4
Zugriffe auf Verzeichnisse auf einem Webserver im Intranet anlegen und verwalten
Newbie-Frage
Hallo liebe Experten,
wir wollen in unserem Unternehmen die Zugriffe auf bestimmte Verzeichnisse auf unserem Webserver einschränken.
Beispiel:
Root
Verz1
Verz2
Verz3
Auf Verzeichnis1 sollen alle Mitarbeiter lesend zugreifen können,
auf Verzeichnis2 sollen alle mitarbeiter Leserechte aber nur ausgewählte Mitarbeiter Schreibzugriff haben und
auf Verzeichnis3 sollen alle Mitarbeiter Lesezugriffe haben, eine kleine Anzahl Mitarbeiter jedoch weder Lese- noch Schreibrechte haben.
Die Vergabe der Rechte soll, wenn möglich, nicht über eine Anmelde/Passwortabfrage stattfinden sondern über den Windows-Anmeldenamen ausgelesen werden oder, noch besser, sich an den bestehenden File-Server Rechten orientieren.
Wie ist soetwas am besten / sichersten umsetzbar?
Fehlende Infos kann ich gerne nachliefern, ich bin leider ein absoluter Noob auf diesem Gebiet
Vielen Dank & Gruß
Sweenyy
wir wollen in unserem Unternehmen die Zugriffe auf bestimmte Verzeichnisse auf unserem Webserver einschränken.
Beispiel:
Root
Verz1
Verz2
Verz3
Auf Verzeichnis1 sollen alle Mitarbeiter lesend zugreifen können,
auf Verzeichnis2 sollen alle mitarbeiter Leserechte aber nur ausgewählte Mitarbeiter Schreibzugriff haben und
auf Verzeichnis3 sollen alle Mitarbeiter Lesezugriffe haben, eine kleine Anzahl Mitarbeiter jedoch weder Lese- noch Schreibrechte haben.
Die Vergabe der Rechte soll, wenn möglich, nicht über eine Anmelde/Passwortabfrage stattfinden sondern über den Windows-Anmeldenamen ausgelesen werden oder, noch besser, sich an den bestehenden File-Server Rechten orientieren.
Wie ist soetwas am besten / sichersten umsetzbar?
Fehlende Infos kann ich gerne nachliefern, ich bin leider ein absoluter Noob auf diesem Gebiet
Vielen Dank & Gruß
Sweenyy
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 74118
Url: https://administrator.de/contentid/74118
Printed on: April 26, 2024 at 17:04 o'clock
4 Comments
Latest comment
Hy Sweenyy,
bitte unbedingt mehr Info.
Welchen Webserver verwendet Ihr?
Läuft auf diesem Server nur das Intranet oder ist der Server auch von aussen erreichbar?
Wie ist Euer Netz grob aufgebaut (reines Windows-Netz oder heterogenes Netz mit Unix/Linux/Mac)?
Gruss, runlevel2
bitte unbedingt mehr Info.
Welchen Webserver verwendet Ihr?
Läuft auf diesem Server nur das Intranet oder ist der Server auch von aussen erreichbar?
Wie ist Euer Netz grob aufgebaut (reines Windows-Netz oder heterogenes Netz mit Unix/Linux/Mac)?
Gruss, runlevel2
Hi runlevel2,
wie gesagt, ich bin ein absoluter Noob.
Danke im voraus für deine Mühe.
Unser Intranet besteht aus mehreren File-Servern und einem (internen) Webserver auf dem Apache läuft. Erreichbar sind diese Server nur von innen. Unsere Clients laufen alle unter XP, die Server sind heterogen (win200x server / linux)
Auf den File-Servern sind bereits Windows-(Gruppen)Freigaben vergeben, Mitarbeiter haben nicht Zugriff auf alle Ordner.
Auf dem internen Webserver liegt unsere interne "Intranet-Homepage" (soll für alle lesend erreichbar sein) und diverse andere Info-Webseiten in unterschiedlichen Ordnern.
Hier soll nun eine Rechtestruktur wie folgt implementiert werden:
1. eine Gruppe an Mitarbeitern soll nur lesenden Zugriff auf bestimmte Ordner haben,
2. eine andere Gruppe lese- und schreibrechte und
3. wiederum eine andere Gruppe weder lese- noch schreibrechte auf bestimmte Ordner haben.
Ist dies ohne aktive User und Passwortabfrage machbar?
Z.B. über auslesen des Windows Anmeldenamens und einer Abfrage in einer MySQL Datenbank, in welcher zu jedem User die Freigaben (lesen, schreiben, kein Zugriff) für ein Verzeichnis stehen?
Thx für eure Hilfe,
Sweenyy
wie gesagt, ich bin ein absoluter Noob.
Danke im voraus für deine Mühe.
Unser Intranet besteht aus mehreren File-Servern und einem (internen) Webserver auf dem Apache läuft. Erreichbar sind diese Server nur von innen. Unsere Clients laufen alle unter XP, die Server sind heterogen (win200x server / linux)
Auf den File-Servern sind bereits Windows-(Gruppen)Freigaben vergeben, Mitarbeiter haben nicht Zugriff auf alle Ordner.
Auf dem internen Webserver liegt unsere interne "Intranet-Homepage" (soll für alle lesend erreichbar sein) und diverse andere Info-Webseiten in unterschiedlichen Ordnern.
Hier soll nun eine Rechtestruktur wie folgt implementiert werden:
1. eine Gruppe an Mitarbeitern soll nur lesenden Zugriff auf bestimmte Ordner haben,
2. eine andere Gruppe lese- und schreibrechte und
3. wiederum eine andere Gruppe weder lese- noch schreibrechte auf bestimmte Ordner haben.
Ist dies ohne aktive User und Passwortabfrage machbar?
Z.B. über auslesen des Windows Anmeldenamens und einer Abfrage in einer MySQL Datenbank, in welcher zu jedem User die Freigaben (lesen, schreiben, kein Zugriff) für ein Verzeichnis stehen?
Thx für eure Hilfe,
Sweenyy
Hy Sweenyy,
die Umgebung, in der ich momentan arbeite, ist etwas umfangreicher; daher kann ich nicht alles im Detail umsetzen. Ich werde aber versuchen, Dir zumindest eine grobe Fahrtrichtung zu geben. Natürlich soll mein Posting auch als weitere Diskussinsgrundlage dienen. Meist gibt es mehrere Wege...
Von der MySQL-DB rate ich ab, weil Du dann auf dem Webserver lokale User pflegen mußt. Die User und Gruppen sollten aus einem zentralen Directory kommen und nur dort verwaltet werden. Sonst administrierst Du dir einen Wolf. Ich hoffe, ihr habt einen Windows Domain-Controller; vielleicht sogar ein Active-Directory(AD).
Ich nehme an, der Apache läuft auf einer Linux-Maschine und in eurem Netz gibt es einen Domain-Controller, der User und Gruppen vorhält. Kurz gesagt, soll Apache in die Lage versetzt werden, die Passwörter der konfigurierten User und Gruppen vom Windows Domain-Controller abzufragen; bzw den Windows Anmeldenamen von der XP-Workstation zu übernehmen. In diesem Beispiel-Setup sollte keine User-/Passwort-Abfrage kommen.
Um eine Authentifizierung umzusetzen, benötigt man auf der Linux-Maschine Samba und Winbind. Der Server muß mit Samba in die Windows-Domäne aufgenommen werden. Dann kann Winbind die User und Gruppen vom Domain-Controller abfragen. Apache benötigt dann noch ein Modul, um die Windows-Anmeldung entgegenzunehmen. Hier ein Link: http://modntlm.sourceforge.net/. Dort findest Du auch eine Beispiel-Konfiguration.
Weiter nehme ich an, daß Du mit schreibenden Zugriff die Pflege der Webseiten, das Hochladen neuer Dokumente, und das Löschen alter Dokumente auf dem Webserver meinst. Das läßt sich am einfachsten mit einer Freigabe der entsprechenden Verzeichnisse im Dateisystem erreichen. Das kann mit Samba gemacht werden. Die User haben dann die Mögllichkeit, die Freigaben als Laufwerk anzusprechen und normal mit dem Windows-Explorer zu arbeiten. Das betrifft, wie gesagt, nur den Schreibzugriff. Lesen können die Leute ja über HTTP; also Apache. Über Apache kann man auch schreibenden Zugriff ermöglichen, das ist aber etwas komplexer. Zudem sollte Samba für die Authentifizierung sowieso laufen.
Somit ergeben sich folgende Konfigurationen:
Root: Intranet, alle lesen. Nur Apache. Default-Konfiguration sollte reichen.
1: Konfiguration über Apache mit Samba Authentifikations-Modul. Konfig siehe Link.
2: Die zweite Gruppe lesend wie 1. Der Schreibzugriff für diese Gruppe über Samba-Freigabe und entsprechende Schreibrechte im Dateisystem.
3: Konfiguration in Apache. Schreibrechte nicht nötig, daher auch keine Samba-Freigabe.
Das Ganze ist nicht supereasy, sollte aber in eurer Umgebung gut funktionieren.
Gruss, runlevel2
die Umgebung, in der ich momentan arbeite, ist etwas umfangreicher; daher kann ich nicht alles im Detail umsetzen. Ich werde aber versuchen, Dir zumindest eine grobe Fahrtrichtung zu geben. Natürlich soll mein Posting auch als weitere Diskussinsgrundlage dienen. Meist gibt es mehrere Wege...
Von der MySQL-DB rate ich ab, weil Du dann auf dem Webserver lokale User pflegen mußt. Die User und Gruppen sollten aus einem zentralen Directory kommen und nur dort verwaltet werden. Sonst administrierst Du dir einen Wolf. Ich hoffe, ihr habt einen Windows Domain-Controller; vielleicht sogar ein Active-Directory(AD).
Ich nehme an, der Apache läuft auf einer Linux-Maschine und in eurem Netz gibt es einen Domain-Controller, der User und Gruppen vorhält. Kurz gesagt, soll Apache in die Lage versetzt werden, die Passwörter der konfigurierten User und Gruppen vom Windows Domain-Controller abzufragen; bzw den Windows Anmeldenamen von der XP-Workstation zu übernehmen. In diesem Beispiel-Setup sollte keine User-/Passwort-Abfrage kommen.
Um eine Authentifizierung umzusetzen, benötigt man auf der Linux-Maschine Samba und Winbind. Der Server muß mit Samba in die Windows-Domäne aufgenommen werden. Dann kann Winbind die User und Gruppen vom Domain-Controller abfragen. Apache benötigt dann noch ein Modul, um die Windows-Anmeldung entgegenzunehmen. Hier ein Link: http://modntlm.sourceforge.net/. Dort findest Du auch eine Beispiel-Konfiguration.
Weiter nehme ich an, daß Du mit schreibenden Zugriff die Pflege der Webseiten, das Hochladen neuer Dokumente, und das Löschen alter Dokumente auf dem Webserver meinst. Das läßt sich am einfachsten mit einer Freigabe der entsprechenden Verzeichnisse im Dateisystem erreichen. Das kann mit Samba gemacht werden. Die User haben dann die Mögllichkeit, die Freigaben als Laufwerk anzusprechen und normal mit dem Windows-Explorer zu arbeiten. Das betrifft, wie gesagt, nur den Schreibzugriff. Lesen können die Leute ja über HTTP; also Apache. Über Apache kann man auch schreibenden Zugriff ermöglichen, das ist aber etwas komplexer. Zudem sollte Samba für die Authentifizierung sowieso laufen.
Somit ergeben sich folgende Konfigurationen:
Root: Intranet, alle lesen. Nur Apache. Default-Konfiguration sollte reichen.
1: Konfiguration über Apache mit Samba Authentifikations-Modul. Konfig siehe Link.
2: Die zweite Gruppe lesend wie 1. Der Schreibzugriff für diese Gruppe über Samba-Freigabe und entsprechende Schreibrechte im Dateisystem.
3: Konfiguration in Apache. Schreibrechte nicht nötig, daher auch keine Samba-Freigabe.
Das Ganze ist nicht supereasy, sollte aber in eurer Umgebung gut funktionieren.
Gruss, runlevel2
runlevel2,
vielen Dank für deine Antwort!
Deine Vermutungen sind richtig und das sind genau die Basics die ich brauche.
Vielen Dank für deine Zeit,
Sweenyy
vielen Dank für deine Antwort!
Deine Vermutungen sind richtig und das sind genau die Basics die ich brauche.
Vielen Dank für deine Zeit,
Sweenyy