RE: Verständnisfrage - ACL Grundlagen im Code

So - ich hab heute nach ends-langer Zeit endlich Gelegenheit mich mit dem Thema zu beschäftigen - Familie und Job brauchen meine Aufmerksamkeit

Ich hab mal angefangen ne Dev Umgebung aufzuziehen - aber hatte Ubuntu basiert damit noch so meine Schwierigkeiten - eingerostet schätze ich.

Generell finde ich dass ein HRBAC aktuell für etwas wie IOBroker am geeignesten wäre. Jetzt nicht unbedingt für joe-schmoe, aber das würde hervorragend skalieren für größere Installationen und lässt auch für die Zukunft noch Luft.

Ich glaube ich habe in https://github.com/phellipeandrade/rbac einen guten Anfangspunkt gefunden, basierend auf https://blog.nodeswat.com/implement-acc … 67e7b484d1

das könnte gut als Start dienen - zunächst als Drop-In Replacement für das Owner / Group Konzept aus der Unix / Linux Welt das aktuell verwendet wird um die Wellen klein zu halten und das wäre dann Schritt für Schritt auf ein volles RBAC aufbohrbar.

Ich hab noch meine Probleme damit einen guten Ansatz für ein modulares System zu finden - frage mich auch ob das unterm Strich dann wirklich noch Sinn macht - die Rechteverwaltung ist doch recht tief verwurzelt und ich hab so ganz ehrlich meine Sorgen ob Abstraktionslayer oder Hook-Systeme da nicht mehr bremsen als ermöglichen (wenn 98% eh die selbe Implementierung verwenden).

Generell würde ich mal schauen wann ich wieder Zeit finde, dann das DevEnvironment fertig machen und mal eine Basis-Implementation des HRBAC auf Basis des "rbac" npms zu machen. Im Punkt Abhängigkeiten, Footprint etc sieht das ja mal nicht schlecht aus - Neue Objekte scheinen hier aber einen Rebuild des Permission Trees nach sich zu ziehen.. Ggf. in hoch dynamischen Umgebungen ein Problem - aber da sehe ich die Lösung hier auch nicht.

Hoffe "bald" was neues zum Thema zu haben - wie gesagt aber endlich wieder einmal eine schöne Abwechslung

Guten Rutsch und so

@dafiesch:

@dafiesch:

Hi - eventuell dumme Frage.. der Container basiert ja auf Debian.. ich hatte Hoffnung auf das CP210x Modul im Kernel.. Hat das noch keiner gebraucht? `

Also ich hab mir das weiter angeschaut - also ich krieg zwar die sources vom cp aber innerhalb des images krieg ich irgendwie nur 4.9 header während der kernel 3.10 ist - ich kann das ding also nicht kompilieren..

also ich mag hier den Wald vor lauter Bäumen nicht sehen - aber ich bekomm den cp210x driver nicht drauf `

Ok - jetzt habe ich zumindest ein wenig mehr über docker gelernt, nächstes mal nachdenken vor dem loslaufen

Das Modul fehlt natürlich nicht im kernel des Docker Containers - denn der hat keinen die Kernelversion ist die des Docker Hosts und dort fehlt auch das Modul.

Man wird so alt wie eine Kuh und lernt doch immer was dazu

@dafiesch:

Hi - eventuell dumme Frage.. der Container basiert ja auf Debian.. ich hatte Hoffnung auf das CP210x Modul im Kernel.. Hat das noch keiner gebraucht? `

Also ich hab mir das weiter angeschaut - also ich krieg zwar die sources vom cp aber innerhalb des images krieg ich irgendwie nur 4.9 header während der kernel 3.10 ist - ich kann das ding also nicht kompilieren..

also ich mag hier den Wald vor lauter Bäumen nicht sehen - aber ich bekomm den cp210x driver nicht drauf

Hi - eventuell dumme Frage.. der Container basiert ja auf Debian.. ich hatte Hoffnung auf das CP210x Modul im Kernel.. Hat das noch keiner gebraucht?

Also das wird ne weile dauern, erwarte nicht zu viel

Ich möcht mir erst mal nen Plan von den Zusammenhängen machen und mir überlegen was nicht nur meiner Vorstellung was bringt sondern wie man das eventuell sogar "modular" oder "anpassbar" bekommt

Is ne interessante Abwechslung

Tausend Dank, das ist auf jeden Fall genau das was ich gesucht habe - ich führ mir das mal zu Gemüte, hab schon einiges interessantes gesehen

Hallo zusammen

Ich hatte in den letzten Wochen endlich mal etwas Zeit spät Nachts an meiner Stückwerk-Implementierung von Home-Automation zu arbeiten.

ioBroker habe ich dabei als sehr "Einsteiger" freundlich Empfunden, die Lernkurve war flach und die Ergebnisse schnell zu erreichen.

Dafür schon mal großen Respekt, denn das hin zu bekommen bei einer solchen Dynamik und Funktionsvielfalt ist wirklich beeindruckend.

Als ich zu dem Punkt gekommen bin wirklich mal ein paar Sachen steuern zu können wie Heizung, ein paar Rolläden, Lichter etc (evtl werde ich mal noch meine Harmony Scripts und VIS setups posten wenn ich damit zufrieden bin), und die Familienkalender, Webcams usw auf ein Dashboard zusammengezogen hatte wurde es höchste Zeit sich über die Berechtigungsstruktur Gedanken zu machen bevor ich das System für mehr Clients / users / devices öffne.

Von den AuthN / AuthZ Fähigkeiten, die ioBroker im Kern mitbringt war ich zum ersten mal, seit dem ich angefangen hatte, die Plattform zu nutzen einmal nicht begeistert.

Ich hab gesehen dass im Kern Passport läuft - das ist schon mal gut für AuthN (Authentication) - ich hoffe da bald mal ein paar PullRequests stellen zu können damit man so Dinge wie Federation - und damit Potentielle 2FA-Authentifizierung - ins Spiel bringen kann.

Das hilft mir aber mit AuthZ (Authorization) nicht weiter.

Den Ursprung der ACLs im Konzept verstehe ich - ich habe aber leider bisher im durchschauen die Codebasis dafür nicht finden können.

Mich würde interessieren, wie der Aufbau ist und wie abkapselbar das Konzept ist, um zu verstehen ob es Sinn macht, weiter in der Richtung zu schauen.

Wenn ich einen PR machen würde für AuthZ dann würde ich nach Folgendem schauen:

• Berechtigungen mehr nach dem Windowsprinzip - Mehrere Gruppen mit individuellen Rechten pro Eintrag (Objekt oder State)

Vererbung der Rechte (Child erbt automatisch Parent Rechte im Object Tree, also States erben vom Objekt, Objekte von Instanz - falls nicht explizit deaktiviert

Dadurch auch: Massenänderungen von Berechtigungen über iobroker.admin 

Das ist jetzt nur mal so in den Tag (oder eher in die Nacht) gesponnen.. und ich will im ersten Schritt auch erst mal verstehen wie stark verzahnt das Rechtekonzept im Code ist.

Vielleicht kann mich jemand in die richtige Richtung im Code stupsen, das wäre schon mal ein guter Anfang.

Herzlichen Dank vorneweg - Keep automatin'

Hallo zusammen

ich bin genau wie einer mit diesen Webcams im iobroker.proxy auch einer der versucht mit dem ical Adapter die Synology caldav-Kalender (alte Diskstation aus '11, der bekommt die "Calendar" Synology App nicht mehr) einzubinden.

Hier ein kleiner Workaround über bash:

2 Skripte - liessen sich auch wunderbar noch zu einem zusammenfassen und optimieren, da war ich aber zu faul dazu…

war heute erst mal froh das es läuft

Benötigt wird das Tool "cadaver"

grab_icals.sh - Abgewandelt von https://uriesk.wordpress.com/2015/02/13 … h-cadaver/

#!/bin/bash
set -e
URL="https://[synology-url]/[Base-Pfad-Kalender]/$1"

echo $URL

rm -rf /tmp/calendar/$1
mkdir /tmp/calendar/$1
cd /tmp/calendar/$1

#download files:
cadaver $URL << EOA
mget *
exit
EOA

cd ..
#rm -r /tmp/calendar/$1

combine_icals.sh - original from http://snipplr.com/view/43521/ical-server-mergeics/

#!/bin/sh

### VARIABLES ###

# Path to user's ical server directory this is where a folder exists for each calendar.
calpath="/tmp/calendar/$1"

# Where to store combined ics files
# typically this is a a folder in your web server path.
calout="/tmp/calendar/"

TEMP="/tmp/calendar/temp.ics"

echo "BEGIN:VCALENDAR
PRODID:-//merge//example.com//
VERSION:2.0
X-WR-CALNAME:example.com" > $TEMP

awk '/BEGIN:VEVENT/,/END:VEVENT/' $calpath/*.ics >> $TEMP

echo "END:VCALENDAR" >> $TEMP
rm -f $calout/$1.ics
tr -d '\r' < $TEMP > $calout/$1.ics

exit 0

habt ihr jetzt nen shared calendar, zb "freunde" ruft ihr per cron folgendes nacheinander auf

./grab_icals.sh freunde
./combine_icals.sh freunde

das liefert ein file

/tmp/calendar/freunde.ics

das ihr so mit vollem Pfad im ical Adapter eintragen könnt

Nachtrag- das hatte ich vergessen - damit das unattended funktioniert muss man (leider) in .netrc des users, der das script ausführt, die unverschlüsselten Anmeldedaten hinterlegen:

machine [synology host]
        login [caldav-enabled-synology-user]
        password [pwd-zum-user]

Nachtrag: bluefox hat das TooManyParallelRequests schon im current master behoben - also die 1.0.1 (+1 Commit) zusammen mit Web 2.3.0 behebt das Problem. Wer das wie ich probieren möchte: Der neue Proxy läuft nicht ohne den neuen Web - nur als Vorwanung.

Hallo zusammen

ich hatte wie einige andere hier im Forum vor Webcams mit http-basic-auth über den proxy von bluefox in vis einzubinden, hatte aber immer wieder das Problem, dass sobald ich proxy instaliert hatte und in Vis in nem IMG-Element referenziert hatte der Vis adapter nac dem ersten reload anscheinend nicht mehr erreichbar war (Connecting to server… "no connection").

Der Editor ging hin und wieder nach einigem zögern auf, stabil wurde es aber erst wieder wenn ich den Proxy adapter entfernt habe.

Das hat bei mir erstmal für Ruhe gesorgt:

Habe einen 2ten Web-Adapter (8038) ganz ohne Schnörkel (ohne APi,IO etc) installiert und hab den Proxy nur auf den angewendet.

Von Vis (8082) referenziere ich jetzt die Proxy Komponente auf 8083 - bis jetzt siehts wieder stabil aus.

Hab jetzt zwar bei springen zwischen Fenstern und Reloads noch Fehler in der Anzeige (zeigt bei Direktaufruf der Proxy-URL "too many connections")

aber das ist ein anderes Thema und ich hab mir das repo mal geforkt ums mir anzusehen

Eventuell hilft das ja jemandem weiter