Die Pflichtlektüre für Freunde quelloffener Software
 |
|
|
|
|
|
Moin aus Hannover!
Es ist schon eine Weile her, dass ich euch mit einer Spotlight-Ausgabe beglücken durfte. Beim letzten Newsletter hat mich Keywan vertreten, weil ich mir statt spannender Open-Source-Projekte eher Taschentücher und Teekannen angesehen habe. 🤒
Das Interview mit Daniel Stenberg, dem Maintainer des omnipräsenten Programms curl (cURL) habe ich sehr interessiert gelesen: KI-generierte (und stellenweise halluzinierte) Fehlerberichte sind eine Form, wie der KI-Hype Open-Source-Projekten zusetzt. Neben dem Output von KI-Systemen kann aber auch ihr knurrender Datenmagen zum Problem werden. 🤖
Die Admins der Codeschmiede des Gnome-Projekts sahen sich vor einer Weile beispielsweise dazu genötigt, ihre Gitlab-Instanz durch Anubis zu schützen. Die "Anti-KI-Crawler-Firewall", selbst ein Open-Source-Projekt, hält den Traffic der Bots von OpenAI, Meta und Co. im Zaum. Vielleicht widmen wir Anubis mal ein eigenes Spotlight? Was meint ihr? 🤔
| | | |
|
|
|
Heute im Spotlight
|
| ● | News: Linux Mint 22.2 erschienen |
| ● | Spotlight: SSO, OpenID-Connect und Passkeys mit Pocket-ID | | | | | | |
|
|
| |
| |
|
News: Linux Mint 22.2 "Zara" | | | |
|
|
| (Credit: Screenshot ndi / c't) | | | |
Eine neue Version der populären Linux-Distribution Linux Mint ist geschlüpft! 🐣
Das neue Release enthält ein hauseigenes Tool namens Fingwit zum Erfassen von Fingerabdrücken für die biometrische Anmeldung. Um Gnome-Apps mit Themes von Linux Mint kompatibel zu machen, hat das Linux-Mint-Team die Gnome-UI-Bibliothek Libadwaita geforkt und um Theming-Fähigkeiten erweitert. Die neue Bibliothek nennen sie Libadapta.
Linux Mint 22.2 basiert auf Ubuntu 24.04. Weil es dessen Hardware Enablement Stack aktiviert, kommt es mit dem neueren Kernel 6.14. Das führt laut den Release-Notes zu Problemen mit VirtualBox, älteren Intel-Grafikchips, die den i915-Treiber benötigen, und älteren Nvidia-GPUS, die auf den ausgelaufenen, proprietären Treiber 470 setzen. Nutzern, die davon potenziell betroffen sind, raten die Entwickler, bei Linux Mint 22.1 zu bleiben, das Kernel 6.8 enthält. | | | |
|
|
|
|
| Wie ihr inzwischen sicherlich mitbekommen habt, ist Self-Hosting eines meiner liebsten Hobbys und über die Zeit hat sich von der Nextcloud bis zum Medienserver eine beachtliche Liste von Diensten angesammelt, die ich selbst betreibe. Ein Problem blieb jedoch ziemlich lange ungelöst: Die meisten Dienste regeln ihren Login selbst, also müssen sowohl ich, als auch alle, mit denen ich diese Dienste teile, einen Haufen an Zugangsdaten jonglieren. Wäre ein Single-Sign-On-Verfahren nicht viel schöner? Eine zentrale Anmeldung und danach ist man bei allen Diensten automatisch eingeloggt? | | | |
|
|
|
|
Dafür braucht es zwei Bausteine: einen Identity Provider (IdP), also einen Dienst, der Nutzerdaten zentral verwaltet, und ein Protokoll, über das er mit anderen Anwendungen kommuniziert, um Nutzer zu authentifizieren und die Nutzerdaten zu validieren. Als Protokoll hat sich in der SSO-Welt inzwischen OpenID-Connect (OIDC) als Standard etabliert und viele Dienste, die man selbst hosten kann, bieten die Anmeldung über OIDC an. Manchmal muss man dafür noch ein Plug-in nachrüsten.
Beim Identity Provider haben Self-Hoster allerdings die Qual der Wahl, denn mit Keycloak, Authelia und Authentik gibt es diverse Lösungen für unterschiedliche Anforderungen. Nach einigen Anläufen mit Keycloak, der Mutter aller self-hosted IdPs, habe ich allerdings inzwischen eingesehen, dass es für mein bescheidenes Homelab ein wenig zu enterprisey ist und ich ein schmales und simples Setup bevorzuge. Vorhang auf für Pocket-ID!
Spotlight-Steckbrief
● Name: Pocket-ID
● GitHub: https://github.com/pocket-id/pocket-id
● Webseite: https://pocket-id.org/
● Plattform: Linux (Docker)
● Lizenz: BSD 2-Clause License
Pocket-ID ist ein Identity Provider für OpenID-Connect, der mit dem Ziel entwickelt wurde, besonders simpel zu sein. Daher rührt auch die Entscheidung der Entwickler, keinen ganzen Blumenstrauß an Authentifizierungsmethoden für Nutzer anzubieten, sondern vollends auf Passkeys zu setzen und komplett auf Passwörter zu verzichten.
Ich weiß, dass Passkeys stellenweise polarisieren, aber meine Meinung ist: Wo keine Passwörter sind, da können sie auch nicht vergessen werden oder Phishern in die Hände fallen.
| | | |
|
|
| (Credit: Screenshot ndi / c't) | | | |
Wenn ihr Pocket-ID ausprobieren möchtet, dann könnt ihr das über die Demo-Instanz des Projekts tun. Zur Installation stellen die Entwickler eine docker-compose.yml-Datei bereit. Weil Pocket-ID ausschließlich mit Passkeys funktioniert, ist es auf die WebAuthn-API angewiesen, es braucht also zwingend eine transportverschlüsselte Verbindung (HTTPS). Dafür könnt ihr Pocket-ID einen Reverse-Proxy wie Traefik, Caddy oder Nginx vorschalten, der sich um die Beschaffung und Verlängerung von Zertifikaten kümmert. Ich betreibe Pocket-ID im Verbund mit Caddy auf einem schmalen Mietserver. | | | |
|
|
| (Credit: Screenshot ndi / c't) | | | |
Sobald ihr Pocket-ID installiert und den Admin-Account angelegt habt, könnt ihr OIDC für die verschiedenen Dienste konfigurieren. In der Pocket-ID-Dokumentation gibt es Kurzanleitungen für diverse verbreitete Dienste wie Immich, Grafana, Gitea und Nextcloud.
| | | | |
| |
|
| |
|
|
|
|
Lohnt es sich für euch, einen eigenen Identity Provider zu betreiben? Was haltet ihr von SSO und Passkeys im Homelab? Erzählt mir gerne, wie ihr den Zugang zu euren Diensten regelt, indem ihr unten auf E-Mail schreiben klickt.
Bis zum nächsten Spotlight und Happy Hacking! | | | |
|
|
|
|
| Immer informiert: Folge dem Thema "Open Source" auf heise online | | | |
|
|
|
|
Wir freuen uns auf dein Feedback | | | |
| Fragen, Kritik oder Lob? Schreib uns eine Nachricht oder bewerte diesen Newsletter in unserem Survey | | | |
| | |
Wir lesen uns,
dein Team vom Open Source Spotlight | | | |
|
|
|
|
|
|
Newsletter
|
c't D.digital
|
Das Briefing zur Digitalisierung in Deutschland – seien Sie Teil der Debatte!
|
| | | | | |
|
|
Newsletter
|
c't Tech-Check
|
Neue Hardware, neue Tools – was sich lohnt und was nicht.
|
| | | | | |
|
|
Newsletter
|
c't exklusiv
|
Immer auf dem Stand der Technik bleiben - kompakt und persönlich. Jeden zweiten Donnerstag.
|
| | | | | |
|
|
Newsletter
|
c't 3003 Hype
|
Was ist gerade Hype - und was steckt dahinter? Jeden Donnerstag
|
| | | | | |
|
|
|
c't immer dabei - jetzt die App herunterladen | | | |
| | |
|
|
|
| Bleib mit uns auf dem Laufenden | | | | |
|
|
|
Impressum
Heise Medien GmbH & Co. KG, Karl-Wiechert-Allee 10, 30625 Hannover
Registergericht Hannover HRA 26709, Persönlich haftende Gesellschafterin:
Heise Medien Geschäftsführung GmbH, Registergericht Hannover HRB 60405
Geschäftsführer: Ansgar Heise, Beate Gerold
Telefon: +49 (0)511 5352 - 0
E-Mail: Infoservice@heise.de
Du bist unter folgender Adresse eingetragen: open@newsletter.ct.de - 31521272.
Hier kannst du dich von künftigen Zusendungen unseres Newsletters abmelden. Solltest du eine Abmeldung in Betracht ziehen, möchten wir dich bitten, uns vorab in unserem Survey zu erläutern, warum du dich zur Abmeldung entschieden hast, damit wir unser Newsletter-Angebot weiter verbessern können.
Kontakt | Impressum | Datenschutz | | | |
| | |
