Server-Tuning - PasswortschutzEin passwortgeschützes Verzeichnis ist dank dem Apache Server und seinen Möglichkeiten mit einer Datei .htaccess schnell gemacht. Wie Sie das anstellen erfahren Sie im Teil 2 Server Tuning.

Es ist immer häufiger der Fall, das man gewisse Bereiche einfach von Besuchern sperren will. Diese sind z.B. Verzeichnisse, in denen Sie vorübergehend neue Seiten, oder einfach Daten von Usern speichern. Der Apache Webserver ist auch in dieser Hinsicht das beste Mittel, um diese Verzeichnisse wirklich sicher zu schützen, da die Konfiguration vom Server ausgeht, und nicht von einem PHP-, oder Perlprogramm. Um aber überhaupt mit einem Passwortschutz zu Arbeiten sollten Sie ihren Admin kontaktieren, ob dies auf ihrem Server möglich ist. Oder Sie probieren es einfach einmal aus.

Der folgende Code wird in einer .htaccess-Datei gespeichert. Hierbei ist zu sagen, das diese Serverkonfigurationsdateien womöglich von ihrem Admin einen anderen Namen erhalten haben. Auch das müssen Sie möglicherweise Erfragen.

Das folgende Beispiel einer Serverkonfigurationsdatei schützt ein Verzeichnis.

AuthType Basic
AuthUserFile /root/des/servers/daten/user.pswd
AuthName "Passwort für die Userdaten"
Require Administrator tf

Diese Konfigurationsdatei (.htaccess-Datei) kommt in das Verzeichnis welches geschützt werden soll. Die Konfigurationsdatei besteht aus 4 Zeilen. In der ersten Zeile wird der Typ der Authentifizieren angegeben, es gibt zwei Möglichkeiten: Basic oder Digest. Mit ihr wird die Art, wie die Passwörter abgelegt werden sollen, festgelegt. Die zweite Zeile gibt den Pfad zu der Datei an, in der die Passwörter der Gruppe oder des Users gespeichert sind, die auf dieses Verzeichnis zugreifen dürfen. Die dritte Zeile ist leicht zu Verstehen. Sie dient zu Ausgabe, damit die Gruppe oder der User erkennt, für welchen Bereich sie sich Einloggen sollen. Die vierte Zeile sagt dem Server, das Sie nur den Administrator sowie dem User tf Zugang zu diesem Bereich geben sollen, auch wenn Daten für mehrere User in der user.pswd gespeichert sind. Hier ist zu beachten, das Sie nur den Ausgewählten Usern Administrator und tf den Zugang geben, um weiteren Usern den Zugang zu gewähren müssen Sie sie mit Leerzeichen getrennt, anfügen. Soll der Zugang für alle in der User-Datei vorhandenen User möglich sein, dann müssen Sie die Zeile wie folgt abändern:

Require valid-user


Sie können auch nur den Usern der Gruppe autoren Zugang gewähren, auch hierzu ist nur eine kleine Abänderung notwendig.

Require group autoren

Anhand dieses Beispiels muss jetzt auch noch geklärt werden, wo diese Gruppen definiert sind. Dies erfolgt ebenfalls in einer externen Datei. Diese muss dann ebenfalls in der .htaccess Datei aufgerufen werden. Dies erfolgt dann mit folgender Zeile:

AuthGroupFile /root/des/servers/daten/groups

Ein User wird in dieser Datei dann zu einer Gruppe hinzugefügt. Das sieht dann wie folgt aus:

autoren: tf km
jg

Es ist auch möglich eine Passwortabfrage nur dann zu starten, wenn auf das Verzeichnis z.B. mit einem FTP-Client zum Upload geöffnet wird. Dies kann in die .htaccess File mit einer kleinen Direktive ermöglicht werden.

<Limit POST PUT DELETE>
Require group autoren
</Limit>

Wenn hier ein Autor Daten schicken (POST), ablegen (PUT) oder löschen (DELETE) will, dann wird eine Authentifizieren gestartet. Zum Abschluss muss man aber auch hier sagen, das auch mit einem serverseitigen Passwortschutz die Daten nicht unbedingt vollkommen beschützt sind, da die Daten auch während der Übermittlung abgefangen werden können. Hierzu müssten die Daten über SSL verschickt werden, um eine absolute Sicherheit zu gewährleisten. Für den "Ottonormalwebmaster" reicht dieser Grad an Sicherheit aber auf jeden Fall.

Bookmark setzen... These icons link to social bookmarking sites where readers can share and discover new web pages.
  • Print
  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Mixx
  • Bloglines
  • MisterWong
  • MySpace
  • Reddit
  • SEOigg
  • Technorati
  • TwitThis
  • Y!GG
  • Google Bookmarks

Weiterführende Links: