Authentifizierung auf der Zentrale aktivieren, ist das wirklich notwendig?

[Baxxy13]

Da mir das immer wieder über den Weg läuft (im HomeMatic-Forum, bei Diskussionen und Tickets) und auch so in der ReadMe steht...

This integration always passes credentials to the HomeMatic hub when connecting. For CCU and descendants (RaspberryMatic, debmatic) it is required to enable authentication for XmlRPC communication (Settings/Control panel/Security/Authentication). JsonRPC communication ia always authenticated.

...muss ich mal nachhaken.

Warum muss die Authentifizierung aktiviert sein?

Grund der Frage...
Bei mir laufen 3 SetUps (3x HA samt Integration mit jeweils 1x verbundene RM) ohne aktivierte Authentifizierung völlig problemlos.

[SukramJ]

Gute Frage. Ich hab das noch nicht systematisch untersucht.
Für die JSON-Abfragen benötigen wir die Benutzerauthentifizierung.
Für XmlRPC verwenden wir die gleichen Benutzeranmeldedaten.
Bei vielen Benutzer führt die Aktivierung von Authentifizierung zum Erfolg (oder ist das nur ein Nebeneffekt?).
Wenn ich die Authentifizierung in der CCU wieder deaktiviere habe ich auch keine Probleme.
Aber vielleicht hat @danielperna84 da noch mehr Infos.

[Baxxy13]

Hmm, die JSON-RPC Abfragen richten sich ja nach dem USER-Level.
z.B:

SysVar.getAll {
  LEVEL USER
  SCRIPT_FILE sysvar/getall.tcl
  INFO {Liefert Detailinformationen zu allen Systemvariablen auf der HomeMatic Zentrale}
  ARGUMENTS {_session_id_}
}

Hier muss also zwingend USER/PASS und Session-ID übergeben werden, aber die Authentifizierung "aktiv/inaktiv" sollte keine Rolle spielen.

Das man hierfür in den Config-Flow einen "Admin" einträgt ist nachvollziehbar um Zugriff auf alle Methoden zu haben.

Bei der XmlRPC - Api habe ich gar keinen Plan.
Wenn ich den Hilfetext richtig deute wird USER/PASS aber nur benötigt wenn die Checkbox (Authentifizierung:) aktiv ist.

Ich schreib mir das mal auf den Merkzettel und werde das bei Gelegenheit mal durchtesten...

Aber vielleicht wissen ja @danielperna84 oder @jens-maus mehr.

[SukramJ]

Also die Integration prüft nicht ob die Authentifizierung in der CCU aktiv ist. Die Credentials werden immer mit gesendet.

[jens-maus]

Dann würde mich dazu mal interessieren wie da genau der Payload dazu aussieht bzw. wie da genau der Ablauf ist. Vllt. kannst du dazu ja mal ein Beispiel liefern bzw. Links hierher packen wo man das nachvollziehen kann.

[SukramJ]

Im Header werden Benutzername/Passwort Base64 kodiert abgelegt und beim Proxy in den args mitgegeben.

Was ich bisher nicht nachvollzogen habe ist wie sich eine "frische" CCU/RM verhält.

[jens-maus]

Ok, dann fügt ihr anscheinend immer einen Authorization: header hinzu egal ob die XMLRPC Authentifizierung in der WebUI der CCU angeschalten ist oder nicht. Im Falle das sie dort deaktiviert ist wird das halt entsprechend ignoriert. Ist zwar prinzipiell kein Problem, aber dann drängt sich schon die Frage auf ob man dann nicht vielleicht unnötigerweise in diesem Fall den Nutzernamen+Passwort im Netzwerktraffic preis gibt (gerade wenn keine HTTPS/TLS Verschlüsselung genutzt wird). Besser wäre es natürlich diesen Authorization: header nur dann zu senden wenn die XMLRPC Authentifizierung wirklich notwendig ist.

[SukramJ]

Mal schauen was @Baxxy13 so rausfindet, dann werde ich da vielleicht noch mal nacharbeiten.

[Baxxy13]

Sehr gut, danke. Das deckt sich soweit mit meinen eigenen Erfahrungen.

Ich halte für mich fest das definitiv ein User mit Admin-Level in den Config-Flow der Integration eingetragen werden muss und die (aktivierte/deaktivierte) Authentifizierung auf der Zentrale damit quasi keine Rolle mehr spielt da ja die Credentials immer mit übergeben werden.

Soweit ich das beurteilen kann "ignoriert" z.B. die Remote-Script-Api die mitgesendeten Credentials wenn die Authentifizierung deaktiviert ist. Wie sich die XmlRPC-Api dahingehend verhält kann ich aktuell nicht sagen, denke aber genauso.
Von daher ist meine Frage beantwortet.
"Authentifizierung aktiv" ist nicht nötig.

[SukramJ]

Gibt es denn eine Methode um zu erkennen ob die Authentifizierung aktiv ist oder nicht?

In der JsonAPI: CCU.getAuthEnabled

[Baxxy13]

Lässt sich das nutzen ohne den Config-Flow zu "verkomplizieren"?

Von meiner Seite sind die Fakten soweit klar.
Das ein User mit Admin Rechten benötigt wird steht ja so schon in der ReadMe.
Bei der Authentifizierung würde ich das "it is required" in "it is recommended" ändern.

[SukramJ]

Lässt sich das nutzen ohne den Config-Flow zu "verkomplizieren"?

Mal schauen ...

Vielen Dank fürs Testen.

[SukramJ]

Für den ersten Aufruf (getVersion, um das Backend zu ermitteln) benötige ich noch die Authentifizierung.
Alle Folgeaufrufe senden dann ggf. keinen Authorization header mehr mit.
Das kann mit der Beta 1.40.0b0 getestet werden. Diese Version benötigt allerdings auch die HA Beta 2023.8.0b0.

[danielperna84]

Der Vollständigkeit halber: In der alten Integration waren die Credentials nur für JSON-RPC notwendig. Also für die Namensauflösung. Wenn da jemand was falsches drin hatte, hat man dann die Entities ohne schöne Namen bekommen. Dadurch ist einigen oftmals nicht aufgefallen, dass es ein Problem mit der Authentifizierung gab, weil die dachten "das soll so sein". JSON-RPC wurde damals halt ausschließlich für die Namen benutzt.