Http Authentifizierung - Verzeichnisschutz

Die HTTP-Authentifizierung ist eine Methode, mit der sich ein User bei dem Webserver als Benutzer anmelden kann, um danach für weitere Zugriffe autorisiert zu sein.

 

Methode Apr1 Md5 Crypt

Login

Passwort

Bt

  Erstellen

 

HTTP-Authentifizierung einrichten

Mit diesem Tool kann man die Passwörter für die Passwort-Datei verschlüsseln. Ein Salt wird automatisch generiert. In den einzelnen Bereichen wird erklärt wie der Passwortschutz eingerichtet wird.

Apache

Die Passwort Datei kann man auch mit dem htpasswd Programm erstellen.

Mit diesem Code für die .htaccess kann man den Schutz für das Verzeichnis erstellen. Die .htaccess kopiert man in das Verzeichnis das geschützt werden soll. Unter AuthUserFile gibt man den absoulten Pfad zur Passwort Datei an. Der Name der Datei kann frei gewählt werden, es ist jedoch besser ihn mit .ht beginnen zu lassen. Dadurch wird der Zugriff vom Apache auf diese Datei blockiert. Es ist allerdings besser diese Datei außerhalb des Webverzeichnisse zu speichern, wenn möglich.

Beispiel Code .htaccess

AuthType Basic
AuthName "Restricted Files"
AuthBasicProvider file
AuthUserFile /var/www/.htpasswd
Require valid-user

Nginx

Die Konfiguration kann in den direktiven http, server oder location stehen. Unter auth_basic_user_file wird der absolute Pfad zur Passwort Datei angegeben. Diese Datei sollte nicht in einem Webverzeichnis liegen, da sie sonst über einen Browser abgerufen und gelesen werden könnte.

Beispiel Code .conf

location  /  {
	auth_basic "Restricted";
	auth_basic_user_file /etc/nginx/htpasswd;
}

Aufbau der Passwort Datei

Der Aufbau der Datei ist bei beiden Servern identisch. Die Namen der User dürfen keinen . oder : enthalten.

User:Passwort
User2:Passwort:Kommentar
...

Weitere Informationen:

• HttpAuthBasicModul - Nginx
• Authentication and Authorization - Apache
• HTTP-Authentifizierung - Wikipedia