<p>みなさんこんにちは</p>
<h1 id="%E6%9C%AC%E6%97%A5%E3%81%AE%E3%81%8A%E9%A1%8C">
<a class="header-anchor-link" href="#%E6%9C%AC%E6%97%A5%E3%81%AE%E3%81%8A%E9%A1%8C" aria-hidden="true"></a> 本日のお題</h1>
<p>AWS上に展開しているWeb会議システムのJitsiに、ユーザー認証を追加して、ID/PASSを知っている人だけが利用できるように設定したい。（お友達内とか、企業内のみ等、利用者限定をしたい。）<br>
そうしないと、ミサカが10000万人で利用する、無料のWeb会議システムになってしまって、AWSの利用料で朝起きたら破産する可能性があるためです。</p>
<h1 id="%E9%96%8B%E5%A7%8B%E5%89%8D%E3%81%AB">
<a class="header-anchor-link" href="#%E9%96%8B%E5%A7%8B%E5%89%8D%E3%81%AB" aria-hidden="true"></a> 開始前に</h1>
<p>以前作成したJitsiのEC2を作業前に起動して、接続確認を行ってみましたが、つながりません。<br>
確認したところ、EC2の「パブリック IPv4 アドレス　オープンアドレス」（EC2に付与されたグローバルIP）が、変更されていました。<br>
自動更新まで3日程度。ちょっと想定外の速さです。<br>
AWSのEIP利用を検討する必要があるかもしれません。（月1000円くらい）<br>
もっとも、、、実験なので、今のところ不要の認識です。</p>
<h1 id=".env%E8%A8%AD%E5%AE%9A%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%81%AE%E8%A8%AD%E5%AE%9A">
<a class="header-anchor-link" href="#.env%E8%A8%AD%E5%AE%9A%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%81%AE%E8%A8%AD%E5%AE%9A" aria-hidden="true"></a> .env設定ファイルの設定</h1>
<p>docker-composeで利用する.envファイルを設定します。</p>
<div class="code-block-container"><pre><code># Enable authentication
#ENABLE_AUTH=1
+ENABLE_AUTH=1
</code></pre></div><p>設定反映のために、Docker再起動を行います。</p>
<div class="code-block-container"><pre><code>[root@meet docker-jitsi-meet]# docker-compose stop
[+] Running 4/4
 ⠿ Container docker-jitsi-meet-web-1      Stopped                                                                                                           3.7s
 ⠿ Container docker-jitsi-meet-jicofo-1   Stopped                                                                                                           3.9s
 ⠿ Container docker-jitsi-meet-jvb-1      Stopped                                                                                                           4.0s
 ⠿ Container docker-jitsi-meet-prosody-1  Stopped                                                                                                           3.6s
[root@meet docker-jitsi-meet]# docker-compose up -d
[+] Running 4/4
 ⠿ Container docker-jitsi-meet-prosody-1  Started                                                                                                           1.5s
 ⠿ Container docker-jitsi-meet-web-1      Started                                                                                                           1.5s
 ⠿ Container docker-jitsi-meet-jicofo-1   Started                                                                                                           3.5s
 ⠿ Container docker-jitsi-meet-jvb-1      Started                                                                                                           3.6s
[root@meet docker-jitsi-meet]#
</code></pre></div><h1 id="%E6%8E%A5%E7%B6%9A%E3%83%86%E3%82%B9%E3%83%88">
<a class="header-anchor-link" href="#%E6%8E%A5%E7%B6%9A%E3%83%86%E3%82%B9%E3%83%88" aria-hidden="true"></a> 接続テスト</h1>
<p>接続したタイミングで、認証用のポップアップが出ましたが、ID/PASSがないことに気が付きました。<br>
しかし、一応は成功しています。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/6849a3f8183b-20211228.png" alt loading="lazy" class="md-img"></p>
<h1 id="id%2Fpass%E3%81%AE%E8%A8%AD%E5%AE%9A">
<a class="header-anchor-link" href="#id%2Fpass%E3%81%AE%E8%A8%AD%E5%AE%9A" aria-hidden="true"></a> ID/PASSの設定</h1>
<p>ID/PASSを設定する方法を検討しました。<br>
JitsiのWeb画面からは登録はできないようです。<br>
調べたところ、Jitsiの構成要素のXMPPサーバーである、Prosodyにコマンド登録する必要があるようです。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__0731e5e042931" src="https://embed.zenn.studio/card#zenn-embedded__0731e5e042931" data-content="https%3A%2F%2Fjitsi.github.io%2Fhandbook%2Fdocs%2Fdevops-guide%2Fdevops-guide-docker" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://jitsi.github.io/handbook/docs/devops-guide/devops-guide-docker" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://jitsi.github.io/handbook/docs/devops-guide/devops-guide-docker</a></p>
<div class="code-block-container"><pre><code>[root@meet docker-jitsi-meet]# docker-compose exec prosody prosodyctl --config /config/prosody.cfg.lua register user meet.jitsi password
[root@meet docker-jitsi-meet]#
</code></pre></div><p><img src="https://storage.googleapis.com/zenn-user-upload/a48fad89099e-20211228.png" alt loading="lazy" class="md-img"><br>
<img src="https://storage.googleapis.com/zenn-user-upload/48b274f8c519-20211228.png" alt loading="lazy" class="md-img"><br>
<img src="https://storage.googleapis.com/zenn-user-upload/a70cc9c9596b-20211228.png" alt loading="lazy" class="md-img"><br>
どうやら、ユーザー認証はうまくいったようです。</p>
<p>しかし、この状態だと、全員が、ID/PASSを入力しないと会議になりません。<br>
これでは、社外の人と一時的に、Web会議する際に、毎回ID/PASSを発行する必要があり、利用に制約が生まれてしまいます。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/c25f6e328863-20211228.png" alt loading="lazy" class="md-img"></p>
<h1 id="%E3%83%AB%E3%83%BC%E3%83%A0%E3%82%92%E4%BD%9C%E3%82%8B%E3%81%A8%E3%81%8D%E3%81%A0%E3%81%91%E8%AA%8D%E8%A8%BC%E3%81%8C%E5%BF%85%E8%A6%81%E3%81%A7%E3%80%812%E4%BA%BA%E7%9B%AE%E3%81%8B%E3%82%89%E3%81%AF%E8%AA%8D%E8%A8%BC%E4%B8%8D%E8%A6%81%E3%81%AB%E3%81%99%E3%82%8B%E8%A8%AD%E5%AE%9A">
<a class="header-anchor-link" href="#%E3%83%AB%E3%83%BC%E3%83%A0%E3%82%92%E4%BD%9C%E3%82%8B%E3%81%A8%E3%81%8D%E3%81%A0%E3%81%91%E8%AA%8D%E8%A8%BC%E3%81%8C%E5%BF%85%E8%A6%81%E3%81%A7%E3%80%812%E4%BA%BA%E7%9B%AE%E3%81%8B%E3%82%89%E3%81%AF%E8%AA%8D%E8%A8%BC%E4%B8%8D%E8%A6%81%E3%81%AB%E3%81%99%E3%82%8B%E8%A8%AD%E5%AE%9A" aria-hidden="true"></a> ルームを作るときだけ認証が必要で、2人目からは認証不要にする設定</h1>
<p>以下のマニュアルを参考にしました。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__8a1f2b6881483" src="https://embed.zenn.studio/card#zenn-embedded__8a1f2b6881483" data-content="https%3A%2F%2Fjitsi.github.io%2Fhandbook%2Fdocs%2Fdevops-guide%2Fdevops-guide-docker" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://jitsi.github.io/handbook/docs/devops-guide/devops-guide-docker" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://jitsi.github.io/handbook/docs/devops-guide/devops-guide-docker</a><br style="display:none">
.envファイルに以下の設定を追加して、Dockerコンテナを再起動します。<br>
ちょっと困ったことに、全員ID/PASSが必要な設定の場合には、URL入力後すぐに、ID/PASSの入力画面が出てきますが、この設定にした場合には、名前入力後、ルームにログインした後に、ID/PASSが出るように認証のフローが変わります。（ここで悩みました。）</p>
<div class="code-block-container"><pre><code># Enable authentication
#ENABLE_AUTH=1
+ENABLE_AUTH=1

# Enable guest access
#ENABLE_GUESTS=1
+ENABLE_GUESTS=1

# Select authentication type: internal, jwt or ldap
#AUTH_TYPE=internal
+AUTH_TYPE=internal

+ENABLE_AUTO_LOGIN=1
</code></pre></div><h1 id="id%2Fpass%E3%82%92%E5%89%8A%E9%99%A4%E3%81%99%E3%82%8B%EF%BC%88%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E5%89%8A%E9%99%A4%EF%BC%89">
<a class="header-anchor-link" href="#id%2Fpass%E3%82%92%E5%89%8A%E9%99%A4%E3%81%99%E3%82%8B%EF%BC%88%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E5%89%8A%E9%99%A4%EF%BC%89" aria-hidden="true"></a> ID/PASSを削除する（ログインユーザー削除）</h1>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__4e21cf861e8f7" src="https://embed.zenn.studio/card#zenn-embedded__4e21cf861e8f7" data-content="https%3A%2F%2Fprosody.im%2Fdoc%2Fprosodyctl" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://prosody.im/doc/prosodyctl" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://prosody.im/doc/prosodyctl</a><br style="display:none">
上記マニュアルですが、registerとunregisterコマンドはデフォルトで非表示になっているとのことです。<br>
リストに出ていないのが何故なのかは、私も知りたいです。OSSですからね。<br>
この辺り、メーカー製品だと問い合わせできるので、さすがメーカー様との差があります。</p>
<div class="code-block-container"><pre><code>[root@meet docker-jitsi-meet]# docker-compose exec prosody prosodyctl --config /config/prosody.cfg.lua unregister user meet.jitsi
[root@meet docker-jitsi-meet]#
</code></pre></div><p>また、ユーザーの追加や、削除を行った際には、以下でDockerの再起動が必要です。<br>
この運用はちょっとまずいのかなと考えています。（後述）</p>
<div class="code-block-container"><pre><code>[root@meet docker-jitsi-meet]# docker-compose stop
[+] Running 4/4
 ⠿ Container docker-jitsi-meet-jvb-1      Stopped                                                                                   4.1s
 ⠿ Container docker-jitsi-meet-web-1      Stopped                                                                                   3.6s
 ⠿ Container docker-jitsi-meet-jicofo-1   Stopped                                                                                   4.0s
 ⠿ Container docker-jitsi-meet-prosody-1  Stopped                                                                                   3.5s
[root@meet docker-jitsi-meet]# docker-compose up -d
[+] Running 4/4
 ⠿ Container docker-jitsi-meet-web-1      Started                                                                                   1.2s
 ⠿ Container docker-jitsi-meet-prosody-1  Started                                                                                   1.2s
 ⠿ Container docker-jitsi-meet-jicofo-1   Started                                                                                   3.1s
 ⠿ Container docker-jitsi-meet-jvb-1      Started                                                                                   3.1s
[root@meet docker-jitsi-meet]#
</code></pre></div><h1 id="%E4%BB%8A%E5%BE%8C%E3%81%AE%E8%AA%B2%E9%A1%8C">
<a class="header-anchor-link" href="#%E4%BB%8A%E5%BE%8C%E3%81%AE%E8%AA%B2%E9%A1%8C" aria-hidden="true"></a> 今後の課題</h1>
<p>ユーザーの追加や削除など、コマンドで実施するのはいいとしても、システム再起動を要するのであれば、運用後の作業時間に様々な制約（問題）が生まれてしまいます。<br>
例えば、Aさんが会議している状態で、新人のIDを登録したい場合、システム再起動が必要なると、Aさんの会議を中断させることになるため、誰も会議していない時間を狙ったユーザー管理になります。<br>
→即時性のない、昔ながらのバッチ運用になってしまいます。<br>
　よって、通常の運用では、容易に困ったことになることが予想されます。<br>
この辺りがうまくできていないのが、OSSの制限ですね。（Zoomはよくできています。）<br>
というわけで、運用を考慮した仕組みを検討していきたいですね。</p>
<p>※仕事で使うなら、運用を検討したうえで、ちゃんとした製品の検討をお勧めします。<br>
　私なら、夜中にユーザー編集作業とかはちょっと避けたいです。</p>
<h1 id="%E4%BB%8A%E5%9B%9E%E3%81%AE%E6%89%80%E8%A6%81%E6%99%82%E9%96%93">
<a class="header-anchor-link" href="#%E4%BB%8A%E5%9B%9E%E3%81%AE%E6%89%80%E8%A6%81%E6%99%82%E9%96%93" aria-hidden="true"></a> 今回の所要時間</h1>
<p>今回は、以下の理由でパラメタ設定だけにもかかわらず、時間がかかりました。<br>
※しかし、これがOSSのコストなのだと考えていますし、利用者側に理解が必要な部分です。</p>
<ul>
<li>接続テストの認証画面の表示の順番が異なることで、設定がうまくいっているか同課の判断ができなかったこと。</li>
<li>ID/PASSを登録後にDocker再起動を忘れたために、反映できなかったこと</li>
</ul>
<p>そういった、引っ掛かりがあって、5時間くらいの調査時間となりました。</p>


Web会議システムのJitsiにユーザー認証を追加する

ルームを作るときだけ認証が必要で、2人目からは認証不要にする設定

Discussion