Admin UI: Reverse Proxy und Deaktivieren der Authentifizerung

Larx · January 22, 2021, 5:54am

Hallo zusammen,

ich hatte das vor geraumer Zeit schon mal gefragt und seinerzeit keine Lösung bekommen. Vielleicht gibt es ja etwas Neues? Vorweg, ich rede vom Admin UI, nicht vom normalen UI!

Ich möchte

Apache 2 als Reverse Proxy mit den dort vorhandenen Möglichkeiten zur Absicherung nutzen und
die interne Authentifizierung des Admin UI deaktivieren.

Beides ist für mich zum einen eine Frage der Integration in die vorhandene und funktionierende heimische Infrastruktur (LDAP, OTP, etc.) als auch eine Sicherheitsfrage - ich traue ehrlich gesagt den o.a. Sicherheitsmechanismen etwas mehr als Homegear.

Leider klappt weder 1. noch 2.

ProxyPass /admin/ http://localhost:2001/admin/
ProxyPassReverse /admin/ http://localhost:2001/admin/

Ich habe mal “admin” als virtuelles Verzeichnis für Homegear gewählt, in der Hoffnung, dass dadurch der Pfad im Prinzip gleich bleibt. So fit bin ich da ansonsten bei Apache nicht, um Rewrite-Regeln zu gestalten. Aber das führt nur zu einer unvollständigen Darstellung der Seite.

Gibts hierzu Tipps im Forum?

sathya · January 22, 2021, 4:26pm

@Micha: Lässt sich da was machen?

Micha · January 25, 2021, 7:58am

Hallo zusammen,

die Authentisierung der AdminUI laesst sich nicht deaktivieren. Das hat neben dem Sicherheitsaspekt auch noch diverse andere Gruende, wie z.B. individuelle Einstellungen pro Benutzer, ACLs etc.

Ein Reverse Proxy generell ist kein Problem, allerdings kann ich da nur fuer Nginx sprechen da ich Apache fuer solche Zwecke schon lange nicht mehr nutze und der Config daher nicht mehr so maechtig bin

– Micha

Larx · January 25, 2021, 10:36am

Ich bin eigentlich auch immer für Sicherheit, in dem Fall finde ich den Ansatz vom Admin UI aber eher überambitioniert. Warum braucht gerade diese Web-Oberfläche eine eigene Benutzerverwaltung und einen eigenen Authentifizierungsansatz?

Ich hätte ja gesagt, im internen Netz kann man es fast vertreten, das Admin UI ohne Passwort laufen zu lassen Wer mehr Sicherheit oder externen Zugang will, der fährt eh besser, wenn man etablierte Standards über einen Reverse Proxy nutzt. Da ist man auch deutlich flexibler.

Ich hätte daher einen Feature Request. Vielleicht könnte man ja zumindest einen Zugriff über ein Token o.ä. realisieren, wie es beim normalen UI möglich ist?

Micha · January 25, 2021, 12:41pm

Hey @Larx,

nicht das wir uns missverstehen, die Benutzer werden nicht extra fuer die AdminUI angelegt, das sind alles regulaere Homegear-User die auch fuer die ACLs etc. genutzt werden. Das User-Management bringt Homegear von Haus aus mit.

Ich habe deinen Vorschlag mit aufgenommen, und schaue was sich da kurzfristig loesen laesst.

– Micha

Larx · January 25, 2021, 1:10pm

Vielen Dank!

sathya · January 26, 2021, 3:11pm

@Micha: In der Homegear-UI müssen für die Anmeldung per API-Schlüssel der API-Schlüssel selbst und der zu verwendende Benutzer angegeben werden. Desweiteren ist eine Prüfung des API-Schlüssels in konstanter Zeit zwingend erforderlich, um Timing-Angriffe zu vermeiden. Siehe: homegear-ui/user.php at bdd17791d94db7ce2067690d86f57bbefd673e1c · Homegear/homegear-ui · GitHub.

Larx · January 28, 2021, 5:30am

…oder vielleicht doch einfach die Option bieten, die interne Authentifizierung von Homegear auszuschalten ?

Wie gesagt, ich hätte hier gerne die Möglichkeit, als bewußte Entscheidung (!) auf derartige Sicherheitsmechanismen in Homegear zu verzichten, da im Netzwerk bereits andere implementiert sind. M.E. sind Benutzername/Passwort ohnehin als Sicherheitsmechanismen etwas “old school”. (Wäre mal interessant, wie viele Homegear-Installationen mit homegear/homegear laufen ;-).

sathya · January 28, 2021, 5:34pm

Intern wären nur Zertifikat- und Basisauthentifizierung. Hier läuft das Ganze über die Admin-UI. Da muss @Micha sagen, wie einfach oder schwierig ein entsprechender Konfigurationsparameter wäre.