Re: Feature verzweifelt gesucht: Web-Zugriff mit Userrechten des Dateisystems ...
Hallo Frank, [EMAIL PROTECTED] wrote: Hallo zusammen, ich betreibe ein Intranet, dass auf Dokumente eines Fileservers zugreift. Der Fileserver hat fein abgestimmte Gruppen- und Benutzerrechte. Apache wurde so konfiguriert, dass User und Passwort abgefragt werden. Die Prüfung der Anmeldung geschieht per PAM gegen eine Windows-Domäne. Hat jemand eine Idee, wie man dem Webserver beibringt, mit der Berechtigung des angemeldeten Users auf das Dateisystem zuzugreifen ? [...] am Rande einer Suche nach Modulen zur NTLM-Authentifizierung bin ich mal wieder auf "Davenport" (http://davenport.sourceforge.net/) gestossen und habe mich an Deine Frage erinnert. Nach den Aussagen auf o.e. Webseite ist Davenport ein WebDAV - SMB Gateway. Es bietet jedoch auch eine normale HTTP-Sicht nach Art von "autoindex". Jedenfalls hört sich das ganze (Gateway) so an als ob der SMB-Server die Zugriffsrechte steuert und der Zugriff unter dem authentifizierten User erfolgt. Die ganze Sache basiert auf Servlet. gruss, .max -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
RE: Feature verzweifelt gesucht: Web-Zugriff mit Userrechten des Dateisystems ...
Stimmt im Prinzip. Allderdings stellt dann jede .htaccess-Datei eine Ausnahme in der für das Verzeichnis geltenden Berechtigung dar. Denn natürlich darf auch in einem "Public"-Verzeichnis niemand ausser root diese Datei verändern oder löschen können. (auch lesen gibt ungewollt Hinweise auf User und Gruppen.) D.h. man muss eine komplette Organisation vorhalten, die das Dateiberechtigungskonzept um eine Verwaltung für .htaccess-Dateien ergänzt. Auch nicht die beste Lösung ... Dabei ist die Anforderung im Grunde ganz einfach und naheliegend. Bist Du als user X beim Apache bekannt, zeigt er Dir auch nur Sachen, die User X sehen darf. Ganz automatisch per default richtig weil im Dateisystem schon korrekt zugeordnet... Neustart des Apache nach Änderung ist übrigens kein Problem. Die Struktur des Dateisystems und die geltenden Rechte sind quasi statisch. (Bei Prüfung gegen das Dateisystem mit Benutzerkennung fiele der Neustart ohnehin flach) Aber ich sehe schon, das wird wohl nichts. Egal, die Scripte zur automatischen Erzeugung der -Einträge sind fertig, und die beschreibende Datei auch. Alles in Butter ... Frank From:"Marcus Reimann" <[EMAIL PROTECTED]>18.02.2004 10:46 Please respond to users-de To: cc: Subject: RE: Feature verzweifelt gesucht: Web-Zugriff mit Userrechten des Dateisystems ... Hallo Frank, Du mußt Zugriffsbeschränkungen nicht unbedingt in der httpd.conf- Datei setzen. Du kannst dies auch in jedem Verzeichnis individuell mit .htaccess-Dateien machen. Wenn Du einzelne Benutzer zu Gruppen mit unterschiedlichen Berechtigungen zusammenfasst, dann ist der Pflegeaufwand recht gering. Du mußt in der .htaccess-Datei lediglich Anweisungen wie "require group" machen und dann die Gruppen mit Leerzeichen getrennt aufführen, die Zugriff auf das jeweilige Verzeichnis haben dürfen. Die Gruppenzugehörigkeiten verwaltest Du dann zentral im LDAP-Server. Vorteil der Lösung über .htaccess-Dateien ist, daß Du den Apache nicht neu starten mußt, wenn Du Änderungen an den .htaccess- Dateien vornimmst. Nachteil ist, daß der Apache bei jedem Zugriff auf eine Datei vorher die .htaccess-Datei prüfen muß. In Deinem Fall dürfte aber allein der Zugriff auf das Netzwerkverzeichnis mehr Zeit kosten, als der Overhead, der durch den Zugriff auf die .htaccess-Datei verursacht wird. Gruß Marcus Reimann M. Reimann Systemberatung http://www.reimann-systemberatung.de > -Original Message- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] > Sent: Wednesday, February 18, 2004 10:03 AM > To: users-de@httpd.apache.org > Subject: RE: Feature verzweifelt gesucht: Web-Zugriff mit Userrechten > des Dateisystems ... > > Hallo Marcus, > > Danke für den Beitrag. > SingleSignOn ist eine gute Idee, aber ich glaube nicht, dass > dieser Ansatz > mich hier weiterbringt. > Das eigentliche Problem ist, dass in Apache die > Verzeichnisse, die mit > speziellen Berechtigungen versehen sein sollen, in der > conf-Datei genannt > werden müssen. Der Authentifizierungsvorgang ist dann > flexibel. (z.B. über > PAM gegen eine Windows-Domäne oder LDAP oder was auch immer). > Was mir fehlt ist eine Alternative zum > Eintrag in der > conf-Datei. > > Viele Grüße > Frank > -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] -- -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
RE: Feature verzweifelt gesucht: Web-Zugriff mit Userrechten des Dateisystems ...
Hallo Frank, Du mußt Zugriffsbeschränkungen nicht unbedingt in der httpd.conf- Datei setzen. Du kannst dies auch in jedem Verzeichnis individuell mit .htaccess-Dateien machen. Wenn Du einzelne Benutzer zu Gruppen mit unterschiedlichen Berechtigungen zusammenfasst, dann ist der Pflegeaufwand recht gering. Du mußt in der .htaccess-Datei lediglich Anweisungen wie "require group" machen und dann die Gruppen mit Leerzeichen getrennt aufführen, die Zugriff auf das jeweilige Verzeichnis haben dürfen. Die Gruppenzugehörigkeiten verwaltest Du dann zentral im LDAP-Server. Vorteil der Lösung über .htaccess-Dateien ist, daß Du den Apache nicht neu starten mußt, wenn Du Änderungen an den .htaccess- Dateien vornimmst. Nachteil ist, daß der Apache bei jedem Zugriff auf eine Datei vorher die .htaccess-Datei prüfen muß. In Deinem Fall dürfte aber allein der Zugriff auf das Netzwerkverzeichnis mehr Zeit kosten, als der Overhead, der durch den Zugriff auf die .htaccess-Datei verursacht wird. Gruß Marcus Reimann M. Reimann Systemberatung http://www.reimann-systemberatung.de > -Original Message- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] > Sent: Wednesday, February 18, 2004 10:03 AM > To: users-de@httpd.apache.org > Subject: RE: Feature verzweifelt gesucht: Web-Zugriff mit Userrechten > des Dateisystems ... > > Hallo Marcus, > > Danke für den Beitrag. > SingleSignOn ist eine gute Idee, aber ich glaube nicht, dass > dieser Ansatz > mich hier weiterbringt. > Das eigentliche Problem ist, dass in Apache die > Verzeichnisse, die mit > speziellen Berechtigungen versehen sein sollen, in der > conf-Datei genannt > werden müssen. Der Authentifizierungsvorgang ist dann > flexibel. (z.B. über > PAM gegen eine Windows-Domäne oder LDAP oder was auch immer). > Was mir fehlt ist eine Alternative zum > Eintrag in der > conf-Datei. > > Viele Grüße > Frank > -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
RE: Feature verzweifelt gesucht: Web-Zugriff mit Userrechten des Dateisystems ...
Hallo Marcus, Danke für den Beitrag. SingleSignOn ist eine gute Idee, aber ich glaube nicht, dass dieser Ansatz mich hier weiterbringt. Das eigentliche Problem ist, dass in Apache die Verzeichnisse, die mit speziellen Berechtigungen versehen sein sollen, in der conf-Datei genannt werden müssen. Der Authentifizierungsvorgang ist dann flexibel. (z.B. über PAM gegen eine Windows-Domäne oder LDAP oder was auch immer). Was mir fehlt ist eine Alternative zum Eintrag in der conf-Datei. Viele Grüße Frank From:"Marcus Reimann" <[EMAIL PROTECTED]>16.02.2004 18:25 Please respond to users-de To: cc: Subject: RE: Feature verzweifelt gesucht: Web-Zugriff mit Userrechten des Dateisystems ... Hallo, es gibt komfortable und zukunftsweisende Lösungen für die Authentizierung und Authorisierung über den Apache. Allerdings ist das Ganze ein anderes Prinzip, als das Auslesen bereits gesetzter Windows-Dateiberechtigungen. Das Stichwort lautet "SingleSignOn" in Zusammenarbeit mit Apache und openLDAP. Dabei dient openLDAP als zentrales Verzeichnis, in dem User und Berechtigungen in beliebigen Strukturen abgelegt werden können. Der Apache wiederum wird um das openLDAP-Modul ergänzt und so konfiguriert, daß er anschließend alle Berechtigungen über den LDAP-Server abprüft. Natürlich nutzt man den LDAP-Server dann auch gleich für andere im Unternehmen eingesetzte Software (z.B. Login, Samba, Datenbanken, E-Mail, ERP-Lösungen, etc.), so daß es nur eine zentrale Stelle gibt, in der User und Berechtigungen gepflegt werden müssen - eben halt "SingleSignOn". Kommerziell gibt es so etwas selbstverständlich auch (z.B. Oracle SingleSignOn). Gruß Marcus Reimann M. Reimann Systemberatung http://www.reimann-systemberatung.de > -Original Message- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] > Sent: Monday, February 16, 2004 9:32 AM > To: users-de@httpd.apache.org > Subject: Re: Feature verzweifelt gesucht: Web-Zugriff mit Userrechten > des Dateisystems ... > > > Hi Nickie, > > Danke für Deine Antwort. > Ich habs aufgegeben nach einer bestehenden Lösung zu suchen. > Ich hab jetzt einen anderen Ansatz gewählt. Die Rechtevergabe > wird durch > eine beschreibende Datei festgelegt, aus der sich dann sowohl die > Filesystem-Rechte, als auch die Einträge des > Apache erzeugen > lassen. Damit ist mein "Single source of information"-Konzept > auch wieder > konsistent. > > Schönen Tag noch ... > Frank > > > > > From:Nickie Haflinger <[EMAIL PROTECTED]> > 15.02.2004 13:34 > Please respond to users-de > To: users-de@httpd.apache.org > cc: > Subject:Re: Feature verzweifelt gesucht: Web-Zugriff > mit Userrechten des > Dateisystems ... > > > > > Hi Frank, > > > --On Mittwoch, 11. Februar 2004 14:02 Uhr +0100 > [EMAIL PROTECTED] > > wrote: > > > Hallo zusammen, > > > > ich betreibe ein Intranet, dass auf Dokumente eines Fileservers > zugreift. > > Der Fileserver hat fein abgestimmte Gruppen- und Benutzerrechte. > > Apache wurde so konfiguriert, dass User und Passwort > abgefragt werden. > > Die Prüfung der Anmeldung geschieht per PAM gegen eine > Windows-Domäne. > > > > Hat jemand eine Idee, wie man dem Webserver beibringt, mit der > > Berechtigung des angemeldeten Users auf das Dateisystem > zuzugreifen ? > > Nein, das geht über Apaches Authentisierungsmechanismen hinaus. > > > > > Standardmäßig benutzt er die Rechte des Apache-Users, die > er durch seine > > eigene Berechtigungssteuerung ggf. einschränkt. > > Ich möchte aber eine Doppelpflege der Berechtigungen umgehen und dem > > Dateisystem überlassen, ob eine Datei für den User lesbar ist oder > nicht. > > Dazu müsste Apache jeweils gegen das Dateisystem prüfen, > nicht gegen > sein > > eigenes Regelwerk. > > Die Stelle, an der diese Funktionalität eingefügt werden müsste ist > > vermutlich klar, auch die Funktion zur Prüfung der Berechtigung des > Users > > lässt sich irgendwie bewerkstelligen. Bestimmt hat jemand > schon mal so > > eine Anforderung gehabt und einen Dreizeiler eingebunden. > > Ich habe ziemlich intensiv danach geforscht, aber nichts gefunden. > > Das hat auch seinen Grund. Das Problem ist recht simpel: Du brauchst > entweder eine Rechteprüfung bei jedem Dateizugriff (das geht > bei Apache im Moment nur, wenn alle Dokumente, die gleiche > Zugriffsrechtemerkmale haben, ALLEINE in einem eigenen Verzeichnisbaum > liegen), oder eine eine Art Zwischenschicht. > > Ich kenne kein OpenSource-Projekt, bei dem das richtig > sauber/komfortabel etc. gelöst ist. Es gibt eine kommerzielle Lösung > (Mediabeacon/HeliosImageSe
RE: Feature verzweifelt gesucht: Web-Zugriff mit Userrechten des Dateisystems ...
Hallo, es gibt komfortable und zukunftsweisende Lösungen für die Authentizierung und Authorisierung über den Apache. Allerdings ist das Ganze ein anderes Prinzip, als das Auslesen bereits gesetzter Windows-Dateiberechtigungen. Das Stichwort lautet "SingleSignOn" in Zusammenarbeit mit Apache und openLDAP. Dabei dient openLDAP als zentrales Verzeichnis, in dem User und Berechtigungen in beliebigen Strukturen abgelegt werden können. Der Apache wiederum wird um das openLDAP-Modul ergänzt und so konfiguriert, daß er anschließend alle Berechtigungen über den LDAP-Server abprüft. Natürlich nutzt man den LDAP-Server dann auch gleich für andere im Unternehmen eingesetzte Software (z.B. Login, Samba, Datenbanken, E-Mail, ERP-Lösungen, etc.), so daß es nur eine zentrale Stelle gibt, in der User und Berechtigungen gepflegt werden müssen - eben halt "SingleSignOn". Kommerziell gibt es so etwas selbstverständlich auch (z.B. Oracle SingleSignOn). Gruß Marcus Reimann M. Reimann Systemberatung http://www.reimann-systemberatung.de > -Original Message- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] > Sent: Monday, February 16, 2004 9:32 AM > To: users-de@httpd.apache.org > Subject: Re: Feature verzweifelt gesucht: Web-Zugriff mit Userrechten > des Dateisystems ... > > > Hi Nickie, > > Danke für Deine Antwort. > Ich habs aufgegeben nach einer bestehenden Lösung zu suchen. > Ich hab jetzt einen anderen Ansatz gewählt. Die Rechtevergabe > wird durch > eine beschreibende Datei festgelegt, aus der sich dann sowohl die > Filesystem-Rechte, als auch die Einträge des > Apache erzeugen > lassen. Damit ist mein "Single source of information"-Konzept > auch wieder > konsistent. > > Schönen Tag noch ... > Frank > > > > > From:Nickie Haflinger <[EMAIL PROTECTED]> > 15.02.2004 13:34 > Please respond to users-de > To: users-de@httpd.apache.org > cc: > Subject:Re: Feature verzweifelt gesucht: Web-Zugriff > mit Userrechten des > Dateisystems ... > > > > > Hi Frank, > > > --On Mittwoch, 11. Februar 2004 14:02 Uhr +0100 > [EMAIL PROTECTED] > > wrote: > > > Hallo zusammen, > > > > ich betreibe ein Intranet, dass auf Dokumente eines Fileservers > zugreift. > > Der Fileserver hat fein abgestimmte Gruppen- und Benutzerrechte. > > Apache wurde so konfiguriert, dass User und Passwort > abgefragt werden. > > Die Prüfung der Anmeldung geschieht per PAM gegen eine > Windows-Domäne. > > > > Hat jemand eine Idee, wie man dem Webserver beibringt, mit der > > Berechtigung des angemeldeten Users auf das Dateisystem > zuzugreifen ? > > Nein, das geht über Apaches Authentisierungsmechanismen hinaus. > > > > > Standardmäßig benutzt er die Rechte des Apache-Users, die > er durch seine > > eigene Berechtigungssteuerung ggf. einschränkt. > > Ich möchte aber eine Doppelpflege der Berechtigungen umgehen und dem > > Dateisystem überlassen, ob eine Datei für den User lesbar ist oder > nicht. > > Dazu müsste Apache jeweils gegen das Dateisystem prüfen, > nicht gegen > sein > > eigenes Regelwerk. > > Die Stelle, an der diese Funktionalität eingefügt werden müsste ist > > vermutlich klar, auch die Funktion zur Prüfung der Berechtigung des > Users > > lässt sich irgendwie bewerkstelligen. Bestimmt hat jemand > schon mal so > > eine Anforderung gehabt und einen Dreizeiler eingebunden. > > Ich habe ziemlich intensiv danach geforscht, aber nichts gefunden. > > Das hat auch seinen Grund. Das Problem ist recht simpel: Du brauchst > entweder eine Rechteprüfung bei jedem Dateizugriff (das geht > bei Apache im Moment nur, wenn alle Dokumente, die gleiche > Zugriffsrechtemerkmale haben, ALLEINE in einem eigenen Verzeichnisbaum > liegen), oder eine eine Art Zwischenschicht. > > Ich kenne kein OpenSource-Projekt, bei dem das richtig > sauber/komfortabel etc. gelöst ist. Es gibt eine kommerzielle Lösung > (Mediabeacon/HeliosImageServer), die aber nicht ganz billig > ist. Die ist aber dafür genial und sehr gut anpassbar. > > Schreib doch mal einen OpenSource-Server auf Basis von Tomcat oder so > dafür. :-) Hätte nämlich auch gerne sowas. > > Grüße, > > Nickie -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: Feature verzweifelt gesucht: Web-Zugriff mit Userrechten des Dateisystems ...
Hi Nickie, Danke für Deine Antwort. Ich habs aufgegeben nach einer bestehenden Lösung zu suchen. Ich hab jetzt einen anderen Ansatz gewählt. Die Rechtevergabe wird durch eine beschreibende Datei festgelegt, aus der sich dann sowohl die Filesystem-Rechte, als auch die Einträge des Apache erzeugen lassen. Damit ist mein "Single source of information"-Konzept auch wieder konsistent. Schönen Tag noch ... Frank From:Nickie Haflinger <[EMAIL PROTECTED]>15.02.2004 13:34 Please respond to users-de To: users-de@httpd.apache.org cc: Subject: Re: Feature verzweifelt gesucht: Web-Zugriff mit Userrechten des Dateisystems ... Hi Frank, --On Mittwoch, 11. Februar 2004 14:02 Uhr +0100 [EMAIL PROTECTED] wrote: > Hallo zusammen, > > ich betreibe ein Intranet, dass auf Dokumente eines Fileservers zugreift. > Der Fileserver hat fein abgestimmte Gruppen- und Benutzerrechte. > Apache wurde so konfiguriert, dass User und Passwort abgefragt werden. > Die Prüfung der Anmeldung geschieht per PAM gegen eine Windows-Domäne. > > Hat jemand eine Idee, wie man dem Webserver beibringt, mit der > Berechtigung des angemeldeten Users auf das Dateisystem zuzugreifen ? Nein, das geht über Apaches Authentisierungsmechanismen hinaus. > > Standardmäßig benutzt er die Rechte des Apache-Users, die er durch seine > eigene Berechtigungssteuerung ggf. einschränkt. > Ich möchte aber eine Doppelpflege der Berechtigungen umgehen und dem > Dateisystem überlassen, ob eine Datei für den User lesbar ist oder nicht. > Dazu müsste Apache jeweils gegen das Dateisystem prüfen, nicht gegen sein > eigenes Regelwerk. > Die Stelle, an der diese Funktionalität eingefügt werden müsste ist > vermutlich klar, auch die Funktion zur Prüfung der Berechtigung des Users > lässt sich irgendwie bewerkstelligen. Bestimmt hat jemand schon mal so > eine Anforderung gehabt und einen Dreizeiler eingebunden. > Ich habe ziemlich intensiv danach geforscht, aber nichts gefunden. Das hat auch seinen Grund. Das Problem ist recht simpel: Du brauchst entweder eine Rechteprüfung bei jedem Dateizugriff (das geht bei Apache im Moment nur, wenn alle Dokumente, die gleiche Zugriffsrechtemerkmale haben, ALLEINE in einem eigenen Verzeichnisbaum liegen), oder eine eine Art Zwischenschicht. Ich kenne kein OpenSource-Projekt, bei dem das richtig sauber/komfortabel etc. gelöst ist. Es gibt eine kommerzielle Lösung (Mediabeacon/HeliosImageServer), die aber nicht ganz billig ist. Die ist aber dafür genial und sehr gut anpassbar. Schreib doch mal einen OpenSource-Server auf Basis von Tomcat oder so dafür. :-) Hätte nämlich auch gerne sowas. Grüße, Nickie -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] -- -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: Feature verzweifelt gesucht: Web-Zugriff mit Userrechten des Dateisystems ...
Hi Frank, --On Mittwoch, 11. Februar 2004 14:02 Uhr +0100 [EMAIL PROTECTED] wrote: Hallo zusammen, ich betreibe ein Intranet, dass auf Dokumente eines Fileservers zugreift. Der Fileserver hat fein abgestimmte Gruppen- und Benutzerrechte. Apache wurde so konfiguriert, dass User und Passwort abgefragt werden. Die Prüfung der Anmeldung geschieht per PAM gegen eine Windows-Domäne. Hat jemand eine Idee, wie man dem Webserver beibringt, mit der Berechtigung des angemeldeten Users auf das Dateisystem zuzugreifen ? Nein, das geht über Apaches Authentisierungsmechanismen hinaus. Standardmäßig benutzt er die Rechte des Apache-Users, die er durch seine eigene Berechtigungssteuerung ggf. einschränkt. Ich möchte aber eine Doppelpflege der Berechtigungen umgehen und dem Dateisystem überlassen, ob eine Datei für den User lesbar ist oder nicht. Dazu müsste Apache jeweils gegen das Dateisystem prüfen, nicht gegen sein eigenes Regelwerk. Die Stelle, an der diese Funktionalität eingefügt werden müsste ist vermutlich klar, auch die Funktion zur Prüfung der Berechtigung des Users lässt sich irgendwie bewerkstelligen. Bestimmt hat jemand schon mal so eine Anforderung gehabt und einen Dreizeiler eingebunden. Ich habe ziemlich intensiv danach geforscht, aber nichts gefunden. Das hat auch seinen Grund. Das Problem ist recht simpel: Du brauchst entweder eine Rechteprüfung bei jedem Dateizugriff (das geht bei Apache im Moment nur, wenn alle Dokumente, die gleiche Zugriffsrechtemerkmale haben, ALLEINE in einem eigenen Verzeichnisbaum liegen), oder eine eine Art Zwischenschicht. Ich kenne kein OpenSource-Projekt, bei dem das richtig sauber/komfortabel etc. gelöst ist. Es gibt eine kommerzielle Lösung (Mediabeacon/HeliosImageServer), die aber nicht ganz billig ist. Die ist aber dafür genial und sehr gut anpassbar. Schreib doch mal einen OpenSource-Server auf Basis von Tomcat oder so dafür. :-) Hätte nämlich auch gerne sowas. Grüße, Nickie -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: Feature verzweifelt gesucht: Web-Zugriff mit Userrechten des Dateisystems ...
soweit ich informiert bin sollte apache 2 mit den rechten des users laufen auf den der vhost konfiguriert ist. moechtest du jedoch uebergreifende rechteh, vieleicht mit einer art webdav ueber web..oder webftp lass es mich wuessen wenn du ne leosung hast *g* [EMAIL PROTECTED] wrote: Hallo zusammen, ich betreibe ein Intranet, dass auf Dokumente eines Fileservers zugreift. Der Fileserver hat fein abgestimmte Gruppen- und Benutzerrechte. Apache wurde so konfiguriert, dass User und Passwort abgefragt werden. Die Prüfung der Anmeldung geschieht per PAM gegen eine Windows-Domäne. Hat jemand eine Idee, wie man dem Webserver beibringt, mit der Berechtigung des angemeldeten Users auf das Dateisystem zuzugreifen ? Standardmäßig benutzt er die Rechte des Apache-Users, die er durch seine eigene Berechtigungssteuerung ggf. einschränkt. Ich möchte aber eine Doppelpflege der Berechtigungen umgehen und dem Dateisystem überlassen, ob eine Datei für den User lesbar ist oder nicht. Dazu müsste Apache jeweils gegen das Dateisystem prüfen, nicht gegen sein eigenes Regelwerk. Die Stelle, an der diese Funktionalität eingefügt werden müsste ist vermutlich klar, auch die Funktion zur Prüfung der Berechtigung des Users lässt sich irgendwie bewerkstelligen. Bestimmt hat jemand schon mal so eine Anforderung gehabt und einen Dreizeiler eingebunden. Ich habe ziemlich intensiv danach geforscht, aber nichts gefunden. Entweder ein Zeichen dass es zu trivial , oder die Anforderung zu exotisch ist ... BTW: Das Problem ergibt sich aus einer Migration von MS-IIS zu Apache. Der IIS fragt beim Zugriff auf das Dateisystem nach, wenn der Benutzer an eine Stelle browst, an der der anonyme Zugang nicht erlaubt ist. Das war sehr komfortabel und so hätte ichs gern wieder... Hinweise sehr willkommen. Frank Pospischil -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] -- -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Feature verzweifelt gesucht: Web-Zugriff mit Userrechten des Dateisystems ...
Hallo zusammen, ich betreibe ein Intranet, dass auf Dokumente eines Fileservers zugreift. Der Fileserver hat fein abgestimmte Gruppen- und Benutzerrechte. Apache wurde so konfiguriert, dass User und Passwort abgefragt werden. Die Prüfung der Anmeldung geschieht per PAM gegen eine Windows-Domäne. Hat jemand eine Idee, wie man dem Webserver beibringt, mit der Berechtigung des angemeldeten Users auf das Dateisystem zuzugreifen ? Standardmäßig benutzt er die Rechte des Apache-Users, die er durch seine eigene Berechtigungssteuerung ggf. einschränkt. Ich möchte aber eine Doppelpflege der Berechtigungen umgehen und dem Dateisystem überlassen, ob eine Datei für den User lesbar ist oder nicht. Dazu müsste Apache jeweils gegen das Dateisystem prüfen, nicht gegen sein eigenes Regelwerk. Die Stelle, an der diese Funktionalität eingefügt werden müsste ist vermutlich klar, auch die Funktion zur Prüfung der Berechtigung des Users lässt sich irgendwie bewerkstelligen. Bestimmt hat jemand schon mal so eine Anforderung gehabt und einen Dreizeiler eingebunden. Ich habe ziemlich intensiv danach geforscht, aber nichts gefunden. Entweder ein Zeichen dass es zu trivial , oder die Anforderung zu exotisch ist ... BTW: Das Problem ergibt sich aus einer Migration von MS-IIS zu Apache. Der IIS fragt beim Zugriff auf das Dateisystem nach, wenn der Benutzer an eine Stelle browst, an der der anonyme Zugang nicht erlaubt ist. Das war sehr komfortabel und so hätte ichs gern wieder... Hinweise sehr willkommen. Frank Pospischil -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
