Apache 1.3 htaccess mit Gruppenrollen

[sobo]

Hallo, ich habe ein Problem bezüglich Gruppen+Rollen .htaccess-Dateien.

Ersteinmal möchte prinziel wissen ob es überhaupt möglich ist GruppenRollen abzubilden, bedeutet also normale AND und OR Regeln zu kombinieren.

Um das Problem zu verdeutlichen erkläre ich erst einmal kurz das Vorhaben.

Benutzer werden in Gruppen geordnet. Beide liegen in einem LDAP-Verzeichnis.
Kombiniert werden sie durch das 'member'-Attribut in den Gruppen. Den Gruppen wird sozusagen der Lesezugriff auf ein Verzeichniss gewährt. Zusätzlich werden den Nutzern Rollen zugewiesen. Funktioniert wie oben, heisst nur anders. Über die Rollen kann das Content Managment System den Nutzern Rechte fürs ändern Löschen oder auch Lesen zuweisen.

Mein Problem ist nun: ein Nutzer der in der Rolle eines Redakteurs für dein BereichA ist hat die Gruppenrolle GruppeA+RolleRedakteur. Hier reicht es lediglich in der htaccess die Gruppe einzutragen also

require group XYZ

Problematisch wird es nur für Nutzer die ein der Rolle EditView sind und sozusagen allen EditAnsichten einsehen dürfen. Diese sollen durch die Kombination aus EditView + BereichA daran gehindert werden in BereichB zu kommen.

Order deny,allow
Deny from all
Allow from 127.0.0.1 XX.XX.XX.XX

AuthName "Passwortgeschützter Bereich"
AuthType Basic

LDAPAuth On
LDAPServer "Server.name:386"
LDAPBindName uid=ldapauth ,ou=System Accounts,dc=organisation,dc=de
LDAPBindPass passwordXXX
LDAPUseDNForRemoteUser On
LDAPBase "c=de"
LDAPuseridAttr uid
LDAPgroupMemberAttr member
LDAPSearchMode subtree
## jetzt kommen hier die require option
#Gruppen
require group "cn=YYGintern,ou=Groups,o=organisation,c=de"
require group "cn=YYGreader,ou=Groups,o=organisation,c=de"
#Rollen
require group "cn=rolleAdmin, ou=Roles, sys=vip, ou=Applications, dc=organisation, dc=de"
require group "cn=rolleRedakteur, ou=Roles, ou=Applications, dc=organisation, dc=de"
require group "cn=rolleQS, ou=Roles, ou=Applications, dc=organisation, dc=de"
## die ODER-option
Satisfy any

also ist meine Frage nun gibt es eine Möglichkeit

require group "cn=rolleQS, ou=Roles, ou=Applications, dc=organisation, dc=de" AND require group "cn=GruppeA, ou=Roles, ou=Applications, dc=organisation, dc=de"

abzubilden? Also nur Nutzern den Zugriff erlauben wenn sie in RolleQS als auch in GruppeA sind.

Danke schonmal im Voraus.

Gruß, Sobo.

 

[elias5000]

Meines Wissens sind logische Verknüpfungen zwischen Rollen nicht möglich.
Du müsstest also z.B. die Gruppen EditViewA und EditViewB anlegen, um die Kombination en EditView AND BereichA bzw. EditView AND BereichB abbilden zu können.

 

[sobo]

Meines Wissens sind logische Verknüpfungen zwischen Rollen nicht möglich.
Du müsstest also z.B. die Gruppen EditViewA und EditViewB anlegen, um die Kombination en EditView AND BereichA bzw. EditView AND BereichB abbilden zu können.

Ja, stimmt, das hatte ich mir auch schon überlegt. Jedoch hab ich dann das Problem das ich den Nutzer nun dann in 3 Gruppen eintragen muss: seine normale logische Gruppe, die EditViewX und die jeweilige Rolle. Das bedeutet wieder eine Gruppe mehr die irgendwie gepflegt werden muss. Das wollte ich eigentlich vermeiden.

Dann gibts noch die Möglichkeit die htaccess-Dateien zu verschachteln. Aber das kann man den Nutzern wieder nich anbieten. (häufige Passwortabfragen)

Was also noch bleibt wäre also ein Agent der mir auf Abruf sämtliche Nutzer in eine neue, nennen wir sie Zugriffskontrollgruppe, schreibt, dann brauch ich den Hickhack mit der htaccess nicht mehr beachten.
Naja, mal sehn.
ok, danke trotzdem.

 

[elias5000]

Was ist das eigentlich für ein Redaktionssystem?
Muss man das mit htaccess machen oder wäre nicht eine ins System eingebettete Rollenverwaltung/-durchsetzung besser?

 

[sobo]

Ja, das CMS (Gauss VIP, nunmehr wohl Opentext Livelink) kommt mit einer integrierten Gruppen+Rollen+User Verwaltung. Nur leider sind die jeweiligen Edit- und QS-Deployments nach aussen sichtbar. Muss auch so sein, da die Redakteure bundesweit verstreut sind. Die sensiblen Dokumente werden sowieso sowohl im Edit als auch im Produktionssystem durch mit htaccess'es geschützt. Jedoch gibt es jetzt ein paar Clienten die auch wollen das ihr Edit-System nicht sichtbar ist. Die integrierte Gauss-Lösung würde erherblich mehr Support seitens Gauss fordern, und dafür ist natürlich kein Geld da. Bedeutet: Man will lieber einmal mehr aus ein Passwortfensterchen klicken, als ne ordentliche Lösung, die aber Geld kostet. Statt dessen zahlt man mir Überstunden.. naja.. LOGIK =)

cu.

 

[elias5000]

Arg, wenn die Budgetentscheider schon mal Technikfragen entscheiden müssen...
Da kann ja nichts technisch sinnvolles bei raus kommen.

Und bestimmt lauert dann irgendwo die (Support-)Kostenfalle, die genau dann zuschlägt, wenn alle am wenigsten damit rechnen.
Murphy lässt grüßen...