httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From "Marcus Reimann" <Marcus.Reim...@reimann-systemberatung.de>
Subject RE: Feature verzweifelt gesucht: Web-Zugriff mit Userrechten des Dateisystems ...
Date Mon, 16 Feb 2004 17:25:17 GMT
Hallo,

es gibt komfortable und zukunftsweisende Lösungen für die
Authentizierung und Authorisierung über den Apache.
Allerdings ist das Ganze ein anderes Prinzip, als das
Auslesen bereits gesetzter Windows-Dateiberechtigungen.

Das Stichwort lautet "SingleSignOn" in Zusammenarbeit mit
Apache und openLDAP. Dabei dient openLDAP als zentrales
Verzeichnis, in dem User und Berechtigungen in beliebigen
Strukturen abgelegt werden können. Der Apache wiederum wird
um das openLDAP-Modul ergänzt und so konfiguriert, daß er
anschließend alle Berechtigungen über den LDAP-Server abprüft.

Natürlich nutzt man den LDAP-Server dann auch gleich für
andere im Unternehmen eingesetzte Software (z.B. Login,
Samba, Datenbanken, E-Mail, ERP-Lösungen, etc.), so daß
es nur eine zentrale Stelle gibt, in der User und
Berechtigungen gepflegt werden müssen - eben halt
"SingleSignOn".

Kommerziell gibt es so etwas selbstverständlich auch
(z.B. Oracle SingleSignOn).

Gruß
 Marcus Reimann
 M. Reimann Systemberatung
 http://www.reimann-systemberatung.de



> -----Original Message-----
> From: f.pospischil@telenet-ag.de [mailto:f.pospischil@telenet-ag.de]
> Sent: Monday, February 16, 2004 9:32 AM
> To: users-de@httpd.apache.org
> Subject: Re: Feature verzweifelt gesucht: Web-Zugriff mit Userrechten
> des Dateisystems ...
>
>
> Hi Nickie,
>
> Danke für Deine Antwort.
> Ich habs aufgegeben nach einer bestehenden Lösung zu suchen.
> Ich hab jetzt einen anderen Ansatz gewählt. Die Rechtevergabe
> wird durch
> eine beschreibende Datei festgelegt, aus der sich dann sowohl die
> Filesystem-Rechte, als auch die <Directory> Einträge des
> Apache erzeugen
> lassen. Damit ist mein "Single source of information"-Konzept
> auch wieder
> konsistent.
>
> Schönen Tag noch ...
> Frank
>
>
>
>
> From:        Nickie Haflinger <techguru@multibyte.de>
> 15.02.2004 13:34
> Please respond to users-de
> To:     users-de@httpd.apache.org
> cc:
> Subject:        Re: Feature verzweifelt gesucht: Web-Zugriff
> mit Userrechten des
> Dateisystems ...
>
>
>
>
> Hi Frank,
>
>
> --On Mittwoch, 11. Februar 2004 14:02 Uhr +0100
> f.pospischil@telenet-ag.de
>
> wrote:
>
> > Hallo zusammen,
> >
> > ich betreibe ein Intranet, dass auf Dokumente eines Fileservers
> zugreift.
> > Der Fileserver hat fein abgestimmte Gruppen- und Benutzerrechte.
> > Apache wurde so konfiguriert, dass User und Passwort
> abgefragt werden.
> > Die  Prüfung der Anmeldung geschieht per PAM gegen eine
> Windows-Domäne.
> >
> > Hat jemand eine Idee, wie man dem Webserver beibringt, mit der
> > Berechtigung des angemeldeten Users auf das Dateisystem
> zuzugreifen ?
>
> Nein, das geht über Apaches Authentisierungsmechanismen hinaus.
>
> >
> > Standardmäßig benutzt er die Rechte des Apache-Users, die
> er durch seine
> > eigene Berechtigungssteuerung ggf. einschränkt.
> > Ich möchte aber eine Doppelpflege der Berechtigungen umgehen und dem
> > Dateisystem überlassen, ob eine Datei für den User lesbar ist oder
> nicht.
> > Dazu müsste Apache jeweils gegen das Dateisystem prüfen,
> nicht gegen
> sein
> > eigenes Regelwerk.
> > Die Stelle, an der diese Funktionalität eingefügt werden müsste ist
> > vermutlich klar, auch die Funktion zur Prüfung der Berechtigung des
> Users
> > lässt sich irgendwie bewerkstelligen. Bestimmt hat jemand
> schon mal so
> > eine Anforderung gehabt und einen Dreizeiler eingebunden.
> > Ich habe ziemlich intensiv danach geforscht, aber nichts gefunden.
>
> Das hat auch seinen Grund. Das Problem ist recht simpel: Du brauchst
> entweder eine Rechteprüfung bei jedem Dateizugriff (das geht
> bei Apache im Moment nur, wenn alle Dokumente, die gleiche
> Zugriffsrechtemerkmale haben, ALLEINE in einem eigenen Verzeichnisbaum
> liegen), oder eine eine Art Zwischenschicht.
>
> Ich kenne kein OpenSource-Projekt, bei dem das richtig
> sauber/komfortabel etc. gelöst ist. Es gibt eine kommerzielle Lösung
> (Mediabeacon/HeliosImageServer), die aber nicht ganz billig
> ist. Die ist aber dafür genial und sehr gut anpassbar.
>
> Schreib doch mal einen OpenSource-Server auf Basis von Tomcat oder so
> dafür. :-) Hätte nämlich auch gerne sowas.
>
> Grüße,
>
> Nickie




--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------


Mime
View raw message