WAN Einstellungen
Konfiguration von Netzwerk Schnittstellen, die für eingehende Verbindungen genutzt werden.
Für die Federation ist es notwendig, dass sich andere XMPP-Server zum XMPP-Proxy verbinden können. Die Server-zu-Server-Schnittstelle des Proxys wird wie folgt konfiguriert:
-
TCP Port
Geben Sie hier den TCP Port für die XMPP Server-to-Server Schnittstelle an. Mit der Schaltfläche "Standard" können Sie den Standard-Port 5269 einstellen.
-
Auf IP-Adresse binden
Wählen Sie hier eine IP-Adresse Ihres Systems, auf die die XMPP Server-to-Server Schnittstelle gebunden werden soll.
Achten Sie auch darauf, dass die Windows®-Firewall des Rechners, auf dem der XMPP-Proxy läuft den eingestellten Port nicht blockiert und richten sie gegebenenfalls eine entsprechende Regel ein.
Stellen Sie sicher, dass diese Schnittstelle über das öffentliche Internet erreichbar ist und dass Ihre Präsenzdomäne über DNS zu einer IP-Adresse auflösbar ist. Wenn Sie einen vom Standard-Port abweichenden Port konfigurieren kann dieser über einen DNS SRV Record (_xmpp-server._tcp.domäne) anderen Systemen bekannt gemacht werden. Idealerweise sollte auch ein solcher DNS SRV Record existieren, wenn Sie den Standard-Port verwenden. Dieser DNS SRV Record ist aber nicht zwingend notwendig, da andere Systeme in der Regel auch über einen DNS A Eintrag und den Standard-Port 5269 eine Verbindung zu Ihrem UCServer aufbauen können.
Mittels des Buttons "Erweitert..." lassen sich Optionen für die Verschlüsselung der Server-zu-Server-Verbindungen einstellen. Es wird hierbei jedoch nur die Verbindung zum XMPP-Server der anderen Domäne verschlüsselt, der die Nachrichten entschlüsselt und an die entfernten User weiterleitet. Es erfolgt keine Ende-zu-Ende-Verschlüsselung.
Die Einstellungen für die TLS-Verschlüsselung können entweder global für alle Domänen oder für jede Domäne einzeln eingestellt werden. Für alle Domänen, für die keine explizite Einstellung eingetragen wurde, gilt die globale Einstellung. Folgende Stufen geordnet nach dem erreichbaren Grad der Vertraulichkeit sind möglich:
-
Keine Verschlüsselung
Es wird keine TLS Verschlüsselung für die Verbindungen mit der entfernten Domäne verwendet. Diese Einstellung sollte nur gewählt werden falls die Einstellung TLS Verschlüsselung optional nicht funktioniert.
-
TLS Verschlüsselung optional
Es wird versucht, TLS Verschlüsselung für die Verbindungen mit der entfernten Domäne zu verwenden, sofern dies von der Gegenseite möglich ist und lokal ein Zertifikat vorhanden ist. Bietet die Gegenseite kein TLS an (was zum Beispiel bei GoogleTalk der Fall ist), so erfolgt der Nachrichtenaustausch ohne Verschlüsselung. Andernfalls wird versucht, ein Höchstmaß an Vertraulichkeit zu gewährleisten. Diese Einstellung wird nahezu immer funktionieren, bietet jedoch keine Garantien bezüglich der Vertraulichkeit der Nachrichten.
-
TLS Verschlüsselung erforderlich, Zertifikatfehler ignorieren
Es wird versucht, TLS Verschlüsselung für die Verbindungen mit der entfernten Domäne zu verwenden. Ist lokal kein Zertifikat vorhanden oder bietet die Gegenseite kein TLS an schlägt die Verbindung fehl. Treten Zertifikatfehler auf (beispielsweise weil das Zertifikat der Gegenseite abgelaufen ist oder nicht von einer vertrauenswürdigen Zertifizierungsstelle unterzeichnet wurde) so werden diese ignoriert. Die Verbindungen bieten Vertraulichkeit, jedoch keine starke Authentifizierung der Gegenseite.
-
TLS Verschlüsselung mit gültigem Zertifikat
Es wird versucht, TLS Verschlüsselung für die Verbindungen mit der entfernten Domäne zu verwenden. Ist lokal kein Zertifikat vorhanden, bietet die Gegenseite kein TLS an oder ist das Zertifikat der Gegenseite nicht gültig und von einer vertrauenswürdigen Zertifizierungsstelle unterschrieben schlägt die Verbindung fehl. Diese Art der Verschlüsselung wird empfohlen, funktioniert aber leider nicht immer (z.B. bietet GoogleTalk keine TLS-Verschlüsselung an, viele Zertifikate anderer Server sind abgelaufen oder nur selbst signiert).