SITE EN TRAVAUX

Ce site suit une démarche éco-responsable. Il est développé en "dark mode", avec des illustrations minimalistes et détourées, pour se cultiver tout en minimisant son empreinte carbone.

Installer Jitsi sur votre NAS Synology via Docker

 Jitsi est une application open source de visioconférence (de messagerie instantanée et voix sur IP)

Ref :         https://jitsi.github.io/handbook/docs/devops-guide/devops-guide-docker

        Visioconférence privée Jitsi sur Synology NAS – Virtualconfusion

1.          Prérequis

1. Avoir un NAS Synology qui supporte le paquet Container Manager (centre de téléchargement).

Modèles compatibles sur la page du site de Synology.

Ou pour les modèles en version DSM 6.2 sur la page du site de Synology.

2. Avoir un nom de domaine (le mien est chez OVH moins de 10€/an). Ex : mondomaine.fr, monsite.com

3. Avoir configuré un certificat Let's Encrypt pour votre sous domaine meet.mondomaine.fr^[a]. Pour cela allez sur votre NAS => panneau de configuration => Sécurité => Certificat

4. Créer un dossier partagé sur votre NAS : docker

B)         Démarrage rapide

Afin d'exécuter rapidement Jitsi Meet sur une machine exécutant Docker et Docker Compose, suivez ces étapes :

1. Créer les répertoires : docker-jitsi-config et docker-jitsi-meet-master dans le répertoire partagé docker

2. Créer les répertoires : jibri, jicofo,   docker-jitsi-config

3. Téléchargez le fichier zip suivant docker-jitsi-meet-maste.zip.

4. Extrayez sur votre NAS le contenu du fichier zip, dans le dossier /docker/docker-jitsi-meet-master (dossier créé au point A-1)

5. Allez dans le dossier /docker/docker-jitsi-meet-master et faite une copie du fichier env.example dans un fichier avec pour nom .env

6. Ouvrez une console SSH sur votre NAS

7. Allez dans le dossier que vous venez de créer, la commande sera quelque chose comme (selon le nom de votre volume, ici le mien est volume1) :

  cd /volume1/docker/docker-jitsi-meet-master

8. Lancer le script suivant (il va générer automatiquement des mots de passe dans le fichier .env pour sécuriser les communications entre les différents services qui sont utilisés par JITSI)  :

   ./gen-passwords.sh

9. Dans le dossier docker-jitsi-config, créez les sous-dossiers dans lequel stocker les fichiers de configuration :

• jibri
• jicofo
• jigasi
• jvb
• prosody
• transcritps
• web

10. Dans le dossier prosody, créez les sous-dossiers :

• config
• prosody-plugins-custom

Cette ligne horizontale signifie que je me suis arrêté là le tuto, et la suite est la traduction google du site en anglais dont je me sert pour faire le tuto. Je continue petit à petit. Pour me contacter => yohan.aloe@hotmail.fr

11. Modifiez le fichier .env et remplacez la ligne CONFIG=~/.jitsi-meet-cfg par CONFIG=/volume1/docker/docker-jitsi-config

12. Activez l’authentification, l’accès invité et l’authentification interne :

13. ENABLE_AUTH=1

14. ENABLE_GUESTS=1

15. AUTH_TYPE=internal

16. Personnalisez les lignes liées à votre environnement et à l’adresse IP de l’hôte docker (votre interface NAS). J’utilise le DNS effrayé pour acheminer mon domaine personnel vers l’adresse IP publique de mon NAS.
18. PUBLIC_URL=https://meet.mydomain.com
20. DOCKER_HOST_ADDRESS=192.168.X.X
22. Vous pouvez maintenant créer et exécuter les conteneurs docker :
24. docker-compose up -d
26. Pour protéger l’accès à votre solution de réunion, connectez-vous au conteneur Prosody :
28. docker exec -it docker-jitsi-meet-master_prosody_1 /bin/bash
30. et créez l’enregistrement de votre utilisateur :
31. prosodyctl --config /config/prosody.cfg.lua register TheDesiredUsername meet.jitsi TheDesiredPassword
33. Vous pouvez utiliser le proxy inverse Synology NAS pour rediriger votre domaine HTTPS vers votre conteneur sur le port 8443 (Application Portal > Reverse Proxy > Create). C’est obligatoire pour disposer d’une solution entièrement fonctionnelle. (éviter les problèmes avec le contenu vidéo)
36. Vous devez également générer un certificat et l’installer sur votre NAS (Security > Certificates > Create)
38. J’utilise un certificat letsencrypt mais vous pouvez aussi en importer un.
41. Configurer le certificat à présenter pour meet.mydomain.com (Certificats de > de sécurité > Configurer)
43. Une fois ces étapes terminées, vous devriez disposer d’une solution de visioconférence privée fonctionnelle, avec un accès hôte et invité authentifié activé sur votre Synology NAS.
45. Définissez des mots de passe forts dans les options de la section de sécurité du .env fichier en exécutant le script bash suivant
46. ./gen-passwords.sh
47. Créer CONFIG les répertoires requis

• Pour Linux :

48. mkdir -p ~/.jitsi-meet-cfg/{web,transcripts,prosody/config,prosody/prosody-plugins-custom,jicofo,jvb,jigasi,jibri}

• Pour les fenêtres:

49. echo web,transcripts,prosody/config,prosody/prosody-plugins-custom,jicofo,jvb,jigasi,jibri | % { mkdir "~/.jitsi-meet-cfg/$_" }
50. Courir docker-compose up -d
51. Accédez à l'interface utilisateur Web sur https://localhost:8443(ou sur un autre port, au cas où vous auriez modifié le .env fichier).

NOTE

HTTP (et non HTTPS) est également disponible (sur le port 8000, par défaut), mais c'est par exemple pour une configuration de proxy inverse ; l'accès direct via HTTP au lieu de HTTPS entraîne des erreurs WebRTC telles que Échec de l'accès à votre microphone/caméra : impossible d'utiliser le microphone/la caméra pour une raison inconnue. Impossible de lire la propriété « getUserMedia » de undefined ou navigator.mediaDevices est undefined .

Si vous souhaitez également utiliser jigasi, configurez d'abord votre fichier env avec les informations d'identification SIP, puis exécutez Docker Compose comme suit :

docker-compose -f docker-compose.yml -f jigasi.yml up

Si vous souhaitez activer le partage de documents via Etherpad , configurez-le et exécutez Docker Compose comme suit :

docker-compose -f docker-compose.yml -f etherpad.yml up

Si vous souhaitez également utiliser jibri, configurez d'abord un hôte comme décrit dans la section de configuration de JItsi BRoadcasting Infrastructure, puis exécutez Docker Compose comme suit :

docker-compose -f docker-compose.yml -f jibri.yml up -d

ou pour utiliser jigasi aussi :

docker-compose -f docker-compose.yml -f jigasi.yml -f jibri.yml up -d

Développement de tests / builds

Téléchargez le dernier code :

git clone https://github.com/jitsi/docker-jitsi-meet && cd docker-jitsi-meet

NOTE

Le code master est conçu pour fonctionner avec les images instables. Ne l'exécutez pas avec les images de version.

Courez docker-compose up comme d'habitude.

Chaque jour, une nouvelle version d'image "instable" est téléchargée.

Construire vos propres images

Téléchargez le dernier code :

git clone https://github.com/jitsi/docker-jitsi-meet && cd docker-jitsi-meet

Le fourni Makefilefournit un moyen complet de créer la pile entière ou des images individuelles.

Pour créer toutes les images :

make

Pour construire une image spécifique (l'image web par exemple) :

make build_web

Une fois que votre version locale est prête, assurez-vous de l'ajouter JITSI_IMAGE_VERSION=latest à votre .env fichier.

Note de sécurité

Cette configuration avait auparavant des mots de passe par défaut pour les comptes internes utilisés dans tous les composants. Afin de sécuriser la configuration par défaut, ceux-ci ont été supprimés et les conteneurs respectifs ne démarreront pas sans avoir défini un mot de passe.

Des mots de passe forts peuvent être générés comme suit : ./gen-passwords.sh Cela modifiera votre .env fichier (une sauvegarde est enregistrée dans .env.bak) et définira des mots de passe forts pour chacune des options requises. Les mots de passe sont générés à l'aide de openssl rand -hex 16.

NE réutilisez AUCUN des mots de passe.

Architecture

Une installation Jitsi Meet peut être décomposée en les composants suivants :

• Une interface web
• Un serveur XMPP
• Un volet axé sur la conférence
• Un routeur vidéo (il peut y en avoir plusieurs)
• Une passerelle SIP pour les appels audio
• Une infrastructure de diffusion pour enregistrer ou diffuser une conférence.

Le diagramme montre un déploiement typique dans un hôte exécutant Docker. Ce projet sépare chacun des composants ci-dessus dans des conteneurs interconnectés. À cette fin, plusieurs images de conteneurs sont fournies.

Ports externes

Les ports externes suivants doivent être ouverts sur un pare-feu :

• 80/tcppour Web UI HTTP (vraiment juste pour rediriger, après avoir ENABLE_HTTP_REDIRECT=1décommenté .env)
• 443/tcppour l'interface utilisateur Web HTTPS
• 10000/udppour les médias RTP sur UDP

Également 20000-20050/udppour jigasi, au cas où vous choisiriez de le déployer pour faciliter l'accès SIP.

Par exemple, sur un serveur CentOS/Fedora, cela se ferait comme ceci (sans accès SIP) :

sudo firewall-cmd --permanent --add-port=80/tcp

sudo firewall-cmd --permanent --add-port=443/tcp

sudo firewall-cmd --permanent --add-port=10000/udp

sudo firewall-cmd --reload

Consultez la section correspondante dans le guide de configuration manuelle .

Images

• base : image de base stable Debian avec l' overlay S6 pour le contrôle des processus et les référentiels Jitsi activés. Toutes les autres images sont basées sur celle-ci.
• base-java : Idem que ci-dessus, plus Java (OpenJDK).
• web : interface utilisateur Web Jitsi Meet, servie avec nginx.
• prosody : Prosody , le serveur XMPP.
• jicofo : Jicofo , le composant focus XMPP.
• jvb : Jitsi Videobridge , le routeur vidéo.
• jigasi : Jigasi , la passerelle SIP (audio uniquement).
• jibri : Jibri , l'infrastructure de diffusion.

Considérations de conception

Jitsi Meet utilise XMPP pour la signalisation, d'où la nécessité du serveur XMPP. La configuration fournie par ces conteneurs n'expose pas le serveur XMPP au monde extérieur. Au lieu de cela, il reste complètement scellé et le routage du trafic XMPP s'effectue uniquement sur un réseau défini par l'utilisateur.

Le serveur XMPP peut être exposé au monde extérieur, mais cela sort du cadre de ce projet.

Configuration

La configuration s'effectue via des variables d'environnement contenues dans un .envfichier. Vous pouvez copier le env.examplefichier fourni comme référence.

NOTE

Les applications mobiles ne fonctionneront pas avec des certificats auto-signés (valeur par défaut). Voir ci-dessous pour obtenir des instructions sur la façon d'obtenir un certificat approprié avec Let's Encrypt.

Configuration TLS

Chiffrons la configuration

Si vous souhaitez exposer votre instance Jitsi Meet directement au trafic extérieur, mais que vous ne possédez pas de certificat TLS approprié, vous avez de la chance car la prise en charge de Let's Encrypt est intégrée. Voici les options requises :

De plus, vous devrez définir HTTP_PORTà 80 et HTTPS_PORTà 443 et PUBLIC_URL votre domaine. Vous pouvez également envisager de rediriger le trafic HTTP vers HTTPS en définissant ENABLE_HTTP_REDIRECT=1.

Avertissement de limite de débit de Let's Encrypt : Let's Encrypt a une limite au nombre de fois que vous pouvez soumettre une demande de nouveau certificat pour votre nom de domaine. Au moment de la rédaction de cet article, la limite actuelle est de cinq nouveaux certificats (en double) pour le même nom de domaine tous les sept jours. Pour cette raison, il est recommandé de désactiver les variables d'environnement Let's Encrypt .env si vous envisagez de supprimer le .jitsi-meet-cfg dossier. Sinon, vous souhaiterez peut-être envisager de déplacer le .jitsi-meet-cfg dossier vers un autre emplacement afin de disposer d'un endroit sûr pour trouver le certificat déjà émis par Let's Encrypt. Ou effectuez les tests initiaux avec Let's Encrypt désactivé, puis réactivez Let's Encrypt une fois les tests terminés.

NOTE

Lorsque vous quittez LETSENCRYPT_USE_STAGING, vous devrez effacer manuellement les certificats de .jitsi-meet-cfg/web.

Pour plus d'informations sur les limites de débit de Let's Encrypt, visitez : https://letsencrypt.org/docs/rate-limits/

Utilisation du certificat et de la clé

Si vous possédez un certificat TLS approprié et n'avez pas besoin d'un certificat Let's Encrypt, vous pouvez configurer le conteneur Jitsi Meet pour l'utiliser.

Contrairement aux certificats Let's Encrypt, cela n'est pas configuré via le .env fichier, mais en indiquant web au service de Jitsi Meet de monter les deux volumes suivants :

• monter /path/to/your/cert.key le fichier sur /config/keys/cert.key le point de montage
• monter /path/to/your/cert.full chain le fichier sur le /config/keys/cert.crtpoint de montage.

Le faire dans docker-compose.ymlun fichier devrait ressembler à ceci :

services:

   web:

       ...

       volumes:

           ...

           - /path/to/your/cert.fullchain:/config/keys/cert.crt

           - /path/to/your/cert.key:/config/keys/cert.key

Configuration des fonctionnalités (config.js )

Configuration de la passerelle Jigasi SIP (audio uniquement)

Si vous souhaitez activer la passerelle SIP, ces options sont requises :

Afficher les informations

Le JSON avec les numéros d'appel devrait ressembler à ceci :

{"message":"Dial-In numbers:","numbers":{"DE": ["+49-721-0000-0000"]},"numbersEnabled":true}

Configuration d'enregistrement / streaming live avec Jibri

Si vous utilisez une version antérieure à 7439, une configuration supplémentaire est nécessaire.

Si vous souhaitez activer Jibri, ces options sont requises :

Configuration Jibri étendue :

Configuration de Jitsi Meet

CETTE SECTION CONTIENT EN PARTIE DES PARAMÈTRES EN DOUBLE

Certains paramètres de votre docker-compose.ymlfichier START_AUDIO_MUTED seront écrasés si vous suivez le guide ci-dessous.

Jitsi-Meet utilise deux fichiers de configuration pour modifier les paramètres par défaut dans l'interface Web : config.jset interface_config.js. Les fichiers se trouvent dans le CONFIGrépertoire configuré dans votre fichier d'environnement.

Ces fichiers sont recréés à chaque redémarrage du conteneur. Si vous souhaitez fournir vos propres paramètres, créez vos propres fichiers de configuration : custom-config.jset custom-interface_config.js.

Il suffit de fournir uniquement vos paramètres pertinents, les scripts Docker ajouteront vos fichiers personnalisés à ceux par défaut !

Authentification

L'authentification peut être contrôlée avec les variables d'environnement ci-dessous. Si l'accès invité est activé, les utilisateurs non authentifiés devront attendre qu'un utilisateur s'authentifie avant de pouvoir rejoindre une salle. Si l'accès invité n'est pas activé, chaque utilisateur devra s'authentifier avant de pouvoir rejoindre.

Si l'authentification est activée, une fois qu'un utilisateur authentifié s'est connecté, il est toujours connecté avant l'expiration du délai de session. Vous pouvez ENABLE_AUTO_LOGIN=0désactiver cette fonctionnalité de connexion automatique par défaut ou limiter JICOFO_AUTH_LIFETIMEla durée de vie de la session.

Authentification interne

Le mode d'authentification par défaut ( internal) utilise les informations d'identification XMPP pour authentifier les utilisateurs. Pour l'activer, vous devez activer l'authentification avec ENABLE_AUTHet définir AUTH_TYPEsur internal, puis configurer les paramètres que vous pouvez voir ci-dessous.

Les utilisateurs internes doivent être créés avec l' prosodyctlutilitaire dans le prosodyconteneur. Pour ce faire, exécutez d’abord un shell dans le conteneur correspondant :

docker-compose exec prosody /bin/bash

Une fois dans le conteneur, exécutez la commande suivante pour créer un utilisateur :

prosodyctl --config /config/prosody.cfg.lua register TheDesiredUsername meet.jitsi TheDesiredPassword

Notez que la commande ne produit aucune sortie.

Pour supprimer un utilisateur, exécutez la commande suivante dans le conteneur :

prosodyctl --config /config/prosody.cfg.lua unregister TheDesiredUsername meet.jitsi

Pour répertorier tous les utilisateurs, exécutez la commande suivante dans le conteneur :

find /config/data/meet%2ejitsi/accounts -type f -exec basename {} .dat \;

Authentification via LDAP

Vous pouvez utiliser LDAP pour authentifier les utilisateurs. Pour l'activer, vous devez activer l'authentification avec ENABLE_AUTHet définir AUTH_TYPEsur ldap, puis configurer les paramètres que vous pouvez voir ci-dessous.