Ubuntu18.04 まっさらな環境にOpenMeetings5.0.0-M4をインストール

少し古い記事に結構な数のアクセスをいただいているので、最新の5.0.0-M4(2020/4/23リリース)で環境構築する記事を書いてみることにした。上手く動かないって記事も見かけたので…。

---

目指すのはフル機能の実装。実際、ちゃんと環境ができて、ホワイトボードが使えるので、Jitsiより会議に向いていると思う。ユーザーのソフトウェアへの理解も必要だけど。

いつも通り、ここにあるチュートリアルに沿って実施。ただし、幾つかオリジナリティを出している。
Confluence / Tutorials for installing OpenMeetings and Tools

やること。

• インストール
  • 各種ライブラリのインストール
  • MariaDBのインストールと設定
  • Kurento Media Serverのインストールと設定
  • OpenMeetingsのインストール
  • OpenMeetingsの自動起動スクリプトを作成
  • OpenMeetingsのWeb UIによる初期設定
• その他の設定
  • 自分で用意した証明書で通信する
  • 転ばぬ先の杖(タイムアウト問題への対応)
  • サービス公開ポートを変更
  • Firewall設定
  • 日本語で使いやすく
• やったこと
  • OpenMeetingsにアクセスできない

　

インストール

既にある環境に加えることもできるが、まっさらなOSを準備してアップデートした。

$ sudo apt update; sudo apt -y dist-upgrade; sudo apt -y autoremove
$ sudo reboot

　

各種ライブラリのインストール

再起動後にインストール開始。

# OpenJava11のインストール
$ sudo apt install openjdk-11-jdk openjdk-11-jdk-headless
$ java -version
openjdk version "11.0.7" 2020-04-14
OpenJDK Runtime Environment (build 11.0.7+10-post-Ubuntu-2ubuntu218.04)
OpenJDK 64-Bit Server VM (build 11.0.7+10-post-Ubuntu-2ubuntu218.04, mixed mode, sharing)

# 他のバージョンのOpenJavaが入っているなら11を選択
# 入っていないなら不要
$ sudo update-alternatives --config java

# LibreOfficeのインストール
#参照元は最新版をインストールしているが、ここではUbuntu標準のものをインストール
$ sudo apt install libreoffice

# ImageMagic,sox,ffmpegと関連ライブラリのインストール
$ sudo apt install -y imagemagick libjpeg62 zlib1g-dev sox ffmpeg vlc

ここで設定ファイルを1つ変更。
/etc/ImageMagick-6/policy.xml

…
    <!-- disable ghostscript format types -->
    <!-- <policy domain="coder" rights="none" pattern="PS" /> -->
    <policy domain="coder" rights="none" pattern="PS2" />
    <policy domain="coder" rights="none" pattern="PS3" />
    <policy domain="coder" rights="none" pattern="EPS" />
    <!-- <policy domain="coder" rights="none" pattern="PDF" /> -->
    <policy domain="coder" rights="none" pattern="XPS" />
</policymap>

※2行をコメント化

MariaDBのインストールと設定

MariaDBにユーザーとデータベースを作る。

# MariaDBのインストール(MySQLでも大丈夫だと思う)
$ sudo apt install mariadb-server
$ sudo mysql

MariaDB [(none)]> create database openmeetings default character set 'utf8';

MariaDB [(none)]> grant all privileges on openmeetings.* to 'openmeetings'@'localhost' identified by 'om_password' with grant option;

MariaDB [(none)]> quit

※データベース openmeetings、ユーザー openmeetings(これが同じなのはわかりにくいかもしれないけど、運用をはじめると楽)、パスワードはom_passwordにしてある。

Kurento Media Serverのインストールと設定

カメラ、マイク、録画、画面共有に必要なライブラリ。
リポジトリのキーをインストールする。

$ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 5AFA7A83

リポジトリのソースファイルを新規作成。
/etc/apt/sources.list.d/kurento-dev.list

deb [arch=amd64] http://ubuntu.openvidu.io/6.13.0 bionic kms6
deb [arch=amd64] http://mirror.yandex.ru/ubuntu/ bionic main restricted
deb [arch=amd64] http://mirror.yandex.ru/ubuntu/ bionic universe

Kurento Media Serverのインストール。

$ sudo apt update
$ sudo apt install -y kurento-media-server

設定ファイルを変更。
/etc/default/kurento-media-server

…
# Service script settings
# =======================

START_DAEMON="true"    # If not "true", the daemon will refuse to load
DAEMON_ARGS=""         # Passed directly to the kurento-media-server executable
#DAEMON_USER="kurento"  # User as whom Kurento Media Server will run
DAEMON_USER="nobody"
DAEMON_LOG_DIR="/var/log/kurento-media-server"  # Where to store daemon logs

サービス開始。ついでに、再起動後にも起動するように有効化。

$ sudo systemctl start kurento-media-server
$ sudo /lib/systemd/systemd-sysv-install enable kurento-media-server

　

OpenMeetingsのインストール

ダウンロードページはココ、今回は5.0.0-M4をダウンロードしてくる。
Apache OpenMeetings / Downloads

$ wget https://downloads.apache.org/openmeetings/5.0.0-M4/bin/apache-openmeetings-5.0.0-M4.tar.gz

展開して配置。配置場所は/opt/open504ではなく/usr/share/openmeetingsにする。

$ tar xzvf apache-openmeetings-5.0.0-M4.tar.gz
$ mv apache-openmeetings-5.0.0-M4 openmeetings
$ mkdir -p openmeetings/webapps/openmeetings/data/streams/{1,2,3,4,5,6,7,8,9,10,11,12,13,14}
$ mkdir -p openmeetings/webapps/openmeetings/data/streams/hibernate
$ sudo chmod -R 750 openmeetings/webapps/openmeetings/data/streams
$ sudo chown -R nobody:root openmeetings/
$ sudo mv openmeetings/ /usr/share/

mysql-connectorをダウンロードして配置。
ORACLE / JDBC Driver for MySQL(Connector/J)

$ wget https://dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-8.0.20.tar.gz
$ sudo chown nobody:root mysql-connector-java-8.0.20/mysql-connector-java-8.0.20.jar
$ sudo mv mysql-connector-java-8.0.20/mysql-connector-java-8.0.20.jar /usr/share/openmeetings/webapps/openmeetings/WEB-INF/lib/

※参照元は8.0.19をダウンロードしようとしていたが、今日は8.0.20になっていてそのままではダウンロードできなかった。この後、バージョンが変わったら変わっていくだろうから適宜修正が必要になると思われる。

OpenMeetingsの自動起動スクリプトを作成

自動起動スクリプトが提供されるようになった(tomcat3という名前でダウンロードできた)。

だけど、前回と同じく幾つかの手直しをする。2020/05/22 ファイル名修正
/etc/init.d/openmeetings

#!/bin/sh
### BEGIN INIT INFO
# Provides:          Openmeetings
# Required-Start:    mysql apache2 kurento-media-server
# Required-Stop:
# Should-Start:
# Should-Stop:
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Apache Openmeetings Service
# Description:       Openmeetings provides video conferencing, instant messaging,
#                    white board, collaborative document editing and other groupware
#                    tools using API functions of the Red5 Streaming Server for
#                    Remoting and Streaming.
### END INIT INFO

# set the environment
# JAVA_OPTS=""
# CATALINA_OPTS=""
CATALINA_HOME=/usr/share/openmeetings
RUN_USER=nobody

# set TIME OUT values
# TIMELIMIT=10
# SLEEPTIME=40

# Function to wait until all Tomcat processes are killed
waitForTomcatToDie()
{
    PROCESSES=`ps auxwww | grep $HOME | grep 'java' | grep 'tomcat' | grep -v 'grep'`
    while [ ! -z "$PROCESSES" ] && [ $SECONDS -lt $TIMELIMIT ] && [ $TIMELIMIT -ne 0 ]; do
        echo -n "."
        sleep $SLEEPTIME
        PROCESSES=`ps auxwww | grep $USER | grep 'java' | grep 'tomcat' | grep -v 'grep'`
    done
    echo ""
    if [ ! -z "$PROCESSES" ]; then
        PROCESS_ID=`echo $PROCESSES | awk '{ print $2 }'`
        echo "Killing process: $PROCESS_ID"
        kill -9 $PROCESS_ID
    fi
}

# See how we were called.
case "$1" in
    start)
        $CATALINA_HOME/bin/startup.sh -u $RUN_USER -Dcatalina.base$CATALINA_BASE
    ;;
    # debug)
        # DEBUG_PORT=10001
        ## export JAVA_OPTS="${JAVA_OPTS} -Xdebug -Xrunjdwp:transport=dt_socket,address{DEBUG_PORT},server=y,suspend=n"
        # $CATALINA_HOME/bin/startup.sh -Dcatalina.base{CATALINA_BASE}
        # ;;
    stop)
        # $CATALINA_HOME/bin/shutdown.sh
        $CATALINA_HOME/bin/shutdown.sh
        waitForTomcatToDie
        echo "...Tomcat stopped."
        ;;
    restart)
        $0 stop
        echo "...Restarting..."
        sleep 8
        $0 start
        ;;
    status)
        status $PROG -p $PIDFILE
        RETVAL=$?
        ;;
    *)
        echo $"Usage: $0 {start|stop|restart|status}"
        RETVAL=1
esac

exit $RETVAL

作成したファイルを有効化する。

$ sudo chmod 755 /etc/init.d/openmeetings
$ sudo systemctl daemon-reload
$ sudo /lib/systemd/systemd-sysv-install enable openmeetings
$ sudo systemctl start openmeetings

※openmeetingsの起動には少し時間が掛かる。

ココまでの作業でOpenMeetingsのWeb UIが起動するようになった。

OpenMeetingsのWeb UIによる初期設定

ここまで来たところで、ブラウザでアクセスしてみる。
https://temp.hogeserver.hogeddns.jp:5443

ウチの環境では上記のようなURLでアクセスできるけれども、IPアドレスでアクセスする場合もあるかもしれない。
Ubuntu Desktopをインストールしているなら、デスクトップから以下のURLでアクセスできる。
https://localhost:5443

アクセスすると次の画面が表示される。[NEXT >]をクリック。

データベースユーザーとパスワードを入力し、[接続試験]をクリック。
問題なければ[NEXT >]をクリック。

最初のユーザーの情報を入力し、[NEXT >]をクリック。
パスワードには大文字、小文字、数字、記号(!@#$%^&*][)を含める必要があるらしく、名前と一緒だと駄目など結構厳しい制約がある。

自己登録を拒否し、管理者だけがユーザーを登録できるようにしている。

このシステムはメールを送信することがあるので、使えるメールサーバーを入れておくと便利。ウチはメールサーバーを立てていて、LAN内からならば認証がいらないので設定項目が少ない。一方、プロバイダーのサービスを利用しているような場合は、そのプロバイダーが要求する認証情報をここに入れておくと良い(管理用のメールアカウントなど)。

構成を決めたら[NEXT >]をクリック。

ライブラリが使えるかどうかの確認。パスは通っているはずなので、空っぽのままでOKのはず。
心配なので[接続試験]のボタンを全部クリックしてOKであることを確認したら、[NEXT >]をクリック。

暗号タイプはこのままで多分問題なし。
SIPは使わないのでこのままでOK。[NEXT >]をクリック。

最後、インストールボタンと書かれているけれど、[FINISH]をクリック。

数秒でインストール処理が完了する。

FINISHボタンは反応しないので、もう一度URLを入力してアクセスする。
ウチの場合は https://temp.hogeserver.hogeddns.jp:5443 で、アクセスするとログイン画面が出てくる。

最初のユーザーの情報を入力してログインする。

これで初期設定は完了。

その他の設定

自分で用意した証明書で通信する

サービスを公開しようとしたとき、いつもエラー表示からスタートするのは格好が悪い。

SSLはOpenMeetingsで設定することもできるし、ApacheにProxyさせて設定することもできる。

ウチには「自己署名」だけれども、キーと証明書がある。これを使ってPKCS12ファイルを作成してみる。

ここではCA証明書をPKCSに入れているけれど、その先の動作を見ると必要なさそうな気がする。
ドメイン管理されている環境なら、ドメインコントローラーに署名してもらった証明書とキー、Let's Encryptを使う場合はfullchain.pemとprivkey.pemだけで進めてもいけるんじゃないだろうか(やってみてないからよく分からないけど…)。

• root.crt (自己CA証明書)
• temp.crt(サーバー証明書)
• temp.key(サーバーキー)

$ openssl pkcs12 -export -in temp.crt -inkey temp.key -certfile root.crt -out temp.p12
Enter Export Password: openmeetings[Enter]
Verifying - Enter Export Password: openmeetings[Enter]

PKCS12ファイルからキーストア(temp.jks)を作成。

$ keytool -importkeystore -deststorepass openmeetings -destkeypass openmeetings -destkeystore temp.jks -srckeystore temp.p12 -srcstoretype PKCS12 -srcstorepass openmeetings

※キーストアのパスワードは openmeetings にした。

作ったキーストアを配置し、OpenMeetingsから読み取られるように設定する。

sudo cp temp.jks /usr/share/openmeetings/conf

※パーミションを変えてもいいけれど、変えなくても読み込めるので問題なし。

/usr/share/openmeetings/conf/server.xml

…
    <Connector port="5443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true">
        <SSLHostConfig>
            <Certificate certificateKeystoreFile="conf/temp.jks"
                         certificateKeystorePassword="openmeetings"
                         certificateKeystoreType="JKS"
                         certificateVerification="false"
…

これでOpenMeetingsを再起動すれば、証明書が反映される。

$ sudo systemctl restart openmeetings

　

転ばぬ先の杖(タイムアウト問題への対応)

過去、会議が始まってから30分間OpenMeetingsの操作をしないままでいると、次に何か操作をしたときに切断される問題があった。

今のバージョンに同じ問題があるのかどうか分からないが、解決策を設定しておいても損はないんじゃないかと思われる。ユーザー数が数百人規模になったら違うかもしれないけど。

/usr/share/openmeetings/webapps/openmeetings/WEB-INF/web.xml

…
                </web-resource-collection>
                <auth-constraint/>
        </security-constraint>
        <!-- タイムアウト設定 ここから 480分=8時間-->
        <session-config>
                <session-timeout>
                        480
                </session-timeout>
        </session-config>
        <!-- タイムアウト設定 ここまで -->
</web-app>

　

サービス公開ポートを変更

サービスを公開するポートは443じゃなきゃだめ、とか、他のサービスと共存させたいという場合には、Apacheを使ってPorxyさせていた。

あと、OpenMeetingsに証明書を覚えさせるのが面倒なら、ここで設定することもできる。

Apacheをインストールして必要なモジュールを有効化する。

$ sudo apt install apache2
$ sudo a2enmod proxy proxy_http proxy_wstunnel rewrite ssl

設定ファイルを新規作成。
/etc/apache2/sites-available/openmeetings.conf

<VirtualHost *:443>
    ServerName temp.hogeserver.hogeddns.jp
    ServerAdmin webmaster@hogeserver.hogeddns.jp

    ProxyPreserveHost on
    RewriteEngine on
    RewriteCond %{HTTP:Upgrade} =websocket [NC]
    RewriteRule /(.*)           wss://127.0.0.1:5443/$1 [P,L]
    RewriteCond %{HTTP:Upgrade} !=websocket [NC]
    RewriteRule /(.*)           https://127.0.0.1:5443/$1 [P,L]
    SSLProxyEngine on
    SSLProxyCheckPeerCN off
    SSLProxyCheckPeerName off
    ProxyPassReverse / https://127.0.0.1:5443/
    ProxyPassReverse /openmeetings/wicket/ wss://127.0.0.1:5443/openmeetings/wicket/

    ErrorLog  ${APACHE_LOG_DIR}/openmeetings-error.log
    CustomLog ${APACHE_LOG_DIR}/openmeetings-access.log combined

    SSLEngine on
    SSLCertificateFile    /etc/ssl/private/temp.crt
    SSLCertificateKeyFile /etc/ssl/private/temp.key
</VirtualHost>

※用意したtemp.crt, temp.keyは所定の場所に配置。

インストール直後に入っている80ポートと443ポートの設定を外し、openmeetingsの設定を投入。

$ sudo a2dissite 000-default.conf
$ sudo a2ensite openmeetings.conf
$ sudo systemctl restart apache2

　

Firewall設定

必要なポートだけを開けておけば、いくらか安全。

$ sudo ufw ssh
$ sudo ufw allow to any port 5443 proto tcp from any ←デフォルトの5443/tcpでサービス公開する場合
$ sudo ufw allow to any port 443 proto tcp from any  ←443/tcpでサービス公開する場合

　

日本語で使いやすく

最初のユーザーでログインし、管理メニューAdministration(管理) → Configuration(グローバル設定) の 15番のDefault lang ID に 15 を設定すれば、これから作られるユーザーのデフォルト言語を日本語にできそう。
自分ユーザーは、プロフィールで日本語を選べば日本語で利用できる

やったこと

OpenMeetingsにアクセスできない

ウチは色々と環境を構築しては作り直し、というのを繰り返していたせいか、Web UIによる初期設定をしようとしても、Chromeがアクセスさせてくれなかった。

危険を承知でアクセスする、という表示もなく、普通にはどうやってもアクセスできない。

自分の構築しているローカルなサーバーなので安全にアクセスができるはず。
まっしろブログ / 「HSTSが使用されているため、現在アクセスできません」の対処方法

Chromeで新しいタブを開き、
chrome://net-internals/#hsts
を入力。Delete domain security policies に当該のサイトを入れる。

Deleteボタンを押した後、当該ページをリロードすれば「安全ではありません」表示が出てきてアクセスができる。

さいごに

このシステムを業務で1年以上使っていたこともあり、懐かしさも感じるし、久しぶりに使ってみたいという気持ちにもなる。サーバーに余裕があればスタンバイさせておくのもあり。

機能が豊富なだけにユーザーを選ぶ側面があって、大人数に公開しようと考えると萎える。だから、ある程度「分かる奴」とだけで使って徐々に広げていくのが良さそうだなって思ったり。

使いやすくする方法もきっとあるだろう。画面の共有サイズのデフォルトが800x600(4:3)ってのは今時っぽくなくて、800x450(16:9)じゃないのかなとか。

このシステムもどんどん進化していくのだろう。楽しみ。