Wie kann ich den Zugriff auf meinen Webspace mit einem Passwort schützen?

Folgendes Beispielszenario: das Verzeichnis /geheim unterhalb der Domain www.example.org soll passwortgeschützt werden. Beim Aufruf von www.example.org/geheim erscheint ein Fenster, in dem Benutzername und Kennwort eingegeben werden können. Nur autorisierte Benutzer erhalten Zugang zur Seite.

Um den Passwortschutz zu aktivieren, muss im Ordner /geheim eine Datei mit dem Namen .htaccess (mit einem Punkt beginnend) angelegt werden. Diese muss folgende vier Zeilen beinhalten:

AuthName "hier-steht-ein-text"
AuthType Basic
AuthUserFile /srv/www/htdocs/<DEIN-ACCOUNTNAME>/www.example.org/geheim/.htpasswd
require valid-user

Bitte beachten: Statt example.org muss der eigentliche Domainname eingesetzt werden. Das Verzeichnis /geheim muss ebenfalls durch das zu schützende Verzeichnis ersetzt werden.

Zusätzlich zur .htaccess-Datei legt man im Verzeichnis /geheim eine Datei mit dem Namen .htpasswd an (mit einem Punkt beginnend). Hier stehen die Benutzer und Kennwörter, die Zugang erhalten dürfen. Die Datei hat folgenden Aufbau:

username1:u283ts8263
username2:82ndms92ns7

Da das Kennwort nicht im Klartext in der Datei steht, muss es entsprechend verschlüsselt werden. Unixer nehmen einfach das Programm „htpasswd“ oder „crypt“ zur Hilfe.
Windows bietet von Haus aus leider keine entsprechende Möglichkeit. Auf der folgenden Webseite kann man sich aber Hinweise zur Nutzung einer „.htaccess“ als Zugrifssschutz ansehen. Außerdem ist dort ein Generator für .htpasswd-Dateien verlinkt:

http://wiki.selfhtml.org/wiki/Webserver/htaccess/Zugriffskontrolle

Achtung: Die „.htaccess“ darf aus Sicherheitsgründen in der JPBerlin nur Authentifizierungs-Angaben beinhalten. Konfigurationsoptionen wie „Options +FollowSymlinks“ o.ä. sind NICHT ZULÄSSIG. Man findet immer wieder in irgendwelchen PHP-HowTos die Hinweise, man möge das bitte in der „.htaccess“-Datei so einstellen. Wenn das gemacht wird, quittiert unser Webserver das bei einem Seitenaufruf mit einer Webseite mit dem Titel „Internal Server Error“ (Fehler 500).

Es sind ausschließlich die oben genannten AUTH-Angaben zulässig. Bei allen anderen Punkten bitte den JPBerlin-Support fragen (ggf. den Absatz aus dem PHP-HowTo mitschicken!).

Übrigens: Es ist möglich per FTP die Dateien „.htpasswd“ und „.htaccess“ anzulegen und hochladen zu lassen.

Es ist nicht möglich diese Dateien über einen Webzugriff zu downloaden. Bitte nennt darum die Passwortdatei UNBEDINGT auch „.htpasswd“ und gebt ihr nicht einen eigenen, anderen Namen!

Bei Problemen:
Es gibt noch wenige Nutzer, die auf unseren Servern mit Apache 2.2 und PHP 5.4 ihre Domains haben. Dort lautet der Pfad in der .htaccess-Datei zur .htpasswd-Datei anders. Für das obige Beispiel lautet der Pfad:

AuthUserFile /srv/www/htdocs/www.example.org/geheim/.htpasswd

  • 26. Juli 2013

  • o.graeber

  • Keinen Kommentar

Kommentar abgeben

Sie müssen eingeloggt sein um zu kommentieren.