Das Apache LDAP Modul

Allgemeines

Das Apache-Modul mod_auth_ldap ermöglicht die Benutzerauthentifizierung von Webserver-Verzeichnissen gegen einen LDAP-basierten Verzeichnisdienst. An der TUHH erfolgt die Authentifizierung mittels Ihres vom RZ vergebenen TUHH Benutzernamens und zugehörigem Kerberos-Passwort. Die Verbindung zum LDAP-Server ist nur verschlüsselt möglich.

LDAP-Server: ldap.rz.tu-harburg.de
Port: 636
Protokoll: ldaps

Für alle Beispiele dieses Artikels gilt:

  • Der Wert der Direktive AuthType (== Basic) ist im Webserver konfiguriert und damit vorgegeben.
  • Die Direktive AuthName legt den Namen des Autorisierungsbereiches fest und kann frei gewählt werden.
  • Die Direktive AuthLDAPURL spezifiziert die URL des TUHH LDAP-Servers und die Suchparameter.
  • Für den Webserver Apache 2.2.x ist eine weitere Direktive notwendig: AuthBasicProvider ldap

Beispiele

Die Nutzung der LDAP-Benutzerauthentifizierung wird an einigen Beispielen erläutert. Schreiben Sie die nachfolgenden Direktiven (grau hinterlegt) in die Datei .htaccess des Basisverzeichnisses der Website, die geschützt werden soll.

Beispiel 1: ein bestimmter Benutzer kann sich freischalten

Inhalt von .htaccess:
AuthType Basic
AuthBasicProvider ldap
AuthName "LDAP protected Site"
AuthLDAPURL ldaps://ldap.rz.tu-harburg.de:636/ou=People,dc=tu-harburg,dc=de
Require user username1

Die Direktive "Require ...." bewirkt, dass der Benutzer mit dem TUHH-Account "username1" nach erfolgreicher Authentifizierung auf die geschützten Webdokumente zugreifen kann.

Beispiel 2: alle Mitglieder der TUHH können sich freischalten

Inhalt von .htaccess:
AuthType Basic
AuthBasicProvider ldap
AuthName "LDAP protected Site"
AuthLDAPURL ldaps://ldap.rz.tu-harburg.de:636/ou=People,dc=tu-harburg,dc=de
Require valid-user

Die Direktive "Require valid-user" bewirkt, dass alle Mitglieder der TUHH mit ihrem TUHH-Account nach erfolgreicher Authentifizierung auf die geschützten Webdokumente zugreifen können.

Beispiel 3: eine festgelegte Benutzergruppe kann sich freischalten

Inhalt von .htaccess:
AuthType Basic
AuthBasicProvider ldap
AuthName "LDAP protected Site"
AuthLDAPURL ldaps://ldap.rz.tu-harburg.de:636/ou=People,dc=tu-harburg,dc=de
AuthGroupFile .htGroupFile
Require group myGroup
Inhalt von .htGroupFile:
myGroup: \
username1 \
username2 \
username3 \
username4
  • Die Direktive AuthGroupFile legt den Namen einer Datei fest, in der eine oder mehrere Benutzergruppen definiert werden.
  • Die Direktive "Require Group myGroup" bewirkt, dass alle Mitglieder der in der Datei ".htGroupFile" definierten Gruppe "myGroup" mit ihrem TUHH-Account und zugehörigem Passwort nach erfolgreicher Authentifizierung auf die geschützte Website zugreifen können.

Zugriffsschutz zum Instituts-Intranet

Das Apache LDAP-Modul bietet einfache Möglichkeiten, Webbereiche nur für Angehörige einer Organisationseinheit, z.B. eines Instituts oder eines Servicebereichs, zugänglich zu machen. Dies wird am Beispiel erläutert.

Beispiel: alle Mitglieder einer Organisationseinheit können sich freischalten

Inhalt von .htaccess:
AuthType Basic
AuthBasicProvider ldap
AuthName "RZ Intranet"
AuthLDAPURL ldaps://ldap.rz.tu-harburg.de:636/ou=RZ,ou=Organization,dc=tu-harburg,dc=de
Require valid-user

Die Direktive "Require valid-user" bewirkt, dass alle Mitglieder der TUHH, die zur Organisationseinheit RZ (Rechenzentrum) gehören, mit ihrem TUHH-Account nach erfolgreicher Authentifizierung auf die so geschützten Webdokumente zugreifen können.

Weitere Information