Traducido del manual de instalación de Jitsi
https://jitsi.github.io/handbook/docs/devops-guide/secure-domain
Configuración de seguridad del Dominio
Es posible permitir solo a usuarios autenticados crear nuevas salas de conferencias. Cada vez que se va a crear una nueva sala, Jitsi Meet solicitará el nombre de usuario y la contraseña. Una vez creada la sala, otros podrán unirse desde un dominio anónimo.
Esto es lo que debe configurarse:
Configuración de Prosody
Si ha instalado Jitsi Meet desde el paquete Debian, estos cambios deben realizarse en:
/etc/prosody/conf.avail/[SU-DOMINIO].cfg.lua.
Habilitar autenticación
Dentro del bloque VirtualHost “[SU-DOMINIO]”, reemplace la autenticación anónima con la autenticación de contraseña hash:
VirtualHost "su-dominio" authentication = "internal_hashed"
o activamos la autenticación interna:
VirtualHost "su-dominio" authentication = "internal_plain"
Habilitar el método de inicio de sesión anónimo para invitados
Agregue este bloque para habilitar el método de inicio de sesión anónimo para los invitados:
VirtualHost "guest.su-dominio" authentication = "anonymous" c2s_require_encryption = false
Tenga en cuenta que guest.su-dominio es interno de Jitsi, y no necesita (y no debe) crear un registro DNS para él, ni generar un certificado SSL / TLS, ni realizar ninguna configuración de servidor web.
Nota
Asegúrese de habilitar los módulos deseados en el host virtual invitado como turncredentials (si usa STUN / TURN junto con un dominio seguro) y / o duración de la conferencia, etc., agregando la opción modules_enabled.
VirtualHost "guest.su-dominio" authentication = "anonymous" modules_enabled = { "turncredentials"; } c2s_require_encryption = false
Configuracion de Jitsi Meet
En config.js, se deben establecer las opciones del dominio anónimo.
Si ha instalado jitsi-meet desde el paquete Debian, debe agregar la linea “anonymousdomain” en:
/etc/jitsi/meet/[su-dominio]-config.js
.
var config = { hosts: { domain: 'su-dominio', anonymousdomain: 'guest.su-dominio', ... }, ... }
Configuración de Jicofo
Al ejecutar Jicofo, especifique su dominio principal en una propiedad de configuración adicional. Jicofo aceptará solicitudes de asignación de conferencias solo del dominio autenticado.
Si ha instalado Jicofo desde el paquete Debian, esto debería ir directamente en una nueva línea en el archivo/etc/jitsi/jicofo/sip-communicator.properties
:
org.jitsi.jicofo.auth.URL=XMPP:su-dominio
Cuando se usa la autenticación basada en token, la URL debe usar EXT_JWT como el esquema en su lugar:
org.jitsi.jicofo.auth.URL=EXT_JWT:su-dominio
Crear usuarios en Prosody (autorizacion interna)
Finalmente, ejecute prosodyctl para crear un usuario en Prosody:
prosodyctl register USUARIOsu-dominio CONTRASEÑA
para borrar un usuario
prosodyctl deluser USUARIO@su-dominio
Opcional: Configuración de Jigasi
Permitir autenticación
Si está utilizando Jigasi, configúrelo para autenticar editando las siguientes líneas en/etc/jitsi/jigasi/sip-communicator.properties
:
org.jitsi.jigasi.xmpp.acc.USER_ID=USUARIO@SU_DOMINIO org.jitsi.jigasi.xmpp.acc.PASS=CONTRASEÑA org.jitsi.jigasi.xmpp.acc.ANONYMOUS_AUTH=false
Tenga en cuenta que la contraseña es la contraseña de texto sin formato real, no una codificación base64.
Depuración
Si tiene problemas con una cadena de certificados, es posible que deba descomentar la siguiente línea, también ensip-communicator.properties
:
net.java.sip.communicator.service.gui.ALWAYS_TRUST_MODE_ENABLED=true
Esto solo debe usarse con fines de prueba / depuración, o en entornos controlados. Si confirma que este es el problema, debe resolverlo de otra manera (por ejemplo, obtener un certificado firmado para Prosody o agregar el certificado en particular a la tienda de confianza de Jigasi).