Windowszugriffsrechte auf Apache

casi4712

New Member
Hallo allerseits,

ich bin gerade am verzweifeln. Es geht darum, dass in einem Domänen Netzwerk ein Server läuft, auf dem mittels XaMP ein Intranetserver installiert ist.

Dieser ist auch erreichbar, allerdings für jeden, er soll aber nur für eine bestimmte Gruppe von Leuten, der Gruppe UHD-Dienst erreichbar sein. Dafür wurde eine eigene Gruppe im AD installiert und mit Mitgliedern versehen. Wie ich dachte die einfachste Lösung, ich weiß ich kann dies auch über htaccess irgenwie machen. Den Aufwand wollte ich mir ersparen.

Dann bin ich auf dem Server in das entsprechende Unterverzeichnis der Webseite gegangen. Hier war voreingestellt Authentifizierender User, sofern ich diese Rechte alle auf ablehnen stelle, erscheint die entsprechende Fehlerseite auch, so wie es für alle auch sein soll, ausser für die entsprechende Gruppe.

Also habe ich authentifizierender User gelöscht, die Administratoren mit Zugriffsrechten zugefügt und die Gruppe UHD mit Akzeptieren zugefügt. Trotzdem ist die Website nun auch noch für andere, die weder Admin sind noch in der UHD Gruppe sind erreichbar, wo ist da die Logik? Ich raff es nicht, Kennt sich irgend jemand damit aus, danke i.V:

Gruss

Chris :mad:
 

rebuyit

New Member
Hast du in deinem Netzwerk einen AD / LDAP stehen den du zur User Verwaltung / Auth. Nutzt?`

Wie sehen die Configs aus die du dem Apache beigebracht hast um dich mit dem user zu Auth.?

Wenn du dabei Hilfe brauchst kannst mir gehrne eine eMail schreiben an daniel.huether.ks[at]t-online.de

Gegen einen kleinen Opulus kann ich dir das dan auch gehrne richten?!
Wieso hast du eine komplette XAMP Umgebung aufgesetzt bez ist es nen Windows System auf dem das leuft? Was spricht gegen ein einfaches LAMP Setup auf einem Ubuntu/Debian Server?
 

danton

Debian User
Also habe ich authentifizierender User gelöscht, die Administratoren mit Zugriffsrechten zugefügt und die Gruppe UHD mit Akzeptieren zugefügt. Trotzdem ist die Website nun auch noch für andere, die weder Admin sind noch in der UHD Gruppe sind erreichbar, wo ist da die Logik? Ich raff es nicht, Kennt sich irgend jemand damit aus, danke i.V:
Zugriffsrechte auf Dateisystem-Ebene greifen nur, wenn du direkt auf das Dateisystem zugreifst, z.B. über eine Netzwerkfreigabe des Laufwerks oder auch der lokalen Zugriff per Windows Explorer.
Wenn du per Browser und Webserver auf Dateien zugreifen möchtest, muß der Webserver (also in deinem Fall wohl Apache) die Zugriffsregeln verwalten und der Browser muß dem Apache mitteilen, welcher Benutzer da gerade surft.
Wenn du durchgängig in der Microsoft-Welt bleibst (IE auf dem PCs, die in der Domäne sind und IIS als Webserver), dann kann das ganze so konfiguriert werden, dass der IE den Login an den IIS durchreicht und dieser dann anhand dieser Login-Daten den User indentifiziert und entsprechende Zugriffsregeln anwendet. Aber auch hier regelt der Webserver die Zugriffsrechte und nicht das Dateisystem.
 

casi4712

New Member
Re

Guten Morgen

Danke erst mal für die Antworten, also darf ich dass so verstehen dass das mit Apache nicht geht? Also muss ich auf Htaccess zurückgreifen? Eingeschränkt hatte es ja bereits funktioniert, aber denke nur wenn ich allen die Windows rechte entziehe.

Das wäre super schade, nun hab ich ja schon auf dem AD entsprechende Benutzergruppen, dass müsste ich dann für htaccess alles neu anlegen, wäre sehr unkomfortabel. Bin übrigens in einer reinen Windows Umgebung und habe hier keine Möglichkeit auf Debian umzusteigen.





Gruss

Chris
 

danton

Debian User
Du könntest es eventuell probieren, dass der Apache über LDAP authentifiziert (halt gegen das Active Directory) und dann auch entsprechend LDAP-Gruppen verwenden. Allerdings benötigst du weiterhin .htaccess-Dateien, die halt auf diese LDAP-Gruppen verweisen. Die User müssen sich im Browser dann aber weiterhin einloggen, dank LDAP sollte das aber mit dem normalen Windows-Kennwort funktionieren. Ich habe es selber aber noch nicht umgesetzt.
 

casi4712

New Member
re

Also im AD dann eine LDAP Gruppe erstellen, reicht das AD seitig oder muss ich da grundlegend alles umkrempeln? Wie binde ich das dann in die HTACCESS ein?


Gruss


chris
 

danton

Debian User
Nein, du kannst per LDAP aufs Active Directory zugreifen und somit auch die Gruppen dort verwenden. Allerdings musst du Apache entsprechend konfigurieren, dass der LDAP-Auth nutzt. Dazu solltest du über die Suchmaschine deiner Wahl aber passende Howtos finden.
Kurzform: LDAP-Modul aktivieren, einen Apache-User im AD erstellen, über den Apache das AD per LDAP abfragen kann und dann in die .htaccess oder direkt in den Virtual Host die LDAP-Konfiguration eintragen.
 

casi4712

New Member
re

okidoki, dann werde ich mal schauen, danke noch mal, habe schon gedacht mein Ansinnen wäre total aus der Luft gegriffen.

Gruss

chris
 

casi4712

New Member
re

Habe mir das mal angeschaut, was ich apache-seitig machen muss steht da ja, aber kann mir jemand sagen, ob ich an unserem DC irgendwas machen muss, bzw, kann ich irgendwie testen, ob dieser auf LDAP Anfragen überhaupt reagiert?


Gruß

Chris
 

danton

Debian User
Testen kannst du die LDAP-Verbindung z.B. mit LDAPAdmin (ist nur eine EXE-Datei, muß nicht installiert werden) - sie ist aber auf Domain Controllern immer aktiv.
Ansonsten brauchst du im AD einen User, mit dem der Apache auf das AD lesend zugreifen kann.
 

casi4712

New Member
re

Guten mORGEN ALLERESITS,

danke nochmals für die Hinweise, also habe jetzt einen Apache User angelegt und auch eine Gruppe mit zu autorisierenden Mitgliedern, welche auf die Seite kommen dürfen. Mit dem LDAP Browser konnte ich mein AD erreichen. Meine htaccess sieht nun wie folgt aus:

PHP:
AuthName "IT-Stelle"
AuthType Basic
AuthBasicProvider ldap
AuthzLDAPAuthoritative Off
AuthLDAPURL ldap://192.168.100.44:389/DC=ipsum,DC=verwalt-berlin,DC=com?sAMAccountName?sub?(objectClass=*)
AuthLDAPBindDN "CN=Apache,OU=Benutzer,OU=ipsum,DC=ipsum,DC=verwalt-berlin,DC=de"


#AuthLDAPBindPassword "start"
  
AuthLDAPGroupAttributeIsDN On
Require ldap-attribute memberOf="CN=UHD-Stelle,CN=Buildin,DC=verwalt-berlin,DC=de"




ErrorDocument 401  http://a090524.ipsum.verwalt-berlin.de:8080/Fehler/Error.htm
Aber nun kommt niemand auf die seite:

Serverfehler!
Die Anfrage kann nicht beantwortet werden, da im Server ein interner Fehler aufgetreten ist. Der Server ist entweder überlastet oder ein Fehler in einem CGI-Skript ist aufgetreten.

Sofern Sie dies für eine Fehlfunktion des Servers halten, informieren Sie bitte den Webmaster hierüber.

Error 500

Wer sieht den Fehler? Was mach ich falsch, langsam am verzweifeln


lg
Chris
 

casi4712

New Member
re

Also das sind die letzten Zeilen des logs:

[Fri Aug 24 09:32:23.805879 2018] [mpm_winnt:notice] [pid 5416:tid 380] AH00418: Parent: Created child process 2200
[Fri Aug 24 09:32:24.447943 2018] [ssl:warn] [pid 2200:tid 280] AH01909: www.example.com:443:0 server certificate does NOT include an ID which matches the server name
[Fri Aug 24 09:32:24.530951 2018] [ssl:warn] [pid 2200:tid 280] AH01909: www.example.com:443:0 server certificate does NOT include an ID which matches the server name
[Fri Aug 24 09:32:24.602958 2018] [mpm_winnt:notice] [pid 2200:tid 280] AH00354: Child: Starting 150 worker threads.
[Fri Aug 24 09:32:31.992697 2018] [core:alert] [pid 2200:tid 1560] [client 192.168.100.146:50081] E:/xampp7/htdocs/wk/.htaccess: Unknown Authn provider: ldap
[Fri Aug 24 09:32:39.107409 2018] [core:alert] [pid 2200:tid 1552] [client 192.168.100.146:50082] E:/xampp7/htdocs/wk/.htaccess: Unknown Authn provider: ldap
[Fri Aug 24 09:32:41.649663 2018] [core:alert] [pid 2200:tid 1544] [client 192.168.100.146:50085] E:/xampp7/htdocs/wk/.htaccess: Unknown Authn provider: ldap
[Fri Aug 24 09:33:54.923990 2018] [core:alert] [pid 2200:tid 1536] [client 192.168.100.126:64522] E:/xampp7/htdocs/wk/.htaccess: Unknown Authn provider: ldap
[Fri Aug 24 09:45:23.069268 2018] [core:notice] [pid 2200:tid 1552] AH00113: E:/xampp7/htdocs/wk/.htaccess:17 cannot use a full URL in a 401 ErrorDocument directive --- ignoring!
[Fri Aug 24 09:45:24.041268 2018] [core:notice] [pid 2200:tid 1536] AH00113: E:/xampp7/htdocs/wk/.htaccess:17 cannot use a full URL in a 401 ErrorDocument directive --- ignoring!
[Fri Aug 24 09:45:24.046268 2018] [core:notice] [pid 2200:tid 1528] AH00113: E:/xampp7/htdocs/wk/.htaccess:17 cannot use a full URL in a 401 ErrorDocument directive --- ignoring!
[Fri Aug 24 09:53:13.230761 2018] [core:notice] [pid 2200:tid 1552] AH00113: E:/xampp7/htdocs/wk/.htaccess:17 cannot use a full URL in a 401 ErrorDocument directive --- ignoring!
[Fri Aug 24 09:53:19.096761 2018] [core:notice] [pid 2200:tid 1552] AH00113: E:/xampp7/htdocs/wk/.htaccess:17 cannot use a full URL in a 401 ErrorDocument directive --- ignoring!
[Fri Aug 24 09:53:19.904761 2018] [core:notice] [pid 2200:tid 1528] AH00113: E:/xampp7/htdocs/wk/.htaccess:17 cannot use a full URL in a 401 ErrorDocument directive --- ignoring!
[Fri Aug 24 09:53:19.910761 2018] [core:notice] [pid 2200:tid 1536] AH00113: E:/xampp7/htdocs/wk/.htaccess:17 cannot use a full URL in a 401 ErrorDocument directive --- ignoring!
[Fri Aug 24 09:53:19.920761 2018] [core:notice] [pid 2200:tid 1560] AH00113: E:/xampp7/htdocs/wk/.htaccess:17 cannot use a full URL in a 401 ErrorDocument directive --- ignoring!
[Fri Aug 24 09:53:19.952761 2018] [core:notice] [pid 2200:tid 1544] AH00113: E:/xampp7/htdocs/wk/.htaccess:17 cannot use a full URL in a 401 ErrorDocument directive --- ignoring!
[Fri Aug 24 09:53:21.133761 2018] [core:notice] [pid 2200:tid 1560] AH00113: E:/xampp7/htdocs/wk/.htaccess:17 cannot use a full URL in a 401 ErrorDocument directive --- ignoring!
[Fri Aug 24 09:53:22.632761 2018] [core:notice] [pid 2200:tid 1560] AH00113: E:/xampp7/htdocs/wk/.htaccess:17 cannot use a full URL in a 401 ErrorDocument directive --- ignoring!
[Fri Aug 24 09:53:57.869761 2018] [core:alert] [pid 2200:tid 1560] [client 192.168.100.146:50419] E:/xampp7/htdocs/wk/.htaccess: Unknown Authn provider: ldap, referer: http://a090524.ipsum.verwalt-berlin.de:8080/wk/index.php/Aktenplan_der_internen_Fileablage_des_Referats_V
 

danton

Debian User
In AuthLDAPURL scheint eine falsche Angabe zu sein, dort steht DC=com, sonst aber überall DC=de
 

GwenDragon

Registered User
Code:
[Fri Aug 24 09:32:31.992697 2018] [core:alert] [pid 2200:tid 1560] [client 192.168.100.146:50081] E:/xampp7/htdocs/wk/.htaccess: Unknown Authn provider: ldap
Steht da, im Sinne von: ldap wird nicht für die Authentifizierung angeboten.

Sind denn die Module ldap und authnz_ldap in deiner Apache-Konfiguration aktiviert?
 
Last edited by a moderator:

casi4712

New Member
genau, und das ist der Punkt, muss ich das in irgend ner ini noch aktivieren? oder geht das mit XAMP gar nicht?
 

GwenDragon

Registered User
Ich habe mal das aktuelle entzippte XAMPP-Paket mit ack durchsucht.
Code:
T:\xampp\apache\conf>ack ldap
httpd.conf
89:#LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
132:#LoadModule ldap_module modules/mod_ldap.so

original\httpd.conf
89:#LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
132:#LoadModule ldap_module modules/mod_ldap.so
Entweder dort ändern (Kommentar entfernen)
Im GUI des XAMPP klappt das nicht, weil die Konfig in Notepad öffnet aber Zeilenenden (LF) nicht beherrscht.
 
Last edited by a moderator:

casi4712

New Member
so hab diese beiden zeilen jetzt auskomentiert, apache neugestartet, immer noch ein Fehler:

PHP:
[Fri Aug 24 12:59:22.083302 2018] [ssl:warn] [pid 4448:tid 388] AH01909: www.example.com:443:0 server certificate does NOT include an ID which matches the server name
[Fri Aug 24 12:59:22.183312 2018] [ssl:warn] [pid 4448:tid 388] AH01909: www.example.com:443:0 server certificate does NOT include an ID which matches the server name
[Fri Aug 24 12:59:22.250319 2018] [mpm_winnt:notice] [pid 4448:tid 388] AH00455: Apache/2.4.33 (Win32) OpenSSL/1.1.0h PHP/7.2.7 configured -- resuming normal operations
[Fri Aug 24 12:59:22.250319 2018] [mpm_winnt:notice] [pid 4448:tid 388] AH00456: Apache Lounge VC15 Server built: Mar 28 2018 12:12:41
[Fri Aug 24 12:59:22.250319 2018] [core:notice] [pid 4448:tid 388] AH00094: Command line: 'E:\\xampp7\\apache\\bin\\httpd.exe -d E:/xampp7/apache'
[Fri Aug 24 12:59:22.253319 2018] [mpm_winnt:notice] [pid 4448:tid 388] AH00418: Parent: Created child process 4928
[Fri Aug 24 12:59:22.905384 2018] [ssl:warn] [pid 4928:tid 292] AH01909: www.example.com:443:0 server certificate does NOT include an ID which matches the server name
[Fri Aug 24 12:59:22.990393 2018] [ssl:warn] [pid 4928:tid 292] AH01909: www.example.com:443:0 server certificate does NOT include an ID which matches the server name
[Fri Aug 24 12:59:23.059400 2018] [mpm_winnt:notice] [pid 4928:tid 292] AH00354: Child: Starting 150 worker threads.
[Fri Aug 24 12:59:30.478142 2018] [core:alert] [pid 4928:tid 1572] [client 192.168.100.126:57962] E:/xampp7/htdocs/wk/.htaccess: Invalid command 'AuthzLDAPAuthoritative', perhaps misspelled or defined by a module not included in the server configuration
IOcjh hatte übrigens bei AuthLDAPBindDN Apache als user angegeben, war das richtig? authorisiert werden soll ja die Gruppe UHD-Stelle oder ist das dann überflüssig? oder muss ich den Adminuser da angeben?
 
Last edited by a moderator:

Top