Passwortschutz für Webverzeichnisse

Dieses Thema im Forum "Web- & File-Services" wurde erstellt von ew_wolf, 25.02.2008.

  1. #1 ew_wolf, 25.02.2008
    ew_wolf

    ew_wolf Tripel-As

    Dabei seit:
    02.06.2006
    Beiträge:
    157
    Zustimmungen:
    0
    Moin, Moin alle zusammen.

    Ich versuche gerade bei meinem Webserver ne Passwortschutz für verschiedene Webverzeihnisse einzustellen. Laut dem Buch "Linux" von Michael Koffler sollte man in einem Verzeichnis (nicht im Web-Verzeichnis) folgenden Befehl eingeben:
    Code:
    htpasswd -c <Dateiname.pwd> <username>
    Bei Appache2 sollte dieser Befehl wie folgt lauten:
    Code:
    htpasswd2 -c <Dateiname.pwd> <username>
    Nun bei Ubuntu geht nur der erste Befehl obwohl hier der Apache2 genutzt wird.

    Weiterhin muss in der httpd.conf Einträge ähnlich den folgenden vorgenommen werden.
    Code:
    Alias /javascript_ajax "/var/www/javascript_ajax"
    <Directory /var/www/javascript_ajax">
            AuthType Basic
            AuthUserFile <Pfad>/<Passwortdate.pwd>
            AuthName "<username>"
            Require valid-user
            Options Indexes FollowSymLinks
            DirectoryIndex index.html
    </Directory>
    Alias /knoppix "/var/www/knoppix"
    <Directory /var/www/knoppix">
            AuthType Basic
             AuthUserFile <Pfad>/<Passwortdate.pwd>
            AuthName "<username>"
            Require valid-user
            Options Indexes FollowSymLinks
            DirectoryIndex index.html
    </Directory>
    
    Der "Alias"-Eintrag und die Einträge "Option" und "DirectoryIndex" habe ich aus einem Beispiel hnzugefügt.

    Leider wird nicht nach einem User/Passwort gefragt!
    Kann das damit zusammenhängen, dass der in der Passwort-Datei befindliche
    User und das dazugehörige PWD identisch mit dem moment lokal eingelogten Nutzer ist?:think:
    Wenn nicht woran kann das dann liegen?
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. sinn3r

    sinn3r Law & Order
    Moderator

    Dabei seit:
    28.12.2006
    Beiträge:
    2.764
    Zustimmungen:
    0
    Ort:
    Wentorf
  4. Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    AllowOverride nicht gesetzt?

    Aus der Hüfte geschossen fällt mir dazu "AllowOverride" ein. Du mußt damit für das Verzeichnis, in dem die .htaccess steht, erlauben, daß die Autentifizierung der Default-Konfiguration überhaupt übergangen werden darf.

    Versuche mal [noparse]http://dein.server.tld/manual/[/noparse] (oder suche das Apache-Manual auf der Apache-Seite auf...)

    Du mußt *innerhalb* der <Directory -Tags mindestens stehen haben:
    Code:
    <Directory /Pfad/zum/Verzeichnis/>
    ...
    AllowOverride AuthConfig
    ...
    
    Da du über .htaccess noch mehr regeln kannst als nur Paßwortschutz, kannst du evtl. auch gleich "AllowOverride All" setzen. Aber wenn das für's DocumentRoot nicht schon erlaubt ist (was man nicht sollte..), mußt du es explizit setzen oder eine .htaccess bleibt ohne Wirkung!

    Diese Option wird vererbt, d.h. in Unterverzeichnissen mußt du sie nicht wiederholen. Wenn du sie in einem Unterverzeichnis einschränken, erweitern oder aufheben willst, mußt du es dort allerdings dann tun (und bedenken, daß sich die neue Einstellung dann ab *dort* vererbt..)

    Die Apache-Doku sagt aber auch:
    .htaccess-Dateien sind einfach zu handeln und ich folge dem obigen Rat auch nicht immer (besonders in Fällen, wo ich öfters ad hoc in einem Verzeichnis etwas umschalte..), aber klar machen sollte man sich das schon einmal...
     
  5. #4 ew_wolf, 27.02.2008
    ew_wolf

    ew_wolf Tripel-As

    Dabei seit:
    02.06.2006
    Beiträge:
    157
    Zustimmungen:
    0
    Die Option
    Code:
    AllowOverride AuthConfig
    hilft zwar aber leider nur einmal. Der user wird nur einmal beim Start der abgefragt, wenn man zum z.B. eine andere Seite anwählt erfolgt keine andere Abfrage auch nicht einen neuer Tab führ dazu. Erst wenn ich den Web-Browser schließe und neu öffne erscheint wieder die Abfrage.

    Wie ist das mit der Datein ".htaccess" gemeint? muss ich die manuell anlegen? Ist es egal wo die Datei liegt, hautpsächlich außerhalb der WEB-Verzeichnisse?
     
  6. sinn3r

    sinn3r Law & Order
    Moderator

    Dabei seit:
    28.12.2006
    Beiträge:
    2.764
    Zustimmungen:
    0
    Ort:
    Wentorf
    Hilft dir das weiter?

    Ist eigentlich normal, dass der Browser sich die Daten fuer eine Session merkt.
     
  7. #6 Subchannel, 27.02.2008
    Subchannel

    Subchannel Foren As

    Dabei seit:
    03.03.2006
    Beiträge:
    87
    Zustimmungen:
    0
    such mal ne anleitung bei google zu der .htacces oder such das php-script xssen damit geht das auch
     
  8. chb

    chb Steirer

    Dabei seit:
    01.06.2003
    Beiträge:
    2.359
    Zustimmungen:
    0
    Ort:
    ÖSTERREICH
    Mag mal jemand den Link von sinn3r beachten? ;-)
     
  9. #8 Jabo, 27.02.2008
    Zuletzt bearbeitet: 27.02.2008
    Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    Mag mal jemand die von mir zitierte Doku beachten, in der steht, daß das mit .htaccess zwar *geht*, aber nicht gemacht werden sollte, wenn es anders geht?

    Ob AllowOverride in der .htaccess steht oder in der Haupt-Config...

    Auch dort muß in einem <Directory>-Abschnitt AllowOverride vorkommen und es erlauben, wenn vorher für "/" (=DocumentRoot, nicht "/" Dateisystem) es (noch) nicht erlaubt war. Sonst hat es keinen Effekt.

    Allerdings läuft das auf Sessionbasis, soweit ich weiß, deshalb der Effekt mit dem "Einmal-Schutz" (sonst würde jeder Reload zu einer nervigen neuen Paßwortabfrage führen, jedes Neuladen eines Frames / Iframes / Javascript-Events, das etwas neu läd... Reload von $PHP_SELF... ein erneutes Login erfordern).

    Geht das überhaupt anders mit Apache-Autentifizierung?
     
  10. #9 ew_wolf, 28.02.2008
    ew_wolf

    ew_wolf Tripel-As

    Dabei seit:
    02.06.2006
    Beiträge:
    157
    Zustimmungen:
    0
    Nr 1:
    Im Grunde ist das ja richtig mit den Sessions. Aber ich habe zwei WEB-Verzeichnisse mit zwei seperaten Nutzer konfiguriert. Nun tritt der Effekt auf, dass ich beim wechsel in das andere WWW-Verzeichniss keine Abfrage für den anderen User. ICh brauch mich nur einmal Authentifizieren. Wenn ich die andere URL eingebe erwarte ich eigendlich, dass der User und das PW für dieser Verzeichniss verlanngt wird.

    Nr. 2
    Was hat es mit den "AuthGroupFile" aufsich? Was für Gruppen sind gemeint (nicht die Betriebssystem-Gruppen)?
     
  11. #10 sinn3r, 28.02.2008
    Zuletzt bearbeitet: 28.02.2008
    sinn3r

    sinn3r Law & Order
    Moderator

    Dabei seit:
    28.12.2006
    Beiträge:
    2.764
    Zustimmungen:
    0
    Ort:
    Wentorf
    Ich verweise mal wieder auf meine Links... :-|
    Und nein, es sind nicht die Betirebsgruppen, die Namen koenne freigewaehlt werden.
     
  12. #11 ew_wolf, 28.02.2008
    ew_wolf

    ew_wolf Tripel-As

    Dabei seit:
    02.06.2006
    Beiträge:
    157
    Zustimmungen:
    0
    irgendwie stehe ich auf den Schlauc X(
    Ich hab wie in dem Link zu finden ist das php-skript für das Auslesen des Pfades geschrieben und in das Verszeichniss kopiert, wo meine einzelnen WWW-Ornder liegen. Leider gibt mir das Skipt nur den Pfad aus wo es liegt.
    ICh denke wenn meine seine Seite bei einem Provider liegen hat wird das richtig sein. Da ich aber erstmla lokal an meiner Linux-Büchse arbeit, frag ich mich ob ich einffach .htaccess manuell erstellen kann? Hab ich das richtig verstanden?
     
  13. #12 sinn3r, 28.02.2008
    Zuletzt bearbeitet: 28.02.2008
    sinn3r

    sinn3r Law & Order
    Moderator

    Dabei seit:
    28.12.2006
    Beiträge:
    2.764
    Zustimmungen:
    0
    Ort:
    Wentorf
    Soll es ja auch, ein wenig mitdenken ist schon erlaubt ;), und wenn du selber weist wie deine Ordnerstruktur ab dem / aussieht, kann der Schritt auch entfallen.

    Ist salopp gesagt wumpe wo der Server steht, aendert sich nicht wirklich was an dem Apache ;)
    Natuerlich kannst du.
     
  14. #13 Jabo, 28.02.2008
    Zuletzt bearbeitet: 28.02.2008
    Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    Warum liest du nicht einfach mal die Apache-Doku, in der das alles sehr ausführlich drin steht? Oder in selfhtml steht dazu auch einiges.

    So, wie du in dem User-File Paßwörter anlegen kannst, kannst du eine Gruppen-Datei anlegen. So, wie "Require valid , user" dann ein Paßwort verlangt, verlangt "Require group <Gruppenname>" eins von den Leuten aus dem User-File, die in der Gruppenliste stehen. Andere akzeptiert es nicht, auch wenn sie im User-File stehen.
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. #14 ew_wolf, 28.02.2008
    ew_wolf

    ew_wolf Tripel-As

    Dabei seit:
    02.06.2006
    Beiträge:
    157
    Zustimmungen:
    0
    Da bin ich schon dabei, aber einiges verstehe ich halt nicht ganz oder ich will sichergehen, dass ich es verstanden habe.

    Schön und Gut, wenn ich das gleiche Kommando nutze, dann wird natütlich das Gruppenfille mit PWD (<gruppe>:<pwd>) angelegt, aber wie wird da ein User zu er Gruppe hinzugefügt?
     
  17. sinn3r

    sinn3r Law & Order
    Moderator

    Dabei seit:
    28.12.2006
    Beiträge:
    2.764
    Zustimmungen:
    0
    Ort:
    Wentorf
    Falsch. Gruppen selber haben keine Passwoerter, nur die User in ihr haben welche. Gruppen sind nur zusaetzlich zu den Usern. Das sieht man auch sehr schoen an den von mir erstellten Tabellen... ;)

    Oder an diversen anderen Beispielen in den hier erwaehnten Seiten.
     
Thema:

Passwortschutz für Webverzeichnisse

Die Seite wird geladen...

Passwortschutz für Webverzeichnisse - Ähnliche Themen

  1. [PHP]Passwortschutz für Verzeichnisse

    [PHP]Passwortschutz für Verzeichnisse: Hi, ich hätte gerne auf meinem Webserver, dass auf der Startseite der Benutzername und das Passwort angegeben werden müssen und man sich so...
  2. GRUB-Passwortschutz ist Makulatur

    GRUB-Passwortschutz ist Makulatur: Wer den Zugang zu seinem Rechner mit einem Passwort im Bootloader GRUB gesichert hat, sollte dringend ein Update vornehmen. Es erfordert lediglich...
  3. Unterverzeichnisse mit Passwortschutz

    Unterverzeichnisse mit Passwortschutz: Hallo, ich habe eine Samba-Freigabe. z.B. [Dokumente] comment = Dokumente path = /dokumente writeable = yes public = yes In dem...
  4. tar mit passwortschutz

    tar mit passwortschutz: Hallo, ich möchte Dateien packen, aber mit Paswortschutz, also zusätzlich zum Schutz, der schon durch die Benutzerverwaltung gegeben ist. Unter...
  5. SAMBA für Windows10 Domäne einrichten

    SAMBA für Windows10 Domäne einrichten: Hallo, ich habe letztes Wochenende verzweifelt versucht, Samba auf meinem Server einzurichten, daher versuche ich aktuell meinen Fehler zu...