[Frage] Fritzbox-Login-Seite immer mit Benutzername, FB7490, FritzOS 7.29

[blacksun]

Hallo,

gibt es eine Möglichkeit wie ich die Fritzbox 7490 mit FritzOS 7.29 (aktuell das neueste) dazu zwingen kann dass sie mir immer beim Aufruf der Loginseite im Browser eine Loginseite anzeigt bei der man auch den Benutzer wählen/eintragen kann, unabhängig davon ob neben dem Standard-User fritzXXXX noch ein weiterer Benutzer angelegt worden ist?
Und auch wenn man über

http://fritz.box

geht.


Es gibt einen Artikel in der Wissensdatenbank:

Im Heimnetz über Benutzerkonten auf FRITZ!Box zugreifen | FRITZ!Box 7490

Mit Benutzerkonten können Sie steuern, welche Personen auf welche Bereiche der FRITZ!Box zugreifen können. Einem Benutzer können Sie z.B. ausschließlich die Berechtigung erteilen, auf Ihre Urlaubsfotos auf einem USB-Speicher an der FRITZ!Box zuzugreifen. Oder Sie können einen Benutzer...

avm.de

Darin wird erwähnt dass man http://myfritz.box/ nutzen soll. Aber auch darüber wird das Benutzerfeld nur angezeigt wenn a) ein zusätzlicher Benutzer angelegt ist der b) das Recht "FRITZ!Box Einstellungen" nicht hat *UND* zusätzlich c) mind. eines dieser Rechte eingeräumt bekommen hat:
"Sprachnachrichten, Faxnachrichten, FRITZ!App Fon und Anrufliste", "Smart Home","Zugang zu NAS-Inhalten"

Bei der FritzBox 7390 zum Beispiel wird immer die Loginseite mit Benutzername und PW angezeigt.

Hintergrund für das ganze:
Ich möchte die 2FA-Bestätigung immer nutzen können. Bei "zusätzliche Bestätigung" heißt es aber dass die 2FA-Bestätigung nur angeboten wird wenn man sich an der Fritzbox mit Benutzernamen und Kennwort anmeldet.
Melde ich mich nur mit Kennwort an, so kann ist Bestätigungen nur auf 2 Wegen anstatt über 3 durchführen: Tastendruck an der Fritzbox oder mit einem Telefon welches die Fritzbox verwaltet (Smartphone App zählt z.B. schon wieder nicht mehr als verwaltetes Telefon, ist aus Sicherheitsgründen auch gut so).

Vielen Dank.

 

[PeterPawn]

Man kann beim Aufruf der ersten Seite bereits einen Benutzernamen vorgeben, indem man noch einen Wert für user als QueryString-Parameter beim Request verwendet:

http://<name_or_address>?user=<username>

Das sollte eigentlich IMMER dazu führen, daß die Login-Seite MIT einer Eingabemöglichkeit für den Benutzer angezeigt wird (entweder der Select-Box oder einem Text-Input-Control) - und der beim Aufruf angegebene Benutzername sollte darin auch vorausgewählt sein bzw. im Text-Control eingetragen sein.

 

[blacksun]

Man kann beim Aufruf der ersten Seite bereits einen Benutzernamen vorgeben, indem man noch einen Wert für user als QueryString-Parameter beim Request verwendet:
http://<name_or_address>?user=<username>

Danke für die schnelle Rückmeldung.

Tatsächlich hört sich das schlüssig an, funktioniert aber leider nicht.
Beim Aufruf von http://fritz.box/?user=fritz1111 wird leider weiterhin nur die Seite für das Kennwort angezeigt.

 

[PeterPawn]

Dann habe ich den "use case" wohl nicht begriffen ... mal abgesehen davon, daß bei AVM (auch in der 07.39-Serie, soweit ich das getestet habe) noch etwas "Unlogik" in der Behandlung der Benutzerkonten seit der 07.24-Laborreihe steckt, weil selbst ein nachträglich angelegtes Konto, dessen Benutzername dem Schema fritznnnn (mit 0 <= n <= 9) folgt, im GUI als "automatisch angelegt" und "Benutzer zum FRITZ!Box-Kennwort" ausgewiesen wird, egal wie falsch diese "Behauptungen" (sowohl hinsichtlich des "automatisch" als auch bei der Annahme, für diesen Benutzer würde das Box-Kennwort gelten) auch sind:


Die Existenz eines solchen Benutzers triggert dann auch in der Anmeldeseite die Option zur Umschaltung zwischen den beiden Darstellungen:

und

, wobei das "Kleingedruckte" im Dialog bei der Anmeldung MIT Benutzernamen genauso unsinnig ist, wie die Anzeige in der Benutzerliste weiter oben. Dabei KÖNNTE man das bei AVM ja problemlos feststellen, ob es sich (a) tatsächlich um das automatisch angelegte Konto handelt und ob (b) auch das Kennwort für dieses Konto noch demjenigen entspricht, was auf dem Typenschild ausgewiesen ist.

---

Ansonsten verstehe ich halt nicht, warum man (konkret Du) (a) an der Variante "Anmeldung nur mit Kennwort" festhalten will, wenn man doch (b) auch bei einem selbstgewählten Benutzernamen (der dann halt nicht dem Schema entspricht, bei dem AVM "verwirrt" ist) automatisch die Anmeldeseite mit Benutzername UND Kennwort erhält.

Abgesehen davon habe ich (vielleicht liegt das ja auch daran, daß ich das "falsch" teste) auch keine Schwierigkeiten (zumindest nicht mit einer 07.39 und wenn's da wirklich einen Unterschied gibt, mußt Du eben bis zum Release warten oder eine Labor-Version nehmen), bei den relevanten Einstellungsänderungen eine 2FA-Abfrage MIT der GA-Option zu erhalten ... allerdings natürlich auch nur dann, wenn der für das Login verwendete Benutzer auch das passende "secret" in seinen Einstellungen hat - was sich aber nach meiner Erfahrung auch für diesen Benutzer problemlos per GUI einrichten läßt.

Vielleicht gibt es da ja tatsächlich (zusätzlich zur - bisher nur sehr ungenauen - Erkennung, daß/ob es sich um den "mígrated user" handelt) noch irgendwo eine Abfrage, die bestimmte Abläufe im Code übergeht, wenn die Anzahl der eingerichteten Benutzer (für die jeweilige "security zone") exakt 1 ist (also nur der automatisch angelegte Benutzer existiert, wobei die Kriterien, ob es sich tatsächlich um diesen handelt, ja nur schlecht abgefragt werden - s.o.) ... aber diese wäre mir persönlich noch nicht zum Verhängnis geworden.

Auch beim Patchen des 2FA-Dialogs, damit die automatische Übertragung der Daten aus meinem Kennwort-Safe in das entsprechende Formular klappt: https://www.ip-phone-forum.de/threa...serie-07-39-–-sammelthema.312181/post-2476697), ist mir - soweit ich mich richtig erinnere - nichts über den Weg gelaufen (auch wenn das WIEDER 07.39 ist), was mit einer solchen zusätzlichen Bedingung verknüpft war.

Vielleicht beschreibst Du ja die von Dir unternommenen Schritte noch einmal genauer - u.U. hast Du es ja auch nur versäumt, für den automatisch angelegten Benutzer die GA-Option korrekt einzurichten. Denn eine Abfrage, ob für den gerade angemeldeten Benutzer diese Daten ÜBERHAUPT vorhanden sind (und damit auch die Option zur Authentifizierung darüber Sinn ergibt), die gibt es natürlich an dieser Stelle - man sieht es auch in den "anchor"-Zeilen für den Patch unter dem o.a. Link ... das if ((data.googleauth && googleAuth.isAvailable && googleAuth.isConfigured) fragt drei Bedingungen ab, die alle passen müssen, damit diese Option (in der aktuellen 2FA-Abfrage) überhaupt funktioniert.

Auch finde ich in der Online-Hilfe von AVM (allerdings auch wieder für die 07.39 und ich recherchiere auch hier nicht einer alten Version hinterher: https://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7490/021/hilfe_system_userkonto#Authenticator) keinen Punkt, der (nach meiner Lesart) darauf hindeuten würde, daß dafür in der Login-MASKE irgendwo ein Benutzername angegeben werden müßte und der (beim Login nur mit dem Kennwort automatisch verwendete) Benutzer fritzNNNN dafür nicht genutzt werden könne ... auch in der Hilfe zu "Zusätzliche Bestätigung" lese ich davon nichts: https://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7490/021/hilfe_system_kennwort

Aber noch einmal: für die Version 07.39, was sich - zumindest in der Dokumentation, beim Code würde ich das eher in Zweifel ziehen für Versionen, die bereits mit der "neuen Anmeldung" (https://avm.de/service/schnittstellen/) arbeiten, was für die 07.29 ja auch gelten würde - von der 07.29 durchaus unterscheiden KÖNNTE.

 

[blacksun]

Anhang anzeigen 118157

Was gibst du im Browser ein damit diese Seite so angezeigt wird?

Auch finde ich in der Online-Hilfe von AVM (allerdings auch wieder für die 07.39 und ich recherchiere auch hier nicht einer alten Version hinterher: https://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7490/021/hilfe_system_userkonto#Authenticator) keinen Punkt, der (nach meiner Lesart) darauf hindeuten würde, daß dafür in der Login-MASKE irgendwo ein Benutzername angegeben werden müßte und der (beim Login nur mit dem Kennwort automatisch verwendete) Benutzer fritzNNNN dafür nicht genutzt werden könne ... auch in der Hilfe zu "Zusätzliche Bestätigung" lese ich davon nichts: https://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7490/021/hilfe_system_kennwort

???
Also ich habe diese direkt aus der Benutzeroberfläche.
Bei mir sieht das so aus:


Sieht das bei dir anders aus?
Ich habe das für mich als relativ eindeutig interpretiert.

Für mich liest sich das so: Wenn man sich so

[Edit Novize: Riesenbilder gemäß der Forumsregeln auf Vorschau verkleinert]
anmeldet, dann kann man keine 2FA nutzen.

 

[PeterPawn]

Für mich liest sich das so

Die Interpretation ist ja das Eine - was sagt denn die Praxis (auch bei der Version 07.29) dazu? Meine Frage, was Du genau machst, daß dann GA bei der 2FA NICHT verfügbar ist, steht ja auch schon weiter oben.

Und die Online-Hilfe von AVM findet man da, wo sie - ich bin versucht "schon immer" zu schreiben, aber das gilt wohl nur, wenn man sich auf "FRITZ!OS" bezieht - zu finden war … hinter dem Fragezeichen im Kreis in der Bedienoberfläche. Das galt auch bei der 07.29, nur KÖNNTE dort der Inhalt der Online-Hilfe abweichen.

 

[blacksun]

Die Interpretation ist ja das Eine - was sagt denn die Praxis (auch bei der Version 07.29) dazu? Meine Frage, was Du genau machst, daß dann GA bei der 2FA NICHT verfügbar ist, steht ja auch schon weiter oben

Du hast recht, 2FA scheint tatsächlich zur Auswahl zu stehen auch wenn man sich nur mit Kennwort an der Oberfläche anmeldet, auch wenn AVM das Gegenteil in der Oberfläche schreibt.

Ich hätte schwören können dass ich mal den Fall hatte dass ich den GA nicht nutzen konnte bei einer Bestätigung. Da AVM aber eben geschrieben hat dass der GA nur funktioniert wenn man den Benutzernamen nutzt, habe ich es damit für mich abgehakt.

Ich kann auf die schnelle das leider nicht mehr reproduzieren bei was das war.
Wenn ich mal wieder darauf stoße, werde ich es hier ergänzen. Sieh es mal bis dahin als erledigt an.

Was mich aber trotzdem interessieren würde wäre wie du die Login-Seite mit dem Feld für Benutzernamen aufrufst, die aus deinem Screenshot.

 

[stoney]

Was mich aber trotzdem interessieren würde wäre wie du die Login-Seite mit dem Feld für Benutzernamen aufrufst, die aus deinem Screenshot.

Hast Du denn außer dem Benutzer "fritzxxxx" noch einen weiteren Benutzer angelegt??

Benutzer zum FRITZ!Box-Kennwort
.......
Wenn Sie den automatisch angelegten Benutzernamen ändern, dann können Sie sich künftig nicht mehr allein mit dem FRITZ!Box-Kennwort ohne Benutzernamen anmelden. Die Anmeldung ist dann nur noch mit einem Benutzernamen und Kennwort möglich.

Mit ändern ist gemeint, dass der User nicht mehr fritzxxxx heißen darf, sondern zB fritz oder fritzxxx aber nicht der Syntax folgend fritz und 4 Zahlen, denn dann verschwindet das "automatisch angelegt" aus der Benutzerverwaltung (wenn man den Benutzer wieder in der passenden Syntax ändert, erscheint auch das "automatisch angelegt" - eig. hat ja Peter bereits alles ausführlich erklärt, vll zu ausführlich? )

Dann sollte der Aufruf wie von @PeterPawn http://fritz.box/?user=blacksun klappen bzw sollte dann immer das Dropdownmenü da sein, mit der Auswahl des Benutzers.

 

[PeterPawn]

Eine Login-"Seite" gibt es per se gar nicht - je nach Konfiguration der Box ändern sich Daten im JS-Code, der beim Aufruf der Seite - die immer bei "nicht angemeldeter Benutzer" und nicht nur als "erste Seite" angezeigt wird - generiert wird.

Bei passenden Umständen wird dann in der SPA, die AVM für das GUI implementiert hat, per JS-Code die Ansicht des Login-Formulars entsprechend umgeschaltet bzw. passende (JS-)Links in dem (Pseudo-)Fenster angezeigt, das für dieses Formular (dynamisch auf der Client-Seite im Browser) generiert wurde.

Daher GIBT es nicht unbedingt irgendwelche Parameter, die man beim Aufruf angeben kann und mit denen man dann eine entsprechende "initiale Darstellung" erzwingen kann - von einigen Ausnahmen abgesehen, die man dann in der Datei login.lua in der Firmware findet.

Dort gibt es zwar auch eine Variable mit dem Namen loginView (und den Werten user bzw. simple), aber die wird nur dann richtig erkannt bzw. ausgewertet, wenn der Request per HTTP-POST übermittelt wurde:

require "check_sid"
gLoginView = nil
if box.post.loginView and (box.post.loginView == "user" or box.post.loginView == "simple") then
gLoginView = box.post.loginView
end
box.post.loginView = nil

(aus index.lua)

und das ist bei einem Aufruf aus der Adresszeile eines Browsers nicht der Fall (da ist das ein HTTP-GET, was im Lua-Code zusätzlich behandelt werden müßte).

Es GIBT also (in der 07.39 zumindest und m.W. auch in den Versionen davor) keine "URL", die man so konstruieren kann, daß das Dialogfenster IMMER den Benutzernamen anzeigt, solange die Rahmenbedingungen (die AVM m.E. eben auch noch falsch auswertet, siehe oben mein Beispiel mit dem selbstangelegten Benutzer fritz1234) das nicht erforderlich machen.

Wer das wirklich haben will, KÖNNTE immerhin versuchen, sich selbst eine (dann als "Portal" aufzurufende) HTML-/JS-Seite zu generieren, mit der dann der erste Request, der an die FRITZ!Box geht, auch per HTTP-POST gesendet wird (für das Ergebnis dürfte das egal sein, weil AVM an den allermeisten Stellen die Behandlung von POST- und GET-Requests vereinheitlicht hat) - das KÖNNTE dazu führen, daß die Variable loginView in der ersten Antwort enthalten ist (das sollte nur dann geschehen, wenn gLoginView im Lua-Code NICHT nil ist) und die SPA aus deren Wert dann ableitet, wie die initiale Anzeige der Seite aussehen soll.

EDIT:
Ich habe das gerade noch einmal durchdacht ... das KÖNNTE im vorherigen Vorschlag ist ein eher größerer Konjunktiv - entweder die "Login-Maske" wird nach "Abmeldung" dann doch wieder per HTTP-GET aufgerufen (das habe ich jetzt nicht geprüft) oder der Wert loginView von der Server-Seite wird nicht richtig ausgewertet (denn übermittelt sollte er dem Code in der login.lua zufolge schon werden) im JS-Code. Jedenfalls startet auch in diesem Fall die Login-Maske bei mir mit der (falschen) Darstellung für die Anmeldung ohne Benutzernamen.

 

[koyaanisqatsi]

Moin

http://fritz.box/?user=blacksun

Nee, das wird nicht klappen, der muss existieren, also angelegt sein.
Versuchs mal besser mit...
http://fritz.box/?user=koyaanisqatsi

 

[stoney]

Nee, das wird nicht klappen, der muss existieren, also angelegt sein.

Deshalb fragte ich ja extra

Hast Du denn außer dem Benutzer "fritzxxxx" noch einen weiteren Benutzer angelegt??

Dann sollte der Aufruf wie von @PeterPawn http://fritz.box/?user=blacksun klappen

Versuchs mal besser mit...

http://fritz.box/?user=koyaanisqatsi

damit wird's dann aber dort auch nicht klappen denn ich bezweifle, dass der User blacksun auf seiner F!Box einen Benutzer namens koyaanisqatsi angelegt hat

 

[PeterPawn]

der muss existieren

Nur für den Fall, daß da die Maske MIT der SELECT-Box angezeigt wird. Stellt man das ab (geht ab 07.39), wird das stattdessen generierte INPUT-Control mit dem angegebenen Benutzernamen vorbelegt, egal ob der im FRITZ!OS existiert oder nicht. Ob das auch für Zugriffe von der Internet-Seite aus zutrifft (auch da gibt es ja - per se - keine SELECT-Box mehr), habe ich nicht (aktuell) geprüft, früher ging aber auch das.

Aber auch bei Anzeige der SELECT-Box stört ein nicht existierender Benutzername in der URL nicht weiter ... er wird dann halt nur nicht vorausgewählt (was ja auch nicht funktionieren kann, solange der Wert in der Liste der Optionen nicht enthalten ist).

 

[blacksun]

Hast Du denn außer dem Benutzer "fritzxxxx" noch einen weiteren Benutzer angelegt??


Mit ändern ist gemeint, dass der User nicht mehr fritzxxxx heißen darf, sondern zB fritz oder fritzxxx aber nicht der Syntax folgend fritz und 4 Zahlen, denn dann verschwindet das "automatisch angelegt" aus der Benutzerverwaltung (wenn man den Benutzer wieder in der passenden Syntax ändert, erscheint auch das "automatisch angelegt" - eig. hat ja Peter bereits alles ausführlich erklärt, vll zu ausführlich? )

genau das war das Problem. Hier hatte ich einen Denkfehler. Ich habe "wurde automatisch angelegt" gleichgesetzt mit "ist fest vorgegeben". Ich hab wohl zuviel an Linux und "root" gedacht.
Ich bin gar nicht erst auf die Idee gekommen dass man das fritzXXXX auch ändern kann, und auch nicht dass alleine diese Änderung schon eine Auswirkungen an anderer Stelle hat.

Ich habe dann noch zur Sicherheit zwei Verständnisfragen:

Habe ich das richtig verstanden dass alle Funktionen der Fritzbox - beispielsweise VPN - zwei Dinge zwingend benötigen:
a) unter Internet-> MyFritz-Konto muss "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert" aktiviert sein
b) der User, der verwendet werden soll, muss ebenfalls das Häkchen "Zugang auch aus dem Internet erlaubt" gesetzt haben
Hintergrund des Gedankens: Es gibt ja auch noch dieses

MyFRITZ!Net

Logging into MyFRITZ!Net

sso.myfritz.net

Darüber läuft keine der Funktionen. Alles sind Direkt-IP-Verbindungen zwischen einem Client und der Fritzbox, richtig? Über die Server von AVM läuft nicht, richtig? Wozu ist ein MyFritz.net-Konto dann überhaupt gut?

Wenn a) nicht gegeben ist, dann kann ich nicht nur nicht Fritzbox-Weboberfläche zugreifen, sondern auch die VPN-Funktion nicht nutzen, richtig?
Wenn ich also eine Funktion aus der Internet nutzen möchte, z.B. VPN, dann ist der Login für die anderen Funktionen ebenfalls erreichbar (unabhängig davon ob ein User entsprechend berechtigt ist)?

 

[PeterPawn]

VPN und Internet-Zugriff auf das GUI (den man auch - ohne MyFRITZ! zu verwenden - unter "Internet -> Freigaben -> FRITZ!Box-Dienste" aktivieren kann) sind zwei Paar Schuhe.

 

[blacksun]

VPN und Internet-Zugriff auf das GUI (den man auch - ohne MyFRITZ! zu verwenden - unter "Internet -> Freigaben -> FRITZ!Box-Dienste" aktivieren kann) sind zwei Paar Schuhe.

ah ok, jetzt weiß ich was du meinst.
für VPN braucht es nur in den Userberechtigungen das Berechtigungshäkchen bei VPN

hast du mal probiert ob die Berechtigung NAS in Kombination mit "Zugang auch aus dem Internet erlaubt" auch die Protokolle SMB und FTP in's Internet stellt, oder ob hoffentlich diese Protokolle trotzdem nur aus dem Heimnetz erreicht werden können?


Kann man auch bei diesen URLs gleich den Benutzer mitgeben?

http://fritz.box/nas/

http://fritz.box/myfritz/

Das hier http://fritz.box/myfritz/?user=MeinUser scheint es nicht zu sein.


//EDIT:
Kann ich den https-GUI-Login über Internet mit 2FA absichern, also den Login-Vorgang an sich?

https://irgendwas.myfritz.net:12345/

Benutzernamen und Passwort und sonst nichts ist mir doch zu wenig/zu gefährlich für den Zugang aus dem Internet. Selbst wenn man für wichtigen Änderungen die 2FA braucht, so kann ein Eindringling die Inhalte lesend anschauen.

 

[PeterPawn]

Login-Vorgang an sich

Nein.

die Protokolle SMB und FTP in's Internet stellt

Hast Du mal probiert, diese Fragen mit der Online-Hilfe zu klären?

Dann wüßtest Du schon mal, daß für FTP-Freigabe eine gesonderte Checkbox existiert, um die "ins Internet" freizugeben (dann kann da natürlich jeder zugreifen, wie man hier auch mehrfach nachlesen kann, der sich erfolgreich anmelden konnte) und daß SMB nur per VPN (aus der Ferne) erreichbar ist.

Etwas weniger "einen schlanken Fuß" wäre angenehm … es gibt sowohl die Forensuche als auch (mittels site:ip-phone-forum.de) die auf das Board beschränkte Google-Suche und obendrein noch die Online-Hilfe. Alle diese Quellen sollte man schon zurate gezogen haben, BEVOR man die nächste Frage stellt.