mit der heute veröffentlichten Version V 1.6 RC 7 führen wir ein neues Leistungsmerkmal ein:
Anonyme (= keine) Authentifizierung für Grafana Zugriff via Reverse Proxy
Kurzbeschreibung
Für die grafische Visualisierung von Zeitreihen und daraus errechenbaren Zuständen ist im Timberwolf Server die Web-Anwendung Grafana vorinstalliert und vorkonfiguriert. Damit kann Grafana einfach aus der Oberfläche des Timberwolf Servers mit einem Klick genutzt werden. Zu diesem Zweck sind auch hunderte bis tausende (abhängig von der Anzahl der KNX-Objekte, GAs und Zeitserien) automatische Grafana Links in der Oberfläche des Timberwolf Servers eingebettet.
Damit dieser Zugriff reibungslos funktioniert und es keine Anzeigen über Browser-Sicherheitsprobleme usw. gibt, wird ein Reverse Proxy genutzt, der die Zertifikatsauslieferung und die Verschlüsselung übernimmt. Hierbei übersetzt der Reverse Proxy die Authentifizierung gegenüber dem Timberwolf Server mit einer Authentifizierung für das Nutzermanagementsystem von Grafana. Auch dieser Reverse Proxy ist vorinstalliert und vorkonfiguriert.
Das neue Leistungsmerkmal bewirkt, dass auch von Browsern ohne Anmeldung (z.B. aus einer an der Wand installierten Visualisierung) auf Grafana Auswertungen zugegriffen werden kann. Hierbei sind dann auch Veränderungen ausgeschlossen, da in Grafana hierfür dann nur "Viewer" Rechte gegeben werden (wobei das änderbar ist).
Info zum Reverse Proxy Server
Funktionsweise eines Reverse Proxy
Ein „Reverse Proxy“ lädt Ressourcen von Ziel-Webservern im Auftrag von Web-Clients (typischerweise Browser). Der Web-Client kommuniziert hierbei mit dem Reverse-Proxy. Der Reverse-Proxy verbindet sich mit dem Ziel-Webserver und ruft die Ressourcen im Auftrag des externen Web-Client ab. Diese Ressourcen werden dem Web-Client zur Verfügung gestellt, der Reverse Proxy agiert gegenüber dem Client wie ein Webserver. Der Web-Client ist bei einem solchen Zugriff nicht direkt mit dem Ziel-Webserver verbunden, sondern indirekt über den Reverse-Proxy.
Solche Reverse-Proxys werden genutzt, wenn der direkte Zugriff eines Web-Clients nicht möglich (Routing) oder nicht gewünscht (IT-Sicherheit, Lastverteilung, Caching) ist.
Der Reverse Proxy im Timberwolf Server
Wir bieten mit dem Timberwolf Server einen Reverse Proxy an, um den Zugriff auf interne und externe Webserver zu verschlüsseln und über eine Anmeldung abzusichern. Interne Webserver sind hierbei die vom Timberwolf Server selbst bereitgestellten Ressourcen wie z. B. Grafana, die Comet-Visu und solche, die von lokalen Containern bereitgestellt werden. Externe Webserver sind hierbei alle vom Timberwolf Server aus erreichbaren Ressourcen wie z.B. Web-Interfaces von Heizungsanlagen, sonstiger HKL-Technik sowie im Internet befindliche Ziel-Webserver.
Verschlüsselung & Zertifikate: Der Reverse Proxy des Timberwolf Servers verschlüsselt gegenüber dem Web-Client mit TLS (früher als SSL bezeichnet) und authentifiziert sich mit dem gleichen Zertifikat, das auch für den Zugriff auf die Admin-Oberfläche genutzt wird. Dies geschieht unabhängig davon, ob der Ziel-Webserver selbst verschlüsselt und welches Zertifikat dieser ausliefert. Im Web-Client wird das Zertifikat des Timberwolf Servers angezeigt und dessen TLS Verschlüsselung genutzt. Der Timberwolf Server sichert auf diese Weise den Zugriff auf nicht verschlüsselnde Ziel-Server gegenüber dem Web-Client ab. Dadurch wird der Zugriff auf Grafana oder die CometVisu mit einer Verschlüsselung ausgestattet.
Optionale Authentifizierung: Für von Ihnen angelegte Einträge können Sie das Erfordernis der Authentifizierung aktivieren und sensible Dienste vor anonymen Zugriff zu schützen. Klicken Sie hierzu das Schlosssymbol so an, dass es als geschlossen dargestellt wird. Nach Aktivierung der Authentifizierung ist es erforderlich, sich mit einem Administratorkonto des Timberwolf Servers gegenüber dem Reverse Proxy zu authentifizieren. Die Einstellungen zur Gültigkeitsdauer einer Anmeldung (unter Profil) werden nach erster Anmeldung in einem Cookie auf dem Web-Client gespeichert und beachtet. Damit muss – auf demselben Client - eine Authentifizierung nur einmal während der Gültigkeitsdauer vorgenommen werden.
Anonymer Zugriff auf Grafana: Im Modul "Reverse Proxy" des Timberwolf Servers (unten auf der Konfigurationsseite) können Sie alternativ einen anonymen Zugriff auf die im Timberwolf Server enthaltene Grafana-Installation aktivieren. Anonym bedeutet hier "ohne Authentifizierung".
Unterstützte Protokolle: Der Reverse Proxy des Timberwolf Servers ist auf die Protokollsammlung HTTP, HTTPS, sowie HTTP/2 beschränkt. Verbindungen via FTP und SSL sind nicht über diesen Reverse Proxy möglich. Ein Reverse Proxy stellt sein Leistungsmerkmal nicht über eine Proxy-Schnittstelle, sondern nur über die genannten Protokolle und auch nur über die hier spezifizierten URLs zur Verfügung. Der Reverse Proxy kann also nicht über die Proxy-Einstellungen in Betriebssystemen oder Browsern angesprochen werden.
Interne Ressourcen: Der Reverse Proxy Server wird unter anderem genutzt für den Zugriff auf interne Web-Services, die direkt vom Timberwolf Server bereitgestellt werden, hier für Grafana (und auch für Portainer und die Comet Visu).
Leistungsmerkmal aktivieren
Hinweis: Der Zugriff auf Grafana selbst ist dadurch nicht anonym, sondern der Zugriff auf den Reverse Proxy für Grafana bei aktivierter Funktion. Der Reverse Proxy meldet den Nutzer gegenüber Grafana mit dem Nutzerkonto "tw_anonymous" an, das "Viewer" Rechte besitzt.
Funktionsweise
Nach Aktivierung dieser Funktion akzeptiert das Authentifizierungsmodul im Reverse Proxy – zusätzlich zu den im Server angelegten Administrationskonten – auch eine anonyme Authentifizierung. Anonym bedeutet hier "keine" Authentifizierung.
Die im Timberwolf Server enthaltene Grafana-Instanz ist jedoch – aus Sicherheitsgründen – so parametrisiert, dass IMMER eine Authentifizierung bei Aufruf der Grafana Web-Oberfläche erforderlich ist.
Daher authentifiziert der Reverse Proxy - im Fall eines anonymen Zugriffs über den Reverse Proxy auf die lokale Grafana-Instanz - die Anfrage mit dem Konto „tw_anonymous “ gegenüber Grafana. Der Zugriff auf Grafana ist damit immer authentifiziert, auch wenn der Zugriff des Nutzers über den Reverse Proxy selbst bei aktivem Leistungsmerkmal keine Authentifizierung anfordert.
Admin-Anmeldungen: Anmeldungen von einem Browser, der gegenüber der Administrationsoberfläche des Timberwolf Servers authentifiziert ist, werden ebenfalls authentifiziert gegenüber Grafana ausgeführt (sofern kein zwischenzeitlicher Logout erfolgte und ein entsprechendes Cookie einer vormaligen gültigen Anmeldung im Browser existiert).
Auf diese Weise wird – auch bei aktivierter Erlaubnis für anonymer-Zugriff – trotzdem ein administrativer Zugriff auf Grafana mit entsprechenden Rechten ausgeführt. Die Aktivierung für anonymen Zugriff ersetzt nicht die bisher übliche Authentifizierung, sondern erlaubt die ZUSÄTZLICHE anonyme Authentifizierung mit entsprechender Anmeldung bei Grafana.
In Grafana kann ein Administrator (über das Konto „Admin“ des Timberwolf Servers angemeldet) im Detail die Rechte festlegen, die mit dem Konto „tw_anonymous“ ausgeführt werden können. Dies ist weiter unten beschrieben.
Mapping der Konten durch den Reverse Proxy
Zugriff auf Grafana über Reverse Proxy mit dem voreingestellten „Admin“ Konto:
Bei Authentifizierung mit dem voreingestellten Administrator Konto „admin“ meldet der Reverse Proxy diesen Nutzer mit dem Grafana-Konto „admin“ an. In Standardeinstellungen hat diese Rolle Administrationsrechte innerhalb Grafana.
Zugriff auf Grafana über Reverse Proxy mit weiteren - vom Nutzer selbst angelegten - administrativen Konten:
Wenn auf dem Timberwolf Server weitere administrative Konten angelegt werden, dann führt eine Authentifizierung mit diesen Konten zu einer Anmeldung in Grafana mit einem Konto gleichen Namens, der jedoch zunächst die Rolle „Editor“ innerhalb Grafana zugewiesen ist. Diese Rolle bzw. die Berechtigung dieser Rolle kann nur von Grafana-Konten mit der Rolle als „Admin“ geändert werden.
Anonymer Zugriff über Reverse Proxy auf Grafana:
Nach Aktivierung der Funktion für anonymen Zugriff wird vom Timberwolf Server das Grafana-Konto „tw_anonymous“ angelegt. Ohne Authentifizierung (und ohne Cookie einer vormaligen administrativen Anmeldung) meldet der Reverse Proxy den Nutzer mit dem Grafana-Konto „tw_anonymous“ an.
Bei Standardeinstellungen ist innerhalb Grafana diesem Konto die Rolle „Viewer“ zugeordnet. Diese Rolle bzw. die Berechtigung dieser Rolle kann innerhalb Grafana nur mit einem Konto geändert werden, dem die Rolle „Admin“ zugeordnet ist.
Änderung der Rollen für Grafana-Konten:
Wenn Sie mit einem Grafana-Konto angemeldet sind, dem die Rolle „Admin“ zugeordnet ist, können Sie die Berechtigungen ändern. Hierzu können Sie in der Nutzerverwaltung (Configuration -> Users) die Rolle eines Nutzerkontos global ändern. Es stehen die Rollen „Admin“, „Editor“ und „Viewer“ zur Verfügung. Alternativ können Sie für einzelne Dashboards (Dashboard Settings ->Permissions) die Rolle für die Konten ändern, wobei dies lokal nur für dieses Dashboard gilt. Damit können Sie für einzelne Dashboards z.B. dem Konto „tw_anonymous“ (das bei anonymer Anmeldung genutzt wird) auch erweiterte Rechte zuordnen.
Zusammenfassung :
Bei deaktivierter "Anonym"-Funktion wird der Timberwolf Nutzer mit dem Konto "Admin" als Admin bei Grafana eingeloggt. Jeder weitere Nutzer, der im Timberwolf Server angelegt wurde, wird gegenüber Grafana mit der Rolle als "Editor" eingeloggt. Volle administrative Rechte in Grafana hat mithin nur der Timberwolf Nutzer, der mit dem Konto "Admin" eingelogged ist. Die Basiskonfiguration erzwingt mithin eine Authentifizierung mit administrativen Rechten gegenüber dem Reverse Proxy, der wiederum mit entsprechenden administrativen Rechten in Grafana einloggt. Dies ist nötig, um die Einstellungen und aufgezeichneten Daten vor unerwünschtem Zugriff durch andere Teilnehmer im lokalen Netzwerk zu schützen.
Erst bei aktivierter "Anonym"-Funktion werden nicht authentifizierte Zugriffe über den Reverse Proxy gegenüber Grafana mit dem Konto „tw_anonymous“ angelegt. Diesem ist zunächst die Rolle "Viewer" zugeordnet.
Ein Admin kann in Grafana global oder für jedes Dashboard die Rolle und damit die Rechte ändern
==> Das Leistungsmerkmal steht erstmals mit V 1.6 RC7 zur Verfügung (ab sofort verfügbar).
lg
Stefan
