CCU2 + XML-API + mod_auth bis zum bitteren Ende

[c4t0r]

Hallo allerseits.
Vor einiger Zeit habe ich bereits erfolgreich auf meiner CCU2 eine exklusive http-Authentifizierung für die XML-API eingerichtet (Web-Interface ohne extra Login, xml-Schnittstelle mit). Sinnvollerweise habe ich mir davon keine Doku erstellt und stehe nach einem Update in der Vergangenheit (HomeDroid meldet ja leider keine unnötig gewordene Authentifizierung) wieder am Anfang.

aktuell habe ich in der /etc/lighttpd/lighttpd.conf am Ende die Zeile

Code: Alles auswählen

include "/media/sd-mmcblk0/etc/lighttpd/conf.d/config.conf"

eingefügt, wodurch ich nicht ständig das root-Verzeichnis neu als Read-Write einhängen muss, wenn sich mal Änderungen ergeben.

In der config.conf steht aktuell

Code: Alles auswählen

auth.backend = "htpasswd"
auth.backend.htpasswd.userfile = "/media/sd-mmcblk0/etc/lighttpd/.htpasswd"
auth.require = ( "/addons/xmlapi/" =>
        (
        "method" => "basic",
        "realm" => "Authentication required",
        "require" => "valid-user"
        ),
                "/config/xmlapi/" =>
        (
        "method" => "basic",
        "realm" => "Authentication required",
        "require" => "valid-user"
        )
)

und das funktioniert leider überhaupt nicht (keine Änderung zum Ursprungszustand ohne Auth).

Ein erster Teilerfolg stellt sich ein, wenn ich den Ordner-Block auf

Code: Alles auswählen

auth.require = ( "/" =>
        (
        "method" => "basic",
        "realm" => "Authentication required",
        "require" => "valid-user"
        )
)

ändere, dann ist aber die gesamte Weboberfläche abgesperrt (=doppelter Login erforderlich).

Hat jemand eine Idee, wie ich die xml-api unabhängig vom restlichen System abriegele?

Nein, ich will nicht auf einem RPi einen Proxy aufsetzen. Es geht mir um eine saubere Lösung ausschließlich auf der CCU2.

[Psycho0verload]

Hi,

da ich das selbe vor hatte zu nutzen - habe ich beschlossen ich probiere es mal auf eigene Faust ohne viele Tutorials.
Ich kann jetzt schon sagen - bei mir läuft's. Ich habe den Verdacht, dass es bei dir wahrscheinlich am Ende nur um ein Komma geht.

Ich habe meine Vorgehensweiße dokumentiert unter: http://bit.ly/1E4nSa1 und das funktioniert definitiv und ist auch sicherer, da die Passwörter mit dieser Konfiguration nochmal mit MD5 codiert sind.

Grüße

Psycho0verload

[taffeljunge]

Moin habe mir jetzt auch eine http/https Passwort Abfrage eingerichtet. Nur leider läuft jetzt weder Home24 noch Homedroid. Bin dabei nach Psycho0verload seiner doku vorgegangen. Die Abfrage funtionirt auch im Web über Port 443. Nur halt in den genannten Apps nicht, weiß da jemand weiter.

[Psycho0verload]

Ich habe das Problem glaube ich lösen können, die von mir angegebene Methode ist eine etwas sicherere und damit ist für die Apps das verbinden nicht möglich. Ich werde im laufe des Tages ein neues Tutorial schreiben, falls noch Interesse besteht^^

[osu]

Starke Sache!

Hatte schon immer ein etwas ungutes Gefühl wegen der fehlenden Authentifizierung bei der Nutzung von z.B. Homedroid über die XML-API.

Wird wohl eines der nächsten Projekte auf meiner ccu2.

Gruß,
Oli.

[ultrah]

Hallo zusammen, mir geht das mit der XML-API ähnlich, deshalb schreibe ich auch immer groß dazu dass es eine Sicherheitslücke ist. Glücklich bin ich damit auch nicht.

Die Lösung die hier vorgestellt wurde funktioniert, ist aber natürlich aufwendig. Ich habe nicht viel Ahnung von den Interna der CCU, aber wäre es nicht einfacher, die XML-API über eine Anpassung der API abzusichern?

[osu]

Für die HomeDroid User:

User und Password der HTTP-Authentication müssen in
Konfiguration > Experimental Settings > Netzwerkeinstellungen > Enable Http Auth aktiviert und eingegeben werden.

Dann läuft's.

Gruß,
Oli S.

[DAC324]

Hallo alle,

sorry für's Ausgraben dieses alten Threads, aber irgendwie habe ich nichts Besseres finden können.

Ich habe nach der Anleitung von Psycho0verload (archivierte Webseite) den passwortgeschützten Zugang für das XML-API auf der CCU2 aktiviert.

Vom Rechner aus über den Browser funktioniert das auch wie gewünscht, nur die App TinyMatic verweigert die Anmeldung und gibt den Fehler 401 Unauthorized aus. HTTP Auth ist in den Netzwerkeinstellungen aktiviert, Benutzername und Passwort sind eingetragen (und funktionieren im Browser auch).
Ich habe die Einstellungen komplett zurück gesetzt und alles neu eingetragen. Es funktioniert einfach nicht (unabhängig auch von der Einstellung "HTTPS aktiviert").

Wo liegt der Fehler?

Beste Grüße
DAC324

[mbkirk]

Hallo

ich würde den tinyMatic Support in Anspruch nehmen, da gibt es doch etwas.

[DAC324]

Hallo

ich würde den tinyMatic Support in Anspruch nehmen, da gibt es doch etwas.

Vielleicht blöde Frage: Wo genau? Bei TinyMatic.Uservoice.com sind die letzten Einträge zum Thema von 2016 (!).

Vielen Dank schon mal und beste Grüße

DAC324