Authentifierung

[Matthias1912]

Hi Leute, ich hoffe ihr könnt mir helfen.

Ich habe zu meinem Problem schon ne ganze Weile recherchiert aber nix wirklich hilfsreiches gefunden.

Ich möchte die XML-API, email, ... (eigentlich die ganzen Zusatzsoftware / das ganze System) per Authentifierung absichern, aber irgendwie funktioniert das nicht wie gewünscht. Das Web-UI ist zwar mit Benutzername und Passwort abgesichert, aber ein Teil der Zusatzsoftware irgendwie nicht.

Ich habe in der Systemsteuerung->Sicherheit den Haken bei Authentifizierung gesetzt.
Habe einen Benutzer mit Berechtigungsstufe "Benutzer" angelegt.
Habe in Systemsteuerung->Firewall folgendes eingestellt:

• Ports blockiert
• XML-RPC API: Eingeschränkt
• Remote Homematic-Script API: Eingeschränkt
• Port-Freigabe: nichts
• IP Adressen für eingeschränkten Zugriff: 192.168.x.0/24 (x entsprechend meines Subnet)

Was muss man noch alles einstellen, oder kann man die Zusatzsoftware gar nicht absichern?

[srunschke]

Was ist denn "die Zusatzsoftware"? Und was wird da nicht abgesichert? So pauschal ist das schwer zu beantworten...

Wenn die RM die XML API absichert, hat das ja erst mal nichts damit zu tun, was irgendwelche Zusatzsoftware vielleicht an Ports öffnet oder sonstigen Hokuspokus verursacht.

[Matthias1912]

Hi sorry für die späte Antwort. Hab durch die ganze Corona „Krise“ ganz vergessen das ich hier ja ne Frage gestellt hatte.

Also im Prinzip geht es in erster Linie nur um die XML-API. Diese ist eben scheinbar nicht abgesichert durch Benutzername und Passwort bzw. weiß ich nicht wo das einzustellen ist. (Einstellungen siehe Eingangspost scheinen nicht zu funktionieren)

Ich kann über die XML-Api schalten und walten ohne Benutzername und Passwort eingeben zu müssen. Ich möchte egal ob lokal oder vollzugriff oder was auch immer einzustellen ist, das immer Benutzername und Passwort abgefragt wird. Geht das bei der XML-Api?

[LibertyX]

Die Authentifizierung unter Systemsteuerung -> Sicherheit git nur für die Homematic RPC XML-API & HomematicScript-API.

Wenn du das Addon XML-API sichern möchtest, musst du das über http auth selbst einrichten

https://github.com/fl0wde/RaspberryMati ... tification

Für die Passwörter und User in der .lighttpdpassword solltest du eigene generieren.

[Matthias1912]

Hi,
super, genau das hab ich gesucht. Danke für den Tipp.

[dunu]

Hallo und vielen Dank für den Tipp LibertyX,

leider funktioniert das bei mir nicht. Könnte es sein, dass sich die Struktur mittlerweile geändert hat?

1. Das angegebene Verzeichnis /etc/config/lighttpd/auth.conf gibt es nicht, ich müsste sie neu anlegen. Ist das korrekt? Wohl aber existiert /etc/lighttpd und in /etc/lighttpd/conf.d gibt es auch jetzt schon eine auth.conf. Jens Maus empfiehlt übrigens einen anderen Pfad, damit nichts überschrieben wird: /usr/local/etc/lighttpd (siehe https://github.com/jens-maus/RaspberryMatic/issues/332). Soll ich lieber den nehmen? Aber auch diesen müsste ich erst anlegen, korrekt?

2. htpasswd kann ich über ssh nicht starten:

Code: Alles auswählen

root@ccu3-webui:/# htpasswd -n dunu
-sh: htpasswd: not found

Installiert ist auf meiner ccu nichts außer rasberryMatic und der XML-API.

Viele Grüße

dunu

[Matthias K.]

Ja, das Verzeichnis musst du anlegen, und die Datei auch.
htpasswd nutzt du am Besten aus einem anderen Linux raus, z.B. einem 2. Pi mit Raspbian oder einem sonstigen Linux-System. Auf RaspberryMatic ist das nicht mit dabei.

[LibertyX]

1. Das angegebene Verzeichnis /etc/config/lighttpd/auth.conf gibt es nicht, ich müsste sie neu anlegen. Ist das korrekt? Wohl aber existiert /etc/lighttpd und in /etc/lighttpd/conf.d gibt es auch jetzt schon eine auth.conf. Jens Maus empfiehlt übrigens einen anderen Pfad, damit nichts überschrieben wird: /usr/local/etc/lighttpd (siehe https://github.com/jens-maus/RaspberryMatic/issues/332). Soll ich lieber den nehmen? Aber auch diesen müsste ich erst anlegen, korrekt?

/etc/config verweist auf /usr/local/etc/config hier muss der Ordner "lighttpd" und darin die Dateien "auth.conf" & ".lighttpdpassword" erstellt werden.

[manfredh]

Siehe Titel - das musste jetzt mal gesagt werden.

[Flachdachdecker]

Kann man so auch das XML-API Plugin auf einer normalen CCU2 absichern?