Matrix Element и Jitsi с прозрачной авторизацией и аватаром

Введение

В одной небольшой организации, плотно сидевшей на продуктах майкрософт, для коммуникаций использовался lync (skype), интегрированный с AD. В один момент руководству надоел аська-стайл мессенджер. К тому же вызывало дикое раздражение обмен картинками в lync — захотел передал, захотел не передал, в групповых чатах картинки вообще непонятно где прятались. Решили перейти на современные.

Итак, задача — мессенджер и ВКС, но чтобы запускался как lync с полным именем и аватаром, без запроса логинов и паролей.

Выбор пал на matrix element и jitsi. Не буду описывать нудные критерии выбора, в сети много обзоров.

Все данные о пользователях хранятся в AD, значит авторизация по kerberos, а данные получаем по ldap. Нас интересует конкретно только три параметра — полное имя, почта, аватар.

Вводные данные:

  • сервер — linux debian

  • клиент — matrix element

  • matrix сервер — synapse с авторизацией oidc

  • провайдер авторизации — keycloak

  • ВКС — jitsi

  • web сервер — apache

Сервер предварительно вводим в домен и генерируем keytab файл. Я сделал это двумя командами:

$ net ads join
$ net ads keytab add http/m.example.local@EXAMLE.LOCAL

Не принципиально как это делать, главное, чтобы у нас в системе был файл /etc/krb5.keytab с server principal = http/m.example.local@EXAMPLE.LOCAL.
В тексте ниже опустим описание установок задействованных приложений, в интернете уйма руководств, не будем засорять пространство.

Установка keycloak

Устанавливаем согласно официальной документации, ничего сложного нет.
Создаем в интерфейсе администрирования новый realm с именем synapse. В новом realm создаем клиента с именем synapse, включаем Client authentication и Authorization в ON, остальное по-умолчанию. Запоминаем, что во вкладке Credentials находится ClientSecret, который нам пригодится позже.

48c557ea5a2d0850538acb2670d72f26.png

Идем в Identity providers, создаем новый с Alias=synapse, Client ID=synapse. Остальное по умолчанию.

Идем в User federation, добавляем LDAP провайдера, в нем стандартные параметры топопривязки ldap — server, bind dn и т.д. Главное включаем kerberos, здесь как раз пригодился Server principal из введения.

c2f5cd7e6543eff18697d1b0139fd0ac.png

Не забываем, что нужна фотография для аватара пользователя, поэтому переключаемся на вкладку Mappers и добавляем mapper с именем picture. Ldap атрибут wWWHomePage содержит ссылку на jpeg фото пользователя. Остальные значения имени и почты там уже присутствуют.

eaf1ce388a00ff31e1ab1663cfd3639b.png

Установка synapse

Устанавливаем согласно официальной документации, тут тоже все без сложностей. В данной ситуации нас интересует только интеграция с keycloak. Параметр client_secret берем из установки keycloak. В ip_range_whitelist добавляем локальные сети, без этого synapse не будет качать фото из picture_template.

ip_range_whitelist:
  - '172.16.0.0/12'
  - '192.168.0.0/16'

oidc_providers:
  - idp_id: keycloak
    idp_name: "EXAMPLE"
    issuer: "https://m.example.local:8443/realms/synapse"
    client_id: "synapse"
    # секрет берем из установки keycloak
    client_secret: "АБРАКАДАБРА"
    scopes: ["openid", "profile"]
    user_mapping_provider:
      config:
        localpart_template: "{{ user.preferred_username }}"
        display_name_template: "{{ user.given_name }}"
        email_template: "{{ user.email }}"
        # именно picture как в mapper установки keycloak 
        picture_template: "{{ user.picture }}"
    backchannel_logout_enabled: false
    allow_existing_users: true

Установка jitsi

Ну все как обычно — официальная документация, сложностей ноль. В качестве web сервера выбираем apache с доменным именем v.example.local.

После установки отключаем опцию prejoin. Нам не надо запрашивать имя пользователя, ведь мы все делаем автоматически.

На будущее в файле /etc/jitsi/meet/${HOSTNAME}-config.js зададим параметр для gravatar. Просто так.

    prejoinConfig: {
         enabled: false,
    },

    gravatar: {
         baseUrl: 'https://va.example.local/avatar/',
    },

Клиент element

Запускаем с параметром --profile на директорию, содержащую файл config.json:

{
    "default_server_config": {
        "m.homeserver": {
            "base_url": "https://m.example.local",
            "server_name": "m.example.local"
        }
    },
    "disable_custom_urls": true,
    "disable_guests": true,
    "disable_login_language_selector": false,
    "disable_3pid_login": true,
    "force_verification": false,
    "default_country_code": "RU",
    "default_federate": false,
    "default_theme": "dark",
    "permalinkPrefix": "https://m.example.local",
    "room_directory": {
        "servers": ["m.example.local"]
    },
    "jitsi": {
        "preferred_domain": "v.example.local"
    }
}

Запускаем.
Выбираем «Продолжить с EXAMPLE».

66121a31af1e170538634bf0cc731ddc.png

Continue.

9b496cae5928dc9ad03129a17b730169.png

Виола!
Клиент запустился, подтянул имя пользователя, почту, аватар и при этом ничего не просил вводить руками, просто два клика. Проверяем виджет с групповой видеоконференцией. Тоже все работает как надо. Имя и аватар на месте.

Можно сдавать проект? А вот и нет. Руководство хочет отдельно пользоваться ВКС без запуска виджета в element.

Настройка jitsi

Вернее до-настройка.
После погружения в тему выяснилось, что jitsi у себя не хранит полное имя, почту и аватар. Даже при настройке авторизации через ldap не подтягивает оттуда ничего. Все эти три параметра динамические и задаются в строке url через якори, а якори не передаются на сторону сервера.
Решаю создать еще один виртуальный хост с авторизацией kerberos — va.example.local. Сначала думал добавить модуль mod_gssapi в apache, он возвращает principal имя и по нему задавать фильтр для выборки из ldap полного имени и фото пользователя и потом перенаправлять на v.example.local с якорями. Но потом вспомнил, что у нас же есть уже настроенный keycloak, значит ставим модуль mod-auth-openidc, который сразу отдает все значения в переменные окружения веб сервера. Пишем временный cgi скрипт для вывода переменных. Вот же они все, начинаются на OIDC_CLAIM_*. Бери и пользуйся.

6ac13eb3e9e314c6e5c5f6f231370c92.png

Запускаем виртуальный хост на apache. Идея такая — пользователь заходит на https://va.example.local, модуль mod-auth-openidc его прозрачно авторизует и сразу работает перенаправление на v.example.local с якорями имени и почты. Аватар jitsi скачает с адреса в параметре gravatar.baseUrl, а он у нас уже задан при установке jitsi.


    ServerName va.example.local

    DocumentRoot /var/www/va


    # ...
    # ... стандартные настройки для SSL, логов и т.д.
    # ...

    OIDCProviderMetadataURL https://m.example.local:8443/realms/synapse/.well-known/openid-configuration
    OIDCRedirectURI https://va.example.local/private
    OIDCCryptoPassphrase some_password
    OIDCClientID synapse
    # здесь указываем секрет из установки keycloak, 
    # он такой же как client_secret в synapse
    OIDCClientSecret АБРАКАДАБРА
    OIDCProviderTokenEndpointAuth client_secret_basic
    OIDCRemoteUserClaim email
    OIDCScope "openid email"
    OIDCPassClaimsAs environment none

    
        AuthType openid-connect
        Require valid-user
    

    ScriptAlias "/index.cgi" "/var/www/va/index.cgi"
    RewriteEngine on
    RewriteRule ^/([a-zA-Z0-9]+)$ /index.cgi [PT]

Создаем cgi скрипт /var/www/va/index.cgi. Здесь на bash, но можно написать на чем угодно. Хэш для фейкового gravatar-а считаю MD5, потому что jitsi почему-то по нему обращается, хотя везде в руководствах написано SHA256.

#!/bin/bash

# disable filename globbing
set -f

echo "Content-type: text/html; charset=utf-8"
echo


# должны быть права на запись в директорию /var/www/va
[ -d /var/www/va/avatar/photo ] || mkdir -p /var/www/va/avatar/photo


# качаем jpg файл с фото пользователя
/usr/bin/wget -q -nc --timeout=5 --no-proxy --directory-prefix /var/www/va/avatar/photo/ "$OIDC_CLAIM_picture"


# считаем MD5 сумму почтового адреса 
HASHMD5=`echo -n "$OIDC_CLAIM_email" | /usr/bin/md5sum | /usr/bin/awk '{print $1}'`


# создаем ярлык на фото пользователя
[ -f /var/www/va/avatar/$HASHMD5 ] || \
	ln -s /var/www/va/avatar/photo/`basename "$OIDC_CLAIM_picture"` /var/www/va/avatar/$HASHMD5

# перенаправляем клиента на адрес jitsi с параметрами имени и почты
echo "
    
        
        
        Page Redirection
    
    
    











"

Заходим браузером на https://va.example.local и сразу оказываемся на https://v.example.local. Видим стартовую страницу jitsi. Создаем конференцию и у нас имя, почта и аватар на месте. Ни одного ручного ввода ввода пользователь не сделал.

da39137d08f3fecf867740d49fe9dc8d.png

Но ведь у нас домен для ВКС v.example.local, а не va.example.local. Пользователь зайдет напрямую на v.example.local и увидит пустую заглушку. Вот бы сделать так, чтобы при входе на v.example.local веб сервер понимал когда на него зашли напрямую, а когда с va.example.local. Для этого есть переменная HTTP_REFERER. Пробуем.
Открываем стандартный конфиг jitsi виртуального хоста веб сервера, перед единственной директивой RewriteRule добавляем четыре строки:


    # ...
    # ... стандартный конфиг для jitsi
    # ...
    RewriteEngine on

    #- начало вставки ----------
    RewriteCond expr "! %{HTTP_REFERER} -strmatch '*://va.example.local*'"
    RewriteCond expr "! %{HTTP_REFERER} -strmatch '*://m.example.local*'"
    RewriteCond expr "! %{HTTP_USER_AGENT} -strmatch '*Element*'"
    RewriteRule ^/([a-zA-Z0-9]+)$ https://va.example.local/$1 [R]
    #- конец вставки ----------

    RewriteRule ^/([a-zA-Z0-9]+)$ /index.html

Проверяем. Заходим браузером на https://v.example.local. Можно после доменного имени сразу указать subdir, в случае jitsi это означает название конференции. В любом случае идет перенаправление на va.example.local и обратно. Это происходит мгновенно, даже не заметно. В итоге пользователь назван и высокохудожественно изображен. При этом как и хотели никакого ручного ввода не было (ну кроме адреса в адресной строке).

Ну и само собой если используются самоподписанные корневые центры сертификации, их сертификаты надо добавить в доверенные на системе:

  1. системное хранилище java — cacerts

  2. скопировать pem файлы в /etc/ssl/certs, потом c_rehash.

© Habrahabr.ru