-host="default-host" default-servlet-container="default" default-security-domain="other">
 <buffer-cache name="default"/>
 <server name="default-server">
- <http-listener name="default" socket-binding="http" redirect-socket="https" enable-http2="true"/>
+ <http-listener name="default" socket-binding="http" redirect-socket="https" enable-http2="true" proxy-address-forwarding="true"/>
 <https-listener name="https" socket-binding="https" security-realm="ApplicationRealm" enable-http2="true"/>
 <host name="default-host" alias="localhost">
 <location name="/" handler="welcome-content"/>
 <http-invoker security-realm="ApplicationRealm"/>
 </host>
 </server>

起動設定のためにサービスとして登録

# sudo vi /etc/systemd/system/keycloak.service

[Unit]
Description=Jboss Application Server
After=network.target
[Service]
Type=idle
Environment=JBOSS_HOME=/opt/keycloak
JBOSS_LOG_DIR=/var/log/keycloak/ "JAVA_OPTS=-Xms64m -Xmx512m -XX:MetaspaceSize=96M -XX:MaxMetaspaceSize=256m -Djava.net.preferIPv4Stack=true -Djboss.modules.system.pkgs=org.jboss.byteman -Djava.awt.headless=true"
User=root
Group=root
ExecStart=/opt/keycloak/bin/standalone.sh -Djboss.http.port=80 -b 0.0.0.0
TimeoutStartSec=600
TimeoutStopSec=600
[Install]
WantedBy=multi-user.target

設定ファイルを再読み込みし、サービスとして登録、起動します。

# systemctl daemon-reload
# systemctl enable keycloak
# systemctl start keycloak

Keycloakでは管理者をあらかじめ登録しないとアクセスできませんので、管理ユーザーをコンソールから登録します。
ユーザー名とパスワードは任意のものを設定してください。

# /opt/keycloak/bin/add-user-keycloak.sh -r master -u 【ユーザー名】 -p 【パスワード】

これで一応構築は完了です。

ログインしての設定等はまた別途。

・オープンソースHCI

・既存リモート環境にシングルサインオンの導入

・Dockerプライベートレジストリをjenkinsとgitlab使って構築

・Snipe IT使って資産管理システム

・Exmentの活用の具体例

・Zabbixでの監視と、各種ログのとりまとめ、可視化

・ヘルプデスクシステムをオープンソースで何とかする

ポイントは当方プログラマでも何でもないので自分でコード書いてどうにかする、という手段は取れないという点です。(自慢にならん)

なるべくありものを駆使してなんとかできれば。

LDAPの設定をやるとき上記のページ(管理者ユーザーで管理⇒LDAPと遷移)で設定を行いますが、ここに罠が。

説明には

「webapp/openmeetings/confに置かれている必要があります」

と書いてあるんですが、実際には

「webapps/openmeetings/data/conf」

に配置する必要があります。

以下参考

https://openmeetings.apache.org/LdapAndADS.html

いやー、しばらく気が付きませんでした。Version5になったときに変更がおいついてないとかなんでしょうか。

Apache Guacamole

RocketChat

NextCloud

odoo

⇒リバースプロキシ経由でアクセスさせる際の設定等

Docker Hubローカル構築(Gitlab)

Redhat OpenShift 4 テスト環境(Red Hat CodeReady Containers)

 9/11追記

ちなみにGuacamole、OpenMeetings、Rocket.Chat、NextCloud　nginx(リバースプロキシ)+LDAP構成を取りまとめた本を技術書典に出してます。ぜひ。

設定ツリーの管理

設定ツリーの管理ユーザを設定する。

作成したLDIFファイルを使って設定を更新する。

スキーマファイルの取り込み

管理者用アカウントの設定とベースDNの設定

グループ、ユーザーの登録

ユーザーを50人100人など一括登録するために

csv2ldif2

https://sourceforge.net/projects/csv2ldif2/

を使って登録用のldifファイルを作成し、コマンドで登録する

ユーザー用のパスワード初期化UIとパスワード変更UIを作成する
こちらのページを参考にして構築

http://www.ceres.dti.ne.jp/~t-yamada/ldap/index.html

メール送信の際にローカルのメールサーバから自身のメールアドレスにポート587で送信するための設定をPostfixに実施

■目的
　OpenLDAP サーバの構築
　OpenLDAPクライアントの動作確認
　ユーザー情報の登録(100名前後)の効率のよい方法の検討
　Apache OpenMeetingsや、その他のWeb系のサービスとのLDAP連携の実施

■インストール編

長くなりそうなので複数回にします。今回はインストール編です。
Qiitaのこのあたりの記事丸パクリですが(ありがとうございます)、今回は最終的にいろんなところの記事やら
ブログやらをパクりつつ、全体通して構築していきます。

枯れたソフトウェアということなのか、大抵のディストリビューションでパッケージとして用意されています。

CentOS環境なのでyumで何も考えずにインストールします。

yum install openldap openldap-servers openldap-clients

DB設定用のファイルを用意してアクセス権を変更します。

cp -p /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown ldap. /var/lib/ldap/DB_CONFIG

自動起動設定をします。

systemctl start slapd
systemctl enable slapd

下記は当方の環境では不要なのですが、Linuxでのファイルディスクリプタ上限が1024なので、これを増やしておくほうが無難です。

grep "Max open files" /proc/`pidof slapd`/limits
Max open files　　　　1024　　　　4096　　　　files

LDAPはセッション数が多く、やり取りで入出力を管理するファイルディスクリプタ数が足りなくなることがあるようですので、環境によっては変更しておいたほうがいいかもしれません。
※実環境での検証まではしていません。

vi /usr/lib/systemd/system/slapd.service
[Service]　の一番下に追記
---
LimitNOFILE=65536
LimitNPROC=65536
---

再起動を行い、ファイルディスクリプタ上限が変わっていることを確認

systemctl daemon-reload
systemctl restart slapd
grep "Max open files" /proc/`pidof slapd`/limits


Max open files　　　　65536　　　　65536　　　　files

また、OpenLdapはデフォルトではログの出力設定がされていません。
試験時はjournalctlコマンドで参照すれば事足りますが、実運用時にトラブルがあった場合など、
ログが残っていないと困ると思いますので、一応ログの設定をしておきます。
併せてログローテーション設定もします。

ログの出力設定
vi /etc/rsyslog.conf
※追記
local4.*　　　/var/log/ldap/slapd.log

ログのローテーション設定
vi /etc/logrotate.d/syslog
※追記
/var/log/ldap/slapd.log

 いちおう「インストール」的な作業はここまで。

次から管理者設定など「構築」編に行こうかと思います。
(書くのいつになるかな。。。。)

とりあえず単純に構築するなら、だいたいはオフィシャルサイトの手順に沿ってコマンドをつらつら入れていけば難しいことはありません。

ただ個々のコマンド、項目で何をやってるのかある程度理解してないとどうしようもないですが。

 まず今回の前提条件について記載します。

実運用上の最適スペックは確認してないのでそこはまた別途。

・環境

Windows上のvirtualbox仮想マシン

ディスク：100GB
メモリ：8GB
CPU：2

あとネットワークはブリッジ接続にしています。

・OS

今回はUbuntu18.04.4Serverにて構築しています。

 ・インストール

基本的には オフィシャルサイト の構築手順と、ググって見つけた こちらの「ろっひー ～ ITが気になる毎日」 さんのブログ記事「Ubuntu18.04 まっさらな環境にOpenMeetings5.0.0-M4をインストール」をほぼ丸パクリする勢いです。
大変お世話になりました。

・OSを最新化

$ sudo apt update; sudo apt -y dist-upgrade; sudo apt -y autoremove
$ sudo reboot

・各種ライブラリインストール

■OpenJavaのインストール

$ sudo apt install openjdk-11-jdk openjdk-11-jdk-headless
$ java -version
openjdk version "11.0.7" 2020-04-14
OpenJDK Runtime Environment (build 11.0.7+10-post-Ubuntu-2ubuntu218.04)
OpenJDK 64-Bit Server VM (build 11.0.7+10-post-Ubuntu-2ubuntu218.04, mixed mode, sharing)

■LibreOfficeのインストール

アップロード資料をPDFに変換するためのライブラリ

$ sudo apt install libreoffice

■ImageMagic,sox,ffmpegと関連ライブラリのインストール

イメージや動画の変換用のライブラリ

$ sudo apt install -y imagemagick libjpeg62 zlib1g-dev sox ffmpeg vlc

ImageMagickの設定ファイルを書き換える。
過去のGhostScriptバグの対策で変換ができなくしてあるので、その設定をコメントアウトして外しています。
参考

$ sudo vi etc/ImageMagick-6/policy.xml

上記ファイルの下のほう、★を付けた2行をコメントアウト

<!-- disable ghostscript format types -->
★ <!-- <policy domain="coder" rights="none" pattern="PS" /> -->
<policy domain="coder" rights="none" pattern="PS2" />
<policy domain="coder" rights="none" pattern="PS3" />
<policy domain="coder" rights="none" pattern="EPS" />
★ <!-- <policy domain="coder" rights="none" pattern="PDF" /> -->
<policy domain="coder" rights="none" pattern="XPS" />
</policymap>

■データベースのインストール

ここではMariaDBを使っているが他のDBでも構築は可能なようです。

$ sudo apt install mariadb-server
$ sudo mysql

MariaDB [(none)]> create database openmeetings default character set 'utf8';

MariaDB [(none)]> grant all privileges on openmeetings.* to 'openmeetings'@'localhost' identified by 'om_password' with grant option;

MariaDB [(none)]> quit

データベース　openmeetings
ユーザー　openmeetings
パスワード　om_password

。。。すみません、丸パクリです。

■Kurento Media Serverのインストールと設定

基本的にはここを参考に。今最新Versionは6.13.2みたいですが、OpenMeetingsのオフィシャルと揃えています。

カメラ、マイク、録画、画面共有に必要なライブラリ。リポジトリのキーをインストールする

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 5AFA7A83

リポジトリのソースファイルを新規作成。

sudo vi /etc/apt/sources.list.d/kurento-dev.list

中身は以下

deb [arch=amd64] http://ubuntu.openvidu.io/6.13.0 bionic kms6
deb [arch=amd64] http://mirror.yandex.ru/ubuntu/ bionic main restricted
deb [arch=amd64] http://mirror.yandex.ru/ubuntu/ bionic universe

Kurento Media Serverのインストール

$ sudo apt update
$ sudo apt install -y kurento-media-server

設定ファイルを変更。

sudo vi /etc/default/kurento-media-server

上記ファイル内の

DAEMON_USER="kurento" # User as whom Kurento Media Server will run

の行をコメントアウトし

DAEMON_USER="nobody"

を追加してサーバを走らせるユーザーを変更

サービスの登録と開始

$ sudo systemctl start kurento-media-server
$ sudo /lib/systemd/systemd-sysv-install enable kurento-media-server

■OpenMeetingsのインストール

ようやく本体のおでまし。
まずはダウンロード

$ wget https://downloads.apache.org/openmeetings/5.0.0-M4/bin/apache-openmeetings-5.0.0-M4.tar.gz

展開して配置　場所はこれまた丸パクで /usr/share/openmeetings としてます。

$ tar xzvf apache-openmeetings-5.0.0-M4.tar.gz
$ mv apache-openmeetings-5.0.0-M4 openmeetings
$ mkdir -p openmeetings/webapps/openmeetings/data/streams/{1,2,3,4,5,6,7,8,9,10,11,12,13,14}
$ mkdir -p openmeetings/webapps/openmeetings/data/streams/hibernate
$ sudo chmod -R 750 openmeetings/webapps/openmeetings/data/streams
$ sudo chown -R nobody:root openmeetings/
$ sudo mv openmeetings/ /usr/share/

mysql-connectorをダウンロードして配置

$ wget https://dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-8.0.20.tar.gz
$ sudo chown nobody:root mysql-connector-java-8.0.20/mysql-connector-java-8.0.20.jar
$ sudo mv mysql-connector-java-8.0.20/mysql-connector-java-8.0.20.jar /usr/share/openmeetings/webapps/openmeetings/WEB-INF/lib/

※バージョンが変わると適宜修正が必要になるのでご注意を。

■OpenMeetingsの自動起動スクリプトを作成

上手くいっているものをパクれの精神で、これまた丸パクリです。
OpenMeetingsのオフィシャルにも「tomcat3」という起動スクリプトがあるので、環境に合うように書き換えて使います。

sudo vi /etc/init.d/openmeetings

#!/bin/sh
### BEGIN INIT INFO
# Provides: Openmeetings
# Required-Start: mysql apache2 kurento-media-server
# Required-Stop:
# Should-Start:
# Should-Stop:
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Apache Openmeetings Service
# Description: Openmeetings provides video conferencing, instant messaging,
# white board, collaborative document editing and other groupware
# tools using API functions of the Red5 Streaming Server for
# Remoting and Streaming.
### END INIT INFO

# set the environment
# JAVA_OPTS=""
# CATALINA_OPTS=""
CATALINA_HOME=/usr/share/openmeetings
RUN_USER=nobody

# set TIME OUT values
# TIMELIMIT=10
# SLEEPTIME=40

# Function to wait until all Tomcat processes are killed
waitForTomcatToDie()
{
PROCESSES=`ps auxwww | grep $HOME | grep 'java' | grep 'tomcat' | grep -v 'grep'`
while [ ! -z "$PROCESSES" ] && [ $SECONDS -lt $TIMELIMIT ] && [ $TIMELIMIT -ne 0 ]; do
echo -n "."
sleep $SLEEPTIME
PROCESSES=`ps auxwww | grep $USER | grep 'java' | grep 'tomcat' | grep -v 'grep'`
done
echo ""
if [ ! -z "$PROCESSES" ]; then
PROCESS_ID=`echo $PROCESSES | awk '{ print $2 }'`
echo "Killing process: $PROCESS_ID"
kill -9 $PROCESS_ID
fi
}

# See how we were called.
case "$1" in
start)
$CATALINA_HOME/bin/startup.sh -u $RUN_USER -Dcatalina.base$CATALINA_BASE
;;
# debug)
# DEBUG_PORT=10001
## export JAVA_OPTS="${JAVA_OPTS} -Xdebug -Xrunjdwp:transport=dt_socket,address{DEBUG_PORT},server=y,suspend=n"
# $CATALINA_HOME/bin/startup.sh -Dcatalina.base{CATALINA_BASE}
# ;;
stop)
# $CATALINA_HOME/bin/shutdown.sh
$CATALINA_HOME/bin/shutdown.sh
waitForTomcatToDie
echo "...Tomcat stopped."
;;
restart)
$0 stop
echo "...Restarting..."
sleep 8
$0 start
;;
status)
status $PROG -p $PIDFILE
RETVAL=$?
;;
*)
echo $"Usage: $0 {start|stop|restart|status}"
RETVAL=1
esac

exit $RETVAL

作成したファイルを有効化

$ sudo chmod 755 /etc/init.d/openmeetings
$ sudo systemctl daemon-reload
$ sudo /lib/systemd/systemd-sysv-install enable openmeetings
$ sudo systemctl start openmeetings

■OpenMeetingsのWeb UIによる初期設定

以降、WebUIでの設定となります。

 http://【インストールホスト】:5080

■アクセスすると次の画面が表示されるので[NEXT >]を押下。

データベースユーザーとパスワードを入力し、[接続試験]をクリック。問題なければ[NEXT >]を押下。

■最初のユーザーの生成。管理者アカウントですがうっかり会社のアドレス情報いれてしまったので見た目汚くて申し訳ない
けっこう制約があるようです。
(パスワードには大文字、小文字、数字、記号(!@#$%^&*][)を含める必要あり、名前と一緒だとNG等)

設定が済んだら[NEXT >]を押下

■自己登録の拒否を設定して、管理者のみがユーザー追加をできるように設定。
　メール送信用のサーバも会社のサーバ名とか入れてるのでこれまた汚くて申し訳ないです。
　設定したら[NEXT >]を押下

■ライブラリが使えるかどうかの確認。
　[接続試験]のボタンを全部クリックしてOKであることを確認したら、[NEXT >]を押下

■このページはこのままで[NEXT >]を押下

■[FINISH]を押下してインストール。なおインストールボタンというものはない

■インストール処理が完了したら以下の画面になる。なお、「再起動」はしないでも一応ログイン後の画面には遷移した。

SSL設定は別途するので、この時点では

 http://【インストールホスト】:5080

に再接続する。

ログイン後の画面イメージ

・Nginxでのリバースプロキシ

この状態だと、ローカルPCからのアクセスしかできず、またSSL設定も行っていない状態です。

当方が試験用に自宅で構築しているものは、どれもNginxでのリバースプロキシを用いて、DDNSでIPアドレスを割り当てた各種サブドメインごとに異なる仮想マシンに転送する構成になっています。

また、その際にNginxでLet's EncryptのSSL通信を終端しています。

このOpenmeetingsも、リバースプロキシで外部から使おうとしたんですがまぁなかなかにハマりました。

そのへんも書いていこうと思います。

■構成

基本的に当方が自宅で外部向け公開(といっても、試験用のものが多いので頻繁に変わったりしてますが)は、以下のように構成している。

インターネット　->　ルータ(80/443 ポート開放済み)　->　Nginx(リバースプロキシ)  -> 各種サーバ

Let's Encryptの証明書発行のためのアクセスも受け付ける必要があるので80番ポートも開けているが、基本的なアクセスはすべてSSLで行っている。

常時5．6個ほどのドメインに対してDDNSで(同一)IPを割り当てて、URLアクセスをNginx でリバースプロキシしている。

これまでもShirasagi、Odoo、NextCloud、など毎回厄介そうなものをリバースプロキシで試験含め運用してきたが、今回はさらにハマった。
それでもググることで2、3日で答えが見つかるんだからネットはすごいなー(小並感)

簡単に言うと、以下設定をせずにリバースプロキシ経由でアクセスした場合、リクエスト元がhttpsなのに、NginxとTomcat間の接続はhttpなので、TomcatのCSRF対策によりBad Requestとして処理されてしまう、という問題が発生します。

海外のフォーラムなどでもこの問題にハマっている方は多いようでしたが、Openmeetings関係のところでは以下の設定は貼られてませんでした。

ただ、stackoverflowのこのページが引っ掛かりまして、結局Tomcat側の設定を変更しないとダメだというのが判明しました。難しいもんですね。

インターネット　->https->　Nginx　->http->　Openmeetings

となっているので、Openmeetings側で上記を検出し、リダイレクトの際にhttp通信であることからCSRFとしてはじかれる。

インターネット　->★https->　Nginx　->http->　Openmeetings

★の部分がhttpsであることをNginxからOpenmeetingsに通知するが、さらにそれを処理するための設定をTomcat側にも実施することで、プロキシ経由の通信であることが正常に処理され、問題なく通信ができるようになる。

■Nginx側の設定

本設定をnginxのconf.dディレクトリ配下に置いてnginx.confにIncludeさせてます。なのでhttpセクションは未記載。
ホスト名とIPアドレスは書き換えてます。

map $http_upgrade $connection_upgrade {　★1
default upgrade;
'' close;
}

server {
server_name openmeetings.mydomain.com;
listen 443 ssl;
listen [::]:443 ssl;

ssl_certificate /etc/letsencrypt/live/openmeetings.mydomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/openmeetings.mydomain.com/privkey.pem;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_cache builtin:1000 shared:SSL:10m;
ssl_protocols TLSv1.2;
ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
ssl_prefer_server_ciphers on;

access_log /var/log/nginx/openmeetings.access.log;

location / {
proxy_pass http://xxx.xxx.x.xxx:5080;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Server $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-Proto https;　　　　　★2
proxy_http_version 1.1;　　　　　　　　　　　　　　★2　　　
proxy_set_header Upgrade $http_upgrade;　　　　　 ★2　
proxy_set_header Connection $connection_upgrade;　★2
}
}

★1
mapディレクティブを使って、$http_upgrade、$connection_upgradeを定義します。

$http_upgrade $connection_upgrade {

default upgrade;
'' close;
}

＄http_upgradeの値が空('')の場合は、
＄connection_upgrade = close

それ以外の場合は、
＄connection_upgrade = upgrade

という処理になります。

SSL処理の部分は通常のものと変わらないので割愛させてください。

★2
proxy_set_headerで以下の値を指定します。
他のProxyヘッダももちろん必要ですが、以下は今回のOpenmeetingsのリバースプロキシ化に必要なので特記します。

proxy_set_header X-Forwarded-Proto https;
proxy_http_version 1.1;　　　　　　　　　　　　　 
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;

proxy_set_header X-Forwarded-Proto

を用いて、前段の通信がhttps通信であることを伝えます。

proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;

http1.1であることを明示的に宣言し、NginxのWebSocketプロキシ機能を有効にして、Upgradeヘッダとコネクションヘッダをプロキシからバックエンドに伝えます。

ただし、Openmeetingsの場合、Nginx側の設定だけではダメで、Tomcat(Openmeetings)側のSever.xmlファイルも変更する必要があります。

server.xmlの

<Host name="localhost" appBase="webapps"
unpackWARs="false" autoDeploy="true">

の後ろに以下を追記します。

<Valve className="org.apache.catalina.valves.RemoteIpValve"
remoteIpHeader="x-forwarded-for"
remoteIpProxiesHeader="x-forwarded-by"
protocolHeader="x-forwarded-proto"
/>

org.apache.catalina.valves.RemoteIpValve

というClassはProxy経由でのアクセスの際にリモートの情報を取得するためのものになります。

なお、上記は

remoteIpHeader="x-forwarded-for"
remoteIpProxiesHeader="x-forwarded-by"

を含めていますが、おそらく今回の設定の場合は

protocolHeader="x-forwarded-proto"

だけ設定されていれば問題ないはずです。

NginxとServer.xmlを変更し、両方とも再起動をかけて(サービス再起動でもいいとは思います)
上記設定ファイル上での「https://openmeetings.mydomain.com」

にアクセスすれば、Nginxでのリバースプロキシを介したOpenmeetingsへの接続ができているはずです。