[FR] Anpassung Grafana Konfiguration

[jockel]

Zur Zeit klappt die Einbindung der Grafana Grafiken in andere Visualisierungen nur, wenn man mit dem Benutzten Browser schon am TW angemeldet ist. Ansonsten wird in der eingebundenen Grafik, anstatt des Charts, das Loginfenster von Grafana eingezeigt.

In meiner bisherigen Konfiguration musste ich die beiden folgenden Parameter ändern, um das Verhalten abzustellen:

Code: Alles auswählen

[users]
# disable user signup / registration
allow_sign_up = false
...
[auth.anonymous]
# enable anonymous access
enabled = true

Ich schlage vor, die Konfiguration von Grafana auf dem TW entsprechend anzupassen, kann aber im Moment nicht sagen, welche Implikationen das bezüglich der Sicherheit hat...

[Robert_Mini]

Wäre aus meiner Sicht mit einer kleinen Checkbox auf der TWS Oberfläche lösbar, die diese Option aktiviert.
Ob das so einfach geht müssen aber @bondt oder @S. Kolbinger sagen.

Ist aber schon ein wichtiges Thema, zumal man sich periodisch dann wieder anmelden muss, was bei Visu-Tablet wo zB das Kamerabild auftaucht, wenn jemand klingelt sehr nervig (und bei Kindern allein zu Hause auch gefährlich) sein kann!

Robert

[S. Kolbinger]

Wir haben intern schon mal über eine automatische Authentifizierung diskutiert.

Die Gefahr, die wir beim Grafana-Zugriff ganz ohne Authentifizierung sehen, ist,
dass wir hier eine Sicherheitslücke aufmachen, bei der von außen auf sensible Daten zugegriffen werden kann.

Wir wollten das ganze nochmal in Ruhe durchdenken, wenn die ganz ganz ganz wichtigen Themen durch sind

Aber es schadet auf keinen Fall, wenn ihr das Thema immer mal wieder ansprecht.
Dann tuen wir uns auch leichter mit der Priorisierung.

Merci,
Stefan K.

[Robert_Mini]

Das war mir hier noch gar nicht bewusst.
Jetzt ist mir klar, dass das was ganz anderes ist als der Read only InfluxDB Zugriff den zB die CometVisu nutzt.

Robert

[jockel]

Wenn ich es richtig weiß, könnte man Influx ohne Anmeldung auch als Read only konfigurieren. Aber klar, potentiell vertrauliche Daten sind dann im Zugriff. Daher wäre eine Konfigurationsmöglichkeit sicher sinnvoll.

Schade ist halt, dass ich Grafana im TW dadurch nicht gut in openHAB nutzen kann und daür weiter einen eigenen Server vorhalte...

[Robert_Mini]

Würde das Problem auch auftreten, wenn du openHAB in einem Docker am TWS betreiben würdest?
Ich befürchte aber das Problem besteht immer, wenn man von Grafana per link (dynamisch oder als png) einbindet, oder?

Read Only wäre für mich aber sicherheitstechnisch vertretbar, aber ich habe schon gelernt, dass das manche hier deutlich strenger sehen.

Robert

[Dragonos2000]

Kommt auf den Kundenkreis an. Im Unternehmensbereich wird das durchaus kritisch gesehen, Stichwort "Need to know". Mitunter sollte man das konfigurierbar machen.

[BlackSavior]

Ihr könnt doch einfach die org_role des Anonymen Zugriffs auf Viewer stellen. Dann funktioniert es normal wie in der Tabledance bar: Nur gucken; nicht anfassen

[jockel]

Würde das Problem auch auftreten, wenn du openHAB in einem Docker am TWS betreiben würdest?
Ich befürchte aber das Problem besteht immer, wenn man von Grafana per link (dynamisch oder als png) einbindet, Würde das Problem auch auftreten, wenn du openHAB in einem Docker am TWS betreiben würdest?

Ja, das Problem würde weiter bestehen, da ich in openHAB nur die von Grafana generierten Charts in einem Webview einbinde.

Ev. erlaubt Grafana andere Rechte auf dem „localhost“, dann könnte man das vielleicht in Verbindung mit dem Proxy nutzen. Dazu bin ich aber zu wenig im Thema „Grafana Konfiguration“ drinn.