Passwortschutz
0 0 0 0 
Matthias Apsel
1 
MudGuard
0 
dedlfix
0 0 dedlfix
Passwortschutz
Matthias ScharwiesEin Hallo in die Runde,
bevor ich meine Frage loswerde, gleich der Hinweis: Ich bin absolute Anfängerin und stehe momentan ganz schön auf dem Schlauch. Zur Vorgeschichte: Nachdem ich die Pflege und damit die Administration unserer Schulhomepage "geerbt" und ich zur Erstellung dieser Null beigetragen habe, soll ich nun ergänzende Vorgaben der Schulleitung umsetzen. So auch verschiedene, einzelne Unterseiten mit einem Passwortschutz zu versehen. Geht das überhaupt? Die Homepage an sich ist html- bzw. pnp-basiert. Der Provider ist Strato. Die der Homepage zugrundeliegenden Datenbank wurde mit Joomla generiert und einige Textbeiträge darin werden in Form von pdf-Files auf der Homepage wiedergegeben. Diese (wie z.B. der Vertretungsplan) sind es auch, die den Passwortschutz erhalten sollen, wobei ein Mehrfachzugriff mit gleichem Nutzernamen/ Passwort möglich sein soll. Im Netz habe ich gelesen, dass man .htaccess Verzeichnisse anlegen kann. Nun meine Frage wie mache ich das und wo muss ich diese abspeichern: auf dem Server bei Strato, unter Joomla..... ?
Schon jetzt herzlichen Dank für alle - hoffentlich für eine Anfängerin verständlichen - Antworten!
loebiline
PS: Eine komplette Neugestaltung der Homepage ist derzeit ausgeschlossen
-
- Wie viele verschiedene Nutzer soll es geben? Auch davon hängt die Lösung ab. Für wenige Benutzer und wenn die PDFs in spezielle, geschützte Verzeichnisse gelegt werden können, geht das hier.
- Diesen Auftrag einem Anfänger zu übergeben sollte strafbar sein!
- Ich weiß ja nicht, was der zuständige Datenschutzbeauftragte dazu sagt...
-
- Wie viele verschiedene Nutzer soll es geben? Auch davon hängt die Lösung ab. Für wenige Benutzer und wenn die PDFs in spezielle, geschützte Verzeichnisse gelegt werden können, geht das hier.
- Diesen Auftrag einem Anfänger zu übergeben sollte strafbar sein!
- Ich weiß ja nicht, was der zuständige Datenschutzbeauftragte dazu sagt...
Danke - für die Antwort. Im Grunde sollen es alle Schüler der Schule sein und natürlich auch die Lehrer. Der Einfachkeithalber würde ich nur einen Benutzernamen und ein Passwort rausgeben, damit schulfremde Personen auf interne Bereiche nicht zugreifen können. Ich versuche mal die vorgeschlagene Lösung.
Punkt 2 --> vollste Zustimmung, nur leider nicht zu ändern :-(
LG Loebiline
-
Danke - für die Antwort. Im Grunde sollen es alle Schüler der Schule sein und natürlich auch die Lehrer. Der Einfachkeithalber würde ich nur einen Benutzernamen und ein Passwort rausgeben, damit schulfremde Personen auf interne Bereiche nicht zugreifen können. Ich versuche mal die vorgeschlagene Lösung.
In dem Fall:
Pass auf, dass Du zwei Verzeichnisse anlegst:
Eines für den Verwalter. Eines für die PDFs (hier: Downloads)
Schritt 1:
Nimm die htpasswd.php wie sie ist, lege diese in das Verwalter-Verzeichnis. Benenne diese aber z.B. in roots.php um und starte diese durch Aufruf von http[s]://server/Verwalter/roots.php. Lege ein oder besser zwei Verwalter-Konten an und schalte den Schutz ein.
Schritt 2:
Lade die htpasswd.php nochmals herunter (oder nimm halt eine Kopie) aber ändere die Zeilen
11: define('FTX_USERFILE', __DIR__ . '/.htpasswd');und
21: define('FTX_HTACCESSFILE', __DIR__ . '/.htaccess');so ab, dass diese auf die Verzeichnisse zeigen, in denen die PDF liegen:
z.B:
11: define('FTX_USERFILE', '/var/www/Downloads/.htpasswd');und
21: define('FTX_HTACCESSFILE', '/var/www/Downloads/.htaccess');Benenne diese in user.php um und starte diese durch Aufruf von http[s]://server/Verwalter/user.php. melde Dich mit dem Verwalter-Passwort an, lege das Nutzer-Konto an und schalte den Schutz ein.
Zu viel Arbeit?
Machst Du das nicht so kann jeder berechtigte Benutzer andere Benutzer verwalten, z.B. das Passwort für alle löschen oder ändern...
-
[Vollzitat entfernt]
Ok, das klingt erstmal kompliziert. Aber ich werde es Schritt für Schritt probieren. Allerdings erst morgen - heute schwirrt mir der Kopf.
-
-
Hallo loebiline,
- Wie viele verschiedene Nutzer soll es geben?
Im Grunde sollen es alle Schüler der Schule sein und natürlich auch die Lehrer.
Nutzer != Besucher der Seite.
Der Einfachkeithalber würde ich nur einen Benutzernamen und ein Passwort rausgeben, damit schulfremde Personen auf interne Bereiche nicht zugreifen können.
Das ist machbar, solange im internen Bereich zum Beispiel nur der Vertretungsplan zu sehen ist.
Bis demnächst
Matthias -
Hi,
Der Einfachkeithalber würde ich nur einen Benutzernamen und ein Passwort rausgeben, damit schulfremde Personen auf interne Bereiche nicht zugreifen können. Ich versuche mal die vorgeschlagene Lösung.
dann müssen nach Abgang eines Zugriffsberechtigten oder wenn das Paßwort in unberechtigte Hände gelangt ist, alle noch Zugriffsberechtigten ein neues Paßwort lernen.
Bei Einzel-Zugangsberechtigung muß nur derjenige, dessen Paßwort in unberechtigte Hände gelangt ist, ein neues Paßwort lernen.
cu,
Andreas a/k/a MudGuard-
Servus!
Hi,
Der Einfachkeithalber würde ich nur einen Benutzernamen und ein Passwort rausgeben, damit schulfremde Personen auf interne Bereiche nicht zugreifen können. Ich versuche mal die vorgeschlagene Lösung.
dann müssen nach Abgang eines Zugriffsberechtigten oder wenn das Paßwort in unberechtigte Hände gelangt ist, alle noch Zugriffsberechtigten ein neues Paßwort lernen.
Wie die Threaderstellerin sagte, geht es da um Vertretungs- und Stundenpläne. Solche Daten sind für Eltern, Schüler, aber gerade auch für Lehrer nützlich, um den Unterricht zu planen.
Die datenschutzrechtiche Angst dahinter ist hauptsächlich, dass Eltern oder andere Personen Profile von häufig abwesenden Lehrern erstellen können. Durch das Einstellen der aktuellen und Löschen der alten Stundenpläne ist dies schon weitgehend erreicht.
Das Passwort soll hier eine Schranke darstellen, aber auch so einfach sein, dass man es aus einem Elternbrief schnell abtippen kann. Meinetwegen kann man es auch jährlich ändern, aber nicht wenn ein Lehrer oder Schüler die Schule verlässt.
Bei Einzel-Zugangsberechtigung muß nur derjenige, dessen Paßwort in unberechtigte Hände gelangt ist, ein neues Paßwort lernen.
Das wäre hier einfach zu viel!
Datenschutz hin oder her. Wenn man noch nicht einmal eine Klassenliste mit Strichen für vergessene Hausaufgaben im Klassentagebuch liegen lassen kann, weil die Putzfrau oder andere Schüler dann sehen könnten, was für ein schlimmer Finger der Pepe Nietnagel ist, wird die Sache langsam weltfremd.
Herzliche Grüße
Matthias Scharwies
--
Es gibt viel zu tun: ToDo-Liste
-
-
Tach!
[...] verschiedene, einzelne Unterseiten mit einem Passwortschutz zu versehen. Geht das überhaupt? [...] unter Joomla..... ?
Das ist eigentlich eine Frage für Foren, die sich mit Joomla befassen, denn man kann in Joomla, so hab ich das eben recherchiert, Menüpunkte und Artikel mit einem Zugriffs-Level versehen und Nutzern Zugriffsrechte geben. Wie das geht, kann ich nicht beantworten.
Falls das Joomla nicht mehr zur Pflege der Seite verwendet wird und die Seite nur noch eine statische Kopie der einstmals von Joola generierten Seiten ist, dann ist die Antwort so nicht umsetzbar. Du schreibst das etwas verworren (kann ja mal passieren, wenn man sich noch nicht so auskennt).
dedlfix.
-
Das ist eigentlich eine Frage für Foren, die sich mit Joomla befassen, denn man kann in Joomla, so hab ich das eben recherchiert, Menüpunkte und Artikel mit einem Zugriffs-Level versehen und Nutzern Zugriffsrechte geben. Wie das geht, kann ich nicht beantworten.
Falls das Joomla nicht mehr zur Pflege der Seite verwendet wird und die Seite nur noch eine statische Kopie der einstmals von Joola generierten Seiten ist, dann ist die Antwort so nicht umsetzbar. Du schreibst das etwas verworren (kann ja mal passieren, wenn man sich noch nicht so auskennt).
Ich hatte befürchtet, dass meine Angaben verworren klingen. Trotzdem Danke, dass Du Dir die Mühe gemacht hast, zu antworten. Ich werde mir wohl die Zeit nehmen müssen, mich intensiver mit Joomla zu beschäftigen, da die Datenbank dort aktiv für das Einstellen der Vertretungspläne genutzt wird. Ich versuche hier mal den Weg zu beschreiben:
-
In der Datenbank gibt es einen Ordner "Vertretungsplan". Darunter werden die aktuellen Pläne als pdf-Files abgelegt.
-
auf dem Server bei Strato liegt eine html-Seite mit folgendem Script (Auszug):
<? $dh = opendir("schule2015/images/vertretungen"); if($dh) { $files = array(); while ($file = readdir ($dh)) { if ($file != "." AND $file != ".."AND $file != "index.html") $files[] = $file; } closedir($dh); sort($files); for($i=0;$i<count($files);$i++) { echo "<a href=schule2015/images/vertretungen/".$files[$i].">".$files[$i]."</a><br>"; } } else die("Fehler beim Öffnen des Verzeichnisses"); ?>("schule2015" ist der Datrenbankname in joomla)
Rufen die Schüler die entsprechende Seite auf, erscheint eine Liste mit den verfügbaren pdf-Files, aus denen er dann auswählen kann. Per Klick öffnet sich das entsprechende Dokument und genau hier soll der Passwortschutz greifen.
LG Loebiline
-
Tach!
Ich hatte befürchtet, dass meine Angaben verworren klingen.
Das ist kein Problem, das bekommen wir schon hin. Auch nicht richtig verwendete Begrifflichkeiten können wir aufklären, wenn wir erkennen, was eigentlich gemeint ist.
- In der Datenbank gibt es einen Ordner "Vertretungsplan". Darunter werden die aktuellen Pläne als pdf-Files abgelegt.
Aus dem Code ist zu erkennen, dass das keine Datenbank im üblichen Sinne ist, sondern ein Verzeichnis mit Dateien drin ist. (Abstrakt betrachtet kann man das auch als Datenbank ansehen, aber wir nehmen mal lieber die üblicherweise verwendeten Begriffe.)
Weiterhin erkenne ich nun, dass Joomla wohl keine weitere Rolle bei der Lösung deiner Aufgabe spielen wird und du wirklich zu Fuß einen Schutz einrichten musst, genannt HTTP-Authentication (landläufig gern auch als .htaccess-Schutz bezeichnet).
- auf dem Server bei Strato liegt eine html-Seite mit folgendem Script (Auszug):
Das nennt man erstmal PHP-Script. HTML-Seite ist dann das Ergebnis, was nach dem Ausführen des PHP-Codes entsteht (in der Regel zumindest, man kann mit PHP auch andere Ausgabentypen erzeugen).
Das PHP-Script erzeugt eine Auflistung der in einem bestimmten Verzeichnis vorhandenen Dateien. Diese Dateien werden verlinkt. Ein Browser fragt beim Klick auf den Link beim Server nach speziell dieser Datei und bekommt diese geliefert.
Das heißt nun also, dass da möglicherweise der Zugriff auf dieses PHP-Script unterbunden muss, aber auf alle Fälle sollte das Verzeichnis schule2015/images/vertretungen geschützt sein, denn da liegen die eigentlichen Inhalte. Wenn schon die Auflistung nicht zu sehen sein soll, muss das "möglicherweise" im obigen Satz gestrichen werden und du brauchst zweimal Zugriffsschutz.
Rufen die Schüler die entsprechende Seite auf, erscheint eine Liste mit den verfügbaren pdf-Files, aus denen er dann auswählen kann. Per Klick öffnet sich das entsprechende Dokument und genau hier soll der Passwortschutz greifen.
Gut, also dier Auflistung soll zu sehen sein, nur die Dateien nicht. Dann wird es einfach. Leg die .htaccess in das Verzeichnis .../schule2015/images/vertretungen. Der Inhalt ist recht einfach, da sollten eine Menge Beispiele zu finden sein. Nicht ganz einfach allerdings ist, dass es auch noch eine Datei mit Nutzernamen und Passwort geben muss. Das ist üblicherweise verschlüsselt und muss mit einem Programm erzeugt werden. Aber da das sowieso nur ein Alibi-Schutz ist und alle Schüler es kennen sollen, kann das ruhig auch als Klartext abgelegt werden. Also Datei .htpasswd mit dem sinngemäßen Inhalt
nutzername:passwortneben die .htaccess in das Verzeichnis legen und in letztere das folgende schreiben:AuthName "Vertretungsplan" AuthType Basic AuthUserFile .htpasswd require valid-userOder hat Strato vielleicht eine Möglichkeit in seiner Oberfläche eingebaut, bestimmte Verzeichisse schützen zu können? Dann kannst du das auch darüber ganz ohne Handarbeit erledigen.
dedlfix.
-
Oder hat Strato vielleicht eine Möglichkeit in seiner Oberfläche eingebaut, bestimmte Verzeichnisse schützen zu können?
Ja. "So nutzen Sie den Verzeichnis Schutz Manager"
Geht aber natürlich nur für shared-hosts, nicht für eigene (virtuelle) Server.
Und Strato speichert das Passwort allen Ernstes im Klartext. Offenbar lesen die keine Zeitung. Oder zu viel.
Ich geh kotzen.
-
-