Bitwarden auf der Synology (Docker)

[EDvonSchleck]

Wo ist denn dein Problem, die Variable im Container zu hinterlegen?

 

[myssv]

Ich weiß nicht welchen Teil von
ADMIN_TOKEN='$argon2id$v=19$m=65540,t=3,p=4$C09zTOIV..........................VM5Yn8aUnB2Oci1o'

ich wo eintragen muss.

Kommt alles mit den Hochkomma in dieses Feld?

 

[EDvonSchleck]

https://mariushosting.com/how-to-install-mastodon-on-your-synology-nas/

Nur ohne den ' und '. Vor dem $ ist noch ein Zeichen!
Ohne Hochkomma!

 

[*kw*]

@EDvonSchleck: Du kennst meine Config.

Damit installiert:

"docker run -d --name=vaultwarden \
-p 3012:3012 \
-p 6768:80 \
-v /volume1/docker/vaultwarden:/data \
-e ADMIN_TOKEN=testpasswort \
--restart always \
vaultwarden/server"

...und im Admin-Panel die Daten angepasst und auch den Token im Klartext eingetragen. Wert wird in der config.json übernommen. So habe ich bisher "gelebt".

Dann denn hash-Befehl ausgeführt und einen Wert erhalten und den in die Umgebungsvariablen eingetragen. Gretchenfrage: was muss ich jetzt im zum Aufruf der Admin-Konsole eingeben und wo kommt das bisherige Passwort (Klartext) hin? Über das Webif habe ich nichts mehr geändert.

 

[EDvonSchleck]

Dein Passwort. Ist doch bei AdGuard auch nicht anders. Das Passwort in der Config ist doch auch gehasht. Anders macht es ja keinen Sinn, ansonsten wäre es ja nur ein Passwortgenerator .

 

[myssv]

ok, vor dem $ war noch ein Leerzeichen.

Aber nun kommt wieder

 

[myssv]

Ich habe das Leerzeichen vor dem "$" weggenommen und nun scheint es bei mir zu klappen.

Vielen Dank für Eure Hilfe!

 

[*kw*]

Dein Passwort.

Genau das ist ja das Problem. Wenn ich den hash-Wert hinterlegt habe und mich in der Admin-Konsole einloggen will, kommt eine Fehlermeldung (so habe ich das Prinzip auch verstanden ).

PS: muss ich auf später verschieben, no time...

 

[EDvonSchleck]

Es funktioniert ohne Probleme. Der Hash kann eingetragen werden unter Environments oder im Admin-Webif. Danach wird natürlich das Passwort angenommen und nicht der Hash. Auch muss man keine weiteren $-Zeichen hinzufügen. Ich habe versucht, eueren Fehler nachzustellen.

Meine Schritte:

sh

Um später besser den Code aus dem Terminal kopieren zu können.

/vaultwarden hash

Passwort eingeben mindestens 8 Zeichen:

Passwort wiederholen:


Hash kopieren ohne Hochkomma:


... und in einer Textdatei einfügen. Jetzt können wir einen Umbruch sehen:


... dieser muss natürlich weg:


Diesen Hash können wir jetzt in den Container oder im Webif eingeben, ohne dass eine Fehlermeldung kommt oder der Container neu startet. Ich denke, das könnte euer Problem lösen.

 

[myssv]

Tolle Anleitung, Danke!

 

[*kw*]

'Eigentlich' wollte ich was ganz anderes schreiben, weil ich - trotz Anleitung - immer noch die Fehlermeldung beim Login (mit meinem Wunschpasswort) bekommen habe.

Test: Passwort nur Buchstaben. Funktioniert. 'Außergewöhnlich' waren nur ein '@' und ein '-', acht Stellen hatte es auch. Hab ich bei den Passwortanforderungen was übersehen?

Edit:

Ich habe es jetzt nochmal mit einem anderen generierten Passwort probiert. Wenn ich den dazugehörigen hash im Webif eintragen will, steht dieser schon mit roter Schrift hinterlegt: Default ADMIN_TOKEN $argon2id$v=1.... und ich kann nichts überschreiben. Speichere ich das und gebe das dazugehörige Passwort ein, gibt's wieder die Fehlermeldung.

Edit2:

Nochmal Container gestoppt, in den Umgebungsvariablen eingetragen, re-start...jetzt geht's. Muss man nicht verstehen, das Ergebnis zählt.

 

[EDvonSchleck]

Ich habe einmal ein neues Passwort mit Sonderzeichen von Vaultwarden generieren und hashen lassen:

Passwort:

2SH9#@%&738Cy&6QP#b$$K3zh5m^HB5Q^

Hash:

$argon2id$v=19$m=65540,t=3,p=4$OmrgcLaDQrCIA6Yw7Gjg38omO3Je+Yjw7QMTHUEddbY$AxBA5r/+a4jLwHWJtJxYF8ahB5KsRDPgLjIv1Gyhbc4

Kann ja jeder, der Probleme hat, einmal austesten, der Probleme hat.

@*kw*, in roter Schrift steht der Wert, welcher du unter Environments eingegeben hast. Das kann auch nur "testpasswort" sein . Das Passwort von den Environments wird eh beim Ändern über das Webif ignoriert. Die Einstellung ADMIN_TOKEN dient nur noch zum Einschalten des Admin-Webif. Der Wert ist dabei egal. Du kannst das Passwort wie vorher ganz normal über das Webif ändern, damit es in der Config gespeichert wird.

 

[*kw*]

Das komische nur, nachdem ich vom neuen Passwort im vorletzten Schritt den Hash aus der Textdatei kopiert habe, stand genau diese in roter Schrift (s.o.) bereits im Webif. Es war also nicht der alte Wert, entsprechend der bisherigen Umgebungsvariable.

Egal, läuft…

 

[EDvonSchleck]

Du machst mich närrisch

Natürlich kann ich deine Aussage nicht bestätigen. Das Passwort, was in den Environments eingetragen ist, wird auch so im Admin Webif angezeigt:



Danach habe ich den Gasgenerator durchlaufen lassen mit dem Passwort bitwarden1:



Danach habe ich mich im Admin-Webif wieder mit dem alten Passwort angemeldet und überprüft (siehe Zeit Bild):



Weil die Einstellungen nur in den Environments gespeichert waren, habe ich das Passwort im Webif geändert, damit dieses Plain in der Config geschrieben wird:





Danach ein erneuter Hash:



Und auch dort wieder das alte Passwort (siehe Zeit Bild):





Somit ist es schon wie beschrieben ein einfacher Hash-Generator und ändert nichts am Container oder Config. Mehr Möglichkeiten sehe ich nicht.
Bei Problemen kannst du den Container auch einmal zurücksetzen. Ich hoffe, alle deine Unklarheiten ausgeräumt zu habe.

Das rote Hash-Passwort lässt eher darauf schließen, dass es in den Environments hinterlegt war. Bist du sicher, dass es das neue Passwort war?

 

[*kw*]

Moin!

Testweise den Container zurückgesetzt und ein neues Passwort vergeben. Im Webif, config.json und Umgebungsvariablen steht jetzt einheitlich 'standard".

Jetzt - wie in der 'Klippschule' - deiner bebilderten Anleitung von oben gefolgt. Neues Passwort ('passwort_neu') gehasht, auf Leerzeichen, Umbrüche, etc., überprüft und hash im Webif eingetragen und gespeichert.

Ergebnis:

• Webif: admin_token: hashwert
• Umgebungsvariable: admin_token : 'standard'
• config.json: admin_token: hashwert

Letzteres sollte bestimmt so nicht sein? Wenn ich dich richtig verstanden haben, wäre das der reine "Passwortgenerator-Effekt"? Einloggen kann ich mich aber mit dem neuen Passwort.

Erstmal bis hierhin.

 

[EDvonSchleck]

Das ist doch soweit richtig. Warum soll in der Config der Hash-Wert nicht stehen? Irgendwo muss dieser ja gespeichert sein, wenn du diesen nicht unter den Container-Einstellungen haben willst.

Das PW i Container oder in der Config sind 2 unterschiedliche Sachen. Wenn im Webif keins hinterlegt wurde, wird dort das Standardpasswort aus dem Container angezeigt.

Der Sinn des Hash ist ja das ein anderes Passwort als der angezeigte Wert benutzt wird. Jeder, der den Hash sieht, ist trotzdem nicht im Besitz des Login. Jedoch ist natürlich ein Austausch mit entsprechenden Rechten in der DS(Docker auch möglich.

 

[*kw*]

Warum soll in der Config der Hash-Wert nicht stehen?

...Danke, das war's. Jetzt klar und schöne Ostern!

 

[EDvonSchleck]

Das Passwort in deinen AdGuard ist ja auch in der Config mit BCrypt gehasht.