Установка и базовая настройка Jitsi на Ubuntu

Обновлено и опубликовано Опубликовано:

В данной инструкции мы сделаем небольшой обзор по развертыванию сервиса проведения конференцсвязи Jitsi на Linux Ubuntu. 

Предварительная настройка

Прежде чем приступить к установке Jitsi, выполним работы по подготовке системы.

Правила брандмауэра

Для корректной работы сервера видеоконференции нам нужно открыть следующие порты:

  • TCP/80 — для получения и обновления бесплатных сертификатов от Let's Encrypt.
  • TCP/443 — для доступа клиентов к coturn.
  • UDP/10000 — для отправки/получения аудио/видео пакетов в JVB.
  • TCP/4443 — для приема и передачи шифрованного трафика вызова.

Вводим команды:

iptables -I INPUT -p tcp --match multiport --dports 80,443 -j ACCEPT

iptables -I INPUT -p udp --dport 10000 -j ACCEPT

iptables -I INPUT -p tcp --dport 4443 -j ACCEPT

Также нам может потребоваться открыть дополнительные порты:

  • TCP/5222 — если есть дополнительный JVB или дополнительный Jibri на отдельной машине.
  • TCP/5349 — для coturn, если установить порт для turn в /etc/prosody/conf.d/<домен>.cfg.lua.
  • UDP/3478 — для coturn, если установить порт для turn в /etc/prosody/conf.d/<домен>.cfg.lua.
  • TCP/8080 — если вам нужен доступ к Colibri REST API.
  • TCP/8888 — для доступа к Jicofo REST API.

Выполняем:

iptables -I INPUT -p tcp --dport 5222 -j ACCEPT

iptables -I INPUT -p tcp --dport 5349 -j ACCEPT

iptables -I INPUT -p udp --dport 3478 -j ACCEPT

iptables -I INPUT -p tcp --dport 8080 -j ACCEPT

iptables -I INPUT -p tcp --dport 8888 -j ACCEPT

Для сохранения правил используем netfilter-persistent:

apt install iptables-persistent

netfilter-persistent save

Настройка репозиториев

В стандартных хранилищах пакетов Ubuntu нет Jitsi и необходимых для нее компонентов. Выполним необходимые настройки.

1. Добавляем репозиторий universe:

apt-add-repository universe

Если мы получим сообщение:

'universe' distribution component is already enabled for all sources.

... значит он уже есть в нашей системе. Идем дальше.

2. Также добавим репозиторий packages.prosody.im:

echo deb http://packages.prosody.im/debian $(lsb_release -sc) main | sudo tee -a /etc/apt/sources.list

... и установим его ключ:

wget https://prosody.im/files/prosody-debian-packages.key -O- | sudo apt-key add -

3. Установим теперь репозиторий и gpg-ключ для самого jitsi:

curl https://download.jitsi.org/jitsi-key.gpg.key | sudo sh -c 'gpg --dearmor > /usr/share/keyrings/jitsi-keyring.gpg'

echo 'deb [signed-by=/usr/share/keyrings/jitsi-keyring.gpg] https://download.jitsi.org stable/' | sudo tee /etc/apt/sources.list.d/jitsi-stable.list > /dev/null

Обновим кэш apt:

apt update

Настройка закончена.

Имя сервера

Для установки jitsi важно задать имя сервера, а также обеспечить его разрешение в локальный адрес. Для получения бесплатного сертификата от Let's Encrypt данное имя также должно разрешаться из Интернет и вести на наш сервер по портам 80 и 443.

Выполняем команду:

hostnamectl set-hostname jitsi.dmosk.ru

* где jitsi.dmosk.ru — имя нашего сервера.

Открываем файл:

vi /etc/hosts

К строке 127.0.0.1 добавим имя нашего сервера, например:

127.0.0.1 jitsi.dmosk.ru localhost

* обратите внимание, чтобы полное имя сервера шло перед localhost.

Мы готовы приступить к установке сервиса видеосвязи.

Установка jitsi

Мы готовы к установке программного обеспечения из настроенных репозиториев. Для этого вводим команду:

apt install jitsi-meet

В ходе установки система задаст несколько вопросов.

Указываем имя нашего сервера (его мы задавали при подготовке сервера):

Вводим имя нашего сервера при установке Jitsi

* где jitsi.dmosk.ru — то имя, которое мы задали серверу и указали в файле hosts.

Теперь установщик предложит создать самоподписанный сертификат или использовать уже имеющийся. В нашем примере мы дадим ответ для создания сертификата:

Сгенерировать самоподписанный сертификат

Готово. Jitsi установлен.

Для запуска первой конференции переходим по ссылке https://jitsi.dmosk.ru, где jitsi.dmosk.ru — имя нашего сервера. Откроется веб-интерфейс (браузер отобразит ошибку безопасности из-за самоподписанного сертификата — игнорируем) и мы можем сразу перейти к созданию конференции, кликнув по Создать конференцию:

На стартовом окне Jitsi мы можем перейти к созданию конференции

Настройка SSL

Для корректной работы сервера нужен правильный сертификат. Его можно купить или получить бесплатно от Let's Encrypt. Рассмотрим оба варианта.

1. Бесплатный от Let's Encrypt

Для начала нам нужно получить сертификат. Для этого в Jitsi есть готовый скрипт — запускаем его:

/usr/share/jitsi-meet/scripts/install-letsencrypt-cert.sh

Система потребует ввести адрес электронной почты: 

Enter your email and press [ENTER]: master@dmosk.ru

После нажатия ENTER будет выполнена проверка имени хоста, который мы указали при установке (он должен вести на наш сервер по портам 80 и 443). Если проверка пройдена, мы увидим сообщение об успешном получении сертификата и путь до файлов fullchain.pem и privkey.pem.

Сертификат установлен.

2. Использование своего сертификата

Предположим, мы купили сертификат и поместили его по путям /etc/jitsi/meet/jitsi.dmosk.ru.crt (открытый ключ) и /etc/jitsi/meet/jitsi.dmosk.ru.key (закрытый).

Открываем конфигурационный файл nginx:

vi /etc/nginx/sites-enabled/$(hostname).conf

* где $(hostname) должен вернуть jitsi.dmosk.ru — имя, которое мы задали серверу.

Находим директивы ssl_certificate и ssl_certificate_key. Для них задаем правильные пути до сертификатов:

    ssl_certificate /etc/jitsi/meet/jitsi.dmosk.ru.crt;
    ssl_certificate_key /etc/jitsi/meet/jitsi.dmosk.ru.key;

После проверяем корректность конфигурационного файла и перезапускаем nginx:

nginx -t && nginx -s reload

Сертификат установлен.

Настройка аутентификации

По умолчанию после установки Jitsi пользователи могут заходить в систему и создавать комнаты для беседы без проверки подлинности. Для того, чтобы наша система требовала ввода логина и пароля, меняем настройку нашего сервера.

В первую очередь, откроем на редактирование конфигурационный файл компонента Prosody XMPP:

vi /etc/prosody/conf.avail/$(hostname).cfg.lua

Находим группу опций VirtualHost "<имя сервера>" и приводим к виду опции:

VirtualHost "jitsi.dmosk.ru"
    -- authentication = "jitsi-anonymous" -- do not delete me
    authentication = "internal_hashed"
    ...

* мы закомментировали строку с jitsi-anonymous, чтобы запретить анонимные соединения и добавили authentication = "internal_hashed", чтобы требовать аутентификацию по логину и паролю.

Также в самый низ данного файла добавим:

...
VirtualHost "guest.jitsi.dmosk.ru"
    authentication = "anonymous"
    c2s_require_encryption = false

* в данном примере мы определяем хост guest.jitsi.dmosk.ru для анонимных запросов. Они нужны для возможности гостевого подключения к созданным конференциям. Важно отметить, что данное имя узла является внутренним и его нам не нужно добавлять в систему NS для его разрешения в IP-адрес.

Теперь откроем файл:

vi /etc/jitsi/meet/$(hostname)-config.js

Найдем строки:

    hosts: {
        // XMPP domain.
        domain: 'jitsi.dmosk.ru'

* где jitsi.dmosk.ru — имя нашего узла.

Добавим ниже строку с опцией anonymousdomain:

    hosts: {
        // XMPP domain.
        domain: 'jitsi.dmosk.ru'
        anonymousdomain: 'guest.jitsi.dmosk.ru',

* данной строкой мы передаем серверу инструкцию, на каком хосте выполнять аутентификацию для анонимных пользователей.

Создаем файл:

vi /etc/jitsi/jicofo/sip-communicator.properties

org.jitsi.jicofo.auth.URL=XMPP:jitsi.dmosk.ru

* где jitsi.dmosk.ru — имя нашего узла.

Перезапускаем службы:

systemctl restart jitsi-videobridge2 prosody jicofo

Создаем учетную запись для модератора (пользователя, под которым можно авторизоваться, чтобы создать комнату):

prosodyctl register admin $(hostname)

* в данном примере мы создаем пользователя admin.

После ввода команды система попросит ввести пароль для создаваемого пользователя. Придумываем и дважды его вводим.

Пробуем создать конференцию — мы должны увидеть сообщение, требующее дождаться модератора. Говорим, что мы и есть модератор:

Запрос на ожидание модератора

Появится окно для ввода логина и пароля. Вводим данные для созданной учетной записи:

Ввод логина и пароля для получения прав модератора в Jitsi

Мы должны получить права модератора и комната будет создана.

Оптимизация для большого числа участников

С системными настройками по умолчанию рекомендуется использовать Jitsi для 100 пользователей и меньше. Если число участников будет превышать, рекомендуется увеличить параметры:

  • DefaultLimitNOFILE — лимит на количество открытых файлов.
  • DefaultLimitNPROC — лимит на количество открытых процессов.
  • DefaultTasksMax — максимальное число разрешенных процессов.

Открываем файл:

vi /etc/systemd/system.conf

Приводим к виду вышеописанные опции:

DefaultLimitNOFILE=65000
DefaultLimitNPROC=65000
DefaultTasksMax=65000

Применяем настройки:

systemctl daemon-reexec

Проверить применение можно командой:

systemctl show --property DefaultLimitNOFILE

# Мультимедиа # Серверы # Ubuntu # Телефония
Дмитрий Моск — частный мастер
Была ли полезна вам эта инструкция?

Да            Нет