Zugangskontrolle ueber .htaccess

Jedes Benutzerverzeichnis auf dem WWW- und dem Applikations-Server darf eine Konfigurations-Datei ".htaccess" mit Konfigurationsanweisungen für den Webserver enthalten.

Hinweis:

Unter Unix ist eine Datei, deren Namen mit Punkt beginnt, unsichtbar.
htacess-Dateien funktionieren bei CGI-Programmen nicht.

Apache-Konfigurationsanweisungen in einer .htaccess-Datei

Das Verhalten des Apache-WWW-Servers wird durch zentrale Konfigurationsdateien gesteuert.
Zusätzlich dazu können lokale Konfigurationsanweisungen für einzelne Verzeichnisse angegeben werden. Der Standardname für solche Konfigurationsdateien ist ".htaccess".

Beschreibung der am häufigsten verwendeten Anweisungen

Eine ausführlichere Beschreibung der einzelnen Anweisungen finden Sie hier bzw. im Apache-Manual.

In den nachfolgenden Abschnitten werden einige Anweisungen erläutert, die häufig in .htaccess-Dateien Verwendung finden, um den Zugang zu Daten auf WWW-Servern einzuschränken:

Der Zugriff wird auf bestimmte IP-Adressen eingeschränkt.
Der Zugang wird durch eine Passwortkontrolle auf einen bestimmten Benutzerkreis eingeschränkt.

Die Anweisungen "Order, Allow, Deny"

Die Anweisungen Order, Allow und Deny werden benutzt, um den Zugriff von bestimmten IP-Adressen (Rechnern) aus einzuschränken.

Order

Syntax: Order ordering
ordering ist entweder "allow,deny", "deny,allow" oder "Mutual-failure"
Diese Anweisung ist nur sinnvoll, wenn Allow und Deny gleichzeitig vorhanden sind.
Allow

Syntax: Allow from all|host|env=env-variable [host|env=env-variable] ...
Diese Anweisung läßt Zugänge zu den Dateien unter bestimmten Bedingungen zu.
Deny

Syntax: Deny from all|host|env=env-variable [host|env=env-variable] ...
Diese Anweisung verbietet Zugänge zu den Dateien unter bestimmten Bedingungen. Die entsprechenden Anfragen liefern Fehler 403 zurück.

Die Angabe "all" bedeutet: Zugriffe von allen Rechnern aus werden erlaubt/verboten.
Mit der Angabe host werden Rechner angegeben:

der Addressbereich einer Subdomain, z.B. "132.199.18"
ein einzelner Rechner, z.B. "132.199.18.147"

Kochrezepte für .htaccess-Dateien

Alle Zugriffe verbieten

Deny from all

Zugang nur von Rechnern innerhalb der Universität

order deny,allow
deny from all
allow from 132.199

Da die IP-Adressen der Uni im Bereich 132.199.0.0 – 132.199.255.255 liegen, verwendet man eine einfache Teil-IP-Adresse.

Zugang über Benutzername und Passwort

um das Verzeichnis per Passwort zu schützen, sieht die ".htaccess"-Datei wie folgt aus:

AuthUserFile <Passwortfile-Name mit Pfad>
AuthGroupFile /dev/null
AuthName access
AuthType Basic

require user <username>
Das verschlüsselte Passwort für die Passwortdatei wird über das Programm "htpasswd" erzeugt.

Die Passwortdatei darf für andere Benutzer nicht einsehbar sein:

• Die Datei mit dem Passwort liegt entweder ausserhalb des Webspaces, aber an einem Ort, auf den der Webserver Zugriff hat.
• oder in einem Unterverzeichnis für das der Zugang über HTTP gersperrt ist:

Deny from all
Da dieses Verzeichnis und dessen Inhalt für den Serverprozess lesbar sein muss, ist es auch für die anderen Benutzer mit UNIX-Account lesbar.
Das Verzeichnis muss deshalb mit einem FACL (s. Kommando hide) geschützt werden.

Spezieller Zugang für Benutzer mit NDS-Account

Der direkte Zugriff wird mit "Deny from all" gesperrt.
Die Zugriffe werden durch das angegebene Fehler-Skript abgewicket, das den Zugang nur mit NDS-Kennung und dazugehörigem Passwort gestattet.

ErrorDocument 403 /Fehler/403_intern.phtml
Order allow,deny
Deny from all

Kombination der Einschränkungen

ErrorDocument 403 /Fehler/403_intern.phtml
order deny,allow
deny from all
allow from 132.199
allow from 194.95.132
allow from 195.37.211

Eine Kombination verschiedener Einschränkungen:
Zugriffe von Rechnern innerhalb des Uni- und Teilen des FH-Netzes werden erlaubt;
Zugriffe von anderen Rechnern werden durch das angegebene Skript abgewicket. In diesem Fall gilt einen Zugriff nur unter Angabe einer gültigen NDS-Kennung zusammen mit dem dazugehörigen Passwort.