ForumMumbleAllgemeines

Zertifikate

‹ Lande auf "falschem Server" Abgelehnt.... ›
Bild von octopussy
octopussy
User
Zertifikate
Verfasst von octopussy am 11. Januar 2010 - 16:37

Hallo,
unter vielen Spielern herrscht doch eine Menge Unsicherheit bezüglich der Zertifikate vor.
Sind mehrere Zertifikate mit gleicher Mailadresse möglich?
Sind mehrere Zertifikate auf einem Benutzerkonto möglich?
Wie verfährt man nach Neuaufsetzen des Systems?

Gibt es da Erfahrungen

LG octopussy
Bild von Axel
Axel
User
zert
Erstellt von Axel am 11. Januar 2010 - 17:28.
octopussy schrieb:

Sind mehrere Zertifikate mit gleicher Mailadresse möglich?

Da bin ich mir nicht sicher, aber ich würde mal denken, nein.

octopussy schrieb:

Sind mehrere Zertifikate auf einem Benutzerkonto möglich?

Nein!!! Ein Zertifikat pro Benutzerkonto. Wenn du mehren Nutzern die selben Rechte geben willst, nutze bitte Benutzergruppen.

octopussy schrieb:

Wie verfährt man nach Neuaufsetzen des Systems?

Du solltest nach dem Erstellen deines persönlichen Zertifikates ein Backup davon auf einen externen Datenträger machen. Das geht mit dem Zertifikat-Assistenten. Nach der Neuinstallation des Betriebssystem spielst du das gesicherte Zertifikat wieder ein.

Hier mal ein Screeni:
http://img340.imageshack.us/img340/7156/certmumble.png
Bild von Krosty
Krosty
Mumble Server AdministratorUser
Ich hatte das mal so meinen
Erstellt von Krosty am 11. Januar 2010 - 17:30.

Ich hatte das mal so meinen Leuten erklärt:

Mumble und das Zertifikat

seit Mumble 1.2 verlangt der Client beim ersten Start ein Zertifikat zu erstellen, was keiner so richtig weiss, die Datei ist wichtig wenn der Rechner kaputt geht.

Anhand des Zertifikats, kennt euch der Mumble Server.

Vorteil:
- es wird kein Passwort mehr gebraucht
- der Server identifiziert den User anhand des Zertifikats
- Es ist ein Namenswechsel möglich sofern nicht doppelt

Nachteil:
- Wer das Zertifikat nicht mehr hat und sein PW nicht mehr weiss ist raus
lässt sich durch neuen User anlegen und umbennen dann wieder gangbar machen
- Wer kein Zertifikat hat kann nicht registriert werden
meine erfahrung

Also, speichert euch das Zertifikat was ihr erstellt habt (*.p12) ab und sichert es wenn ihr den Rechner neu macht.

Für die Serveradmins
User registrieren:
(solange kein Webinterface da ist, wobei ich's eh einfacher find so)
Wenn ein neuer User auf den Serverkommt, muss er ein Zertifikat haben ansonsten könnt ihr ihn nicht registrieren.
User auf den Server connecten lassen, dann als Admin rechten Maus auf den User und dann registrieren wählen.
dann Meldung bestätigen und der User ist Registriert.
ERST dann kann der User in Gruppen gehoben werden, damit er die ACL greift.

User umbenennen:
Über Server -> Registrierte Benutzer könnt ihr eine Liste aller Registierten User sehen, durch einen doppelklick auf einen Usernamen wird der Usernamen Editierbar und man kann den Usernamen ändern.
So kann man auch wenn einer sein PW und sein Zertifikat nicht mehr hat einen User auch neu anlegen.

Mein Tip:
- Den alten Account umbenennen
- den neuen User Connecten lassen
- den User registieren
- den alten User löschen
- den neuen User umbennen in den alten Namen
- User reconnecten lassen ohne das er was getan hat damit er wieder seine alten Namen hat

Vielleicht hilft es ergänzend zu Axels antworten.
Bild von DiWoWo
DiWoWo
User
Re.:
Erstellt von DiWoWo am 11. Januar 2010 - 17:48.

Wenn die Rechte so vergeben sein, kann der neue User sich auch selbst registriern. Ich für meinen Teil habe es unterbunden, daß sich jeder registrieren kann wie er will.
Bild von Axel
Axel
User
Also ich habe gestern mal
Erstellt von Axel am 12. Januar 2010 - 10:00.

Also ich habe gestern mal etwas rumprobiert mit den Authentifizierungen und finde manche Dinge echt verwirrend.

Ich habe mir als erstes ein neues Zertifikat erstellt. Danach wurde ich immer noch richtig authentifiziert. Hmm also dachte ich mir.... gut er nutzt also keine Authentifizierung über Zertifikat sondern über Benutzer/Passwort. Also habe ich einfach den Namen geändert, in der Hoffnung nun müsste ich aber als unregistrierter Benutzer verbunden werden. Jooo Pustekuchen immer noch richtig autentifiziert. Diesmal aber über Zertifikat. Warum? Tja egal was ich im Verbindungsprofil als Benutzer eintrage. Er verbindet sich immer als Axel.
Es hat den Anschein, dass er beide Authentifizierungen miteinandern vermischt. Das finde ich nicht so prickelnd. Erstens ist es unsicher und zweitens führt es zu Missverständnissen. Besonders der Punkt, dass er automatisch auf Benutzer/Passwort Authentifizierung wechselt (ohne Passwortabfrage) und ein Zertifikatupdate auf dem Server macht, wenn ich mein Zertifikat ändere, finde ich echt krass.
Man sollte nur eine Art von Authentifizierung pro Account zulassen.
Bild von octopussy
octopussy
User
verwirrend
Erstellt von octopussy am 12. Januar 2010 - 13:53.

@Axel: auch mein Eindruck, noch nicht durchdacht.
Wenn ich also nun auf fünf Mumble-Servern unterwegs bin muss ich mir 5 Benutzerkonten in Windows erstellen und fünf Email-Addys zulegen, dass kanns doch iwie nicht sein.
So lassen sich auch Systempartitionen aufblähen.
Bild von Axel
Axel
User
Also wenn du in den 5 Clients
Erstellt von Axel am 12. Januar 2010 - 14:16.

Also wenn du in den 5 Clients unterschiedliche Zertifikate nutzen willst ist das richtig!

Aber wenn nicht....
http://mumble-tower.de/faq-mumble/alle/mehrere-instanzen-von-mumble-starten
Bild von ozon
ozon
Mumble Server AdministratorUserMumble-Tower Staff
Hallo, das Zertifikats System
Erstellt von ozon am 12. Januar 2010 - 18:28.

Hallo,
das Zertifikats System ist schon duchdacht. Doch erstmal vorweg, 1 Zertifikat kann man für mehrere Server verwenden. Ihr könnt euren Namen ändern wie ihr wollt, seid Ihr einmal mit einem Zertifikat authentifiziert dann wird immer der Name genommen der bei der Identifikation verwendet wurde. Hat man einen klassischen User/PW Account, dann wird das PW verwendet. Den Username kann nur ein User mit Berechtigung in Mumble ändern - zu finden im Menüpunkt Server > Benutzer verwalten.

Möchte man verschiedene Usernamen auf einem Server verwenden, dann aktiviert man einfach im Client die Option das das eigene Zertifikat eben nicht an den Server gesendet wird. Zu finden unter Netzwerk.

Ich hoffe ich habe euer Anliegen nicht missverstanden.

^^ habe ich die Option an, wird das Zertifikat nur verwendet wenn der User Authentifiziert ist. Beispiel:

  1. User ozon ist Authentifiziert über Zertifikat
  2. ozontec ist gar nicht Authentifiziert
  3. Harry ist Authentifiziert über ein PW

Default würde sich Mumble so verhalten:
Verbindung über ozon - Authentifiziert.
Verbindung über Harry - Authentifiziert (pw Dialog kommt)
Verbindung über ozontec - Authentifiziert als ozon da das Zertifikat gesendet wird.

Deaktiviert man das senden & speichern des Zertifikats, dann ist jeder unabhängig vom Zertifikat und es wird nur verwendet wenn man sich als User, in meinem Beispiel ozon, einloggt.
Bild von moe
moe
User
1
Erstellt von moe am 12. Januar 2010 - 20:02.

Zugegeben, die Geschichte mit den Zertifikaten ist nicht gerade einfach zu verstehen. Aber eigentlich gar nicht schwer.

Axel schrieb:

Es hat den Anschein, dass er beide Authentifizierungen miteinandern vermischt. [...] Besonders der Punkt, dass er automatisch auf Benutzer/Passwort Authentifizierung wechselt (ohne Passwortabfrage) [...], finde ich echt krass.
Man sollte nur eine Art von Authentifizierung pro Account zulassen.

Mumble kann auch beide Authentifizierungsmethoden benutzen. Dein Account wurde vermutlich unter 1.1.x erstellt (mit Passwort). Danach wurde auf 1.2.x umgestellt. Dein Passwort war damit immernoch in der Datenbank gespeichert. Dann hast du dich vermutlich per Client beim Server registriert (über das Zertifikat).
Als Resultat kennt dich der Server nun entweder per Username/Passwort ODER per Zertifikat.

Wenn du nun das Zertifikat ändern solltest, wird dich der Server nicht mehr kennen, da du dich aber nach wie vor im Connect-Dialog noch mit deinem richtigen Username und Passwort zum Server verbindest, versucht Mumble bei einem falschen Zertifikat noch dein Passwort. Da das richig ist, lässt er dich "rein".

Alle komplett neuen Accounts unter 1.2.x haben im Normalfall kein Passwort mehr (es sei denn das Webinterface von Mumble-Tower bietet nach wie vor die Möglichkeit). Wenn man sich über den Client registriert gibt es KEIN Passwort mehr. Bei diesen Accounts kannst du nur noch mit deinem Zertifikat verbinden, ein anderes Zertifikat oder ein Passwort wird der Server nicht zulassen.

Und ums nochmal deutlich zu machen: ihr braucht nur EIN Zertifikat egal auf wievielen Servern ihr euch damit registrieren wollt. Es ist zu vergleichen mit eurem Ausweis - zum ausweisen auf den Servern. Immer schön drauf aufpassen, ihr braucht ihn evtl., um in die Disco zu kommen :D (zumindest die jüngeren unter uns ;) )
Bild von octopussy
octopussy
User
Da liegt das Problem
Erstellt von octopussy am 13. Januar 2010 - 11:00.
moe schrieb:

Alle komplett neuen Accounts unter 1.2.x haben im Normalfall kein Passwort mehr (es sei denn das Webinterface von Mumble-Tower bietet nach wie vor die Möglichkeit). Wenn man sich über den Client registriert gibt es KEIN Passwort mehr. Bei diesen Accounts kannst du nur noch mit deinem Zertifikat verbinden, ein anderes Zertifikat oder ein Passwort wird der Server nicht zulassen.

Und ums nochmal deutlich zu machen: ihr braucht nur EIN Zertifikat egal auf wievielen Servern ihr euch damit registrieren wollt. Es ist zu vergleichen mit eurem Ausweis - zum ausweisen auf den Servern. Immer schön drauf aufpassen, ihr braucht ihn evtl., um in die Disco zu kommen :D (zumindest die jüngeren unter uns ;) )

Das ist aber genau der Punkt. Ich möchte auf verschiedenen Servern verschieden heissen. Je nach Genre verschiedene Namen, in einem anderen Gesprächskreis vielleicht sogar real.

Und ich würde gerne in der Lage sein, von irgendwo her mal spontan Hallo zu sagen, ohne zwingend einen Stick mit Zertifikat mitzuführen.
Und selbst wenn ich das mache, gehen die Probleme los, wenn auf dem Rechner bereits ein Zertikat besteht und man mit 1.2 erstregistriert ist und nicht mehr zum ID/PW Verfahren zurück kann wie oben geschrieben wurde.
Bild von Axel
Axel
User
re
Erstellt von Axel am 13. Januar 2010 - 11:20.
octopussy schrieb:

Das ist aber genau der Punkt. Ich möchte auf verschiedenen Servern verschieden heissen. Je nach Genre verschiedene Namen, in einem anderen Gesprächskreis vielleicht sogar real.

Das geht doch, ließ mal ozon's letzten post richtig durch!

octopussy schrieb:

Und ich würde gerne in der Lage sein, von irgendwo her mal spontan Hallo zu sagen, ohne zwingend einen Stick mit Zertifikat mitzuführen.

Kannst du doch auch! Log dich einfach als unregistrierter Nutzer ein.

octopussy schrieb:

Und selbst wenn ich das mache, gehen die Probleme los, wenn auf dem Rechner bereits ein Zertikat besteht und man mit 1.2 erstregistriert ist und nicht mehr zum ID/PW Verfahren zurück kann wie oben geschrieben wurde.

Wo ist das Problem? Altes Zertifikat exportieren/sichern, deins importieren, einloggen, labern.... Wenn du fertig bist spielst du das zuvor gesicherte Zertifikat wieder ein.
‹ Lande auf "falschem Server" Abgelehnt.... ›
Topback