ejabberd: Versionssprünge und Serverumzug

Ende Juli hat jabber.ccc.de die Bedingungen zum Nachrichtenaustausch mit anderen Servern verschärft. Fortan konnten sich nur noch Server verbinden, die Perfect Forward Secrecy (PFS) unterstützen. Der ejabberd des Weimarnetz war in einer so alten Version installiert, die dieses Verfahren noch nicht unterstützte. Das Betriebssystem war auch zu alt, als das aktuelle erlang-Versionen dort lauffähig waren. Wir hatten also 2 Alternativen: Betriebssystemupdate des Servers oder Herauslösen des Dienstes aus diesem Server.

Wir haben uns für Variante 2 entschieden. Da es nur eine Hand voll Nutzer gibt und unsere Jabber-IDs immer wieder mit Emailadressen verwechselt wurden entschieden wir uns außerdem, die Domain von weimarnetz.de auf jabber.weimarnetz.de zu ändern.

Umzug des Servers und Update ejabberd

Zunächst wurde eine neue virtuelle Maschine mit Debian Jessie inklusive ejabberd installiert. Die Platten sind verschlüsselt. Auf dem alten Server war Version 2.11 installiert, die neue Version ist 14.05. Da sich Domain und Hostname ändern musste zunächst der Nodename von ejabberd@weimarnetz auf ejabberd@jabber in der mnesia-Datenbank geändert werden. Wie das geht ist bei ejabberd dokumentiert. Zusätzlich müssen noch die Domainnamen in der Benutzerdatenbank angepasst werden. Mit ejabberdctl wurde ein Dump in eine Textdatei erstellt. Dort wurden alle Instanzen von weimarnetz.de durch jabber.weimarnetz.de ersetzt. Anschließend wurde dieser Dump wieder geladen.

SSL-Zertifikat

Der Server ist mit einem SSL-Zertifikat ausgestellt, das von StartCom unterschrieben wurde. Für die nächsten zwei Jahre sollte es von Clients keine Zertifikatswarnungen geben. Die Kommunikation zwischen Clients und Servern sowie zwischen Server ist damit verschlüsselt und durch PFS geschützt.

Nutzeraufgaben

Die Registrierung für Nutzer ist am Server offen. Bestehende Nutzer müssen im Client die Domain ihres Accounts von weimarnetz.de auf jabber.weimarnetz.de ändern. Die Passwörter wurden nicht angefasst. Durch die neue Nutzerkennung müssen auch die Autorisierungen für alle Verbindungen erneuert werden. Das ist der einzige Nachteil an diesem Vorgehen.

Mit dieser Herauslösung können wir nun mit dem Server flexibler agieren, die Maschine verschieben und leichter aktualisieren. Für die Zukunft ist noch geplant, XMPP-Transporte für ICQ, XMPP (Facebook, Google Talk) und IRC zu installieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert