Hi, :-D
Ich verwende apache mit ldap.
Gibt es die Möglichkeit einen bestimmten Benutzer (nicht IP oder FDN) für ein bestimmtes Verzeichnis zu sperren?
Gruß Jens1
Benutzer sperren
Re: Benutzer sperren
Ja. :-DGibt es die Möglichkeit einen bestimmten Benutzer (nicht IP oder FDN) für ein bestimmtes Verzeichnis zu sperren?
Re: Benutzer sperren
Ja, damit wollte ich dir andeuten, dass deine Frage etwas... äh... "ungeschickt" formuliert war. Hinweise hierzu gibt es in meiner Signatur.
Aber um hier jetzt nicht einen auf Oberlehrer zu machen, will ich dir mal verraten, wie... :)
http://httpd.apache.org/docs/mod/core.html#require
Aber um hier jetzt nicht einen auf Oberlehrer zu machen, will ich dir mal verraten, wie... :)
http://httpd.apache.org/docs/mod/core.html#require
Re: Benutzer sperren
Ich will meine Frage einmal anders formulieren.
Meine Webseite ist nur für Mitarbeiter freigegeben.
Da ich aber zu viele Nutzer(248) und Gruppen(17) habe um jede einzeln den Zugriff zu erlauben benutze ich "require valid-users".
Für den Logoutvorgang habe ich ein extra Verzeichnis erstellt, welches ich dann mit "http://logout:leer@server.de/logout/" verlinkt habe und wodurch der aktive Benutzer jetzt "logout" wird.
Nun das eigentliche Problem:
Der Benutzer "logout" hat jetzt auch Zugriff auf die Firmenseite, da er ja "require" ist.
Meine Webseite ist nur für Mitarbeiter freigegeben.
Da ich aber zu viele Nutzer(248) und Gruppen(17) habe um jede einzeln den Zugriff zu erlauben benutze ich "require valid-users".
Für den Logoutvorgang habe ich ein extra Verzeichnis erstellt, welches ich dann mit "http://logout:leer@server.de/logout/" verlinkt habe und wodurch der aktive Benutzer jetzt "logout" wird.
Nun das eigentliche Problem:
Der Benutzer "logout" hat jetzt auch Zugriff auf die Firmenseite, da er ja "require" ist.
Re: Benutzer sperren
Das Problem an deiner Sache ist, dass es bei dieser Art der Authentifizierung keinen "Logout" gibt. Der Client (Browser) merkt sich das Passwort so lange, bis er beendet wird - oder wenn man es ihm sagt, dann speichert er es auch dauerhaft. Warum brauchst du überhaupt sowas wie "Logout"?
Re: Benutzer sperren
In manchen Bereichen laufen offene Rechner, an denen sich verschiedene Mitarbeiter anmelden sollen, um z.B. ihre Mails zu lesen, Anwesenheitslisten zu checken, Urlaubs- und Fahranträge zu stellen, etc..
Da aber der 2. Nutzer nicht die Daten des 1. Nutzers einsehen darf(Browsercache), brauche ich dieses logout unbedingt.
Bisher galt die Regelung all Browserfenster zu schliessen.Das ist aber nicht besonders elegant. Es ist auch schon aufgetreten, daß auch wenn alle Fenster geschlossen waren die Benutzerdaten erhalten blieben(IE 6, IE5.5).
Da aber der 2. Nutzer nicht die Daten des 1. Nutzers einsehen darf(Browsercache), brauche ich dieses logout unbedingt.
Bisher galt die Regelung all Browserfenster zu schliessen.Das ist aber nicht besonders elegant. Es ist auch schon aufgetreten, daß auch wenn alle Fenster geschlossen waren die Benutzerdaten erhalten blieben(IE 6, IE5.5).
Re: Benutzer sperren
Ok, dann ginge das nur wenn man gescheite Browser benutzt und jeder Nutzer selbst sicherstellt, dass keinerlei sicherheitskritische Daten mehr auf der Festplatte gespeichert sind.
Alternative: Besorge dir ein gescheites Authentifizierungssystem mit Sessionhandling. Dann gibt es auch einen "Logout". Beispiel: Das Rootforum hier, die Webinterfaces von GMX, Web.de, Amazon oder vielen anderen. Sowas geht nur "richtig" mit Sessionhandling, IMHO.
Alles andere ist Kinderkram und nur für nicht-professionellen Einsatz geeignet.
Alternative: Besorge dir ein gescheites Authentifizierungssystem mit Sessionhandling. Dann gibt es auch einen "Logout". Beispiel: Das Rootforum hier, die Webinterfaces von GMX, Web.de, Amazon oder vielen anderen. Sowas geht nur "richtig" mit Sessionhandling, IMHO.
Alles andere ist Kinderkram und nur für nicht-professionellen Einsatz geeignet.