Htaccess en htpasswd
Afscherming op basis van ip-adres of gebruiker is slechts een lichte vorm van beveiliging o.a. omdat de controle via htpasswd in casu niet via encryptie verloopt (een oplossing hiervoor is het gebruik van webauth). Hoogst gevoelige informatie dient bovendien volledig geëncrypteerd te worden afgebakend (enkel bereikbaar via https://).Het afschermen van directories op basis van ip-adres
Let op: de files dienen aangemaakt te worden via de ISO 8859 of Ascii encoding. Als u Kladblok gebruikt is dit standaard zo (naam .htaccess en opslaan als type 'Alle bestanden').
Voor de afscherming op basis van ip-adres plaatst u het .htaccess bestand in de directory welke u wenst af te schermen.
.htaccess (toelaten van een ip-adres)
order deny,allow allow from 157.193.7.1 deny from all.htaccess (toelaten van meedere ip-adressen)
order deny,allow allow from 157.193.1.1 allow from 157.193.1.2 allow from 157.193.1.3 deny from all.htaccess (toelaten van een volledige ip-range --- vb vpn-range)
order deny,allow allow from 157.193.1 allow from 157.193.7 allow from 157.193.28 allow from 157.193.29 allow from 157.193.32 deny from all
Het afschermen van directories op basis van gebruikers
Onderstaande .htaccess file plaatst u in de te beveiligen directory.
AuthUserFile /www/dienst/gebruikernaam/.htpasswd AuthName "Titel_van_het_aanlogscherm" AuthType Basic Require valid-userStudenten vervangen AuthUserFile /www/dienst/gebruikernaam/.htpasswd door /users/beginletter_gebruikersnaam/gebruikersnaam/.htpasswd
De .htpasswd file bestaat enkel uit een gebruikersnaam en een geëncrypteerd wachtwoord, meerdere gebruikers mogelijk door meerdere lijnen toe te voegen. Het wachtwoord wordt geëncrypteerd via het commando "openssl passwd" op de server (inloggen op allserv voor personeel en eduserv voor studenten, via bv. putty ...). Na het ingeven van het commando typt u het gewenste wachtwoord in en de uitvoer plaatst u in het .htpasswd bestand achter de gebruikersnaam, gescheiden door een dubbelepunt.
Let op, de encryptie betreft hier enkel de htpasswd file, het versturen over het net gebeurt niet geëncrypteerd. Gebruik dus geen UGent loginnamen/wachtwoorden.
Het is ook aan te raden om de .htpasswd file niet in de WWW directory te plaatsen, maar in de parent directory van die WWW directory (indien wel in de WWW-tree is een vorm van extra afscherming nodig). Om toegang te krijgen tot die WWW directory opent u een SSH (putty) sessie op allserv (personeel) of eduserv (studenten).
Personeel komt met het commando
cd $WWWHOMErechtstreeks in de WWW parent directory terecht. Als u de directory wil benaderen met winscp, filezilla of andere explorer-achtige tools voert u best eerst in een interactieve sessie het volgende commando uit:
ln -s $WWWHOME wwwhomeDit moet u slechts 1 maal uitvoeren maar laat u toe van de directory te benaderen als de folder "wwwhome".
De parent directory van de WWW in ons voorbeeld is /www/dienst/gebruikersnaam
Voor shares is het parent directory pad /www/_shares/sharename
Het AuthUserFile pad in de .htaccess file is dan /www/_shares/sharename/.htpasswd
Studenten bevinden zich reeds in de parent directory en doen bovenstaande dus niet.
.htpasswd file
naam_voor_login:T5PkcBiivzBuE naam_voor_login:h4tMZLf8bva1I naam_voor_login:z/z5qVcqPNbI.
