refkap  Home refkap  fbs refkap  Glossar refkap  Internet refkap  WWW refkap  Apache refkap  IPdienste
                refkap  BS1 refkap  BS2 refkap  BS3 refkap  SYS refkap  WO

Aktuelle Hinweise zur Nutzung der www-Server der HTW-DD und des FB-Informatik

Diese Seite Stand 11/96, Stand 10/97.

^     
<-  |  ->

Genutzte Systeme

Seit dem Sommersemester 1997 arbeiten beide Server mit Apache. Zu Beginn wurden beide Server gemeinsam mit dem BS-Server konfiguriert. Obwohl dies jetzt in den verschiedenen Bereichen erfolgt, werden die Konfigurationen abgestimmt und sollten im prinzipiellen Aufbau übereinstimmen.

Auf beiden Servern ist kein login mehr möglich,

Systemstand 3/03:

Hochschulserver: Betriebsystem aix; Apache 1.3.26; PHP 4.2.1
Fachbereich: Betriebsystem Linux; Apache 1.3.20; PHP 4.1.2

Systemstand 10/05:

Hochschulserver: Betriebsystem Linux 2.6; Apache 2.x; PHP 4.x
Fachbereich: Betriebsystem Linux 2.6; Apache 2.x; PHP 4.x

Nutzung eigener Homeseiten

Auf den Servern www.htw-dresden.de und www.informatik.htw-dresden.de werden Nutzerverzeichnisse für persönliche HTML Seiten unterstützt. Dafür müssen Sie in Ihrem Homeverzeichnis ein Verzeichnis ~/public_html mit den Zugriffsrechten drwx--x--x (Verzeichnis muß transparenz sein) einrichten.
In diesem Verzeichnis können Sie dann Ihre HTML Seiten ablegen. Diese sollten allerdings für alle (other) lesbar sein, d.h. die Zugriffsrechte -rw-r--r-- haben.

Wenn Sie die welcome directive einhalten, d.h. Ihre Homeseite mit index.html Welcome.html, welcome.html oder default.html benennen, kann einfach über http://server-name /~login-name auf ihre Homeseite zugegriffen werden.

Wollen Sie das Anzeigen eines Verzeichnisses ( z.B. cgi-bin ) verhindern, sollten Sie dieses ebenfalls mit den Zugriffsrechten drwx--x--x einrichten oder eine index.html Seite in dieses Verzeichnis legen. Die Dateien ( auch cgi-scripte ) müssen allerdings lesbar bleiben.

Hinweise zur Konfiguration

welcome directive (s. unten)
Verzeichnis : bleibt public_html
Startseite  : zulässig sind folgende DirectoryIndex

index.html , Welcome.html , welcome.html , default.html

Fancy Indexing
Falls Sie keinen der obigen Einträge in einem Verzeichnis (unter web-root) haben, kann das Directory angezeigt werden. Zur Darstellung der Filetypen werden die Icons von Apache genutzt ( keine Mischung mit den gif-Verzeichnis des Servers ). Zusätzlich werden README- und Header-Files angezeigt.

Statusanzeige
Mit URL/status kann man den Zustand (Belastung) des Servers abfragen ( Informatikserver nur aus der Domäne informatik, sonst htw-dresden.de)

Sensitive Bilder
Die Nutzung von sensitiven Bildern ist wesentlich vereinfacht (Vergleich - Hinweise in Alles über WWW (Web). Das imap-file wird im Verzeichnis als name.map bereitgestellt. Alles weitere macht der Handler.

private cgi-script
Auf den Server sind auch private cgi-script (name.cgi) zugelassen. Es soll an dieser Stelle bewußt auf die Verantwortung der Anbieter hingewiesen werden. Für Nutzer mit cgi-scripten im Binärcode, ist der Wechsel (2005) des RZ-Servers von AIX (Risc 6000) auf Linux (Intel) zu beachten.

Schutzmechanismen

Die Optionen der Server sind so eingestellt, dass der Anbieter seine Verzeichnisse über Passwort oder Limits (Angabe von Rechnern oder Domänen) schützen kann. Der Schutz muss im entsprechenden Verzeichnis in der Datei

.htaccess

beschrieben werden.
Wird zur Nutzerauthentifizierung im Linux OpenLDAP genutzt, kann ein Passwortschutz auch über den LDAP-Server durchgefürt werden. Mehr am Ende dieser Seite.
Zu weiteren Anwendungen unter - Mehr zur .htaccess

Limitierung

Beispiel für Limitierung des Zugriffes auf Domäne informatik

order deny,allow
deny from all
allow from .informatik.htw-dresden.de

Passwortschutz

Beispiel für Passwortschutz

AuthName htw
AuthType Basic
AuthUserFile /u/web/apache_1.1/support/passw
require user htw

Wichtiger Hinweis : Bei AuthUserFile muss immer ein vollständiger Pfadname angegeben werden.

Kombination

Es lassen sich auch beide Schutzmechanismen durch Satisfy any verknüpfen.
Als Beispiel das Verzeichnis /lehre auf den Betriebssystem Server.

Satisfy any
AuthName htw
AuthType Basic
AuthUserFile /u/web/apache_1.1/support/passw
require user htw

Order deny,allow
Deny from all
# Allow from .htw-dresden.de
Allow from 141.56

Zu beachten ist, dass beim gesonderten Schutz der Unterverzeichnisse beide Einstellungen zu beachten sind. Sollen in diesem Beispiel etwa Verzeichnisse mit Lösungen, immer über ein zusätzliches Passwort geschützt werden, ist der Domänezugang zu sperren. Etwa zusätzlich zu den Angaben zum neuen Passwort:

Order deny,allow
Deny from all
#Allow from 141.56

Die Datei passw wird mit dem Kommando htpasswd erzeugt.
Ihre passw sollten Sie nicht unterhalb Ihrer DocumentRoot ( ~/public_html ) ablegen.
Also z.B.: 

rob: /u/web/apache_1.1/support :68==>
$htpasswd -c  ~koch/passw koch
Adding password for koch.
New password:
Re-type new password:

Achtung:
 Es gibt keine Option zur Erweiterung der passw-Datei. Man muss eine neue erzeugen und diese etwa mit

 cat neue.passw >> passw

hinzufügen.

Hinweis: Zum Kommando htpasswd
htpasswd nutzt zum Erstellen des Passwortes die Funktion crypt.
Da auf den Webservern kein Login mehr möglich ist, müssen die Kommandos in folgenden Umgebungen genutzt werden.
Auf den AIX-Servern im Verzeichnis /glb/bin/
Auf den Linux Maschinen im Verzeichnis (alt: /usr/bin).
Ab Apache2 unter Suse /usr/sbin/htpasswd2. Dazu muss der Apache allerdings installiert sein.
Deshalb wird auch für Linux unter /glb/bin/ (wird an alle Linux-PC's verteilt) für ELF 32-bit Systeme htpasswd (auch als htpasswd2 aufrufbar) und für ELF 64-bit Systeme htpasswd64 bereitgestellt.
Ein andere Möglichkeit ist crypt direkt zu nutzen. Dazu gibt es im Netz viele Angebote auf der Basis eines cgi-Skriptes. Ein sehr gutes Angebot liefert das RZ der der uni-oldenburg. Hier wird gleich noch die vollständige Information für die .htaccess-Datei mitgeliefert.

Passwortschutz über LDAP-Server

Eine weitere Möglichkeit des Passwortschutzes bietet der Apache durch eine Authentifizierung gegen einen LDAP-Server. Dazu müssen im Apache (/etc/sysconfig/apache2) die Module ldap und auth_ldap (in dieser Reihenfolge und zu Beginn der Liste) eingebunden sein.
Der Schutz erfolgt dann analog wie oben über eine .htaccess. Die Directive für das Verzeichnis muss allerdings auf AllowOverride All gesetzt werden (analog weiterer Möglichkeiten der Arbeit mit der Datei .htaccess).

Die .htacces könnte dann etwa so aussehen.

AuthType Basic
AuthName LDAP-Authentifizierung
AuthLDAPAuthoritative on
AuthLDAPEnabled on
# Gueltige URL zum LDAP-Server angeben
AuthLDAPURL ldap://xxx.htw-dresden.de:389/o=htw,dc=dd?uid
# Angabe require valid-user erlaubt allen gueltigen LDAP-Benutzern Zugriff
# Angabe require user sXXXXX sXXXXX erlaubt nur den angegebenen LDAP-Benutzern Zugriff
require valid-user

Ab 2.2:

AuthType Basic
AuthName LDAP-Authentifizierung
# Angabe des Authentifizierungsanbieters
AuthBasicProvider ldap

# ermöglicht die Zulassung von allen LDAP-Nutzern ohne Angabe einer speziellen G
ruppe
AuthzLDAPAuthoritative off

# URL zum LDAP-Server
AuthLDAPURL ldap://ixxxx.informatik.htw-dresden.de/o=informatik,dc=htwdd?uid

# Zulassung aller User auf dem LDAP-Server
require valid-user

Die Angaben zum LDAP-Server sind verfälscht. Die genauen Angaben stehen in dem internen Bericht Projektgruppe Apache/LDAP (mit Passwort /lehre).
Falls in einem übergeordneten Verzeichnis mit einer Kombination gearbeitet wurde, ist auch hier Satisfy any zu nutzen und entsprechend Deny from all einzuschalten.

Als Anwendungsbeispiele können die Seiten zu den Prüfungsunterlagen, etwa Prüfungshinweise, dienen.

Hinweise:
Zwischen Apache- und LDAP-Server erfolgt eine gesicherte Übertragung des Passwortes. Für die sichere Übertragung bis zum Apache-Server muss der Benutzer selbst sorgen. Deshalb unbedingt https nutzen. Für die Seiten unter pruefungen/ wird https durch URL Umleitung mit der RewriteEngine erzwungen.
Da das Loginkennzeichen in der Log-Datei der Apache gespeichert wird, kann dieser Schutz leider nicht für für anonyme Befragungen genutzt werden. Das Passwort wird vom Apache natürlich nicht erfasst.

     ^
<-  |  ->

L. Koch; 04.10.2006
 Created with Vim Valid HTML 4.01! /td>