Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

--- projekte:schlosssystem_2026 [2026-03-07 16:29] – [NTP] wene
+++ projekte:schlosssystem_2026 [2026-05-08 22:47] (aktuell) – [MQTT] wene
@@ Zeile 49: / Zeile 49: @@
   * Als Ruum42 Vollmitglied möchte ich das Schloss auch ohne Smartföhn öffnen können. Idee ist ein ESP.
   * (Allenfalls) Als Besucher ohne persönliches Login/Passwort möchte ich über die [[https://f-droid.org/de/packages/com.example.trigger/|Trigger Anwendung]] mit einem "generischen" Benutzer die Klingel betätigen können. Die Einrichtung des Benutzers finde ich auf der Ruum42 Webseite. Im Ruum42 ist eine Klingel angebracht, die vom Raspberry-PI angesteuert wird.
+  * Als Ruum42 Vollmitglied möchte ich mehrere Tokens zur Authentifizierung in meinem Account hinterlegen und verwalten können. Damit kann ich beispielsweise den SSH Schlüssen der Trigger App auf dem Smartphone sowie den SSH Schlüssel meines Laptops hinterlegen und im Falle eines Verlustes auch wieder getrennt zurückziehen. Die Schlüssel würde ich gerne anhand eines Namens, den ich selbst vergeben kann, identifizieren können.
+  * Als Vorstandsmitglied möchte ich Dienstleistern wie z.B. Getränkelieferanten einen Einmal-Schlüssel per E-Mail senden können. Dabei sollte der Dienstleister keine spezielle Hard- oder Software benötigen. Ein gängiges Smartphone mit Browser muss genügen. Der Einmal-Schlüssen wird ungültig, sobald er einmal benutzt wurde. (resp. ein paar Minuten danach, damit nach versehentlicher Schliessung nochmals geöffnet werden kann.) Beispiele für einen Schlüssel wären ein Link, der nur im Schloss-Netz gültig ist, oder ein Zahlencode der in einem Captive-Portal eingegeben werden muss.
 === Schloss-Aktuatoren ===
@@ Zeile 60: / Zeile 62: @@
 === Module und Schnittstellen ===
-{{ :projekte:schlosssystem_module_und_schnittstellen_v2.png |}}
+{{:projekte:schlosssystem_module_und_schnittstellen_v3.drawio.png|}}
 Grafik erstellt mit [[https://www.drawio.com|drawio]].
@@ Zeile 151: / Zeile 152: @@
 # Kommando zum Öffnen an's Schloss schicken:
-mosquitto_pub -h wene-raspi-lock -t "main-door/lock" -m "open" -p 8883 --cafile path/to/ca.crt
+mosquitto_pub -h wene-raspi-lock -t "main_lock/command/userName/userSecret" -m "open" -p 8883 --cafile path/to/ca.crt
 # Das Schloss schickt den Status "opened" zurück:
-mosquitto_pub -h wene-raspi-lock -t "main-door/status" -r -m "opened" -p 8883 --cafile ca.crt
+mosquitto_pub -h wene-raspi-lock -t "main_lock/status" -r -m "opened" -p 8883 --cafile ca.crt
 # Das Flag '-r' steht für "retain" und bedeutet, dass dieser Wert auf dem Broker als Status gespeichert bleibt und neuen Clients bei Verbindung zugestellt wird.
 </code>
@@ Zeile 172: / Zeile 173: @@
 <file - tls.conf>
 listener 8883
-allow_anonymous true
 cafile /etc/mosquitto/ca_certificates/ca.crt
 certfile /etc/mosquitto/certs/server.crt
 keyfile /etc/mosquitto/certs/server.key
+</file>
+<file - password.conf>
+password_file /etc/mosquitto/passwd
+allow_anonymous false
+</file>
+<file - acl.conf>
+acl_file /etc/mosquitto/acl
 </file>
 Die Datei ''tls.conf'' enthält Pfade zu Zertifikaten, welche wir natürlich erst an der Stelle ablegen müssen, damit das funktioniert. Wie sie erstellt werden, wird im Kapitel [[#TLS Self Signed Certificates]] erklärt. Nachdem die Dateien an den entsprechenden Pfaden liegen, sollte Mosquitto als Eigentümer festgelegt werden: ''sudo chown mosquitto:mosquitto -R /etc/mosquitto/certs'' und ''sudo chown mosquitto:mosquitto -R /etc/mosquitto/ca_certificates''.
+Die Datei ''password.conf'' enthält den Pfad zur Passwortdatei. Diese wird mit Hilfe des Tools ''mosquitto_passwd'' generiert.
+<code bash>
+# Passwortdatei anlegen mit dem ersten Benutzer namens "system" und dem Passwort "syspass"
+sudo mosquitto_passwd -c -b /etc/mosquitto/passwd system syspass
+# Den Eigentümer der Passwortdatei festlegen
+sudo chown mosquitto:mosquitto /etc/mosquitto/passwd
+# Weitere Einträge zur existierenden Datei hinzufügen
+sudo mosquitto_passwd -b /etc/mosquitto/passwd towel_key password
+# Es wird eine Warnung angezeigt, dass die Datei nicht root gehört. Diese kann
+# ignoriert werden, da der mosquitto Service nicht als root ausgeführt wird.
+# Um die Warnung zu vermeiden erst alle Passwörter eintragen, dann den Besitzer ändern.
+</code>
+Über die Datei ''/etc/mosquitto/acl'' wird definiert, welche MQTT Themen von wem gelesen und von wem geschrieben werden können. Somit können alle Schlüssel den gleichen MQTT Benutzer verwenden und ihr Geheimnis trotzdem als Thema veröffentlichen. Es kann von anderen Benutzern nicht gelesen werden solange sie dieses Thema nur schreiben, aber nicht lesen können.
+<file - acl>
+user system
+topic read main_lock/command/#
+topic write main_lock/status/#
+user towel_key
+topic write main_lock/command/#
+topic read main_lock/status/#
+</file>
 === Python Library Paho ===