Ubiquity UniFi Wireless Controller

[Bordi]

Das war es nicht. SD drin einen Tag gelaufen, kann nicht voll sein....

Sicher? Lies mal hier [LINK]

Des-weiteren ist auch dieser [LINK] hilfreich (achte auf 3.), den ich auch schon #31 gepostet habe.

• Hab hier seit Donnerstag die Firmware 7.5
  
• /etc/apt/sources.list.d/ubnt-unifi.list steht auf stable
  

  deb http://www.ubnt.com/downloads/unifi/debian cloudkey-stable ubiquiti

 

[HaraldB1966]

Danke ist wieder weg aus dem Netz ich schicke Ihn nun zurück.

Platz ist frei nur ein paar KB Backup drauf

 

[Swp2000]

https://ip.8443

Die korrekte URL sollte jedoch lauten: https://ip:8443.
Ich praktiziere den Unifi Controller über Docker schon eine ganze Weile, läuft 1A.

 

[NSFH]

Sicher, dass du den Key auf einer IP laufen hast, die nicht doppelt genutzt wird?
Ansonsten würde ich sagen hat das Teil einen Schaden und ich würde es erst mal umtauschen, denn bei mir läuft er absolut stabil.

 

[Bordi]

Die korrekte URL sollte jedoch lauten: https://ip:8443..

Das ist beim Key irrelevant da dieser unter https://ip ein Begrüssungsportal führt.

@HaraldB1966 machst du wegen defekt einen Austausch?

 

[AirRailey]

wie lauft es mit den updates vom controller aufm docker?

 

[Tommi2day]

Neues Image mit dem Update ziehen oder selber erstellen. Das data Verzeichnis sollte als Volume auf der DS liegen. Dann ist es einfach ein "docker pull <neues image>" auf der Kommandozeile, neustarten und (nomalerweise) fertig.

 

[xxJJxx]

Hallo, ich habe wieder eine Frage zu UniFi im Docker, da es anders auf der DS918+ noch nicht läuft.
Ich habe das latest Image von jacobalberty installiert und es läuft auch seit 3 Tagen perfekt, aber nun lese ich was von Rootzugriff und das man diesen ändern sollte mit RUNAS_UID0 etc. Habe auch bei mir im Protokoll gesehen, dass dort steht: <docker-entrypoint> WARNING: Running UniFi in insecure (root) mode Wie kann ich das ändern? Schnall mal wieder gar nichts habe ich das Gefühl. Endlich läuft mal alles super und dann das...ggggrrrrrrrrrrr.

Hier übrigens die Beschreibung: https://github.com/jacobalberty/unifi-docker/blob/master/README.md#environment-variables

Danke für die Hilfe!

 

[Tommi2day]

Ich habe mir meinen eigenen Unifi Docker Container gebaut, der braucht den ganzen Zirkus nicht. Wenn man nicht als root arbeitet muss man natürlich sicherstellen, das man in das lokale Verzeichnis auf der Syno auch mit den vom Controler verwendeten UIDs schreiben darf. Das sollte genauso für den anderen Container gelten.

 

[xxJJxx]

Hmm, verstehe es leider aber immer noch nicht ganz. Was genau kann jetzt passieren und wenn was passieren kann, wie kann ich es verhindern?

 

[Tommi2day]

Wenn man seine Prozesse als Root im Docker Container laufen lässt, hat ist der Prozess auch Root im Wirtssystem. Er kann z.B. beliebige Dateien überschreiben usw. Einen Docker-Prozess als root laufen zu lassen ist zwar einfacher, aber deshalb "Bad Practice". Noch dazu, wo der Controler unter Java läuft. Läßt man den Prozess nicht als root laufen muss man dafür Sorge tragen, das die Prozesse ordungsgemäß in die vorgesehenen Verzeichnisse des Wirts schreiben können, Netzwerk-Verbindungen funktionieren usw. Das macht man beim Build und mit einem passenden Start Script. Bei dem Unifi Controler kenne ich bis jetzt keinen Fall, in dem der Controler wirklich Root Rechte gebraucht hätte.

 

[xxJJxx]

Wenn man seine Prozesse als Root im Docker Container laufen lässt, hat ist der Prozess auch Root im Wirtssystem. Er kann z.B. beliebige Dateien überschreiben usw. Einen Docker-Prozess als root laufen zu lassen ist zwar einfacher, aber deshalb "Bad Practice". Noch dazu, wo der Controler unter Java läuft. Läßt man den Prozess nicht als root laufen muss man dafür Sorge tragen, das die Prozesse ordungsgemäß in die vorgesehenen Verzeichnisse des Wirts schreiben können, Netzwerk-Verbindungen funktionieren usw. Das macht man beim Build und mit einem passenden Start Script. Bei dem Unifi Controler kenne ich bis jetzt keinen Fall, in dem der Controler wirklich Root Rechte gebraucht hätte.

Oha, hört sich nicht gut an, danke dir. Kannst du mir dann bitte sagen, wie ich das nun ändern kann? Verstehe das aus meinem gepostetem Link leider nicht, wie ich das mache mit dem RUNAS_UID0 UNIFI_UID and UNIFI_GID?

 

[Tommi2day]

lt Beschreibung ist default RUNAS0=false, UID/GID 999. Du kannst also den Container ohne irgendwas anzugeben starten und dafür musst nur Sorge tragen, das die UID 999 in die als Volume angegebenen Verzeichnisse schreiben darf, eg. Schrteibrecht für alle dort erteilen. Wenn Dir das zu unsicher ist, kannst Du auch einen eigenen Benutzer auf der Synology erstellen, z.B. unifi und nur diesem die Schreibrechte in die Verzeichnisse geben. Dessen UID/GID gibst Du dann bei UNIFI_UID/UNIFI_GID an.

 

[xxJJxx]

lt Beschreibung ist default RUNAS0=false, UID/GID 999. Du kannst also den Container ohne irgendwas anzugeben starten und dafür musst nur Sorge tragen, das die UID 999 in die als Volume angegebenen Verzeichnisse schreiben darf, eg. Schrteibrecht für alle dort erteilen. Wenn Dir das zu unsicher ist, kannst Du auch einen eigenen Benutzer auf der Synology erstellen, z.B. unifi und nur diesem die Schreibrechte in die Verzeichnisse geben. Dessen UID/GID gibst Du dann bei UNIFI_UID/UNIFI_GID an.

Danke für die ausführliche Erklärung. Jetzt bleibt nur noch die Frage, wenn ich einen User erstelle, woher weiß ich dann seine ID und wie oder wo trage ich diese ID dann ein. Im Moment wird UniFi ja nur einmal im Docker gestartet und über DSM und das wars, da habe ich ja keine Einstellungsmöglichkeiten oder geht es dann über das Terminal im Docker?
Ich brauch da leider eine Schritt für Schritt Anweisung.

Danke

 

[goetz]

Hallo,
@xxJJxx
bitte keine Vollzitate und besonders nicht wenn Du direkt antwortest.
Danke.

Gruß Götz

 

[Tommi2day]

In der Systemsteuerung einen Benutzer z.b unifi erstellen. Diesem Benutzer alle Rechte auf die DS Verzeichnisse geben, die als Docker-Volume auf der DS gemountet werden sollen. Dann auf der Kommandozeile der DS als admin anmelden und "id <username des angelegten Users>" angeben. Es kommt eine Ausgabe wie "uid=1029(unifi) gid=100(users) ...". Das ist die benötigte uid und gid. (Früher konnte man die mM. nach auch in der Gui sehen..) In der Docker Gui dann zu den Einstellungen des Containers (Bearbeiten) gehen. Im Tab Umwelt mit + eine neue Variable UNIFI_UID hinzufügen und als Wert die vorher ermittelte uid des Users. Das Gleiche auch für die Variable UNIFI_GID wiederholen, dort die gid eintragen. Abspeichern und starten. Der Container wird nicht mehr sauber starten, wenn er in seinen Verzeichnissen noch Dateien mit dem altem User findet. Dann muss man auf der DS vor dem Start den Eigentümer der Dateien auf den neuen User ändern.

 

[xxJJxx]

Danke, habe zwischenzeitlich ein neuen Thread aufgemacht KLICH MICH. Würde mich freuen, wenn wir dort weitermachen würden, da noch weitere Fragen hinzukamen und es mehr um Unifi und Docker geht. Möchtest du deine Antwort dort nochmal posten? Oder kann ein Moderator es dorthin verschieben?

 

[Tommi2day]

Warum der neue Thread? Der hier ist doch für den Unifi Container. Wenn es Dir nur um den jacobalberty Container geht, kann ich auch nicht viel mehr dazu schreiben, da ich die Beweggründe es so zu machen nicht kenne. Ich habe, wie schon geschrieben, mein eigenes Unifi-Controlerimage bereitgestellt. Das ist zwar nur 5.4, funktioniert aber dafür im Gegensatz zur neuen 5.6 Version. Falls Bedarf an Screenshots meiner Konfiguration besteht, kann ich die gerne hier hochladen.

 

[xxJJxx]

Dachte nur wegen der neuen Ordnerstruktur, die bei iDomix noch veraltet ist, dass es eben besser zu einem neuem Thread passen würde? Aber von mir aus können wir auch den neuen schließen und hier weitermachen.

Habe die Ordnerstruktur nun von /var/lib/unifi in /unifi geändert und die von dir erwähnten Variablen eingetragen. Ich musste aber noch die Variable BIND_PRIV auf false setzen da es setcap Fehler gab. Es scheint jetzt zu laufen.

Kannst du mir noch sagen, wie ich jetzt /var/lib/unif löschen kann? Und muss ich das Zertifikat von Lets Encrypt nun in /unifi/cert packen und es vorher mappen?

Danke für den super Support

 

[HaraldB1966]

@ Bordi

Nur um mein Thema abzuschließen und Danke zu sagen.

Ja habe den Controller getauscht. Nun läuft alles wie geschmiert. War wohl doch was mit der Hardware.

Danke