Next: Authentifikation
Up: Sicherheitsmanagement
Previous: Globale Zugriffskonfiguration
In jedem Verzeichnis können ein Directory Access Control File plaziert
und so die Zugriffsrechte auf darin enthaltene Dateien und Unterverzeichnisse
bestimmt werden. So kann ein Verzeichnis nur für bestimmte Personen oder
Gruppen geöffnet oder geschlossen werden; letzteres geschieht dadurch, daß
man es für alle öffnet mit Ausnahme der entsprechenden Personen oder
Gruppen. Directory Access Control Files müssen dem Server als solche
erkennbar gemacht werden. Das geschiet in der Server-Konfigurationsdatei
mit Hilfe der Anweisung AccessFileName. Der dazu eingetragene Name
läßt den Server erkennen, daß jede so benannte Datei ein Directory
Access Control File für das jeweilige Verzeichnis ist, in dem es gespeichert
ist, und daß darin Konfigurationsanweisungen über die Zugriffsrechte
enthalten sind.
Das Plazieren von Directory Access Control Files im jeweiligen
Verzeichnis beeinflußt nur den Zugriff auf darin enthaltene Dateien und
Unterverzeichnisse. Damit kann für das jeweilige Verzeichnis genau festgelegt
werden, welche Benutzer auf welche Bereiche der Document Root zugreifen
können. Während des Betriebs ist es in diesem Fall nicht mehr notwendig, den
Server jedesmal erneut zu starten, falls die Zugriffskonfiguration für ein
bestimmtes Verzeichnis verändert wird. Bei globalen Änderungen, die in der
Access-Konfigurationsdatei abgespeichert sind, ist ein Restart des Servers
durchzuführen, bei dem die gesamten Konfigurationsdateien erneut gelesen
werden, um die neue Konfiguration zu übernehmen.
Eintragungen in den Directory Access Control Files und in der
Access-Konfigurationsdatei bezüglich des Zugriffs auf Dateien in
öffentlichen Verzeichnissen des Servers betreffen folgende Daten:
- Name und Pfad des Verzeichnisses, für das Zugriffsberechtigungen
eingestellt werden
- eventuell Name und Pfad der Paßwortdatei, die für die
Zugriffsbestimmungen verwendet wird
- AllowOverride: kann nur in der Access-Konfigurationsdatei
angewandt werden und bestimmt, ob für dieses Verzeichnis die lokalen
Einstellungen in den Directory Access Control Files übernommen werden
dürfen oder nicht
- IP-Adresse
- Domain-Name
- Host-Name
- Benutzer-Name
- Benutzer-Gruppe
- Typ der Berechtigung:
- deny
- : Diese Art der Berechtigung sperrt für jeden Benutzer oder
Gruppe, die in der dieser Variablen zugeordneten Liste enthalten sind, den
Zugang zu dem Verzeichnis. Falls statt einer Liste dieser Variablen das Wort
''all'' zugeordnet ist, dann bedeutet das, daß jedem der Zugriff auf dieses
Verzeichnis verwehrt wird.
- allow
- : Benutzer und Gruppen, die in der Liste zu dieser Variablen
aufgezählt werden, haben Zugriff auf das Verzeichnis. Auch hier ist die
Zuordnung des Wortes ''all'' an die Variable möglich.
- order
- : Damit ist die Reihenfolge gemeint, in der die Listen zu den
Zugriffsberechtigungen deny und allow überprüft werden:
- deny,allow: Der Server untersucht zuerst die deny-Liste,
dann erst die allow-Liste.
- allow,deny: Der Server untersucht zuerst die allow-Liste,
dann erst die deny-Liste.
- mutual-failure: Der Server versagt jedem Benutzer und jeder Gruppe, die
nicht in dieser Zugriff-Konfigurationsdatei aufgezählt sind, den Zutritt.
- require
- : Diese Variable legt einen Paßwortschutz für das Verzeichnis
fest (siehe nächsten Abschnitt über Authentifikation).
Next: Authentifikation
Up: Sicherheitsmanagement
Previous: Globale Zugriffskonfiguration
Copyright Munich Network Management Team