In einigen Fällen ist es sinnvoll, bestimmte Dateien bzw. Verzeichnisse mit einem Passwortschutz auszustatten. Obwohl das Anlegen eines solchen eigentlich simpel ist, existieren Stolperstellen, an denen unerfahrene Administratoren scheitern können. Mit der folgenden Anleitung ist der Passwortschutz jedoch im Handumdrehen erstellt.
Das folgende Beispiel geht davon aus, dass die Zugangsdaten in dem Ordner „save“ hinterlegt werden, der sich im www-root-Verzeichnis unter „/var/www/“ befindet. Die Zugangsdaten müssen nicht dort liegen und sie müssen auch nicht im gleichen Ordner sein wie die .htaccess. Wichtig ist lediglich, dass die .htaccess im zu schützendem Ordner liegt. Optimalerweise liegt die .htpasswd-Datei in einem Ordner, der nicht öffentlich erreichbar ist.
1. Schritt: .htaccess anlegen
Zunächst legst du die Datei .htaccess im zu schützenden Ordner „save“ an. Die Datei erhält den folgenden Inhalt:
AuthType Basic
AuthName "Passwortgeschützter Bereich"
AuthUserFile /var/www/save/.htpasswd
require valid-userIn diesem Fall wird die Anmeldungsart „Basic“ gewählt. Hierbei handelt es sich um die gängigste Methode, deren Schwachpunkt in der unverschlüsselten Übertragung des Benutzernamens sowie des Passworts besteht. Mit dem AuthType “Digest“ wird eine verschlüsselte Übertragung gewählt, die jedoch nur von wenigen Browsern unterstütz wird.
Hinter „AuthUserFile“ wird der Pfad der Passwort-Datei angegeben, die im zweiten Schritt angelegt werden muss.
Die beiden anderen Angaben dienen der Bezeichnung des geschützten Bereiches, die frei wählbar ist, sowie der Information, dass nur autorisierte Benutzer den Bereich nutzen dürfen.
2. Schritt: Passwortdatei anlegen
Im zweiten Schritt muss eine Datei angelegt werden, die das Passwort beinhaltet. Existiert die Passwortdatei, die in der Regel „.htpasswd“ heißt, noch nicht, muss der Parameter -c des mitgelieferten Programms htpasswd angewendet werden. Hierzu wird das Programm htpasswd aufgerufen.
htpasswd -c /var/www/save/.htpasswd Benutzer1Anschließend fragt das Programm nach einem Passwort, das eingegeben und bestätigt werden muss. Existiert die Datei .htpasswd bereits, können weitere Benutzer angelegt werden, die Zugriff auf den passwortgeschützten Bereich erhalten sollen. Hierzu wird der gleiche Befehl ohne -c und mit anderem Benutzer eingegeben.
htpasswd /var/www/save/.htpasswd Benutzer2Wird die Datei in einem Editor aufgerufen, sollte der Inhalt in der Form „Benutzername:verschlüsseltesPasswort“ dargestellt werden.
Ihr könnt die .htpasswd-Datei aber auch einfach händisch anlegen, genauso wie die .htaccess-Datei. Zur Verschlüsselung der Passwörter gibt es Generatoren, wie etwa diesen.
3. Schritt: Der Test
Wird der Ordner, in dem die .htaccess liegt, nun aufgerufen, sollte eine Passwortabfrage stattfinden. Nur, wenn ein Passwort eingegeben wird, das sich in der .htpasswd-Datei befindet, sollte der Zugriff gestattet werden.
Wissenswertes
Bei einem neuen Apache-Webserver kann es zu Problemen kommen, da die Einstellung „AllowOverride None“ häufig aktiviert ist. Diese muss in „AllowOverride All“ geändert werden, da die .htaccess-Einstellungen andernfalls ignoriert werden. Die Einstellung ist im Normalfall in einem der Ordner /etc/apache2/httpd.conf, /etc/apache2/apache2.conf oder /etc/apache2/sites-enable/ zu finden.
Befindet sich die Passwortdatei in einem Webverzeichnis, sollte in diesem Verzeichnis eine .htaccess-Datei mit dem folgenden Inhalt angelegt werden:
<files .ht*>
deny from all
</files>Auf diesem Wege wird der Zugriff auf die Passwortdatei untersagt.
No replies yet
Neue Antworten laden...
Administrator
Beteilige dich an der Diskussion in der Basic Tutorials Community →