Z řady firem, kde je nasazen, nasazuje se nebo se přemýšlí o nasazení IBM Sametime 8.5.2 dostáváme dotazy, jak je to v Sametime s bezpečností.

Inu, dobře:  máte šifrovány přenosy mezi plným klientem a servery, mezi servery a LDAPem, mezi servery navzájem, mezi webovými klienty a servery, a i ten přenos audia/videa můžete mít šifrovaný s TLS. Můžete mít všechny servery ve vnitřní síti a do DMZ postavit jeden „průchozí server“, který bude sloužit jako proxy externím uživatelům pro všechny služby Sametime, které jim chcete nabídnout.

A nyní k tomu vyšla pěkná shrnující brožurka, popisující bezpečnostní funkce celé infrastruktury, pěkně komponentu po komponentě.

Tento whitepaper si můžete stáhnout zdarma jako PDF (0,5 MB).

Sametime Proxy Server slouží mimo jiné jako webové rozhraní k chatovacím službám. Proxy server sám o sobě nemá pod sebou žádnou složitou logiku, jednoduše slouží jako prostředník mezi prohlížečem uživatele a Community serverem (který běží nad Dominem).

Při konfiguraci Proxy serveru (když děláte jeho deployment plan v ST System Consoli) potřebujete zadat jediné klíčové nastavení: adresu Community serveru, ke kterému se má připojovat. Pokud instalujete Sametime 8.5.x do nového nebo odděleného prostředí, je situace snadná: máte jedno Domino, na něm jeden nový Community Server a jeden nový Proxy server. Proxy se připojí ke Community a lidi mohou chatovat přes lehkého webového klienta.

Co když je ale infrastruktura komplikovanější? Co když mám v notesové doméně jiné, už existující Community servery – nejčastěji to bývají servery Sametime starších verzí, třeba 7.0 nebo 8.0, které nyní fungují jako hlavní servery. A k nim si přidám nový Community Server 8.5.2, který nyní testuji a poté nahradí stávající server.

Proxy Server funguje tak, že při spuštění (WAS server STProxyServer) se připojí ke Community serveru, se kterým byl nakonfigurován, otevře names.nsf v Dominu a stáhne si info nejen o tom „jeho“ Community serveru, ale projde i ostatní serverové dokumenty a dívá se, který z nich má zaškrtnuto políčko Is this a Sametime server? Je to proto, že kvůli vysoké dostupnosti můžete mít dva a více Community serverů, které se navzájem zastupují v případě výpadku. Proxy server chce tedy vědět o každém z nich.

Pokud je toto váš případ (více Community serverů máte záměrně kvůli vysoké dostupnosti), pak nemusíte číst dál. Pokud se na vás hodí spíše případ popsaný dříve (mám sice dva Community servery, ale jsou různých verzí, jeden je ostrý a jeden testovací, nechci je nyní míchat), tak máte možnost Proxy serveru říct, na které Community servery může přistupovat a na které ne.

Protože pro každý Community server musíte nastavit důvěru (trust), které servery (IP adresy) k němu mohou přistupovat a využívat jeho služby, dostanete se do situace, kdy jste trust pro Proxy servery udělali jen pro nový Community server a pro ten starý ne. Proxy server ale zkusí přistoupit na oba a v logu se objeví podobná hlášení:

00000022 STConfigurati I com.ibm.rtc.stproxy.server.config.STConfigurationReader Community Server:  groupPath: \SametimeCommunity\Cluster\Servers\CN=OldChat/O=Space\oldchat.space.cz\oldchat.space.cz
serverFQDN: oldchat.space.cz
cluster: CN=OldChat/O=Space
serverURL: 192.168.50.13

0000001d ServerLogin   W com.ibm.rtc.stproxy.cluster.ServerLogin loggedOut CLFRX0011W: Unable to log in to the Sametime community server CN=OldChat/O=Space. Error message is 80000207

OldChat/Space je právě ten váš starý server, ke kterému nechcete, aby se Proxy připojoval.

Řešení

Rozhodnul jsem se to vyřešit, protože je zbytečné, aby jeden server kontaktoval druhý, když vím, že jej ten druhý vždy odmítne. Našel jsem dvě možnosti:

Vymazání příznaku Sametime serveru

Řešení spočívá v jednoduchém nastavení příznaku Is this a Sametime server? v dokumentu pro server na NO, ke kterému se nechceme připojovat. Dá se to udělat tehdy, když se jedná o nějaký pozůstatek a na Dominu již Sametime neběží.

Nastavení povolených serverů

V tomto případě řekneme Proxy serveru, ke kterým Community serverům se může připojovat. Dělá se to přes webové rozhraní ST System Console, v levém menu vybrat Sametime System Console – Sametime Servers – Sametime Proxy Servers. Napravo potom políčko List of Sametime Community Server cluster names.

Pozor. Jména serverů uvádějte do tohoto políčka v kanonickém formátu, tedy s CN=, O=. Když to uděláte bez toho, tak Proxy server nebude dělat discovery serverů, půjde na ty zadané, ale protože nebudou zadané správně, tak se nikam nepřipojí. A v logu uvidíte:

00000022 ClusterManage E com.ibm.rtc.stproxy.cluster.ClusterManager configurationRead CLFRX0009E: There is no Sametime community Server available.

Kdybyste se chtěli podívat, jestli jsou vaše změny uloženy správně, prohledejte adresáře ve struktuře WAS a najděte soubor stproxyconfig.xml.

Pokud instalujete více komponent z poslední řady IBM Sametime 8.5, než pouze Community server na chatování, potřebujete webspherové komponenty připojit na nějaký LDAP. V našich krajinách to je nejčastěji Domino nebo Active Directory.

Pro připojení serverů k Sametime existuje krásný konfigurační wizard (spouští se ze System Console a určitě jste na něj narazili při čtení kteréhokoliv návodu k instalaci – je to krok číslo tři, hned po instalaci DB2 a System Console). Dělá to, že vás odstíní od vytváření Federated repositories ve WASce ručně.

Budu se věnovat případu, kdy připojujete jako LDAP server Lotus Domino.

Ve starší verzi, 8.5.0, jste museli jako Base DN vyplnit kořen v LDAPu, ke kterému se chcete připojit. Problém je, že Domino nic takového nemá, funguje i bez toho. Jako kořen lze vzít sice „O=Firma“, pokud se váš kořenový dominový certifikát jmenuje „/Firma“, ale potom nepokryjete skupiny, které určitě nepojmenováváte „s lomítky“ v názvu.

Od verze Sametime 8.5.1 je to vše vyřešeno. Do wizardu nemusíte zadávat nic (přesně tak, jak je na to Domino zvyklé) a WASka to v pohodě zvládne.

Vypadá to v praxi takto:

V System Console jdu dolů na Sametime Prerequisites – Connect to LDAP Servers. Dám Add. Ve formuláři vyplním cestu k Domino serveru a jméno účtu, pod kterým tam půjdu (účet musí mít dostatečná Editorská práva práva do names.nsf a musí se zadat v dlouhém „ldapovém“ formátu).

Na další obrazovce nedám nic. To je ta novinka. Nemusím se starat o nějaké O, OU, DC. Nemusím ani zaškrtávat Advanced settings, nechám vše na defaultních hodnotách.

Wizard rychle doběhne, pojďme se podívat, co vytvořit uvnitř WASky. Jdeme do Security – Global Security, dole na Federated repositories – Confiugure. Objeví se stránka, kde dole bude přidána repository, kterou jste právě pomocí wizarda vytvořili.

Klikněte na její levý sloupec a uvidíte, že Base entry (kořen) pro LDAP, je opravdu prázdné.

Kliknete-li na pravý sloupec Repository identifier, objeví se formulář, kde můžete měnit či opravovat adresy LDAP serveru a jméno i heslo pro účet, pod kterým tam přistupujete.

Zrestartuje WAS, aby se změny v Security aplikovaly a jděte do sekce Users and Groups – Manage Users. Nic nenastavujte a klikněte na Search. Ukáže se seznam lidí, kteří se přitáhnuli z Domino LDAPu.

Přepněte se do sesterské sekce Manage Groups a dejte zase Search. Teď se ukáží zase skupiny přitažené z Domina.

Závěr: připojujete-li k Sametime jako LDAP server Domino, nemusíte dlouze přemýšlet, co tam vyplnit. Dejte tam jenom adresu, jméno a heslo a zkuste, co to udělá a jestli to ve vašem konkrétním prostředí vyřeší vaše požadavky.

Vy, co jste byli na Symposiu, jste to slyšeli přímo čerstvě a z první ruky: IBM Sametime 8.5.2 je venku, můžete jej stahovat a instalovat.

Jaké přináší novinky? Mezi ty nejzákladnější patří:

Audio/video funguje i v browseru, není nutno spouštět webmeeting z tlustého klienta (v LN nebo v samostatném ST Connect Client). Zkoušeli jsme to na Windows i Mac OS X, ve Firefoxu i IE. Při prvním použití se stáhne do browseru plugin.

Audio/video funguje i skrz nejběžnější firewally, využívá se k tomu TURN server, který se přidá do infrastruktury Sametime a na který se odkáže Media Server.

Nativní Sametime klient pro Androida.

No a tady je seznam balíčků, ze kterých si můžete vybrat ty pro vaši platformu. Já jsem s instalací už začal, je hodně podobná jako ta pro verzi 8.5.0 a 8.5.1, takže se můžete držet klasických detailních obrazových návodů. Tip: jestli to chcete provést stejně, jako u předchozích verzí, tak při instalaci WASkových serverů volte typ instalace Cell, ne Primary.

Sametime umožňuje rozšiřovat a doplňovat funkce pomocí sady rozhraní API a to jak na straně klientské (protože ST Connect Client běží nad Eclipse), tak na straně serverové. Našel jsem jeden užitečný plugin, který tuto možnost pěkně demonstruje.

Představte si situaci, kdy potřebujete chatovat s nějakým cizincem, ale neovládáte dostatečně cizí jazyk. Plugin do Sametime vám umožní, abyste s kolegou na druhé straně komunikovali v češtině a on/ona uvidí jak váš text, tak i jeho překlad do cizího jazyka. A nejen to: až vám cizinec odpoví, i jeho text se převede, z cizího jazyka do češtiny.

Plugin nabízí společnost Epilio a je k dipozici zdarma. Lze jej nainstalovat jak to samostatného klienta Sametime, tak do toho, který máte integrovaný v Lotus Notes.  Použití je velmi jednoduché: po zahájení chatu vyberete v nástrojové liště z jakého jazyka do jakého chcete překládat (např. z CZ do EN). Potom píšete česky do okna, které používáte běžně a dole pod ním se hned objevuje překládaný text. Máte tak i okamžitou kontrolu toho, co se odešle. Oba texty, český i přeložený, odešlete tlačítkem Send Translated Text. Příchozí zprávy se vám překládají automaticky.

Výrobce pluginu využívá k on-line překládání Google translator.

Instalovali jsme teď kompletní infrastrukturu Sametime Standard 8.5.1 na Linuxu (RedHat/CentOS 64-bit), tady je pár praktických postřehů:

• Když instalujete na 64-bit Linux, nepoužívejte pro instalaci DB2 tu instalačku, která je „přibalena“ – ta je primárně určena pro 32-bit Linux. Využijte raději 64-bit DB2 9.5, číslo balíčku C1HR5EN. Instalační wizard bude v takovém případě ne ten zjednodušený „sametimový“, ale ten, který má DB2 standardně.
  Pro instalaci ostatních věcí jsme použili klasické instalačky ze Sametime 8.5.1 balíčku.
• Používejte plná doménová jména (FQDN) serverů, na které instalujete, nepoužívejte při instalaci zkrácené názvy pomocí hosts aliasů.
• Servery jsme rozložili takto:
  • LDAP (Domino 8.5.1, mimo strukturu Sametime)
  • DB2 + System Console + Meeting Server
  • Media Server + Proxy Server
  • Community Server (na Dominu 8.5.1)
• Stroje měly 4 GB RAM každý.
• Instalujete-li do VMware, nebuďte srabi a dělejte si pravidelné zálohy
• Připravte si plán, co na jaký stroj chcete instalovat a v jakém pořadí
• Nezkoušejte být napoprvé chytřejší, než vyzkoušený postup: zkusili jsme hned zpočátku nahradit v konfiguraci LDAPu obecné inetOrgPerson za „správnější“ dominoPerson a potom se nám Meeting server neinstaloval bez zapnuté security

A hlavně: nebát se. Když už se vám to jednou povede vše do konce, tak podruhé už to všechno nainstalujete za jedno nedělní odpoledne.

Plán instalace Sametime 8.5.1