**2CV2 Equipo 6:**
~ AGUILAR PACHECO KEVIN DAVID
CARMONA HINOJOSA DAVID
GÓMEZ RODRÍGUEZ ENYA QUETZALLI
RODRÍGUEZ ROMO LUIS DANIEL
VILLENA SANTIAGO CARLOS DANIEL
---
# Instalación de Jitsi
A continuación, abordaremos cómo instalar y configurar nuestro propio servidor Jitsi, algunos detalles sobre el las tecnologías utilizadas, diferentes opciones de implementación con las que Jitsi es compatible, así como algunos módulos útiles en jitsi, pueden ser consultados en el [Manual Teórico](), por lo que durante ésta guía únicamente nos centraremos en el proceso de instalación y configuración del servidor.
## Servidor base
En esta sección elegiremos las especificaciones de hardware y software que serán utilizadas para la implementación del sistema operativo.
#### Tipo de máquina
Les recomendamos utilizar algún servicio en la nube como *Azure*, *Google Cloud*, *Amazon Web Services* o *Digital Ocean*, debido a que cuentan con ofertas estudiantiles para sus máquinas virtuales, esto les facilitará muchos pasos debido a que podrán acceder a una IP pública, no expondrán su red privada, no expondrán su hardware personal, tendrán una conexión a internet estable, veloz y fiable y la instalación y configuración del sistema operativo es más veloz.
En cambio, si desean utilizar un equipo de cómputo propio, es posible realizar la instalación, sin embargo les recomendamos apegarse a la [documentación de Jitsi](https://jitsi.github.io/handbook/docs/intro) para resolver cualquier complejidad particular surgida durante el proceso.
Para el propósito de esta guía, utilizaremos el servicio de **Microsoft Azure** con el uso del correo educacional que nos proporciona el **IPN** y nos da acceso a $100 USD para uso en el servicio.
#### Sistema operativo
Según la [web](https://desktop.jitsi.org/Main/Download) de Jitsi, cuentan con distribuciones binarias estables para su rama estable de: *Microsoft Windows*, *Mac OS X*, *Ubuntu Package*, *Debian Package*, *RPM Package* y *Arch Linux Package*.
Esto quiere decir que, como ejemplo, puede ser instalado en algún Windows Server, Red Hat Enterprise Linux, distribuciones badas Debian o incluso en cualquier otra distribución como Gentoo mediante el uso del [código fuente](https://github.com/jitsi) *(Recordemos que Jitsi utiliza la [licencia](https://github.com/jitsi/jitsi-meet/blob/master/LICENSE) Apache License 2.0 que es considerada Free Software)*.
Por lo que está en su libre decisión utilizar el sistema operativo de su preferencia, sin embargo, deberán ajustar sus líneas de comando a las propias de la distribución elegida. Para la realización del tutorial utilizaremos una distribución **Ubuntu 20 Pro**, que es una versión de Ubuntu Server 20 optimizada para Azure, por lo que pueden utilizar Ubuntu Server 20 de forma equivalente si están en otra nube.
#### Hardware
Como equipo expositor, necesitamos cubrir una capacidad de hasta 36 personas en una reunión, sin embargo, los equipos replicantes no tendrán esta necesidad, por lo que les dejamos una tabla de recomendaciones según sea la capacidad de personas que deseen atender.
| #Personas | CPUs | Memoria RAM | Almacenamiento | Ancho de Banda |
| --------- | ---- | --- | -------------- | -------------- |
| 2 - 3 | 2 | 2 GiB | 20 GiB | 14 Mib/s |
| 4 - 10 | 4 | 8 GiB | 30 GiB | 45 Mib/s |
| 11 - 40 | 4 | 16 GiB | 30 GiB | 180 Mib/s |
| 41 - 100 | 8 | 28 GiB | 50 GiB | 450 Mib/s |
En el caso de *Azure*, todas las capacidades e Ancho de Banda son cubiertas por su infraestructura.
*Para capacidades mayores a 100, es recomendable diseñar un sistema distribuido de conferencias jitsi con balanceadores de carga. Los # de personas, son en total sobre *todas* las salas, no por sala*
## Instalación
### 1. Creación de la Máquina Virtual
A continuación elegiremos una máquina virtual en Azure con 4 CPUs y 16 GiB de RAM.
Les recomendamos utilizar usuario y contraseña para acceder a la máquina mediante SSH por cuestiones de practicidad.
En el caso de los discos pueden optar por uno HDD debido a que nuestro servicio no tendrá un alto nivel de uso del disco duro.
En el apartado de las redes, será importante que soliciten una IP pública con el objetivo de facilitar el acceso al servidor de Jitsi.
Finalmente, terminaremos con la creación de la máquina virtual y daremos en crear.
Podemos comprobar que al finalizar, tenemos acceso a una IP pública de Azure.
#### Abrir Puertos
Deberemos abrir los puertos 80, 443 para acceder al servicio web, los puertos 4443, 5347 y 8443 para servicios adicionales de autenticación módulos, finalmente abriremos el rango de 10000-20000 UDP para los servicios de llamada de Jitsi.
**\*NOTA:** *En caso de necesitar apagar la máquina virtual, les recomendamos preservar la misma IP con la finalidad de que la configuración del servidor no se pierda.*
### 2. Vinculación del dominio
En nuestro caso, realizaremos una vinculación de esta máquina virtual con un *subdominio* para facilitar el acceso a la reunión durante la sesión de presentación, sin embargo, **si no desean llevar a cabo este paso**, pueden **saltar** al paso **3** y **utilizar la IP pública** asignada por azure en todos los campos donde se use el subdominio.
Si lo desean, pueden obtener un **dominio gratis** y un certificado SSL por un año utilizando su correo institucional y utilizando los beneficios de **[Github Education](https://education.github.com/pack)**. Les recomendamos usar el SSL en su dominio principal, y uno gratuito (por verse en el punto 3) para un subdominio de Jitsi.
#### Actualización de DNS
Para poder hacer que nuestro subdominio apunte a nuestra máquina virtual recién creada, deberemos ir con nuestro registrador del dominio o con quien maneje nuestros DNS, y anexar un registro de tipo *A* que dirija a nuestra IP.
Deberemos esperar a que se propague el DNS, podemos verificar el estado de la propagación en [DNS Checker](https://dnschecker.org/#A/), y una vez propagados podemos verificar que nuestra máquina virtual es accesible utilizando SSH.
```
equetzal@thinkzalli:.../eithn$ ssh team6@jitsi.quetza.ly
team6@jitsi.quetza.ly's password:
Welcome to Ubuntu 20.04.2 LTS (GNU/Linux 5.4.0-1047-azure x86_64)
* Documentation: https://help.ubuntu.com
* Management: https://landscape.canonical.com
* Support: https://ubuntu.com/advantage
System information as of Sat May 15 00:21:39 UTC 2021
System load: 0.0 Processes: 151
Usage of /: 4.4% of 28.90GB Users logged in: 0
Memory usage: 1% IPv4 address for eth0: 10.1.0.4
Swap usage: 0%
1 update can be applied immediately.
To see these additional updates run: apt list --upgradable
The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.
To run a command as administrator (user "root"), use "sudo <command>".
See "man sudo_root" for details.
team6@jitsi:~$
```
### 3. Creación de Certificado SSL
Nosotros creamos un certificado **gratuito** de 90 días, que está firmado por una **autoridad**, por lo que no obtendremos el mensaje de advertencia del navegador por ser un certificado autofirmado. Este proceso **no requiere** de dar de alta *tarjetas de crédito* o alguna otra forma de pago, por lo que, si así lo desean, pueden generar su certificado en [ZeroSSL](https://zerossl.com) y continuar con esta etapa de la guía, de lo contrario, pueden saltar al punto **4**.
Utilizaremos el de ZeroSSl debido a que actualmente la aplicación móvil de Jitsi, tiene un [problema](https://github.com/jitsi/jitsi-meet/issues/5589) con los certificados de LetsEncrypt.
Ingresaremos a [ZeroSSL](https://zerossl.com) y colocaremos el nombre de dominio (o la IP) donde alojaremos nuestro servidor de Jitsi.
Deberemos llenar algunos datos de registro (correo y contraseña) y, posteriormente, se nos abrirá la siguiente guía donde deberemos verificar que el nombre de dominio se encuentre correcto:
Ahora seleccionaremos como tiempo de validez un **Certificado de 90 días**, esto es **sumamente importante** debido a que la versión de 1 año, requiere de un pago, mientras que la de 90 días es completamente **gratuita**.
En caso de que gusten, podemos llenar el certificado con nuestros datos personales, pero esto no es necesario ya que lo puede llenar de forma automática.
Nuevamente, verificaremos que tengamos seleccionada la opción de 90 días.
Nos pedirá verificar la propiedad del dominio, nosotros utilizaremos el método por correo, pero si tienen problemas en el caso de haber usado IP, pueden recurrir al *HTTP File Upload*.
En este caso, mandará un código al correo.
Una vez recibida la clave, colocaremos la clave en el panel de validación enviado por correo.
Luego de esto, habremos pasado la verificación para el certificado.
Ahora descargaremos el certificado dando clic en el boton de descarga de certificado. Nos dará un archivo ZIP. No continuaremos con el proceso de instalación en el lado de ZeroSSL debido a que no contiene forma de validar la instalación para Jitsi. Pero usaremos el archivo ZIP.
Abriremos una terminal desde nuestra computadora para transferir el archivo ZIP que acabamos de descargar, y utilizaremos el comando SCP para transferirlo a nuestro sitio. Recordemos cambiar el comando acorde a nuestros nombres de archivo y nuestro servidor.
```console
equetzal@thinkzalli:...ssl$ ls
jitsi.quetza.ly.zip
equetzal@thinkzalli:...ssl$ scp jitsi.quetza.ly.zip team6@jitsi.quetza.ly:~/
```
Ahora volveremos a acceder al servidor y podemos verificar que el archivo ZIP ahora se encuentra en el directorio $HOME.
```console
ssh team6@jitsi.quetza.ly
team6@jitsi.quetza.ly's password:
team6@jitsi:~$ ll
total 44
drwxr-xr-x 5 team6 team6 4096 May 15 01:10 ./
drwxr-xr-x 3 root root 4096 May 15 00:06 ../
-rw------- 1 team6 team6 585 May 15 01:09 .bash_history
-rw-r--r-- 1 team6 team6 220 Feb 25 2020 .bash_logout
-rw-r--r-- 1 team6 team6 3771 Feb 25 2020 .bashrc
drwx------ 2 team6 team6 4096 May 15 00:21 .cache/
drwxrwxr-x 3 team6 team6 4096 May 15 00:35 .local/
-rw-r--r-- 1 team6 team6 807 Feb 25 2020 .profile
drwx------ 2 team6 team6 4096 May 15 00:06 .ssh/
-rw-r--r-- 1 team6 team6 0 May 15 00:35 .sudo_as_admin_successful
-rwxrwxr-x 1 team6 team6 6750 May 15 01:10 jitsi.quetza.ly.zip*
```
Ahora descomprimiremos el archivo ZIP para obtener los certificados.
```console
team6@jitsi:~$ unzip jitsi.quetza.ly.zip
Archive: jitsi.quetza.ly.zip
extracting: certificate.crt
extracting: ca_bundle.crt
extracting: private.key
```
Debido a que *jitsi* utiliza *nginx*, es necesario combinar los archivos `ca_bundle.crt` y `certificate.crt` con la finalidad de que el certificado sea aceptado por las aplicaciones móviles de *jitsi*. Le cambiaremos los permisos a certificate para poder escribir sobre él, y posteriomente los regresaremos para preservar su seguridad.
```shell
sudo chmod 777 certificate.crt
sudo cat ca_bundle.crt >> certificate.crt
sudo chmod 644 certificate.crt
```
Y ahora, copiaremos el certificado y la llave secreta en los siguientes directorios, recuerden colocar su nombre de dominio o IP en el nombre resultante:
```shell
sudo cp ./certificate.crt /etc/ssl/jitsi.quetza.ly.crt
sudo cp ./private.key /etc/ssl/jitsi.quetza.ly.key
```
Colocando los certificados en estos directorios, será suficiente para que la instalación de Jitsi pueda tomarlos e instalarlos.
**\*Nota:** *Para certificados autofirmados, no es necesario colocar nada en este directorio, jitsi lo instalará automáticamente*
### 4. Instalación de Jitsi
Deberemos ejectutar los siguientes comandos para actualizar apt, y agregar los repositorios firmados de Jitsi:
```shell
sudo apt update
sudo apt install gnupg apt-transport-https
curl https://download.jitsi.org/jitsi-key.gpg.key | sudo sh -c 'gpg --dearmor > /usr/share/keyrings/jitsi-keyring.gpg'
echo 'deb [signed-by=/usr/share/keyrings/jitsi-keyring.gpg] https://download.jitsi.org stable/' | sudo tee /etc/apt/sources.list.d/jitsi-stable.list > /dev/null
sudo apt update
```
Una vez realizado esto, procederemos a instalar Jitsi, es **importante** no haber instalado ningún servidor previamente, Jitsi automáticamente instalará *nginx* como dependencia.
```shell
sudo apt install jitsi-meet
```
Durante la instalación, nos preguntará el nombre del dominio, pueden colocar la IP en caso de no contar con un dominio.
Ahora nos preguntará que tipo de certificado SSL queremos instalar. Es **obligatorio** para jitsi usar SSL, no puede funcionar sin uno, por lo que es necesario utilizar *al menos* uno autofirmado.
#### Caso 1: Certificado Autofirmado
El certificado autofirmado, lo crea e instala jitsi de forma automática al finalizar la instalación.
#### Caso 2: Certificado Propio (generado en paso 3)
Ahora nos pide colocar el certificado en el directorio, pero lo hemos colocado ahí previo a realizar la instalación, por lo que solo deberemos dar Ok. En caso de haber olvidado dicho paso, pueden abrir otra terminal, hacer SSH y copiar el cetificado al directorio previo a dar en OK.
Igualmente, nos pide verificar el lugar de la clave privada. De no colocar los archivos en el lugar indicado, el servidor no funcionará.
Luego de estos 2 pasos, Jitsi finalizará su instalación y se configurará automáticamente. No es necesario realizar ninguna acción adicional para el certificado propio.
### 5. Probar Instalación
Como podemos ver, el sitio ya es accesible y cuenta con el certificado SSL instalado. En caso de haber utilizado en certificado autofirmado, será necesario decirle al navegador que acepta el sitio a pesar de ser "inseguro".
El sitio web, bajo las condiciones en las que se encuentra, ya es funcional, sin embargo, es **inseguro** debido a que cualquier persona podría acceder a nuestra *url* y crear una sesión, de igual forma, cualquier persona podría unirse a una reunión sin necesitar ningún tipo de autenticación.
### 6. Habilitar autenticación
El tipo de autenticación que implementaremos, será con usuario y contraseña para poder abrir una sala, es decir, será para moderadores. Una vez abierta una sesión, el moderador podrá establecer (o no) una contraseña para ingresar a la sala. Si el enlace de la sesión es compartido, otros miembros podrán unirse utilizando el enlace y en caso de haber configurado contraseña para la sala, necesitarán ingresar la contraseña para poder unirse a la sala.
#### Configurar Prosody
Necesitaremos editar el siguiente archivo (cambiar dominio por el propio o IP):
```console
team6@jitsi:~$ sudo nano -l /etc/prosody/conf.avail/jitsi.quetza.ly.cfg.lua
```
Deberemos editar el archivo y comentar la línea 25 que permite la autenticación anónima, y agregar la línea 26 que permite la autenticación de tipo "internal_plain", también pueden utilizar "internal_hashed" para cifrar las contraseñas, pero por motivos didacticos podemos dejarlo con plain.
```lua=22
...
VirtualHost "jitsi.quetza.ly"
-- enabled = false -- Remove this line to enable
--authentication = "anonymous"
authentication = "internal_plain"
...
```
El archivo deberá lucir así:
---
Hasta ahora, este paso configurará el servidor tal que *todos* necesiten usuario y contraseña, por lo que deberemos crear una configuración adicional para que usuarios invitados puedan ingresar sin *usuario* y la contraseña de la sala, sea a decisión de un moderador.
Dentro de nuestro mismo archivo `/etc/prosody/conf.avail/jitsi.quetza.ly.cfg.lua`, iremos al final del archivo y agregaremos la configuración a partir de la línea 100. Recuerden cambiar el `jitsi.quetza.ly` por su nombre de dominio o IP.
```lua=93
...
Component "lobby.jitsi.quetza.ly" "muc"
storage = "memory"
restrict_room_creation = true
muc_room_locking = false
muc_room_default_public_jids = true
-- Agregaremos esto:
VirtualHost "guest.jitsi.quetza.ly"
authentication = "anonymous"
c2s_require_encryption = false
modules_enabled = {
"bosh";
"pubsub";
"ping";
"speakerstats";
"turncredentials";
"conference_duration";
}
```
Nuestro archivo ahora debe lucir así:
Una vez editados, salvaremos el archivo `ctrl+o` y lo cerramos `ctrl+x`.
#### Configurar Mercurial
Debido a que ahora utilizamos autenticación, las credenciales necesitan un lugar en dónde guardarse, y necesitamos persistencia en las mismas. Utilizar Mercurial está a libertad de cada quien, sin embargo, por simplicidad, haremos uso de Mercurial para el propósito de este tutorial, Mercurial nos permitirá controlar las versiones del archivo de datos, así como hacer merge cuando se agreguen moderadores en sistemas de conferencias distribuidos.
Instalaremos Mercurial, crearemos un directorio temporal para descargar un módulo que nos permitirá vincular *prosody* con mercurial.
```shell
sudo apt install -y mercurial
mkdir ~/temp && cd ~/temp
hg clone 'https://hg.prosody.im/prosody-modules/' prosody-modules
sudo cp prosody-modules/mod_storage_memory/*.lua /usr/lib/prosody/modules/.
```
#### Configurar Jitsi
Ahora que ya tenemos listo el gestor de usuarios, deberemos configurar Jitsi, por lo que le diremos a *jicofo* que nuestro servidor ahora tiene autenticación.
```shell
sudo echo "org.jitsi.jicofo.auth.URL=XMPP:jitsi.quetza.ly" >> /etc/jitsi/jicofo/sip-communicator.properties
```
Ahora deberemos configurar un archivo *javascript* en el cliente de Jitsi para que nos haga un popout correspondiente cuando no haya un moderador en la sala y que el moderador pueda utilizar sus credenciales.
Deberemos editar el archivo `/etc/jitsi/meet/jitsi.quetza.ly-config.js` para descomentar la linea **12** y reemplazar el nombre de dominio con nuestro correspondiente dominio (o IP).
```shell
sudo nano /etc/jitsi/meet/jitsi.quetza.ly-config.js -l
```
```javascript=7
hosts: {
// XMPP domain.
domain: 'jitsi.quetza.ly',
// When using authentication, domain for guest users.
//anonymousdomain: 'guest.jitsy.quetza.ly',
anonymousdomain: 'guest.jitsi.quetza.ly',
// Domain for authenticated users. Defaults to <domain>.
// authdomain: 'jitsi.quetza.ly',
// Focus component domain. Defaults to focus.<domain>.
// focus: 'focus.jitsi.quetza.ly',
```
#### Agregando moderadores
Ahora deberemos reiniciar todos nuestros servicios involucrados para aplicar las configuraciones realizadas:
```shell
sudo systemctl restart {prosody,jicofo,jitsi-videobridge2,nginx}
```
Y ya podemos agregar moderadores con la siguiente sintaxis:
`sudo prosodyctl register` + `NOMBRE_DE_USUARIO` + `SERVIDOR` + `CONTRASEÑA`, esto quedaría de la forma indicada:
```shell
sudo prosodyctl register quetza jitsi.quetza.ly toor
```
**\*Nota** *Ustedes pueden agregar cuantos usuarios necesiten.
Nuevamente, será necesario reiniciar nuestros servicios para cargar los nuevos usuarios registrados en la plataforma.
```shell
sudo systemctl restart {prosody,jicofo,jitsi-videobridge2,nginx}
```
### 7. Probando servicio con autenticación
Ahora que ya tenemos todo configurado, nuestro servicio deberá estar funcionando, como vemos el sitio está funcionando, por lo que crearemos una sesión nueva.
Al ingresar a una reunión, todos los invitados verán un mensaje de que se está esperando al anfitrión de la reunión, es decir, un moderador.
Dado que en nuestro caso *somos* el anfitrión, ingresaremos con el botón "Soy el anfitrión"
Nos pedirá ingresar nuestras credenciales, las cuales serán alguno de los moderadores registrados previamente.
En nuestro caso, el usuario era `quetza` y la contraseña `toor`.
Una vez dentro de la reunión, tenemos la opción de agregar una contraseña a la sala, apoyandonos de la opción `Opciones de seguridad`.
Aquí podremos habilitar una sala de espera y establecer una contraseña, en esta ocasión, solo habilitaremos la contraseña. Pondremos `redes`
.
En el lado de los participantes, verán una ventana en la que se les solicita una contraseña para unirse a la reunión. Utilizaremos la configurada por el moderador `redes`.
Una vez dentro, podemos ver que nos asigna un nombre aleatorio debido a que configuramos la reunión como invitados anonimos, por lo que les recomendamos cambiar su nombre de usuario dando clic en `me`.
Una vez establecido, daremos en ok, también podemos agregar un perfil de *gravatar*.
Como podemos ver, ahora los miembros de la reunión ya tienen sus nombres correspondientes. Estos datos se guardarán como *cookies* y no deberán ser ingresados en cada ocasión.
### 7. Notas: Problemas conocidos
La app de Android/IOS no funciona
~ -La aplicación de *Jitsi* únicamente funciona con dominios adquiridos, por lo que de haber configurado una *IP*, no se podrá conectar.
-La aplicación de *Jitsi* solo funciona con certificados SSL firmados por autoridades "confiables" y, en el caso de LetsEncrypt, únicamente la consideran fiable los navegadores web.
La aplicación web de *Jitsi* se queda en gris
~ Esto sucede si existe algún error en la configuración de autenticación. Es recomendable verificar el paso **6** nuevamente para comprobar que todo esté correctamente configurado.
Todos los invitados necesitan usuario y contraseña
~ Probablemente se configuró mal el archivo `/etc/prosody/conf.avail/jitsi.quetza.ly.cfg.lua` y se colocó `authentication = "internal_plain"` en lugar de `authentication = "anonymous"` para el virtual host de invitados.
El sitio web solo muestra la página de Nginx y no tiene SSL
~ El certificado no se instaló correctamente, probablemente se nombró de forma incorrecta. Se puede tratar de solucionar por el [metodo largo](https://community.jitsi.org/t/how-to-change-certificate-after-default-meet-installation/76242/4), o reinstalar jitsi y configurarlo correctamente. Pueden remover jitsi con el comando `sudo apt purge jigasi jitsi-meet jitsi-meet-web-config jitsi-meet-prosody jitsi-meet-turnserver jitsi-meet-web jicofo jitsi-videobridge2` seguido de `sudo apt autoremove` y volver a realizar las instrucciones del paso 3 y 4.
Otros
~ Por favor, contáctenos para apoyarles con otro tipo de problemas y agregarlos a esta sección.
Google Drive
Gist
Clipboard
Sign in via Facebook
Sign in via X(Twitter)
Sign in via GitHub
Sign in via Dropbox
Sign in with Wallet
