Thema vom 1.9.2004

Thema vom 1.9.2004 (Woche 20): Authentifizierung am Gymnasium Münchenstein

Am Gymnasium Münchenstein ist jede Person in der Accountverwaltung erfasst. Alle Authentifizierungen (Benutzername / Passwort) werden am gleichen Ort geprüft.

Es ist wünschbar, diese Authentifizierung auch auf Webseiten zu benutzen. Das ist neu möglich.

Wie schon früher wird der Passwortschutz eines Ordners mit einer .htaccess-Datei sichergestellt. Um eine solche herzustellen, gehen Sie folgendermassen vor:

Melden Sie sich via xterm auf Paris an. Der Befehl ist
ssh -X -l login paris
Wechseln Sie in das gewünschte Verzeichnis (cd)
Benutzen Sie den Editor xemacs zum editieren der Datei:
xemacs .htaccess
Schreiben Sie folgendes in die Datei:
```
AuthType Basic  
AuthName "Stichwort, das die Seite beschreibt" 
require user user1 user2 user3 user4 ...
require group group1 group2 group3 group4 ...
```
Damit geben Sie allen in der Zeile require user eingetragenen Benutzern und allen in der Zeile require group eingetragenen Gruppen Zugangsberechtigung auf die Dateien in dem Ordner, in dem sich die .htaccess-Datei befindet. Eine der beiden Zeilen (require user oder require group können Sie auch weglassen, wenn Sie sie nicht benötigen.
Wenn Sie allen auf dem Server registrierten Personen den Zugang gestatten wollen, können Sie auch
require valid-user
schreiben, statt die Benutzer einzeln aufzuzählen.

Wenn sich eine Person erfolgreich authentifiziert hat, möchten Sie sie möglicherweise je nach Gruppenzugehörigkeit unterschiedlich behandeln. Dabei ist es nützlich zu wissen, dass die Gruppenzugehörigkeiten den folgenden Regeln entsprechen:

Benutzerklasse	Gruppen-Nummern
Lehrerinnen und Lehrer (Fachgruppen)	101-200
Arbeitsgruppen	201-300
Angestellte	301-400
Gäste	401-500
Wahlkurse und Ergänzungsfächer	501-1000
Freifächer	1001-1500
Projektunterricht u.ä.	1501-5000
Schülerinnen und Schüler (Klassen)	10000-20000
Projekte aller Art	20001-25000

Jede Person hat eine primäre Gruppenzugehörigkeit und allenfalls weitere Gruppenzugehörigkeiten. Primär gehört jede Person entweder zu einer Fachgruppe, einer Angestelltengruppe, einer Gästegruppe oder einer Klasse.

Mit diesem Programm wird getestet, welcher Primärgruppe die Person angehört, die sich angemeldet hat, zudem werden weitere Informationen über die Person ausgegeben. Den Quellcode können Sie ebenfalls nur ansehen, wenn Sie sich authentifiziert haben. Die .htaccess-Datei für das Verzeichnis lautet in diesem Fall

AuthType Basic
AuthName "Primärgruppenerkennung"
require valid-user

und erlaubt den Zugriff nur authentifizierten Personen.

Wenn Sie mehr Informationen über die Person benötigen, die sich angemeldet hat, müssen Sie sich mit der Benutzerverwaltung LDAP vertraut machen. Das folgende Beispielprogramm (Quellcode hier) zeigt, wie's geht.