EDV:WebSeitenEditieren/Zugriffskontrolle: Difference between revisions
No edit summary |
|||
Line 75: | Line 75: | ||
# require user gast1 entwickler3 |
# require user gast1 entwickler3 |
||
== Kombination == |
== Kombination : LDAP und IP-Bereiche == |
||
Wenn Sie die zwei Methoden kombinieren möchten, d.h. |
Wenn Sie die zwei Methoden kombinieren möchten, d.h. |
||
Line 100: | Line 100: | ||
Und falls Sie möchten, dass beide Bedingungen erfüllt sein müssen. D.h. Zugriff aus der Uni-Heidelberg '''UND''' authentifiziert über den KIP-Account, |
Und falls Sie möchten, dass beide Bedingungen erfüllt sein müssen. D.h. Zugriff aus der Uni-Heidelberg '''UND''' authentifiziert über den KIP-Account, |
||
dann ersetzen Sie ''satisfy any'' durch ''satisfy all''. |
dann ersetzen Sie ''satisfy any'' durch ''satisfy all''. |
||
== Kombination : LDAP und selbst definierte Accounts == |
|||
Ein Beispiel: |
|||
Zugriff nur für die LDAP-Accounts 'weis' und 'voerg' und für den selbst definierten Account 'gast1': |
|||
Die zugehörige htpasswd-Datei wurde so wie oben erklärt erzeugt. |
|||
AuthType Basic |
|||
AuthName "protected area please use your KIP Account" |
|||
AuthBasicProvider ldap |
|||
AuthBasicAuthoritative On |
|||
AuthUserFile '''/afsuser/weis/public_html/.htpasswd''' |
|||
AuthzLDAPAuthoritative Off |
|||
AuthLDAPURL ldap://ldap.kip.uni-heidelberg.de/ou=people,dc=kip.uni-heidelberg,dc=de?uid?sub?(objectClass=KIPUserObject) |
|||
require user weis voerg gast1 |
Revision as of 12:12, 1 April 2008
Zugriffskontrolle auf KIP-Webseiten
Den Zugriff auf bestimmte Bereich im Web können Sie mit Hilfe der .htaccess-Dateien einschränken. Der Zugriffsschutz bezieht sich dabei immer auf Verzeichnisse. Näheres können Sie unter http://httpd.apache.org/docs/2.0/howto/htaccess.html nachlesen
Einschränkung auf IP-Bereiche
Sie können den Zugriff auf bestimmte Netzbereiche einschränken:
<Limit GET> deny from all allow from .uni-heidelberg.de </Limit>
oder auch
<Limit GET> deny from all allow from 129.206.0.0/255.255.0.0 allow from 147.142.0.0/255.255.0.0 </Limit>
Zugriff nur für KIP-Accounts
Hier nun ein Beispiel für eine .htaccess-Konfiguration, mit der man erreichen kann, dass Web-Bereiche nur für KIP-Accounts abrufbar sind:
AuthType Basic AuthName "protected area please use your KIP Account" AuthBasicProvider ldap AuthBasicAuthoritative On AuthUserFile /dev/null AuthzLDAPAuthoritative Off AuthLDAPURL ldap://ldap.kip.uni-heidelberg.de/ou=people,dc=kip.uni-heidelberg,dc=de?uid?sub?(objectClass=KIPUserObject) require valid-user
Zugriff nur für selbst definierte Accounts
Sie können sich aber auch selbst eine Passwort-Datei anlegen, die für die Authentifikation benutzt wird. Achten Sie bitte darauf, dass die Passwortdatei in einem Bereich gespeichert ist, der vom Webserver gelesen werden kann.
Beispiel : /afsuser/weis/public_html/.htpasswd
Die Passwortdatei können Sie selbst erzeugen: (Zum Beispiel von kip1 aus)
> htpasswd -c /afsuser/weis/public_html/.htpasswd gast1 New password: Re-type new password: Adding password for user gast1
Mit htpasswd2 kann das Passwort verändert bzw. weitere Benutzer angelegt werden:
> htpasswd -b /afsuser/weis/public_html/.htpasswd Student MELecture Adding password for user Student
> cat /afsuser/weis/public_html/.htpasswd gast1:xjNSN5Vx3dDt2 Student:ow1i0zkBsTf8I
Weitere Infos zu htpasswd gibt es mit 'man htpasswd'
Die .htaccess-Datei sieht dann so aus:
AuthType Basic AuthName "protected area please give your Password" AuthBasicProvider file AuthBasicAuthoritative On AuthUserFile /afsuser/weis/public_html/.htpasswd require valid-user # oder auch # require user gast1 entwickler3
Kombination : LDAP und IP-Bereiche
Wenn Sie die zwei Methoden kombinieren möchten, d.h. freier Zugriff aus bestimmten Bereichen, sonst aber nur mit Angabe des KIP-Accounts, dann sieht das so aus:
AuthType Basic AuthName "protected area please use your KIP Account" AuthBasicProvider ldap AuthBasicAuthoritative On AuthUserFile /dev/null AuthzLDAPAuthoritative Off AuthLDAPURL ldap://ldap.kip.uni-heidelberg.de/ou=people,dc=kip.uni-heidelberg,dc=de?uid?sub?(objectClass=KIPUserObject) require valid-user satisfy any <Limit GET> deny from all allow from .uni-heidelberg.de </Limit>
Und falls Sie möchten, dass beide Bedingungen erfüllt sein müssen. D.h. Zugriff aus der Uni-Heidelberg UND authentifiziert über den KIP-Account, dann ersetzen Sie satisfy any durch satisfy all.
Kombination : LDAP und selbst definierte Accounts
Ein Beispiel:
Zugriff nur für die LDAP-Accounts 'weis' und 'voerg' und für den selbst definierten Account 'gast1':
Die zugehörige htpasswd-Datei wurde so wie oben erklärt erzeugt.
AuthType Basic AuthName "protected area please use your KIP Account" AuthBasicProvider ldap AuthBasicAuthoritative On AuthUserFile /afsuser/weis/public_html/.htpasswd AuthzLDAPAuthoritative Off AuthLDAPURL ldap://ldap.kip.uni-heidelberg.de/ou=people,dc=kip.uni-heidelberg,dc=de?uid?sub?(objectClass=KIPUserObject) require user weis voerg gast1