Mumble.ru

решил перевести ресурс с 1.1.8 на 1.2.0
ну что БД пришлось руками конвертить это мелочи, хотя и не приятно.
но куда пропал доступ к серверу по паролю?
кто-то очень умный додумался что пароли это прошлый век и работать будем по сертификатам? они пробовали хранить их в голове?
они что никогда не работали на чужом компе, где не всегда есть софт для полного затирания личных данных?

версия 1.2.0 совершенна не приемлима с точки зрения аутентификации, а все возможности которые она дает слишком сомнительные.
откатываемся пока на старую и постепенно подыскиваем альтернативное решение.

random писал(а):решил перевести ресурс с 1.1.8 на 1.2.0
ну что БД пришлось руками конвертить это мелочи, хотя и не приятно.

Честно говоря, пришлось делать тоже самое, т.к. после длительной работы с 1.1.8 в БД остаются хвосты от удаленных каналов, групп и их списков ACL. И при переводе одной БД в другую, сервер не хочет принимать значения, которых не существует в каком-то разделе БД.

random писал(а):но куда пропал доступ к серверу по паролю?

А, собственно, с чего Вы взяли, что он кудато пропал? serverpassword никто не отменял.

random писал(а):версия 1.2.0 совершеннО не приемлима с точки зрения аутентификации, а все возможности которые она дает слишком сомнительные.

Позволю себе не согласиться с Вами и, думаю, меня поддержат многие.
В версии 1.2.0. Вам предоставляется возможность ВЫБОРА - использовать пароли, использовать сертификаты или все вместе.
На нашем публичном сервере используется и то и другое.
При этом, возможности, которые появились в версии 1.2.0. по сравнению с версией 1.1.8 однозначно полезны.
Взять, хотябы, возможность ставить каналы на пароль. Т.е., так называемый, токен доступа (Access Tokens). Когда создается группа со своими правами на канал, в которую можно попасть ТОЛЬКО при наличии добавленного в клиенте токена доступа.
Или взять, например, возможность шептать (Whisper) конкретному пользователю (или на канал) по определенной кнопке.
У нас готовится к выходу статья о новшествах 1.2.0 и их использовании по сравнению с 1.1.8.

random писал(а):версия 1.2.0 совершенна...

Вот именно! Версия 1.2.0 однозначно лучше версии 1.1.8. И Мамбл остается по-прежнему лучшим VoIP-чатом, который я встречал.

тогда объясните нубу способ авторизации юзера с испольльзованием собственного уникального пароля.
использование одного пароля на всех с одинаковыме правами доступа как то не секурно.

Взять, хотябы, возможность ставить каналы на пароль.

кому это нужно при рабочем ACL?
если возможности продукта перекрывают потребности то продукт считается приемлимым.
если нет - не приемлимым.
пропала необходимая возможность. теперь данный продукт не удовлетворяет некоторым потребностям.
а все эти рюшечки... хорошо но в них нет необходимости.

random писал(а):

Взять, хотябы, возможность ставить каналы на пароль.

кому это нужно при рабочем ACL?

Всем! Раньше у пользователей не было возможности попасть в определенную группу самим по себе, имея токен доступа на это.

random писал(а):тогда объясните нубу способ авторизации юзера с испольльзованием собственного уникального пароля.
использование одного пароля на всех с одинаковыме правами доступа как то не секурно....
пропала необходимая возможность. теперь данный продукт не удовлетворяет некоторым потребностям.

Давайте, чтобы не разглогольствовать - Вы описываете конкретную необходимость - Я описываю путь ее решения.

индивидуальная авторизация юзера на сервере с помощью личного логина и пароля, с последующиим использованием ACL для распределения прав доступа разных для каждого пользователя.

использование сертификатов для авторизации не приемлимо по соображением безопастности их хранения на гостевых рабочих станциях, так как контроль рабочих станций принадлежит третьим лицам. (кейлогеры, и т.д., что делает не безопастным пароль, в данном случае исключены, но ничего не стоит восстановить стертые данные. софт для затирания не предусмотрен)

random писал(а):индивидуальная авторизация юзера на сервере с помощью личного логина и пароля, с последующиим использованием ACL для распределения прав доступа разных для каждого пользователя.

Авторизация юзера по паролю происходит на сервере, когда с неизвестным сертификатом входят на сервер под ником, на который установлен пароль. После ввода валидного пароля, сервер запоминает данные сертификата. С этого момента он привязывается к указаному нику. При заходе с этим же сертификатом пользователь идентифицируется сервером по сертификату. Права устанавливаются на каждого пользователя отдельно или на группу пользователей.

random писал(а):использование сертификатов для авторизации не приемлимо по соображением безопастности их хранения на гостевых рабочих станциях, так как контроль рабочих станций принадлежит третьим лицам. (кейлогеры, и т.д., что делает не безопастным пароль, в данном случае исключены, но ничего не стоит восстановить стертые данные. софт для затирания не предусмотрен)

Могу рекомендовать Вам, как один из выходов, сделать переносную версию, как описано в этом посте viewtopic.php?p=715#p715
Поигравшись с сервером, паролями, mumble.ini и mumble.sqlite Вы лучше поймете как устроена авторизация в версиях Мамбл 1.2.0 и выше

именно что с сертификатами полностью не устраивает.
с переносная версия это хорошо, но есть места где отрублен доступ для внешних носителей. со всеми вытекающими.

я уже писал веб обвязку под 1.1.8 под свои задачи и оставил вам это в качестве бонуса:
viewtopic.php?f=4&t=20

сейчас вопрос вполне конкретен. как отрубить сертификаты.
подозрение что придется копаться в исходниках сервера, что очень лениво.

random писал(а):есть места где отрублен доступ для внешних носителей. со всеми вытекающими.

А кто Вам мешает сохранить сертификат, mumble.ini и mumble.sqlite в интернете в защищенном месте и забирать их оттуда для работы, а по завершению - удалять их с машины?

random писал(а):как отрубить сертификаты.

Просто так их не отрубить, т.к. начиная с версии 1.2.0 упор сделан именно на авторизацию по сертификатам.
Думаю, можно удалять периодически записи о сертификате в БД сервера для определенных пользователей.
Хотя, лучше создать какой-нибудь сертификат, которым Вы будете сбрасывать свой в клиенте, с которого подключаетесь с гостевой машины.

вирдикт подписан.
потеря необходимой функциональности при обновлении.
жаль но... пока придется оставаться на 1.1.8 и присматривать альтернативные софтовые решения.
хотя проект свободный и каждый имеет право на форк.

Вы, похоже, один из немногих кого оттолкнула авторизация по сертификату.
ИМХО, Вы сами надумали себе проблему с таким типом авторизации. Всегда можно найти решение при сложившихся обстоятельствах.

Хотя... уж если Вы подписали вердикт... то да...