» Willkommen auf Software «

gabiza7
offline



OC Profi
14 Jahre dabei !

AMD Athlon II
2700 MHz @ 3700 MHz
46°C mit 1.475 Volt


Ich habe ein Verzeichnis auf meinem Webserver, auf das nicht alle zugreifen sollen dürfen. Jetzt ist es so eingerichtet, dass sich die Benutzer über das LDAP-Protokoll an unserem AD authentifizieren müssen. Nur die Benutzer einer bestimmten Gruppe erhalten Zugriff.

Das funktioniert problemlos, aber ich mache mir Sorgen um die Sicherheit: Die LDAP-Anbindung ist über eine .htaccess geregelt, in der mein Passwort und Nutzername für die Anbindung an den AD im Klartext drinstehen. Habe schon im Netz geguckt, ob man das Passwort nicht verschleiert oder verschlüsselt hinterlegen kann, aber das entsprechende Apache-Modul scheint soetwas nicht vorzusehen. Stattdessen wird empfohlen eine verschlüsselte Verbindung aufzubauen, was ich natürlich habe. Klar ist auch, dass die .htaccess nur vom root les- und veränderbar ist. Aber das kann es doch nicht sein, das ist doch dann immer noch hochgradig unsicher.

Ursprünglich hatte ich es so eingerichtet, dass man sich mit lokalen Benutzern auf meinem Suse-Server beim Zugriff auf das Verzeichnis authentizfieren muss - da kann man ja die Passwörter ohne Weiteres verschleiert (MD5) ablegen. Das ist aber nicht gewünscht, weil sich dann jeder, der auf das geschützte Verzeichnis zugreifen will, noch einen extra Benutzernamen mit Passwort merken muss statt einfach über seine AD-Kennung draufzuzugreifen. Außerdem ist MD5 ja jetzt auch nicht mehr so das gelbe vom Ei, was man so hört.

Wie kann ich das besser lösen?

Der Server läuft in ner virtuellen Maschine auf nem Proxmox-Server. Betriebssystem ist openSuse 12.3. Als Webserver verwende ich Apache.

Sorry für meine unprofessionelle, inkorrekte Ausdrucksweise - korrigiert mich bitte, wenn ich etwas falsch benannt habe - bin ja noch in der Ausbildung.

(Geändert von gabiza7 um 21:05 am Sep. 2, 2014)

Beiträge gesamt: 933 | Durchschnitt: 0 Postings pro Tag
Registrierung: Feb. 2010 | Dabei seit: 5398 Tagen | Erstellt: 21:05 am 2. Sep. 2014
Ino
aus Heilbronn
offline



Real OC or Post God !
22 Jahre dabei !

Intel Core i3


Du kannst das Passwort normalerweise auch Verschlüsselt speichern. Normalweise musst du das einfach nur durch den Crypt oder MD5 Algorithmus verschlüsseln.

Lese dir am besten den folgenden Abschnitt durch:

http://de.selfhtml.org/servercgi/server/htaccess.htm


Ein Kaffee am morgen vertreibt alle Sorgen :)

Beiträge gesamt: 21487 | Durchschnitt: 3 Postings pro Tag
Registrierung: Jan. 2002 | Dabei seit: 8360 Tagen | Erstellt: 11:19 am 3. Sep. 2014
gabiza7
offline



OC Profi
14 Jahre dabei !

AMD Athlon II
2700 MHz @ 3700 MHz
46°C mit 1.475 Volt


Vielen Dank für deine Antwort und den Link.

Meinst du den Abschnitt mit "Verzeichnisse und Dateien mit Passwort schützen". Falls ja, so wie es da beschrieben ist, hatte ich es schon mal eingerichtet - halt nicht mit Basis- sondern Digest-Authentifizierung. So wie ich das verstehe, funktioniert das dann aber nur mit lokalen Konten auf dem Server nicht über AD-Konten oder denke ich gerade nicht transfer genug? Vielleicht kann mir da jemand auf die Sprünge helfen. Ich habe auch schon mal versucht bei der LDAP-Authentifizierung "Digest" anzugeben, aber das scheint es da nicht zu geben.

Beiträge gesamt: 933 | Durchschnitt: 0 Postings pro Tag
Registrierung: Feb. 2010 | Dabei seit: 5398 Tagen | Erstellt: 16:17 am 3. Sep. 2014