Trust

Mithilfe von Trusts wird die gemeinsame Verwendung von Benutzern, ihrer Anmeldedaten und Zutrittsberechtigungen über verschiedene Miniserver hinweg ermöglicht.
Der Austausch der Benutzer und ihrer Daten erfolgt dabei TLS verschlüsselt, für den Datenaustausch über das Internet werden auch die Loxone Dienste Remote Connect und Cloud DNS unterstützt.

Dies eignet sich dazu, Benutzern in verschiedenen Niederlassungen eines Unternehmens Zutritt oder Zugriff zu geben, oder im Wochenendhaus dieselben Zugangsdaten wie Zuhause zu verwenden.

Für Trusts ist der aktuelle Miniserver notwendig, der Miniserver Gen. 1 wird nicht unterstützt!

Inhaltsverzeichnis

• Grundkonfiguration
• Benutzer verwalten
• Trust Übernehmen
• Verwenden von Ein- und Ausgängen
• Verwenden der Intercom
• Einschränkungen
• Teilnehmer sortieren und gruppieren
• Trust Link
• Trust im lokalen Netzwerk
• Private Trust

Grundkonfiguration↑

Zuerst muss ein neuer Trust erstellt werden. Man verbindet sich dazu mit dem Miniserver, der für diesen Trust als Manager auftreten soll. An diesem Miniserver wird der Trust und seine Teilnehmer verwaltet.

Trust und Teilnehmer erstellen

Klicken Sie im Peripheriebaum von Loxone Config zunächst auf den Eintrag Trusts, anschließend oben in der Menüzeile auf “Trust erstellen”:

Damit wird ein Trust eingefügt, bei dem auch bereits der verbundene Miniserver als Trust Manager hinterlegt ist.

Als nächstes wird dem Trust ein Miniserver als Trust Teilnehmer hinzugefügt. Dazu klickt man auf den erstellten Trust, und wählt in der Menüzeile “Neuen Teilnehmer hinzufügen”:

In den Eigenschaften des erstellten Teilnehmers, wird nun seine Seriennummer eingetragen:

Da der erstellte Teilnehmer aktuell dem Trust noch nicht beigetreten ist, ist dessen Name noch nicht bekannt, und es wird seine Seriennummer verwendet.
Auf die selbe Weise lassen sich weitere Miniserver als Teilnehmer erstellen.

Trust Key generieren

Im nächsten Schritt muss noch ein Trust Key generiert werden, um den Teilnehmern den Beitritt zum Trust zu ermöglichen.
Klicken Sie im Peripheriebaum von Loxone Config zunächst auf den Trust, anschließend oben in der Menüzeile auf “Trust Key generieren”:

Dadurch wird eine Schlüsseldatei erstellt, welche anschließend am PC abgepeichert werden muss. Diese Schlüsseldatei kann z.B. per Mail an den Administrator des Teilnehmer Miniservers gesendet werden, damit dieser dem erstellten Trust beitreten kann.

Zuletzt muss das Programm noch in den Miniserver gepeichert werden.

Trust Beitreten

Der zuvor erstellte Teilnehmer Miniserver muss dem Trust nun noch beitreten.
Dazu verbindet man sich mit dem Teilnehmer Miniserver, und hält die Schlüsseldatei bereit.

Klicken Sie im Peripheriebaum von Loxone Config zunächst auf den Eintrag Trusts, anschließend oben in der Menüzeile auf “Trust beitreten”.

Über das folgende Fenster wird der Dateimanager zum Auswählen der Schlüsseldatei geöffnet. Danach klickt man auf den Button “Trust beitreten”:

Anschließend wird die Verbindung geprüft und der Teilnehmer Miniserver tritt dem Trust bei.
Zuletzt muss das Programm noch in den Teilnehmer Miniserver gepeichert werden.

Auf die selbe Weise lassen sich weitere Miniserver dem Trust hinzufügen, wenn diese zuvor am Trust Manager als Teilnehmer angelegt wurden.

Einrichtung abschließen

Teilnehmer die dem Trust beitreten, senden dabei Informationen wie ihren Namen zum Datenaustausch an den Manager Miniserver des Trusts.
Deshalb muss zum Abschließen der Einrichtung, einmal aus dem Manager Miniserver geladen werden, damit die Informationen über die beigetretenen Miniserver im Dokument enthalten sind.

Anschließend werden die Teilnehmer und ihre Namen am Manager Miniserver korrekt angezeigt, und der Trust ist einsatzbereit.

Falls der externe Zugang manuell eingerichtet wurde, ist es zwingend erforderlich, einen HTTPS-Port zu verwenden und auch eine Portweiterleitung auf diesen Port einzurichten. Ansonsten ist kein Datenaustausch über das Internet möglich.

Benutzer verwalten↑

Um Benutzer und Benutzergruppen mit anderen Miniservern zu teilen, muss den Teilnehmer Miniservern das Recht “Benutzerverwaltung” zugeteilt werden.
Dazu im Peripheribaum unter “Benutzer” die Trust Teilnehmer auswählen und über “Berechtigungen verwalten” das Recht “Benutzerverwaltung” zuweisen.

Alternativ können die Teilnehmer auch einer Benutzergruppe mit diesem Recht hinzugefügt werden.

Um die Benutzer eines anderen Miniservers zu übertragen, klickt man im Peripheriebaum zunächst auf den Trust, dann oben in der Menüzeile auf “Benutzer und Gruppen verwalten”.
Darauf öffnet sich folgendes Fenster:

Wie im obigen Beispiel sehen wir links im Fenster die Benutzer und Gruppen der anderen Miniserver des Trusts aufgelistet, und rechts unsere eigenen Benutzer.
Durch Markieren von Benutzern oder Gruppen, und einem Klick auf das + Zeichen, werden diese dem Miniserver bzw. Dokument hinzugefügt, mit dem wir gerade verbunden sind.
Wenn wir eine Gruppe hinzufügen, werden automatisch auch die Mitglieder dieser Gruppe hinzugefügt.

Die hinzugefügten Benutzer und Gruppen werden anschließend z.B. im Peripheriebaum von Loxone Config sowohl bei den Benutzern, als auch beim Trust angezeigt. Man erkennt hier auch, von welchem Miniserver diese stammen, da der Name des jeweiligen Miniservers hinter den Benutzern und Gruppen ergänzt wird. Auch sind die Benutzer und Gruppen eines Trusts durch ein anderes Symbol gekennzeichnet:

Benutzer werden nur zusammen mit ihren Passwörtern und Authentifizierungen wie NFC-Tags, Zugangscodes oder iButtons übertragen.
Alle anderen Berechtigungen müssen auf dem Miniserver neu zugewiesen werden, da sie spezifisch für jeden einzelnen Miniserver sind.

Dies sind vor allem das Recht für den Zugriff auf die Visualisierung, und das Recht für die gewünschten Berechtigungsbausteine, um Benutzern oder Gruppen den Zutritt zum Gebäude zu ermöglichen.

In der Benutzer- und Rechteverwaltung können die hinzugefügten Benutzer eines Trusts auf die selbe Weise wie die lokalen Nutzer verwendet, und Berechtigungen vergeben werden:

Zuletzt muss das Programm noch in den Miniserver gespeichert werden.

Wenn ein Benutzer eines Trusts sein Kennwort ändert, z.B. in der App, wird es über alle Miniserver hinweg aktualisiert.
Benutzer eines Trusts können mit denselben Prinzipien auch in der App hinzugefügt, entfernt, und verwaltet werden:

Um sich mit einem Trust-Benutzer anzumelden, muss der @Host angegeben werden (entweder die Seriennummer oder die Bezeichnung des Trust-Miniservers).

Die Zeit, bis ein Trust Teilnehmer aus allen Trusts abgemeldet wird, hängt von dem in den Einstellungen dieses Teilnehmers konfigurierten Verbindungstimeout ab. Wenn der Teilnehmer innerhalb des festgelegten Zeitlimits kein Update sendet, wird er als offline markiert und die zugehörigen Benutzer werden deaktiviert.

Trust Übernehmen↑

2. Trust Manager erreichbar

Um die Manager-Rolle oder die Trust-Benutzer zu übernehmen, kann im Kontextmenü eines Trusts der Assistent gestartet werden:

2. Trust Manager nicht erreichbar

Lade das Programm vom alten Trust Manager und speichere es auf dem neuen Miniserver. Dadurch wird die Seriennummer des Trust Managers automatisch aktualisiert.
Sobald der neue Miniserver das übertragene Programm ausführt, können die Trust Teilnehmer den neuen Manager mit einer der folgenden Methoden akzeptieren:

Methode A: Systemstatus Meldung

Eine Systemmeldung "Neuer Trust Manager erkannt" erscheint in der App, wenn der alte Manager nicht erreichbar ist.

Wähle "Akzeptieren und neu starten".

Methode B: Seriennummer des Trust Managers im Projekt anpassen

Aktualisiere die Seriennummer des Trust Managers im Projekt.

Speichere die Konfiguration in den Miniserver.

Methode C: Multiplikator-Projekte

Befolge diese Schritte genau:

Lade Änderungen von allen Multiplikator-Miniservern.

Gehe zum Trust Manager und klicke auf die Einstellung der Seriennummer. Dadurch wird ein Dialog zum Bearbeiten der Trust Manager Seriennummer aller Multiplikator-Miniserver geöffnet. Aktualisiere die Seriennummer des Managers auf die neue Seriennummer und akzeptiere anschließend die Änderungen.

Klicke auf den Trust und wähle "Trust aktualisieren". Stelle sicher, dass alle Multiplikator-Miniserver erneut beitreten.

Speichere die Konfiguration auf allen Multiplikator-Miniservern.

Verwenden von Ein- und Ausgängen↑

Trusts ermöglichen auch das Übertragen von Daten zwischen den Teilnehmern. Dazu werden Ein- und Ausgänge angelegt und den Teilnehmern über die Benutzerverwaltung das Recht für den entsprechenden Ein-/Ausgang vergeben.

Berechtigte Teilnehmer können über die "Peripherie Suche" Ein- und Ausgänge finden und mit dem "+" Zeichen der Programmierung hinzufügen:

Verwenden der Intercom↑

Um eine Intercom gemeinsam zu nutzen, die "Intercom" im Peripheriebaum auswählen und über "Berechtigte Benutzer / Gruppen" die Trust Teilnehmer hinzufügen.

Für jeden beteiligten Trust Teilnehmer wird nun ein eigener Klingel Ausgang generiert.

Die Trust Teilnehmer können die Intercom gemeinsam verwenden, indem sie nach der Intercom suchen und den dazugehörigen Baustein einfügen.

Trust Teilnehmer erhalten das Klingelsignal und haben Zugriff auf Video/Audio der Intercom, wenn ihr Klingel Ausgang aktiviert wird.

Dazu muss mit der Funktion Klingelvorwahl (Bsel) des NFC Code Touch und einer zusätzlichen Logik der jeweilige Klingelausgang der verschiedenen Teilnehmer aktiviert werden.

Einschränkungen↑

Im Allgemeinen gibt es keine Beschränkungen für die Anzahl der Trust Teilnehmer, Benutzer oder Ein-/Ausgänge. Es ist jedoch möglich, ein System zu überlasten, wenn zu viele Anfragen gestellt werden.

Zum Beispiel würde in einem Trust mit 50 Teilnehmern, die jeweils 2 Anfragen pro Sekunde senden, der Trust Manager 100 Anfragen pro Sekunde erhalten, was eine erhebliche Belastung für diesen Miniserver darstellt. Um eine optimale Leistung zu gewährleisten, sollten die Abfragezyklen immer in angemessenen Intervallen konfiguriert werden. Der Miniserver kann bis zu 5 Trust-Befehle oder -Werte gleichzeitig verarbeiten, wobei die Übertragungsgeschwindigkeit von der Art der Verbindung abhängt:

Der Ziel-Miniserver hat eine feste externe Adresse: am schnellsten.

Wenn Remote Connect erforderlich ist, kann dies einige hundert Millisekunden dauern.

Wenn der Ziel-Miniserver nicht erreichbar ist, kommt es nach einigen Sekunden zu einem Timeout.

Nachrichtenwarteschlange wird zu groß: Der Miniserver sendet eine Warnmeldung.

Für die Übertragung großer Datenmengen sollten bevorzugt Netzwerk oder Tree Interkommunikation verwendet werden, da diese dafür effizienter sind.

Teilnehmer sortieren und gruppieren↑

Für eine bessere Übersicht können Trust Teilnehmer sortiert und gruppiert werden.

Dazu mit dem Trust Manager verbinden, "Trust" markieren und auf "Trust konfigurieren" klicken.
Im darauffolgenden Fenster können Gruppen erstellt, Teilnehmer hinzugefügt und gelöscht werden. Teilnehmer und Gruppen können mit den Pfeiltasten oder per Drag & Drop verschoben werden.

Trust Link↑

Wenn ein Benutzer mit mehreren Trust Teilnehmern geteilt wird und auf den jeweiligen Miniservern das Recht "Webseite/Apps" zugewiesen wurde, dann kann dieser Benutzer in der Visualisierung über den Reiter "Trust" zwischen den Miniservern wechseln, ohne sich erneut anmelden zu müssen. Aus Sicherheitsgründen ist diese Funktion in der Miniserver-Weboberfläche nicht verfügbar.

Trust im lokalen Netzwerk↑

Ein Trust kann auch vollständig innerhalb eines lokalen Netzwerks eingerichtet werden. Miniserver müssen in der Lage sein, über ihre lokale IP-Adresse miteinander zu kommunizieren.

Ein Internetzugang ist für die Authentifizierung der Miniserver nicht erforderlich. Jeder Miniserver verfügt über ein einzigartiges, bereits bei der Produktion eingebettetes Loxone-Zertifikat, das zur Authentifizierung verwendet wird. So wird sichergestellt, dass jeder Miniserver, der mit einem anderen kommuniziert, als legitim verifiziert werden kann. Dieser Prozess benötigt keine Internetverbindung.

Private Trust↑

Im Private Trust-Modus können Miniserver nur auf die Benutzer und Objekte zugreifen, die vom Trust Manager bereitgestellt werden. Alle Benutzer oder Objekte von anderen Miniservern werden von allen Trust Teilnehmern entfernt.

Wenn aktiviert, können Trust Teilnehmer nur den Trust Manager anzeigen und mit ihm kommunizieren. Direkte Interaktionen oder Sichtbarkeit zwischen den Teilnehmern sind deaktiviert, wodurch diese Konfiguration ideal für die Verwaltung mehrerer unabhängiger Kundeninstallationen ist.

In Private Trust mode, Miniservers can access only the users and objects provided by the Trust Manager. Any users or objects from other Miniservers are removed from all Trust Members.

Video

Im folgenden Video erklären wir die Einrichtung von Trusts: