[vz-users] Login/Absicherung von VZ Installationen

Christian Schnellrieder schnellrieder.cs at gmail.com
Wed Jan 4 09:15:13 CET 2017 

Guten Morgen Andi.

Also ich hab versucht die ppm lt.
https://github.com/volkszaehler/volkszaehler.org/tree/master/misc/tools#ppm zu
installieren.
Das Frontend öffnet auch ohne Probleme aber er findet keine Kanäle.Versuche
ich eine UUID hinzuzufügen passiert gar nichts.

Hast du eine Idee wo ich da ansetzen kann?


Grüße


Sirko <mail_ist at nurfuerspam.de> schrieb am Mi., 4. Jan. 2017 um 08:28 Uhr:

Hi,


> High Performance Middleware

du meinst den ppm?

Früher gab's mal den httpd https://github.com/volkszaehler/httpd

Worin unterscheiden die beiden sich?


Grüße

Sirko



Am 03.01.2017 um 20:33 schrieb Andreas Goetz:

Hallo,

Frohes Neues Jahr Zusammen!

Ihr wisst ja dass ich hartnäckig sein kann. In den letzten Tagen haben ich
nach dem mißglückten Merge daher massiv Arbeit darein gesteckt alle VZ
Komponenten wieder 100%ig funktionsfähig zu machen.

Dazu gehören auch die High Performance Middleware (siehe
https://github.com/volkszaehler/volkszaehler.org/tree/master/misc/tools)
und der zuletzt nicht mehr korrekt funktionierende push-server (gleicher
Link).

Apropos High Performance Middleware: ich muss nochmal Werbung dafür machen
dass die MW damit in der Lage ist Requests in wenigen (<10!) Millisekunden
zu beantworten. Wäre Klasse wenn wir das in das Image einbauen könnten
(@Udo: einmalig kann ich das gerne einrichten, ist im Link aber auch recht
gut dokumentiert).

Auf der Basis habe ich dann auch gleiche die Testskripte renoviert und User
Authorization neu aufgesetzt (
https://github.com/volkszaehler/volkszaehler.org/pull/551). Aus meiner
Sicht wäre das Feature damit reif standardmäßig in VZ einzuziehen. Bei
Bedarf könnte ich noch eine Option einbauen es ggf. auch komplett
abzuschalten falls sich die individuelle Konfiguration der Firewall Regeln
dafür als zu aufwändig erweist.

Viele Grüße, Andreas


On 27 Aug 2016, at 12:33, Andreas Goetz <cpuidle at gmail.com> wrote:

Hallo Zusammen,

das prinzipielle Feedback war zwar “brauche ich nicht”, ich habe mir aber
trotzdem mal den Spass gemacht, Firewall und User Authorization
prototypisch zu implementieren.

Wer damit spielen möchte findet hier den Code:
https://github.com/volkszaehler/volkszaehler.org/pull/458

Das Ganze basiert auf JSON Web Tokens für Bearer Authentication und sollte
tunlichst- da Username/ Passwort übertragen werden- _nur_ über HTTPS
Anwendung finden.

Die Änderungen an der vz.conf Datei sollten eigentlich hinreichen erklären
was es zu konfigurieren gibt. Freue mich über Feedback im PR.

Viele Grüße,
Andreas


On 15.08.2016, at 11:36, Andreas Goetz <cpuidle at gmail.com> wrote:

Ich mache Jacobs Mail mal als neues Thema auf:

Bei der Durchsicht der URL-Befehle habe ich gesehen, dass anscheinend
auch schreibend auf die Datenbank zugreifen kann. Ist das nicht
gefährlich, so einen Webserver ins öffentliche Netz zu stellen, wenn
jeder daran herum fummeln kann?


Äh, ja, das ist das Prinzip von vz. Allerdings muß man ja die UUID kennen,
um Kanäle und deren Daten manipulieren zu können, deswegen sollte man die
UUID auch geheim halten (und Kanäle nicht einfach public machen, sonst kann
man sie einfach so auflisten). Neue Kanäle anlegen und nutzen geht aber
natürlich schon.
M.W. hatte Justin das so konzipiert, damit z.B. demo.volkszaehler.org ohne
Anmeldung (und Passwort-Recevory, Email etc. pp.) genutzt werden kann.
Faktisch ist es aber heute wohl so, daß die meisten ihren eigenen VZ-Server
laufen haben, da finde ich das eher ungeschickt (zumal die UUIDs auch etwas
unhandlich sind).

-- snip --

Ich sehe- wenn wir es einfach halten wollen- 2 Anwendungsfälle:

a) Absicherung einer privaten Installation
b) Usermanagement für eine öffentliche Installation wie demo

Letzteres klammere ich mal aus da es grundlegende Änderungen an VZ
erfordern würde. Für a) gibt es verschiedene Möglichkeiten von furchtbar
einfach bis etwas umfangreicher:

1) Basic Authentication, also Username + Password. Für ein Mindestmaß an
Sicherheit ist SSL erforderlich- das gilt ebenso aber auch für alle
weiteren Varianten. Das muss zusätzlich so konfiguriert werden dass
vzlogger (aus dem internen Netz) ohne Basic Auth weiterhin seine Daten
abliefern kann.

2) Token Authentication: initiales Login per U/P, ab da Token der expired.
Dabei hätten wir sogar die Möglichkeit einzelne User zu definieren-
imeinfachsten Falle per Konfigurationsdatei, sonst als
Datenbankerweiterung. Wenn Datenbankerweiterung dann können wir auch Rechte
vergeben (schreiben, löschen, lesen) und Kanäle zu Usern "gehören" zu
lassen.
Weiterhin wäre es ggf. sinnvoll authentifizierten Nutzern auch "private"
Kanäle ohne Kenntnis der UUID anzubieten.

Gibts Bedarf?

Viele Grüße,
Andreas




-- 

Von meinem Smartphone versendet
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://demo.volkszaehler.org/pipermail/volkszaehler-users/attachments/20170104/afe45a25/attachment-0001.html>

More information about the volkszaehler-users mailing list