PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Cal/CardDAV Server mit Radicale



lindeb
29.12.16, 17:03
Hallo zusammen,
nach langer Überlegung habe ich mich endlich entschlossen einen vServer zu betreiben.
Hierüber möchte ich u.a. Kalender und Kontakte für die Smartphones in unserer Familie synchronisieren.
Da eh schon ohne Google-Account gearbeitet wird, ist dies keine große Umstellung.

Als Server habe ich mich für Radicale (http://radicale.org/) entschieden, da mir Owncloud zu gewaltig ist.
Als Clients kommt DAVdroid zum Einsatz, welches auch schon im Einsatz ist.

Radicale habe ich wie in der Dokumentation beschrieben, installiert und konfiguriert.
Jedoch komme ich bei der Benutzerverwaltung nicht weiter. Es soll jedes Familienmitglied seinen eignen Login bekommen.
Hierfür wird ja ein Benutzer und Passwort erwartet. Ist es denn möglich ohne zusätzlichen Webserver dies umzusetzen?
Finde nirgendswo einen Tipp, da alle dies via Webserver realisieren. Aber laut Doku soll es auch ohne gehen.

Ich freue mich auf Eure Antworten.


Gruß Lennard

nopes
29.12.16, 17:39
Hallo Lennard,

das geht ohne weitere Server, dazu musst du Radicale entsprechend konfigurieren, also zunächst mal sagen, dass du überhaupt eine Benutzerauthentifizierung durchführen willst.
http://radicale.org/user_documentation/#idauthentication

Die Radical Entwickler sind ehrlich, folge dem Hinweis der Doku - nämlich:
Please note that these modules have not been verified by security experts. If you need a really secure way to handle authentication, you should put Radicale behind a real HTTP server and use its authentication and rights management methods.

Also sollst du die Benutzerauthentifizierung des Web-Servers verwenden, du schreibst nicht welchen du verwendest bzw. ob überhaupt. Jetzt brauchst du jedenfalls einen und dessen Benutzerauthentifizierung. Entscheidend ist hier, dass du das selber kapieren musst, also wie die Benutzerauthentifizierung im Web-Server einzustellen ist. Ist ein wichtiges Thema und es gibt verschiedene Möglichkeiten, da musst du einiger maßen Sattel fest drin sein. Ansonsten biste kein guter Admin für diesen Server.


Wie auch immer, Benutzerauthentifizierung ist im Web-Server eingerichtet, dann kannst du die Stuffe vom Rechtemanagement einstellen: http://radicale.org/user_documentation/#idrights-management

Fertig.

Newbie314
29.12.16, 21:44
Ich würde einen Carddav/Caldav Server nur im Netz nur über verschlüsselte Verbindungen (z,B. Https) zugänglich machen. Tust du das nicht kann jeder d ine Authentifizierung ( z.B. Use und Passwort) mitlesen.

BetterWorld
29.12.16, 22:13
Es gibt viele Methoden, wie du eine Authentifizierung bewerkstelligen kannst.
@nopes : hat schon geschrieben, dass da ein Webserver geraten ist, was sicher die einfachste Möglichkeit wäre.

Du kannst aber auch jede andere via PAM konfigurierbare Lösung einsetzen.
Von LDAP mit irgendeiner Art von GSSAPIfähigen Lösung, was im Prinzip die meisten Mailserver machen, bis hin zu voll ausgewachsenen Kerberos- Lösungen.
Das ist aber alles ziemlicher Overkill.

Da du ja eh einen Webserver brauchst, solltest du schlicht einen solchen nehmen.
Ich würde nginx empfehlen, aber selbstverständlich kann das auch ein Apache genauso gut.

Falls du auch den eingebauten Webserver verwenden willst, gäbe es noch eine relativ einfache Möglichkeit schlicht via ssh mit keys einfach einen Tunnel zu deinem Radical aufzubauen. Dann kannst du relativ sicher, die eingebauten Teile nehmen.
SSH kümmert sich dann um die Verschlüsselung.

lindeb
30.12.16, 16:42
Danke für eure Antworten.
Habe es endlich geschafft Benutzer ohne zusätzlichen Webserver zu verwalten.
Das Problem lag am Passwort. In der Config habe ich Radicale auf "htpasswd_encryption = crypt" eingestellt.
Aber dies kannn er leider nicht dekodieren. Das gleiche passiert mit SHA1. Nur Plain, also Klartext akzeptiert er.
Die entsprechenden kodierten Passwörter habe ich über einen Generator (http://aspirine.org/htpasswd_en.html) erstellt.
Habt Ihr da einen Tipp, wo mein Logikfehler liegt.

nopes
30.12.16, 16:51
Vermutlich fehlt Python das Crypt-Modul, siehe http://radicale.org/user_documentation/#idcrypt-support

lindeb
30.12.16, 17:09
Python hat das aber eine Menge Packet zu diesem Thema.
Welches kann es denn sein?
pypi.python.org (https://pypi.python.org/pypi?%3Aaction=search&term=Crypt&submit=search)

nopes
30.12.16, 17:23
sehe gerade, dass das crypt modul zum Standard Umfang gehört, Problem liegt entweder beim Generator oder eben in der Implementierung - ich nehme einen Web-Server hast du nicht installiert, oder?

lindeb
31.12.16, 14:56
Ja, habe ich auch gelesen, dass Crypt mitgeliefert wird.
Wollte den Radicale-Server ja ohne separatem Webserver betreiben. Da ich diesen sonst nicht benötige. Und nur zum Adressen und Kalender-Abgleich finde ich das zu Overkill^^

nopes
31.12.16, 15:02
Jupp hatte ich mir gedacht, passt soweit auch - ggf. mal einen anderen Generator verwenden, da gibt es ja bestimmt noch die eine oder andere Alternative.

BetterWorld
31.12.16, 15:13
Ob du willst, oder nicht: Du betreibst damit einen Webserver,
weil das calDAV nun mal schlicht HTTP(s) ist.
Und ein ausgewachsener Webserver ist da nun mal sicherer und schneller.
(Ganz einfach weil er von sehr viel mehr Leuten/Servern eingesetzt und somit sehr viel besser getestet ist.)

Wie auch immer.

Wenn du schon solche Verrenkungen machst, warum nimmst du dann nicht bcrypt?
Das ist für Spasswörter sicher die bessere Alternative?
Einfach via PAM rein, und fertig ist der Lack.

Ich hoffe mal, dass du deine Spasswörter NICHT auf der Website erzeugt hast...