Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

--- de:die_konfigurationsdatei_von_ejabberd_erklaert [25.11.2022, 10:46] – [ACL] Christoph Stoltz
+++ de:die_konfigurationsdatei_von_ejabberd_erklaert [04.12.2022, 13:36] (aktuell) – [Listen] Christoph Stoltz
@@ Zeile 7: / Zeile 7: @@
 ==== Einleitung ====
-Ich werde hier die Konfigurationsdatei von ejabberde "ejabberd.yml" in kleine Abschnitte einteilen und deren Funktion erläutern.
+Ich werde hier die Konfigurationsdatei von ejabberd "ejabberd.yml" in kleine Abschnitte einteilen und deren Funktion erläutern. Der Inhalt der Seite entspricht dem aller Howtos. Wenn du also alle Howtos angewendet hast, sieht deine Konfiguration genau so aus.
-==== ejabber.yml ====
+==== ejabberd.yml ====
 === Kopfzeilen ===
@@ Zeile 30: / Zeile 30: @@
 ### Refer to http://en.wikipedia.org/wiki/YAML for the brief description.
 ###</code>
+=== Auth und MySQL ===
+<code>auth_password_format: scram     ### Art der Passwortspeicherung, scram: gehast und gesalzen
+auth_scram_hash: sha512         ### Hash-Algorhytmus
+sql_type: mysql
+sql_server: "localhost"
+sql_database: "ejabberd"
+sql_username: "ejabberd"
+sql_password: "<geheim>"
+auth_method: sql
+default_db: sql                 ### Grundsätzlich alles in SQL, nicht mnesia Speicher
+default_ram_db: sql</code>
 === Hosts, Loglevel und Zertifikate ===
@@ Zeile 100: / Zeile 115: @@
     turn_ipv4_address: <0.0.0.0>   ### Welche IPv4 Adresse soll verwendet werden, muss definiert werden, Platzhalter für "alle IP Adressen" unzulässig
     turn_ipv6_address: <::>        ### Welche IPV6 Adresse soll verwendet werden, muss definiert werden, Platzhalter für "alle IP Adressen" unzulässig
-    auth_type: user                ### Wer darf den Server nutzen, alle registrierten User
+    auth_type: user                ### Wer darf den Server nutzen, alle registrierten User:innen
     auth_realm: <beispiel.de>      ### Welche Domain wird verwendet
     module: ejabberd_stun
@@ Zeile 123: / Zeile 138: @@
     auth_realm: <beispiel.de>
     module: ejabberd_stun
+  -
+    port: 5360                      ### Beispielport für die Einbindung externer Komponenten
+    module: ejabberd_service        ### Einbindung eines Transports als service
+    check_from: false
+    hosts:
+      "whatsapp.<beispiel.de>":     ### wie lautet der eindeutige Hostname des Transports. Für jedes Transport muss ein eigener Block mit eigenem Port existieren.
+        password: "<geheim>"        ### Passwort zur internen Anmeldung
+    access: all                     ### Alle haben Zugriff
   -
     port: 1883                     ### ejabberd bietet auch MQTT, wird vielleicht in einem späteren Howto vorkommen
@@ Zeile 149: / Zeile 172: @@
 === ACL ===
-<code>acl:                                 ### Access Listen definieren Listen mit unterschiedlichen Inhalten
+<code>### Access Listen definieren Listen mit unterschiedlichen Inhalten. Statt ACL könnte man auch Gruppe sagen, die Personen, Server oder IP Adressen enthält.
+acl:
   admin:                             ### ACL mit Namen "admin"
-    user:                            ### ACL "admin" enhält "user"
+    user:                            ### ACL "admin" enthält user
       - <benutzer1>@<beispiel.de>    ### 1. User der Liste "admin"
       - <benutzer2>@<beispiel.de>    ### 2. User der Liste "admin
@@ Zeile 161: / Zeile 185: @@
       - ::1/128
   soft_blocked:                      ### ACL mit Namen "soft_blocked"
-    server:                          ### ACL enthält Server
+    server:                          ### ACL "soft_blocked" enthält Server
       - "<spamserver1.de>"           ### 1. Server der Liste "soft_blocked"
       - "<werbung2.com>"             ### 2. Server der Liste "soft_blocked"
@@ Zeile 171: / Zeile 195: @@
 === Access Rules ===
-<code>access_rules:
+<code>
+### Access Rules geben oder verbieten Zugriff für vorher definierte ACL. Im Listen Block wird unter Port 5222 mit "access: c2s" Bezug auf die Access Rule c2s genommen, die hier definiert wird.
+access_rules:
   local:                        ### Definiere die Access Rule local
     allow: local                ### Erlaube ACL den Inhalt local
   c2s:                          ### Definiere die Access Rule c2s
-    deny: blocked               ### Verbiete den Inhalt von blocked
+    deny: blocked               ### Verbiete den Inhalt von blocked; blocked ist unter ACL nicht definiert, es ist also niemand gesperrt.
     allow: all                  ### Erlaube alles andere
   announce:
@@ Zeile 198: / Zeile 224: @@
 === Captcha ===
-<code>captcha_cmd: "/home/ejabberd/captcha/captcha-ng.sh"
+<code>captcha_cmd: "/home/ejabberd/captcha/captcha-ng.sh"   ### Pfad zum Captcha Scipt
-captcha_url: "https://<beispiel.de>:5443"
+captcha_url: "https://<beispiel.de>:5443"             ### Wo findet der XMPP Client das generierte Captcha
-language: "de"</code>
+language: "de"                                        ### Voreingestellte Sprache: "deutsch", gilt für alle Meldungen vom Server</code>
 === API Berechtigungen ===
-<code>api_permissions:
+<code>###Definition der API Berechtigungen. Die Syntax ist dabei so, wie bei ACL und Access Rules
+api_permissions:
   "console commands":
     from:
@@ Zeile 210: / Zeile 237: @@
     who: all
     what: "*"
-  "admin access":
+  "admin access":                ### Berechtigung Admin Access
     who:
-      access:
+      access:                    ### Direkter Zugriff
         allow:
-          - acl: loopback
+          - acl: loopback        ### Erlaube ACL loopback
-          - acl: admin
+          - acl: admin           ### Erlaube ACL admin
       oauth:
         scope: "ejabberd:admin"
@@ Zeile 235: / Zeile 262: @@
 === Shaper und Shaper Rules ===
-<code>shaper:
+<code>### Bandbreiteneinstellungen
-  normal:
+shaper:                  ### Regel für Bandbreitenbeschränkungen
-    rate: 3000
+  normal:                ### Standardbandbreite
-    burst_size: 20000
+    rate: 3000           ### max 3000bit/s
-  fast: 100000
+    burst_size: 20000    ### kurzfristig sind 20000bit/s erlaubt
+  fast: 100000           ### Bandbreitenregel fast mit 100000 bit/s
 shaper_rules:
-  max_user_sessions: 10
+  max_user_sessions: 10        ### Jede:r Nutzer:in darf 10 gleichzeitige Sitzungen/Verbindungen haben
-  max_user_offline_messages:
+  max_user_offline_messages:   ### Anzahl an offline Messagess, die vom Server verwahrt werden, bis ihr wieder online seid
-: admin
+: admin                ### 5000 für alle die in der ACL admin sind
-: all
+: all                   ### 100 für alle anderen
   c2s_shaper:
-    none: admin
+    none: admin                ### Keine Bandbreitenbeschränkung für die ACL admin
-    normal: all
+    normal: all                ### alle anderen sind in der Shaper Gruppe normal
-  s2s_shaper: fast</code>
+  s2s_shaper: fast             ### Serververbindungen fallen unter die Shaper Gruppe fast</code>
 === Module ===
-modules:
+<code>modules:
   mod_adhoc: {}
   mod_admin_extra: {}
@@ Zeile 260: / Zeile 288: @@
   mod_avatar: {}
   mod_blocking: {}
+  mod_block_strangers:
+    access: strangers
+    captcha: true
   mod_bosh: {}
   mod_caps: {}
@@ Zeile 265: / Zeile 296: @@
   mod_client_state: {}
   mod_configure: {}
-  mod_disco: {}
+  mod_disco:
+    server_info:
+    -
+      modules: all
+      name: "abuse-addresses"
+      urls: ["mailto:<deine-email-adresse>"]
   mod_fail2ban: {}
   mod_http_api: {}
@@ Zeile 274: / Zeile 310: @@
       "Access-Control-Allow-Methods": "GET,HEAD,PUT,OPTIONS"
       "Access-Control-Allow-Headers": "Content-Type"
+  mod_http_upload_quota:
+    max_days: 30
   mod_last: {}
   mod_mam:
@@ Zeile 298: / Zeile 336: @@
     access_max_user_messages: max_user_offline_messages
   mod_ping: {}
+  mod_pres_counter:
+    count: 5
+    interval: 60
   mod_privacy: {}
   mod_private: {}
+  mod_privilege:
+    roster:
+      both:
+       - allow:
+          - server:
+            - "whatsapp.<beispiel.de>"
+    message:
+      outgoing:
+        - allow:
+          - server:
+            - "whatsapp.<beispiel.de>"
+    presence:
+      roster:
+        - allow:
+          - server:
+            - "whatsapp.<beispiel.de>"
   mod_proxy65:
     access: local
@@ Zeile 315: / Zeile 372: @@
   mod_push_keepalive: {}
   mod_register:
-    ## Only accept registration requests from the "trusted"
+    captcha_protected: true
-    ## network (see access_rules section above).
+    access: register
-    ## Think twice before enabling registration from any
-    ## address. See the Jabber SPAM Manifesto for details:
-    ## https://github.com/ge0rg/jabber-spam-fighting-manifesto
-    ip_access: trusted_network
   mod_roster:
     versioning: true
@@ Zeile 327: / Zeile 380: @@
   mod_stream_mgmt:
     resend_on_timeout: if_offline
-  mod_stun_disco: {}
+  mod_stun_disco:
+    credentials_lifetime: 12h
+    services:
+        -
+          host: <0.0.0.0>
+          port: 3478
+          type: stun
+          transport: udp
+          restricted: false
+        -
+          host: <0.0.0.0>
+          port: 3478
+          type: turn
+          transport: udp
+          restricted: true
+        -
+          host: <::>
+          port: 3478
+          type: stun
+          transport: udp
+          restricted: false
+        -
+          host: <::>
+          port: 3478
+          type: turn
+          transport: udp
+          restricted: true
+          -
+          host: <beispiel.de>
+          port: 5349
+          type: stuns
+          transport: tcp
+          restricted: false
+        -
+          host: <beispiel.de>
+          port: 5349
+          type: turns
+          transport: tcp
+          restricted: true
   mod_vcard: {}
   mod_vcard_xupdate: {}