ctsesamserver - Paket fuer eisfair ================================== Stand 2016-09-03 Was ist ctSESAM-SERVER? ======================= ctSESAM-SERVER ist ein Paket fuer eisfair, das die die Passwortdaten des ctSESAM-Clients netzwerkweit in einer sqlite-Datenbank abspeichert. Die fuer Linux, Windows, Mac OsX und demnaechst Android verfuegbaren Clients geben an den Server nur schon verschluesselte Daten weiter, so dass der Server selbst nie Klartextdaten zu sehen bekommt. Neben der Erzeugung von Passwoertern koennen die Clients auch vorhandene Passwoerter speichern, schliesslich gibt es Passwoerter (z. B. bei EC-Karten), die man nicht selbst waehlen kann. Der Zugriff auf den Server ist in der Konfiguration dieses Paketes nur per https moeglich. Dieses sollte niemals durch manuellen Eingriff geaendert werden. Die Anmeldung am Server erfolgt per Auth-Basic- Mechanismus, so dass bei normaler http-Verbindung das Anmeldepasswort im Klartext uebertragen wuerde. Jeder Nutzer muss ueber das Menu mit Passwort angelegt werden. Es handelt sich dabei um Anmeldedaten fuer den Apache-Webserver, die in /var/lib/ctsesamserver/.htpasswd mittels htpasswd angelegt werden. Es koennen beliebig viele Nutzer angelegt werden. Jeder Nutzer kann nur auf diejenigen Daten zugreifen, die mit diesem Nutzernamen angelegt wurden. Weblinks: ct-Artikel Server: c't 23/2015 S. 180f ct-Artikel Clients: c't 20/2015 S. 182ff ctSESAM-Server (Source): https://github.com/ola-ct/ctSESAM-server ctSESAM-Server (Wiki): https://github.com/ola-ct/ctSESAM-server/wiki ctSESAM-Linux-Client: https://github.com/ola-ct/Qt-SESAM/wiki/Build-for-Linux ctSESAM-Windows-Client: https://github.com/ola-ct/Qt-SESAM/wiki/Build-for-Windows ctSESAM-Binaries: https://github.com/ola-ct/Qt-SESAM/releases Die Anleitung zum Bau des Linux-Clients unter "openSUSE" enthaelt zumindest fuer openSUSE 13.2 einen Fehler: Statt lrelease Qt-SESAM/Qt-SESAM.pro muss es lrelease-qt5 Qt-SESAM/Qt-SESAM.pro heißen. Ob das generell fuer openSUSE bzw. Fedora gilt, ist mir nicht bekannt. Einstellungen des Clients ========================= Haken bei "Sync server" Use setzen und folgende Einstellungen vornehmen: Root-URL: https:///ctsesamserver Benutzer: Username Passwort: Passwort Lese-URL: ajax/read.php Schreib-URL: ajax/write.php Loesch-URL: ajax/delete.php Wenn der Haken bei "Sync on start" gesetzt ist, wird bei Start des Clients mit dem Server synchronisiert. SSL Zertifikatsprobleme ======================= Das CA-Zertifikat, mit dem das Zertifikat des eigenen Apache-Servers signiert ist, muss auf dem Client-PC installiert sein. Bitte nach den Anweisungen des jeweiligen Betriebssystems vorgehen; unter einer openSUSE 13.2 ist folgendes als root vorzunehmen: Kopieren des CA-Zertifikats des Servers in das Verzeichnis /etc/pki/trust/anchors update-ca-certificates aufrufen. Synchronisierung zwischen Client und Server =========================================== Wenn aktiviert (siehe "Einstellungen des Clients), werden beim Start des Clients oder bei Neuanmeldung am Client (wegen Ablaufs der Lebensdauer der Anmeldung) die lokalen Daten mit dem Server abgeglichen. Neue Eintraege werden vom Client nicht automatisch mit dem Server synchronisiert, sondern nur lokal abgespeichert. Eine Synchronisierung zwischen Client und Server kann jederzeit im File-Menue des Clients mittels "Sync now ..." oder der Tastenkombination "Strg-Shift-S" erzwungen werden. Zuruecksetzen der Serverdatenbank ================================= cd /var/lib/ctsesamserver cp ctSESAM-server.sqlite.empty ctSESAM-server.sqlite Dies setzt nur die Serverdatenbank zurueck, auf den Clients gespeicherte Daten bleiben erhalten. Nimmt ein Client Kontakt zum Server auf, werden dessen lokale Daten sofort wieder mit dem Server synchronisiert. Das Menue ========= Das ctSESAM-Server-Menue befindet sich in der "Modules configuration" der "Apache configuration". Edit configuration Advanced configuration menu Add user Ergaenzt zugriffsberechtigte User Show user Zeigt alle erlaubten User an Delete users Loescht User PAKET-KONFIGURATION =================== START_CTSESAMSERVER="yes" Fuer die Aktivierung von 'CTSESAMSERVER' muss diese Variable lediglich auf den Wert 'yes' gestellt werden. Die Einstellung 'no' schaltet 'CTSESAMSERVER' ab. Gueltige Werte: yes, no Standard-Einstellung: START_CTSESAMSERVER='no' CTSESAMSERVER_INSTALL_HOST='APACHE2_SERVER_NAME' Hier wird der Host(Servername) angegeben, in dem ctsesamserver ausgefuehrt werden soll. Im Normalfall ist dies der APACHE2_SERVER_NAME. Gueltige Werte: Servername. Standard-Einstellung: CTSESAMSERVER_INSTALL_HOST='APACHE2_SERVER_NAME' CTSESAMSERVER_INSTALL_HOST_ALIAS='ctsesamserver' Hier wird der Alias angegeben, ueber den ctsesamserver angesprochen werden soll. Gueltige Werte: jeder gueltige Name Standard-Einstellung: CTSESAMSERVER_INSTALL_HOST_ALIAS='ctsesamserver' CTSESAMSERVER_ACCESS_CONTROL Mit diesem Paramter wird zusaetzlich apache access control eingeschaltet. Gueltige Werte: yes, no Standardeinstellung: CTSESAMSERVER_ACCES_CONTROL='no' CTSESAMSERVER_ACCESS_ALL Hier ist der Zugriff fuer alle erlaubt, Weltweit. Gueltige Werte: yes, no Standardeinstellung: CTSESAMSERVER_ACCESS_ALL='no' CTSESAMSERVER_ACCESS_HOST Hier ist der Zugriff von Hostname erlaubt. Es duerfen mehrere durch ein Leerzeichen getrennt angegeben werden. Gueltige Werte: Hostname, Domain Standardeinstellung: CTSESAMSERVER_ACCESS_HOST='' CTSESAMSERVER_ACCESS_IP Hier ist der Zugriff von der IP Adresse erlaubt. Es duerfen mehrere durch ein Leerzeichen getrennt angegeben werden. Beispiel: 10 192.168.6 192.168.6.1 192.168.6.0/24 Gueltige Werte: IP Adresse Standardeinstellung: CTSESAMSERVER_ACCESS_IP='' CTSESAMSERVER_ACCESS_LOCAL Hier ist der Zugriff local erlaubt. Gueltige Werte: yes, no Standardeinstellung: CTSESAMSERVER_ACCESS_LOCAL='no' Marcus Roeckrath, marcus.roeckath(at)gmx(dot)de