Ein passwortgeschützes Verzeichnis ist dank dem Apache Server und seinen Möglichkeiten mit einer Datei .htaccess schnell gemacht. Wie Sie das anstellen erfahren Sie im Teil 2 Server Tuning.
Es ist immer häufiger der Fall,
das man gewisse Bereiche einfach von Besuchern sperren will. Diese
sind z.B. Verzeichnisse, in denen Sie vorübergehend neue Seiten,
oder einfach Daten von Usern speichern. Der Apache Webserver ist
auch in dieser Hinsicht das beste Mittel, um diese Verzeichnisse
wirklich sicher zu schützen, da die Konfiguration vom Server
ausgeht, und nicht von einem PHP-, oder Perlprogramm. Um aber überhaupt
mit einem Passwortschutz zu Arbeiten sollten Sie ihren Admin kontaktieren,
ob dies auf ihrem Server möglich ist. Oder Sie probieren es
einfach einmal aus.
Der folgende Code wird in einer .htaccess-Datei gespeichert. Hierbei
ist zu sagen, das diese Serverkonfigurationsdateien womöglich
von ihrem Admin einen anderen Namen erhalten haben. Auch das müssen
Sie möglicherweise Erfragen.
Das folgende Beispiel einer Serverkonfigurationsdatei schützt
ein Verzeichnis.
AuthType Basic
AuthUserFile /root/des/servers/daten/user.pswd
AuthName "Passwort
für die Userdaten"
Require Administrator
tf
Diese Konfigurationsdatei (.htaccess-Datei) kommt in das Verzeichnis
welches geschützt werden soll. Die Konfigurationsdatei besteht
aus 4 Zeilen. In der ersten Zeile wird der Typ der Authentifizieren
angegeben, es gibt zwei Möglichkeiten: Basic
oder Digest. Mit ihr wird die Art,
wie die Passwörter abgelegt werden sollen, festgelegt. Die
zweite Zeile gibt den Pfad zu der Datei an, in der die Passwörter
der Gruppe oder des Users gespeichert sind, die auf dieses Verzeichnis
zugreifen dürfen. Die dritte Zeile ist leicht zu Verstehen.
Sie dient zu Ausgabe, damit die Gruppe oder der User erkennt, für
welchen Bereich sie sich Einloggen sollen. Die vierte Zeile sagt
dem Server, das Sie nur den Administrator sowie dem User tf Zugang
zu diesem Bereich geben sollen, auch wenn Daten für mehrere
User in der user.pswd gespeichert sind. Hier ist zu beachten, das
Sie nur den Ausgewählten Usern Administrator und tf den Zugang
geben, um weiteren Usern den Zugang zu gewähren müssen
Sie sie mit Leerzeichen getrennt, anfügen. Soll der Zugang
für alle in der User-Datei vorhandenen User möglich sein,
dann müssen Sie die Zeile wie folgt abändern:
Require
valid-user
Sie können auch nur den Usern der Gruppe autoren Zugang gewähren,
auch hierzu ist nur eine kleine Abänderung notwendig.
Require
group autoren
Anhand dieses
Beispiels muss jetzt auch noch geklärt werden, wo diese Gruppen
definiert sind. Dies erfolgt ebenfalls in einer externen Datei.
Diese muss dann ebenfalls in der .htaccess Datei aufgerufen werden.
Dies erfolgt dann mit folgender Zeile:
AuthGroupFile
/root/des/servers/daten/groups
Ein User wird in dieser Datei dann zu einer Gruppe hinzugefügt.
Das sieht dann wie folgt aus:
autoren: tf km
jg
Es ist auch möglich eine
Passwortabfrage nur dann zu starten, wenn auf das Verzeichnis z.B.
mit einem FTP-Client zum Upload geöffnet wird. Dies kann in
die .htaccess File mit einer kleinen Direktive ermöglicht werden.
<Limit POST PUT DELETE>
Require group autoren
</Limit>
Wenn hier ein Autor Daten schicken (POST),
ablegen (PUT) oder löschen
(DELETE) will, dann wird eine
Authentifizieren gestartet. Zum Abschluss muss man aber auch hier
sagen, das auch mit einem serverseitigen Passwortschutz die Daten
nicht unbedingt vollkommen beschützt sind, da die Daten auch
während der Übermittlung abgefangen werden können.
Hierzu müssten die Daten über SSL verschickt werden, um
eine absolute Sicherheit zu gewährleisten. Für den "Ottonormalwebmaster"
reicht dieser Grad an Sicherheit aber auf jeden Fall.