[gelöst] Multi User Betrieb HowTo
-
Hallo zusammen,
ich beschäftige mich seit einigen Tagen mit IObroker und einem Raspberry 3. Die Installation hat mit den guten Anleitungen (fast :roll: ) reibungslos geklappt.
Nun beschäftige ich mich mit VIS, da sind dann doch einige Fragen aufgetaucht, zu denen ich keine Infos gefunden habe. `
Du hast Thema angefasst, die sehr viele Möglichkeiten hat und wodurch iobroker von anderen Systemen sich unterscheidet. Weil es gibt wenig (ich kenne keine für iot ) Systemen, die so konsequent User management implementiert haben, wie Iobroker.Leider ist das wenig Beschrieben. Wenn mir jemand an dieser Stelle helfen konnte (ausser Homoran
) das wäre sehr hilfreich.
` > Frage 1:Warum kann ich im adminAdapter die Authentifikation nur einschalten, wenn auch https eingeschaltet ist. Ist Https auf "aus", kann ich die CheckBox nicht aktivieren. (Absicht oder Fehler?)
Da für authentifizieren ein basicAuth Verfahren verwendet wird, wird Passwort in Klartext übertragen. Deswegen ist es verschlüsselt. Und ich habe explizit disabled Passwort unverschlüsselt zu übertragen. Man kann natürlich im admin das Objekt manipulieren und nur authentication aktivieren.> Frage 2:Wo finde ich Infos über die Berechtigungen, die einem Benutzer zugeteilt werden (Welche Auswirkung hat was….) `
Ich dachte es sollte selbstverständlich sein.Es gibt insgesamt 5 Bereichen :
Objekte
Zustände
Dateien
Sonderbefehle(exec, …)
Gruppen/User.
Und für jeden Bereich kann man: lesen, schreiben, auflisten, erzeugen, löschen; erlauben oder sperren.
Es gibt eine Ausnahme : admin kann man nicht aussperren.
` > Leider sind meine Versuche gescheitert, mehrere Benutzergruppen einzurichten, da ich wohl noch nicht das richtige Verständnis habe.
Beim Admin Adapter ist Authentifikation eingeschaltet, so dass nur Admin dort rumeiern darf
Wie mach ich das aber mit VIS? Wenn im web-Adapter die Authentifikation eingeschaltet ist, muss sich ja jeder anmelden der die Views sehen möchte. Ich habe deshalb nur den DefaultUser, unter dem der web-adapter läuft auf einen Benutzer gestellt, der KEINEN Edit machen darf. Was ich jetzt bräuchte, wäre ein LOGIN, über den man sich bei Bedarf anmelden kann.
Sinn und Zweck des ganzen:
Ohne Anmeldung können Views angezeigt werden, aber nicht bearbeitet werden
Nach Anmeldung können Views bearbeitet werden, sofern der Benutzer die erforderlichen Rechte hat
Wie kann ich das realisieren? Ich blicks nicht…..wenn der Web-Adapter unter einem eingeschränkten User läuft, wie kann ich da einen Login Dialog aufrufen???? `
Um dein Szenario zu ermöglichen braucht man 2 Web Adapter und 2 Gruppen.1 Gruppe (users) die darf keine Dateien und Objekten ändern. Und natürlich keine User modifizieren.
Und andere Gruppe darf alles.
Natürlich müssen User den Gruppen zugewiesen sein.
Dann am einem Adapter authentifizieren ausschalten und unter User Akkount laufen lassen.
An anderer Instanz dann authentifizieren einschalten.
So ist z.B. obroker.net Demo Seite aufgebaut. Live. Im Internet. Seit einem Jahr.
-
Danke Bluefox,
Mit authentication habe ich mich noch nie beschäftigt, das sind für mich böhmische Dörfer.
Das einzige was ich gesehen habe und noch ergänzen kann ist, dass die Sichtbarkeit jedes einzelnen Widgets auch von den angemeldeten Usernicht abhängig ist.
Das Thema ist aber so umfangreich von Dir in ioBroker implementiert, da wird die zugehörige Doku zumindest eine Doktorarbeit.
Gruß
Rainer
-
` > Leider sind meine Versuche gescheitert, mehrere Benutzergruppen einzurichten, da ich wohl noch nicht das richtige Verständnis habe.
Beim Admin Adapter ist Authentifikation eingeschaltet, so dass nur Admin dort rumeiern darf
Wie mach ich das aber mit VIS? Wenn im web-Adapter die Authentifikation eingeschaltet ist, muss sich ja jeder anmelden der die Views sehen möchte. Ich habe deshalb nur den DefaultUser, unter dem der web-adapter läuft auf einen Benutzer gestellt, der KEINEN Edit machen darf. Was ich jetzt bräuchte, wäre ein LOGIN, über den man sich bei Bedarf anmelden kann.
Sinn und Zweck des ganzen:
Ohne Anmeldung können Views angezeigt werden, aber nicht bearbeitet werden
Nach Anmeldung können Views bearbeitet werden, sofern der Benutzer die erforderlichen Rechte hat
Wie kann ich das realisieren? Ich blicks nicht…..wenn der Web-Adapter unter einem eingeschränkten User läuft, wie kann ich da einen Login Dialog aufrufen????
1 Gruppe (users) die darf keine Dateien und Objekten ändern. Und natürlich keine User modifizieren.
Und andere Gruppe darf alles.
Natürlich müssen User den Gruppen zugewiesen sein.
Dann am einem Adapter authentifizieren ausschalten und unter User Akkount laufen lassen.
An anderer Instanz dann authentifizieren einschalten.
So ist z.B. obroker.net Demo Seite aufgebaut. Live. Im Internet. Seit einem Jahr. `
DANKE! Genau danach habe ich gesucht! Funktioniert!
-
Das fehlte mir auch noch.
Hab mir auch einen zweiten Web Adapter für User ohne Adminrechte zugelegt. Der kommt schön ohne Passwort-Eingabe ans VIS und kann nicht editieren. Sehr schön.
Eines läuft aber noch nicht rund: die Graphen von flot. Im Feld des Graphen muss ich dann Passwort eingeben, um es zu sehen. Was muss ich hier richtig einstellen?
Das gleich Problem hatte ich vorher wenn ich von extern über Dyndns auf mein VIS schaute, mit dem Unterschied, dass der Graph wegen eines Zeitfehlers nicht kommt (ohne Passwortabfrage).
-
Eines läuft aber noch nicht rund: die Graphen von flot. Im Feld des Graphen muss ich dann Passwort eingeben, um es zu sehen. Was muss ich hier richtig einstellen?
Das gleich Problem hatte ich vorher wenn ich von extern über Dyndns auf mein VIS schaute, mit dem Unterschied, dass der Graph wegen eines Zeitfehlers nicht kommt (ohne Passwortabfrage). `
Wie sind denn die Gruppen Berechtigungen des Users, unter dem der entsprechenden vis.adapter läuft??Hab das so noch nie getestet… :?:
-
Wie sind denn die Gruppen Berechtigungen des Users, unter dem der entsprechenden vis.adapter läuft??
Hab das so noch nie getestet… :?: `
Ich habe nur einen vis.adapter…. braucht man davon dann auch zwei?Ich habe im admin.adapter einfach unter "Benutzer" einen zweiten Benutzer erstellt. Nun habe ich einen Administrator und einen User. Dann habe ich einen zweiten web.adapter erstellt für den User. Sonst keine weiteren Einstellungen.
-
Wie sind denn die Gruppen Berechtigungen des Users, unter dem der entsprechenden vis.adapter läuft??
Hab das so noch nie getestet… :?: `
Ich habe nur einen vis.adapter…. braucht man davon dann auch zwei?Ich habe im admin.adapter einfach unter "Benutzer" einen zweiten Benutzer erstellt. Nun habe ich einen Administrator und einen User. Dann habe ich einen zweiten web.adapter erstellt für den User. Sonst keine weiteren Einstellungen. `
Hmmm…du brauchst keinen 2. VIS Adapter
also du hast 2 Web-Adapter eingerichtet, einen mit Authentifikaton (1) und einen ohne (2), stimmts ?
Sagen wir mal der (1) hat den Port 8082 und der andere Port 8083, dann kannst du den Vis-Adapter auch unter den 2 verschiedenen Ports erreichen.
Das heisst der Port 8083 läuft unter dem Defaut User, den du bei dem Web-Adapter angegeben hast.
Du kannst dann Vis unter den 2 Ports erreichen, einmal mit Anmeldung (8082) oder ohne Anmeldung (8083 = Berechtigungen des Default User)
Wenn du im IOBROKER as Admin angemeldet bist und dort bei den Instanzen mal den VIS-Adapter anschaust, hat der ein ICON, mit dem man das Web-Interface des Adapters aufrufen kann. Wenn du dort mit der Maus drüber fährst, zeigt der dir die verschiedenen Ports an.
Wenn du nun Flot aufrufst, mit welchem Benutzer bist du dann angemeldet??
Hoffe das hilft dir weiter...
-
` >
@coffee-junk:Ich habe nur einen vis.adapter…. braucht man davon dann auch zwei?
Ich habe im admin.adapter einfach unter "Benutzer" einen zweiten Benutzer erstellt. Nun habe ich einen Administrator und einen User. Dann habe ich einen zweiten web.adapter erstellt für den User. Sonst keine weiteren Einstellungen. `
Hmmm…du brauchst keinen 2. VIS Adapter
also du hast 2 Web-Adapter eingerichtet, einen mit Authentifikaton (1) und einen ohne (2), stimmts ?
Sagen wir mal der (1) hat den Port 8082 und der andere Port 8083, dann kannst du den Vis-Adapter auch unter den 2 verschiedenen Ports erreichen.
Das heisst der Port 8083 läuft unter dem Defaut User, den du bei dem Web-Adapter angegeben hast.
Du kannst dann Vis unter den 2 Ports erreichen, einmal mit Anmeldung (8082) oder ohne Anmeldung (8083 = Berechtigungen des Default User) `
Das funktioniert soweit.Bei mir habe ich:
Admin auf web.0 auf 443 mit letsencrypt
User auf web.1 auf 8085 ohne Anmeldung
` > Wenn du im IOBROKER as Admin angemeldet bist und dort bei den Instanzen mal den VIS-Adapter anschaust, hat der ein ICON, mit dem man das Web-Interface des Adapters aufrufen kann. Wenn du dort mit der Maus drüber fährst, zeigt der dir die verschiedenen Ports an.
Wenn du nun Flot aufrufst, mit welchem Benutzer bist du dann angemeldet??
Hoffe das hilft dir weiter…
Das habe ich noch nicht ganz verstanden. Als Admin angemedet, in Instanzen, ok. Aber wenn ich über das VIS Icon gehe kommt nix… wenn ich drauf klicke springt er auf eine Seite und da steht nur: Cannot GET /undefined -
Das habe ich noch nicht ganz verstanden. Als Admin angemedet, in Instanzen, ok. Aber wenn ich über das VIS Icon gehe kommt nix… wenn ich drauf klicke springt er auf eine Seite und da steht nur: Cannot GET /undefined `
Upps, da stimmt dann wohl etwas nicht, da kann ich dir leider nicht weiter helfen, bin selbst noch ein Anfänger, was IObroker angeht.
Du musst natürlich beachten, dass wenn du im IO-Broker als Admin angemeldet bist und über einen weiteren Tab deines Browsers die VIS Oberfläche aufrufst, du auch bei VIS als Admin angemeldet bist. Im Firefox kann man z.B. eine "private Tab" aufmachen zum testen, das ist dann so als ob der Web-Adapter von einem ganz anderen PC/Gerät aufgerufen wird, dann läuft die Session unter dem Benuter, den du beim entsprechenden Web-Adapter per Default festgelegt hast.
Evt. benutzen wir unterschiedliche Versionen? Meine Installation ist praktisch noch heiss!
! "admin": {
! "version": "1.6.4",
! "platform": "Javascript/Node.js"
! },
! "web": {
! "version": "1.7.2",
! "platform": "Javascript/Node.js"
! },
! "vis": {
! "version": "0.10.14",
! "platform": "Javascript/Node.js"
! }
So sieht das bei mir aus, wenn ich auf das VIS-Icon klicke: (8082 = ohne Anmeldung == DefaultUser vom web.0), (8083 = mit Anmeldung)
1573_vis.png -
Hab einige Änderungen versucht ohne positives Ergebnis.
Was ist mit dem socket.io adapter? Was muss da stehen? Da habe ich einen weiteren port, nämlich 8084 und es läuft hier Admin.
-
-
Hab einige Änderungen versucht ohne positives Ergebnis.
Was ist mit dem socket.io adapter? Was muss da stehen? Da habe ich einen weiteren port, nämlich 8084 und es läuft hier Admin.
Kannst du mal Screenshot posten, was hast du für User erlaubt?
Im heimischen Netz ist jetzt alles gut. web.1 als "normaler User", braucht kein Passwort, kann Graphen sehen und darf nix in VIS ändern.Problem bleibt von außerhalb des Heimnetzes als Admin mit web.0, dann sehe ich in VIS keine Graphen. Erschwert wird, dass ich gar nicht weiß wofür socketio da ist. Hier die screenshots:
1146_admin.0.jpg
1146_socketio.0.jpg
1146_web.0.jpg -
Ich vermute, du hast fest rein geschrieben die Adresse von flot.
Wenn du aus flot link (z.B. http://192.168.1.6:8082/flot/index.html)… alles raus schmeißt, außer "/flot/index.htm", dann wird es funktionieren.
-
Ich vermute, du hast fest rein geschrieben die Adresse von flot.
Wenn du aus flot link (z.B. http://192.168.1.6:8082/flot/index.html)… alles raus schmeißt, außer "/flot/index.htm", dann wird es funktionieren. `
Klingt logisch. Danke. Probiere ich mal aus.Hab leider jetzt ganz andere Probleme und muss erstmal raspi/iobroker wieder zum Laufen bekommen…
EDIT: hat funktioniert. Super!
-
Eine Frage bleibt doch noch:
wo vergebe ich einen Benutzernamen und das Passwort?
Bzw. wo kann ich es ändern, wenn es schon vergeben ist?
Falls schon vom System ein Passwort vergeben ist, wie lautet es?
Danke für die schnelle Antwort.
Gruß,
Mathias
-
Eine Frage bleibt doch noch:
wo vergebe ich einen Benutzernamen und das Passwort?
Bzw. wo kann ich es ändern, wenn es schon vergeben ist? `
@MathiasJ:Falls schon vom System ein Passwort vergeben ist, wie lautet es? `
Login: admin , password: iobrokerOder über Konsole: http://www.iobroker.net/docu/?page_id=3 … ker_passwd
-
Dankeschön!
Sag mal Bluefox, ich bewundere die ganze Zeit Deine Visualisierung.
Wo bekommt man so schöne Fenster her?
Gibt's die nur geschlossen oder auch offen?
Danke schon im voraus.
Gruß, Mathias
-
Dankeschön!
Sag mal Bluefox, ich bewundere die ganze Zeit Deine Visualisierung.
Wo bekommt man so schöne Fenster her?
Gibt's die nur geschlossen oder auch offen?
Danke schon im voraus.
Gruß, Mathias `
Ich habe nicht verstanden, was für ein Fenster du meinst.
-
-
Ich dachte an diese Fenster:
http://forum.iobroker.net/download/file … &mode=view
Gruß,
Mathias `
Hqwidgets.Findest du im Admin–>Reiter Adapter und dann unter Visualisierung
