You are viewing a plain text version of this content. The canonical link for it is here.
Posted to users-de@httpd.apache.org by f....@telenet-ag.de on 2004/02/11 14:02:26 UTC
Feature verzweifelt gesucht: Web-Zugriff mit Userrechten des Dateisystems
...
Hallo zusammen,
ich betreibe ein Intranet, dass auf Dokumente eines Fileservers zugreift.
Der Fileserver hat fein abgestimmte Gruppen- und Benutzerrechte.
Apache wurde so konfiguriert, dass User und Passwort abgefragt werden. Die
Prüfung der Anmeldung geschieht per PAM gegen eine Windows-Domäne.
Hat jemand eine Idee, wie man dem Webserver beibringt, mit der
Berechtigung des angemeldeten Users auf das Dateisystem zuzugreifen ?
Standardmäßig benutzt er die Rechte des Apache-Users, die er durch seine
eigene Berechtigungssteuerung ggf. einschränkt.
Ich möchte aber eine Doppelpflege der Berechtigungen umgehen und dem
Dateisystem überlassen, ob eine Datei für den User lesbar ist oder nicht.
Dazu müsste Apache jeweils gegen das Dateisystem prüfen, nicht gegen sein
eigenes Regelwerk.
Die Stelle, an der diese Funktionalität eingefügt werden müsste ist
vermutlich klar, auch die Funktion zur Prüfung der Berechtigung des Users
lässt sich irgendwie bewerkstelligen. Bestimmt hat jemand schon mal so
eine Anforderung gehabt und einen Dreizeiler eingebunden.
Ich habe ziemlich intensiv danach geforscht, aber nichts gefunden.
Entweder ein Zeichen dass es zu trivial , oder die Anforderung zu exotisch
ist ...
BTW: Das Problem ergibt sich aus einer Migration von MS-IIS zu Apache. Der
IIS fragt beim Zugriff auf das Dateisystem nach, wenn der Benutzer an eine
Stelle browst, an der der anonyme Zugang nicht erlaubt ist. Das war sehr
komfortabel und so hätte ichs gern wieder...
Hinweise sehr willkommen.
Frank Pospischil
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
Re: Feature verzweifelt gesucht: Web-Zugriff mit Userrechten des
Dateisystems ...
Posted by Max Dittrich <Ma...@t-online.de>.
Hallo Frank,
f.pospischil@telenet-ag.de wrote:
> Hallo zusammen,
>
> ich betreibe ein Intranet, dass auf Dokumente eines Fileservers zugreift.
> Der Fileserver hat fein abgestimmte Gruppen- und Benutzerrechte.
> Apache wurde so konfiguriert, dass User und Passwort abgefragt werden. Die
> Prüfung der Anmeldung geschieht per PAM gegen eine Windows-Domäne.
>
> Hat jemand eine Idee, wie man dem Webserver beibringt, mit der
> Berechtigung des angemeldeten Users auf das Dateisystem zuzugreifen ?
[...]
am Rande einer Suche nach Modulen zur NTLM-Authentifizierung bin ich mal
wieder auf "Davenport" (http://davenport.sourceforge.net/) gestossen und
habe mich an Deine Frage erinnert.
Nach den Aussagen auf o.e. Webseite ist Davenport ein WebDAV - SMB
Gateway. Es bietet jedoch auch eine normale HTTP-Sicht nach Art von
"autoindex". Jedenfalls hört sich das ganze (Gateway) so an als ob der
SMB-Server die Zugriffsrechte steuert und der Zugriff unter dem
authentifizierten User erfolgt.
Die ganze Sache basiert auf Servlet.
gruss,
.max
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
Re: Feature verzweifelt gesucht: Web-Zugriff mit Userrechten des
Dateisystems ...
Posted by "Development - multi.art.studio" <de...@multiartstudio.com>.
soweit ich informiert bin sollte apache 2 mit den rechten des users
laufen auf den der vhost konfiguriert ist.
moechtest du jedoch uebergreifende rechte....hmmmm, vieleicht mit einer
art webdav ueber web......oder webftp
lass es mich wuessen wenn du ne leosung hast *g*
f.pospischil@telenet-ag.de wrote:
>Hallo zusammen,
>
>ich betreibe ein Intranet, dass auf Dokumente eines Fileservers zugreift.
>Der Fileserver hat fein abgestimmte Gruppen- und Benutzerrechte.
>Apache wurde so konfiguriert, dass User und Passwort abgefragt werden. Die
>Prüfung der Anmeldung geschieht per PAM gegen eine Windows-Domäne.
>
>Hat jemand eine Idee, wie man dem Webserver beibringt, mit der
>Berechtigung des angemeldeten Users auf das Dateisystem zuzugreifen ?
>
>Standardmäßig benutzt er die Rechte des Apache-Users, die er durch seine
>eigene Berechtigungssteuerung ggf. einschränkt.
>Ich möchte aber eine Doppelpflege der Berechtigungen umgehen und dem
>Dateisystem überlassen, ob eine Datei für den User lesbar ist oder nicht.
>Dazu müsste Apache jeweils gegen das Dateisystem prüfen, nicht gegen sein
>eigenes Regelwerk.
>Die Stelle, an der diese Funktionalität eingefügt werden müsste ist
>vermutlich klar, auch die Funktion zur Prüfung der Berechtigung des Users
>lässt sich irgendwie bewerkstelligen. Bestimmt hat jemand schon mal so
>eine Anforderung gehabt und einen Dreizeiler eingebunden.
>Ich habe ziemlich intensiv danach geforscht, aber nichts gefunden.
>Entweder ein Zeichen dass es zu trivial , oder die Anforderung zu exotisch
>ist ...
>
>BTW: Das Problem ergibt sich aus einer Migration von MS-IIS zu Apache. Der
>IIS fragt beim Zugriff auf das Dateisystem nach, wenn der Benutzer an eine
>Stelle browst, an der der anonyme Zugang nicht erlaubt ist. Das war sehr
>komfortabel und so hätte ichs gern wieder...
>
>Hinweise sehr willkommen.
>
>Frank Pospischil
>
>
>
>
>
>--------------------------------------------------------------------------
> Apache HTTP Server Mailing List "users-de"
> unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
> sonstige Anfragen an users-de-help@httpd.apache.org
>--------------------------------------------------------------------------
>
>
>
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
Re: Feature verzweifelt gesucht: Web-Zugriff mit Userrechten des
Dateisystems ...
Posted by Nickie Haflinger <te...@multibyte.de>.
Hi Frank,
--On Mittwoch, 11. Februar 2004 14:02 Uhr +0100 f.pospischil@telenet-ag.de
wrote:
> Hallo zusammen,
>
> ich betreibe ein Intranet, dass auf Dokumente eines Fileservers zugreift.
> Der Fileserver hat fein abgestimmte Gruppen- und Benutzerrechte.
> Apache wurde so konfiguriert, dass User und Passwort abgefragt werden.
> Die Prüfung der Anmeldung geschieht per PAM gegen eine Windows-Domäne.
>
> Hat jemand eine Idee, wie man dem Webserver beibringt, mit der
> Berechtigung des angemeldeten Users auf das Dateisystem zuzugreifen ?
Nein, das geht über Apaches Authentisierungsmechanismen hinaus.
>
> Standardmäßig benutzt er die Rechte des Apache-Users, die er durch seine
> eigene Berechtigungssteuerung ggf. einschränkt.
> Ich möchte aber eine Doppelpflege der Berechtigungen umgehen und dem
> Dateisystem überlassen, ob eine Datei für den User lesbar ist oder nicht.
> Dazu müsste Apache jeweils gegen das Dateisystem prüfen, nicht gegen sein
> eigenes Regelwerk.
> Die Stelle, an der diese Funktionalität eingefügt werden müsste ist
> vermutlich klar, auch die Funktion zur Prüfung der Berechtigung des Users
> lässt sich irgendwie bewerkstelligen. Bestimmt hat jemand schon mal so
> eine Anforderung gehabt und einen Dreizeiler eingebunden.
> Ich habe ziemlich intensiv danach geforscht, aber nichts gefunden.
Das hat auch seinen Grund. Das Problem ist recht simpel: Du brauchst
entweder eine Rechteprüfung bei jedem Dateizugriff (das geht bei Apache im
Moment nur, wenn alle Dokumente, die gleiche Zugriffsrechtemerkmale haben,
ALLEINE in einem eigenen Verzeichnisbaum liegen), oder eine eine Art
Zwischenschicht.
Ich kenne kein OpenSource-Projekt, bei dem das richtig sauber/komfortabel
etc. gelöst ist. Es gibt eine kommerzielle Lösung
(Mediabeacon/HeliosImageServer), die aber nicht ganz billig ist. Die ist
aber dafür genial und sehr gut anpassbar.
Schreib doch mal einen OpenSource-Server auf Basis von Tomcat oder so
dafür. :-) Hätte nämlich auch gerne sowas.
Grüße,
Nickie
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------