webbasierter Passwortmanager mit Berechtigungen

[heisenberg]

Hallo zusammen,

ich hätte gerne einen Mehrbenutzer-Passwortmanager, der via Web zugreifbar ist und eine Berechtigungsvergabe hat. Sprich. User-A hat Zugriff auf "Passwortgruppe 1", User-B hat Zugriff auf "Passwortgruppe 1" und "Passwortgruppe 2", ...

Ich teste aktuell "syspass" (https://www.syspass.org). Bzgl. der Optik ist das ziehmlich hässlich, tut aber ansonsten was es soll.

Gibt's da noch weitere gute Alternativen? Ich habe - weil's hier gerade erwähnt wurde - von "Bitwarden" und "Vaultwarden" gelesen...

ping @bluestar:

Auch wenn‘s nicht exakt als Antwort auf deine Frage taugt, ich habe gerade die Migration von KeyPass auf Vaultwarden (im Docker-Container) abgeschlossen und bin damit sehr zufrieden.

Hat da jemand schon Erfahrung damit? Wo sind die Unterschiede?

[bluestar]

Auch wenn‘s nicht exakt als Antwort auf deine Frage taugt, ich habe gerade die Migration von KeyPass auf Vaultwarden (im Docker-Container) abgeschlossen und bin damit sehr zufrieden.

Hat da jemand schon Erfahrung damit? Wo sind die Unterschiede?

Meine Kenntnisse in diesem Bereich fasse ich mal zusammen:

* Bitwarden implementiert in C#/.NET, recht speicherhungrig und die Unterstützung für die Open-Source Version ist mäßig.
* Vaultwarden hieß früher Bitwarden_RS und stellt eine leichtgewichtige Rust Implementation von Bitwarden da, großer Vorteil hier ist die API Kompatibilität zu Bitwarden, d.h. ich kann Bitwarden-Clients und Bitwarden-Browser Extensions verwenden um auf Vaultwarden zuzugreifen.

ich hätte gerne einen Mehrbenutzer-Passwortmanager, der via Web zugreifbar ist und eine Berechtigungsvergabe hat. Sprich. User-A hat Zugriff auf "Passwortgruppe 1", User-B hat Zugriff auf "Passwortgruppe 1" und "Passwortgruppe 2", ...

Da ich aktuell nur Vaultwarden verwende, erläutere ich deinen Wunsch einmal in Vaultwarden-Jargon. Du legst als Benutzer eine Organisation an, danach lädst du Benutzer in deine Organisation ein. Innerhalb der Organisationen gibt es nun Sammlungen (das wäre das Äquivalent zu deinen Passwortgruppen) und da kannst du Berechtigungen vergeben, z.B. keine Rechte, nur Lesen, nur Lesen ohne Passwortanzeige, Schreiben und Schreiben ohne ein neues Passwort zu speichern.

Meine docker-compose.yml für Vaultwarden hinter Traefik sieht folgendermaßen aus:

Code: Alles auswählen

version: "3"

volumes:
  vaultwarden:
    driver: local
networks:
  proxy:
    external: true
services:
  vaultwarden:
    image: vaultwarden/server:latest
    restart: always
    networks:
      - proxy
    volumes:
      - vaultwarden:/data
    environment:
      - "SMTP_HOST=mailserver.example.com"
      - "SMTP_FROM=vaultwarden@example.com"
      - "SMTP_FROM_NAME=Vaultwarden"
      - "SMTP_PORT=587"
      - "SMTP_SECURITY=starttls"
      - "SMTP_USERNAME=user"
      - "SMTP_PASSWORD=secret"
      - "DOMAIN=https://vaultwarden.example.com"
       - "SIGNUPS_DOMAINS_WHITELIST=example.com,example.de"
    labels:
      - "traefik.enable=true"
      - "traefik.docker.network=proxy"
      - "traefik.http.routers.vaultwarden-secure.rule=Host(`vaultwarden.example.com`)"
      - "traefik.http.routers.vaultwarden-secure.entrypoints=websecure"
      - "traefik.http.routers.vaultwarden-secure.tls=true"
      - "traefik.http.services.vaultwarden-secure.loadbalancer.server.port=80"
      - "traefik.http.routers.vaultwarden-secure.tls.certresolver=letsencrypt"

[uname]

Es gibt auch eine Nextcloud-App

https://apps.nextcloud.com/apps/passwords

[Ano]

Und passbolt zum selber hosten.

[heisenberg]

Merci.

(Bit|Vault)Warden scheinen brauchbar. Passbolt auch. Dass ich die bei der letzten Suche nicht gefunden habe...

Bei nextcloud bin ich vorsichtiger. Der Firmenpasswortsafe muss schon immer verfügbar sein. Da will ich keine Update-Überraschung erleben.

[grefabu]

Wir hatten mit passbolt in meiner alten Firma ganz brauchbare Ergebnisse erzielt.

In der Basis/Community ohne LDAP Anschluß kann man schon mit Gruppen arbeiten und ebenso Berechtigungen vergeben.

[heisenberg]

Vaultwarden Installation als Docker-Container

Ich habe gerade für eigene Gruppe ein Testsetup für Vaultwarden aufgesetzt. Ich setze meine Anleitung dazu mal hier rein. Vielleicht ist das für jemanden sinnvoll.

Allgemeines

Vaultwarden ist eine modifizierte Variante von Bitwarden, die bzgl. des Resourcenverbrauches deutlich genügsamer ist. Vaultwarden ist kompatibel zu Bitwarden, d. h. die Desktopanwendungen von Bitwarden lassen sich auch mit Vaultwarden benutzen. Es lassen sich Organisationen und Berechtigungen für Passwörter oder Passwortsammlungen vergeben. Die Möglichkeit Gruppen anzulegen ist derzeit noch nicht ausgereift.

Einrichtung

1. Eine VM aussuchen, wo das drauf läuft.
2. Pakete installieren
   
   Für Debian Bookworm:

   Code: Alles auswählen

   apt install docker.io docker-compose argon2 pwgen openssl

3. Ein Verzeichnis erstellen für die diesen Docker-Container und das Datenverzeichnis z. B.

   Code: Alles auswählen

   mkdir –p /home/mycontainers/vaultwarden
   mkdir –p /home/mycontainers/vaultwarden/data

4. Die docker-compose.yml in diesem Verzeichnis anlegen und die individuellen Werte (REPLACE_...) ersetzen. Das ADMIN_TOKEN kommt später.

   Code: Alles auswählen

   version: '3'
   services: 
     vaultwarden: 
       image: vaultwarden/server:latest 
       container_name: vaultwarden 
       restart: always 
       environment: 
         - WEBSOCKET_ENABLED=true 
         - SIGNUPS_ALLOWED=false 
         - DOMAIN=https://passwords.meinedomain.de
         - SMTP_HOST=REPLACE_MAILSERVER 
         - SMTP_FROM=REPLACE_EMAIL_ADDRESS
         - SMTP_PORT=587 
         - SMTP_SECURITY=starttls  
         - SMTP_USERNAME=REPLACE_USERNAME
         - SMTP_PASSWORD=REPLACE_PASSWORD
         - ADMIN_TOKEN=REPLACE_TOKEN
         - SIGNUPS_ALLOWED=true 
       volumes: 
         - ./data:/data 
       ports: 
         - 127.0.0.1:10001:80 
         - 127.0.0.1:10002:3012
   

5. Das Admintoken generieren

   Code: Alles auswählen

   # sicheres Passwort generieren (lokal speichern für alle Fälle)
   pw="$(pwgen -By 50 1)"
   echo "$pw"
   
   # Hash generieren
   echo -n "$pw" \ 
      | argon2 "$(openssl rand -base64 32)" \
                  -e -id -k 65540 -t 3 -p 4
   

   Das Admintoken (Hash) jetzt in die docker-compose.yml bei ADMIN_TOKEN einsetzen.
   .
6. Container starten

   Code: Alles auswählen

   cd /home/mycontainers/vaultwarden
   docker-compose up -d

7. Letsencrypt-Zertifikat generieren + Webserver konfiguieren
   Jetzt auf dem LetsEncrypt-Zertifikat für die eingefügte Domain generieren und den Webserver konfigurieren. Webserver neu laden.
   
   Beispiel: Apache

   Code: Alles auswählen

   <VirtualHost *:80>
           ServerName passwords.meinedomain.de
    
           ServerAdmin admin@email.tld
           DocumentRoot /var/www/empty 
    
           ErrorLog ${APACHE_LOG_DIR}/error.log 
           CustomLog ${APACHE_LOG_DIR}/access.log combined 
    
           RedirectMatch ^/(?!.well-known).* https://passwords.meinedomain.de/ 
   </VirtualHost> 
    
   <VirtualHost *:443> 
           ServerName passwords.meinedomain.de
    
           ServerAdmin admin@email.tld
           DocumentRoot /var/www/empty 
    
           ErrorLog ${APACHE_LOG_DIR}/error.log 
           CustomLog ${APACHE_LOG_DIR}/access.log combined 
    
           # http proxy 
           ProxyPass               / http://127.0.0.1:10001/ 
           ProxyPassReverse        / http://127.0.0.1:10001/ 
    
           ProxyPass               /notifications/hub/negiotiate http://127.0.0.1:10001/ 
           ProxyPassReverse        /notifications/hub/negiotiate http://127.0.0.1:10001/ 
    
           # websocket 
           ProxyPass               /notifications/hub http://127.0.0.1:10002/ 
           ProxyPassReverse        /notifications/hub http://127.0.0.1:10002/ 
    
           SSLEngine On 
           SSLCertificateFile      /etc/letsencrypt/live/passwords.meinedomain.de/cert.pem 
           SSLCertificateKeyFile   /etc/letsencrypt/live/passwords.meinedomain.de/privkey.pem 
           SSLCertificateChainFile /etc/letsencrypt/live/passwords.meinedomain.de/chain.pem 
   </VirtualHost>

8. Initialen Admin einrichten
   .
   Jetzt über das Webinterface von Vaultwarden den Master-Admin-Account registrieren mit einer eigenen E-Mailadresse und diese E-Mailadresse mit Hilfe der Registrierungsmail voll aktivieren.
   .
9. Selbstregistrierung wieder deaktivieren
   .
   Nach der Einrichtung des Admin-Accounts jetzt die Registrierungsoption aus der Docker-Compose wieder entfernen und den Docker-Container durchstarten. Die folgende Zeile aus docker-compose.yml entfernen:

   Code: Alles auswählen

   - SIGNUPS_ALLOWED=true 

   Dann diese Befehle ausführen:
   

   Code: Alles auswählen

   cd /home/mycontainers/vaultwarden
   docker-compose down
   docker-compose up -d
   

Organisation anlegen

Um als Administrator weitere Benutzer anlegen zu können, muss jetzt zunächst einmal über Tresore --> Neue Organisation eine neue Organisation angelegt werden. Anschließend können in dieser Organisation neue Benutzer eingeladen werden.

Neue Benutzer einladen

Über Organisationen -> $Organisationsname -> Mitglieder -> Mitglieder einladen ... können jetzt neue User eingeladen werden. Der Benutzer erhält eine Einladung per Mail, die er bestätigen muss und anschließend muss der Administrator nochmal den Benutzer bestätigen. Erst dann hat der Benutzer Zugriff auf die Organisation. Über diese Methode können dem neuen Benutzer auch globale Admin Rechte zugewiesen werden - erscheint für mich nicht ganz stringent logisch, aber so ist es.

[heisenberg]

Ich habe hier jetzt Vaultwarden produktiv. Grundsätzlich kann der schon mal Einiges. Das ist sehr erfreulich.

Was ich nervig finde, ist, dass Vaultwarden am Anfang mehrere Minuten braucht, bis mal irgendwann die Passwortspeicher geladen sind.

[bluestar]

Was ich nervig finde, ist, dass Vaultwarden am Anfang mehrere Minuten braucht, bis mal irgendwann die Passwortspeicher geladen sind.

Das Problem ist spannend, ich kann dieses Verhalten bei mir nicht beobachten. Liegt's evtl. an deiner Konfiguration?

[heisenberg]

Gut Möglich. Das läuft hier unter Proxmox/LXC (Hetzner-Server mit SSDs). Ich merke, dass die Container manchmal ein paar Gedenksekunden haben.