Zum Kultusportal
Druckansicht von http://lehrerfortbildung-bw.de/netz/muster/linux/material/intranet_geschuetzt.html, Stand 7. Sep. 2010
|
 |
Geschützte Bereiche im Intranet
Zweck:
Sie möchten im Intranet manche Seiten nur ausgewählten Benutzern zugänglich machen, etwa nur Lehrern.
Verfahren:
Man erstellt in geschützten Verzeichnissen eine Datei .htaccess, in der der Zugriff geregelt wird. Versucht jemand, auf eine Webseite in diesem Verzeichnis (oder darunter) zuzugreifen, wird er nach einem Passwort gefragt.
Vorbereitung
Ein kleines Problem ist es, dass die Passwort-Überprüfung standardmäßig mit Hilfe eigener Passwort-Dateien erfolgt, was natürlich unpraktisch ist. Als Abhilfe kann man das Apache-Modul “mod_auth_pam” installieren, das eine Authentifizierung gegenüber den Systembenutzern ermöglicht. Achtung: Das Verwenden von mod_auth_pam wird von manchen als Sicherheitsrisiko gesehen, da nun jedermann versuchen kann, über das Internet Passwörter zu knacken. Zudem werden je nach Konfiguration eventuell Passwörter im Klartext übers Netz übertragen.
Installation von mod_auth_pam
[Der folgende Teil gilt nur für die Musterlösung bis Version 2.5. Ab Version 2.6 sind die notwendigen Dateien bereits vorhanden.]
Laden Sie das Modul von http://pam.sourceforge.net/mod_auth_pam herunter.
Sie benötigen die Version für Apache 1.3, die Datei heißt
(zur Zeit) mod_auth_pam-1.1.1.tar.gz
Wechseln Sie in das Verzeichnis, in dem Sie die Datei gespeichert haben,
und schicken Sie als root folgende Befehle ab:
tar xzf mod_auth_pam-1.1.1.tar.gz
cd mod_auth_pam-1.1.1
make
make install
Leider ist die Installationsroutine fehlerhaft. Abhilfe schafft:
cp samples/httpd- /etc/pam.d/httpd
chmod a+r /etc/pam.d/httpd
Konfiguration von Apache
Nun muss man Apache konfigurieren. Wechseln Sie ins Verzeichnis /etc/httpd
und editieren Sie die Datei httpd.conf:
Fügen Sie im Abschnitt nach ClearModuleList (Achtung: es kommen zwei
ganz ähnliche Abschnitte, der richtige ist der zweite und steht etwa
in Zeile 428) die Zeile AddModule mod_auth_pam.c ein:
AddModule mod_auth_dbm.c
AddModule mod_auth_db.c
AddModule mod_auth_pam.c # <--- Neu
AddModule mod_digest.c
[Die folgenden Schritte sind bei allen Versionen der ML Linux durchzuführen.]
Suchen Sie den Abschnitt, der mit <Directory "/usr/local/httpd/htdocs">
beginnt (ca. Zeile 610). Suchen Sie dort eine Zeile, die mit AllowOverride
beginnt.
Steht dort AllowOverride None, so ändern Sie dies ab in:
AllowOverride AuthConfig
Steht dort AllowOverride Limit (oder weitere bzw. andere Optionen), so ergänzen
Sie AuthConfig, also etwa:
AllowOverride Limit AuthConfig
Speichern Sie Ihre Änderungen.
Nun müssen Sie noch den Benutzer wwwrun in die Gruppe shadow aufnehmen,
damit Apache Zugriff auf die System-Passwörter hat:
usermod -G shadow wwwrun
Jetzt noch Apache neu starten: rcapache restart
Einzelne Verzeichnisse schützen:
Sie können jetzt einzelne Verzeichnisse schützen. Legen Sie dazu
in einem solchen Verzeichnis eine Datei namens .htaccess an, die etwa folgenden
Inhalt haben kann:
AuthType Basic
AuthName "Nur für Lehrer"
require group lehrer
Sorgen Sie dafür, dass kein Benutzer diese Datei verändern kann:
chown wwwrun.root .htaccess
chmod 0600 .htaccess
Jetzt dürfen auf alle Dokumente in diesem und in allen darunterliegenden
Verzeichnissen nur noch Lehrer zugreifen. Näheres zu den .htaccess-Dateien
finden Sie in der Dokumentation von Apache.
(Jörg Richter)
Startseite |
Impressum |
© Copyright |
Zuständiger Redakteur: Dr.%20Heinz Beister, beisterlehrerfortbildung-bw.de
© Landesakademie für Fortbildung und Personalentwicklung an Schulen,
für diese Seite gilt http://lehrerfortbildung-bw.de/impressum/copyright/urheber_standard.html
Letzte Änderung: 04.04.2006