[Umfrage] User-Management-Plugin als zentrales Service-Plugin.

Man könnte das auch weiterspinnen: Braucht es überhaupt ein Plugin? Warum nicht einfach eine "pluginusers.conf" im Format einer "htpasswd" im ConfigDir?

Zitat von Mreimer

Man könnte das auch weiterspinnen: Braucht es überhaupt ein Plugin? Warum nicht einfach eine "pluginusers.conf" im Format einer "htpasswd" im ConfigDir?

Nicht dumm, ist mir aber zu sehr auf den VDR beschränkt. Beim Webfrontend von yaVDR, das ja auf tntnet basiert, benutzen wir PAM. Da das unter Root läuft ist das auch kein Problem. Für den VDR aber schon. Deshalb vielleicht den Saslauthd verwenden und doch mit einem Plugin. Vorteil liegt auf der Hand. Keine zusätzliche Datei mit Passwörtern.

Gerald

Autsch... PAM kommt mir nicht auf den VDR. Und Authentifizierung gegen die Unix-Benutzerverwaltung schon garnicht. Ein User, der "Live" nutzen kann, soll sich noch lange nicht auch via SSH einloggen können.

Problem, das ich sehe: Wenn Plugins beginnen, fest auf diese Service-Schnittstelle zu setzen, dann wird hier faktisch eine Zwangsabhängigkeit zu einem bestimmten Plugin geschaffen. Wenn hier also Plugins angepasst werden, dann bitte die im Plugin schon vorhandene Benutzersteuerung beibehalten und im Falle, dass der entsprechende Service nicht erreichbar ist, auf das Plugin-Eigene System zurückfallen.

Plugin hätte in sofern einen Vorteil, dass es davon auch mehrere geben kann. Die leichtgewichtige "htpasswd"-Lösung könnte also auch als Plugin umgesetzt werden. Genau so könnte die von gda vorgeschlagene Lösung als Plugin umgesetzt werden.

Und was die Schnittstelle angeht: Bitte keine Bloatware mit Berechtigungen die dann möglicherweise auch noch von den beteiligten Plugins festgelegt werden. So ein Monster geht in "Leichtgewichtig" dann garnicht...

Ich wüsste zumindest nicht, wozu ich das im Heimnetz brauchen könnte. Selbst live hat bei mir keine Zugangssperre...aber bei zwei Nutzern hier im Haushalt, halte ich das auch für überflüssig.

Könnte mir aber dennoch vorstellen, dass es in grösseren Haushalten Sinn machen könnte.

Es verhindert, dass sich jemand im Heimnetz einen Spaß erlaubt. Für mehr würde ich diese Zugangssicherung auch nicht nutzen wollen. Wenn ich Bedarf hätte, "Live" auch remote zu nutzen, dann würde ich lediglich SSH nach außen aufmachen und mir "Live" ggf. über SSH tunneln.

Zitat von Mreimer

Autsch... PAM kommt mir nicht auf den VDR. Und Authentifizierung gegen die Unix-Benutzerverwaltung schon garnicht.

Hast du PAM von deinem VDR-Rechner entfernt?

Zitat von Mreimer

Ein User, der "Live" nutzen kann, soll sich noch lange nicht auch via SSH einloggen können.

Den Zusammenhang kann ich nicht erkennen.

Gerald

Zitat von gda

Hast du PAM von deinem VDR-Rechner entfernt?

Wäre mir neu, dass Archlinux standardmäßig PAM mitbringt

Sollte mir bei Gelegenheit wohl dochmal eine Signatur anlegen. Nur leider ist meine Hardwareauswahl nicht wirklich ein Aushängeschild

Was die Software meines VDR angeht: Bei mir ist "Purismus" angesagt. Nur das allernötigste ist installiert.

Zitat von methodus

Hat man diese Zwangsabhängigkeit bei den Ausgabe-/Eingabeplugins nicht in gewisser Hinsicht auch?

In gewisser Weise ja, aber das ist auch integraler Bestandteil eines VDR-System. Wenn man z.B. wie TheChief garkeine Authentifizierung aktiviert hat, dann sollte auch kein solches Plugin nötig sein.

Wir nutzen halt live (zusammen mit tvm2vdr) hauptsächlich als Programmzeitschrift und zum Timer programmieren. Wenn wir uns da jedesmal erst anmelden müssten, wäre das nervig. Deswegen hab ich das ganz deaktiviert. streamdev mit Benutzername und Passwort wüsste ich jetzt auch nicht wozu. Aber generell find ich die Idee für grössere Netzwerke nicht schlecht. Nur sollte es eben keine Abhängikeiten geben. Dann müsste aber in jedes Plugin, was auf das Benutzermanagement zugreift, eine Abfrage, ob das Plugin aktiviert ist.

Zitat von TheChief

Wir nutzen halt live (zusammen mit tvm2vdr) hauptsächlich als Programmzeitschrift und zum Timer programmieren. Wenn wir uns da jedesmal erst anmelden müssten, wäre das nervig. Deswegen hab ich das ganz deaktiviert. streamdev mit Benutzername und Passwort wüsste ich jetzt auch nicht wozu. Aber generell find ich die Idee für grössere Netzwerke nicht schlecht.

Man kann Passwörter auch im Browser speichern.

Zitat

Nur sollte es eben keine Abhängikeiten geben. Dann müsste aber in jedes Plugin, was auf das Benutzermanagement zugreift, eine Abfrage, ob das Plugin aktiviert ist.

Sehe ich auch so. Lösungen, die bereits funktionieren, sollten nicht mutwillig totgemacht werden. Natürlich ist es wahrscheinlich, dass Neuentwicklungen möglicherweise dann ein solches Plugin voraussetzen, weil der Programmierer schlicht keine Lust hat, etwas vorhandenes erneut zu implementieren.

Gegen eine zentrale Benutzerliste spricht erstmal nicht viel. Solange man sowas dann auch in "einfach" umsetzen kann (ggf. zweites Plugin, welches Plaintext-Dateien liest) und in Plugins nach wie vor wählen kann, ob man überhaupt Authentifizierung will (nur weil das Plugin da ist, will ich ja noch lange nicht in Streamdev auch Authentifizierung haben) ist das eigentlich eine gute Idee.

Zitat von Mreimer

Wäre mir neu, dass Archlinux standardmäßig PAM mitbringt

Ich kenne Archlinux gar nicht, aber eine schnelle Recherche in den Archlinux-FAQs zeigt aufgrund von indirekten Hinweisen auf PAM, dass auch Archlinux wohl mit PAM arbeitet.

Gerald

Also ich würde eine Benutzerverwaltung komplett außerhalb von VDR ansiedeln.
Hier Querverbindungen zwischen Plugins zu schaffen halte ich nicht für gut.
Außerdem dürfte sowas ein Quell ewiger Sicherheitsprobleme werden. Wenn's schon sein muß, dann lieber bewährte, robuste, existierende Mechanismen verwenden als in VDR das Rad neu zu erfinden.

Klaus

Ist denn die "Zwischen-Plugin-Schnittstelle" nicht genau dafür da?

Also bevor jetzt Plugins anfangen, fest auf irgendeinen saslauthd zu bestehen, wäre mir ein Plugin, welches an saslauthd weitergibt, deutlich lieber. Eben weil ich mir ggf. selber ein weiteres Plugin bauen kann, welches wieder Plaintext-Dateien liest.

Die "umfangreiche Variante" von diesem Plugin könnte eventuell gar über das OSD eine Benutzerverwaltung erlauben (wobei derjenige, der vor der Kiste sitzt, damit faktisch Admin wäre...). Meine einfache Variante würde dagegen ganz puristisch eine Nutzerverwaltung via "vi" erlauben.

Zitat von kls

Außerdem dürfte sowas ein Quell ewiger Sicherheitsprobleme werden.

Immer noch besser als die jetzige "nicht Sicherheit".

Muss ja nix extremes sein, nur etwas womit man den Zugriff einwenig zentral adminitrieren kann. Ich gebe ja z.B. gerne meine Aufnahmen/Sender im LAN frei, trozdem möchte ich nicht das jeder das Recht hat meine Aufnahmen zu löschen.
Es geht dabei noch nicht mal um mutwillige Sabotage, eher darum das ich keine Lust habe das mir jemand auch nur ausversehen meine Aufnahmen löscht.

cu

Zitat von Mreimer

Ist denn die "Zwischen-Plugin-Schnittstelle" nicht genau dafür da?

Na ja, das hab ich damals nur akzeptiert, damit Ruhe war Selber halte ich wenig davon...

Zitat

Also bevor jetzt Plugins anfangen, fest auf irgendeinen saslauthd zu bestehen, wäre mir ein Plugin, welches an saslauthd weitergibt, deutlich lieber. Eben weil ich mir ggf. selber ein weiteres Plugin bauen kann, welches wieder Plaintext-Dateien liest.

Mir selber kanns ja eigentlich egal sein, weil ich wahrscheinlich sowieso nie so ein Plugin verwenden werde.
Ich würde es allerdings für sehr schlecht halten, wenn mich ein Plugin zur Verwendung eines solchen Service-Plugins "zwingen" würde.
Und ich sehe es schon kommen: sowas wird sehr schnell zur "eierlegenden Woll-Mich-Sau", das alles nur erdenkliche können soll, mit tausenden von Setup-Parametern, damit sich ja keiner mehr auskennt ;-).

Klaus

Das Bedenken habe ich ja schon ganz zu Anfang geäußert. Wie umfangreich muss denn eine Authentifizierungslösung für einen VDR sein? Allzu groß ist der "Nutzerkreis" ja doch eher selten. Meine Variante einer solchen Schnittstelle wäre es, einfach Benutzername und Passwort im Klartext zum Plugin zu schicken und zurück kommt dann entweder ein "Ja" oder ein "Nein". Mehr würde ich da garnicht reinbauen.

Aber wie Klaus schon geschrieben hat und ich auch schonmal angedeutet habe: Wenn so ein Plugin erstmal da ist, dann wird es auch genutzt. Irgendwann wird hier faktisch eine Abhängigkeit vorhanden sein.

Zitat von Keine_Ahnung

Immer noch besser als die jetzige "nicht Sicherheit".

Muss ja nix extremes sein, nur etwas womit man den Zugriff einwenig zentral adminitrieren kann. Ich gebe ja z.B. gerne meine Aufnahmen/Sender im LAN frei, trozdem möchte ich nicht das jeder das Recht hat meine Aufnahmen zu löschen.
Es geht dabei noch nicht mal um mutwillige Sabotage, eher darum das ich keine Lust habe das mir jemand auch nur ausversehen meine Aufnahmen löscht.

Irgendwann werde ich sicher auch mal dazu kommen, einen PIN-Schutz für bestimmte Funktionen in VDR einzubauen. Das wird dann aber mit Sicherheit eine einfache Lösung werden. Ich hoffe mal, daß sich das dann nicht mit einer eventuellen "super-wuper"-Lösung beißt...

Klaus

Zitat von Keine_Ahnung

Es geht dabei noch nicht mal um mutwillige Sabotage, eher darum das ich keine Lust habe das mir jemand auch nur ausversehen meine Aufnahmen löscht.

Zitat von kls

Irgendwann werde ich sicher auch mal dazu kommen, einen PIN-Schutz für bestimmte Funktionen in VDR einzubauen. Das wird dann aber mit Sicherheit eine einfache Lösung werden. Ich hoffe mal, daß sich das dann nicht mit einer eventuellen "super-wuper"-Lösung beißt...

Klaus

Ist eben die Frage, ob das geht, denn ich kann ja immernoch Aufnahmen per streamdev, xvdr, vnsi, live, usw... löschen. Vielleicht reicht ja eine Funktion im VDR, um das endgültige löschen einer Aufnahme von der Platte zu unterbinden. Eine Art "Papierkorb", den man noch endgültig löschen muss?!

EDIT: Find die Idee garnicht schlecht, je mehr ich darüber nachdenke