Userbase

Hi guys,

Ik zou een beveiligde webpagina willen opzetten met voorgedefinieerde gebruikers.

Omdat ik al eens op die informatie was uitgekomen heb ik een poging gedaan om dit met .htaccess te doen maar het probleem is dat er maar 2 usersaccounts zijn en ik graag met meer verschillende id's zou willen werken.

Nu had ik al de tip gekregen om met Perl een inlogpagina te maken maar ik heb geen flauw idee hoe dat te doen.

Ik kan enkel gebruik maken van cgi en perl scripting.

Alvast bedankt!

Peterken schreef:Omdat ik al eens op die informatie was uitgekomen heb ik een poging gedaan om dit met .htaccess te doen maar het probleem is dat er maar 2 usersaccounts zijn en ik graag met meer verschillende id's zou willen werken.

Je kan via .htaccess toch zoveel user-accounts opgeven als je wilt? Ik denk wel dat je dan shell-access moet hebben om de paswoorden in een .htpasswd er in te krijgen.
Of je gebruikt een online generator die het paswoord voor jou blowfished, dan kan je die er zo in krijgen, zoals http://www.flash.net/cgi-bin/pw.pl

Haaidie Meon,

Het lijkt idd mogelijk om met .htaccess meerdere gebruikers op te geven die toegang hebben maar die gebruikers moeten blijkbaar bestaan op de server. Bedoel je dat met shell-access?

Om die users 'er in' te krijgen is geen probleem want die maak ik op voorhand aan - zijn er niet zoveel.
De bedoeling is om een ledenlijst bij te houden en enkel toegankelijk te maken voor die leden zodat ieder een actuele versie kan raadplegen.

Peterken schreef:maar die gebruikers moeten blijkbaar bestaan op de server. Bedoel je dat met shell-access?
Om die users 'er in' te krijgen is geen probleem want die maak ik op voorhand aan - zijn er niet zoveel.

om password access te verkrijgen heb je 2 files nodig :
- .htaccess in de dir die je wil beveiligen (daarin staan usernames enzo)
- een htpassword bestand (buiten je webdir) -- daarin staan de encrypted passwords.

het .htaccess bestand op voorhand aanmaken en overcopieren is geen probleem (wel goed letten op permissies )
maar de problemen zitten em in het htpassword bestand, volgens mij heb je 3 opties:

- op voorhand maken en encrypten op een ander systeem. geen idee of dat gaat werken, nog nooit geprobeerd, maar volgens mij moet dat gaan.
- shell access (aka meon) : inloggen op de server waar je website staat en een command line script runnen om de htpassword file aan te maken (htpasswd -c /dir/naar/htpasswordfile mijn_username ) - de -c opties enkel bij de eerste user, is om de file zelf te creeen.
- een script op de webserver gebruiken om een password te encrypten en in de password file bij te voegen.

Ban

Ik gebruik altijd deze tutorial.
Maar het .htpasswd bestand moet je in de beveiligde dir zetten hoor.

°MaRtO°° schreef:Ik gebruik altijd deze tutorial.
Maar het .htpasswd bestand moet je ook in de beveiligde dir zetten hoor.

inderdaad ja ...
from the 'htpasswd' manpage on debian stable :


SECURITY CONSIDERATIONS
Web password files such as those managed by htpasswd should not be within the Web server's URI space -- that is, they should not be fetchable with a browser.[/b]

Ok guys, bedankt voor die uitleg en het werkt MAAR: alleen als ik de 2 usersaccounts gebruik die gekend zijn op die webserver.
Omdat er meer dan 2 verschillende personen zijn + dat er toch wel beweging is in dat ledenbestand zou ik graag voor ieder lid een aparte 'login' en paswoord hebben voor die specifieke pagina/dir.

Werkt dat bij jullie ook met users die niet gekend zijn op die server?

Wel, je moet dan gewoon verschillende mappen aan maken met daarin iedere keer.htaccess en .htpasswd. Maar dat vind ik toch niet zo handig:
pakt meer webspace, ...

Peterken schreef:Werkt dat bij jullie ook met users die niet gekend zijn op die server?

Ja.
In die .htpasswd-file staan gewoon usernames en paswoorden in encrypted form. Maakt dus niet uit welke deze zijn, hoeveel en waar die gekend zijn.

@°MaRtO°°: het heeft toch geen zin om meerdere .htpasswd files in verschillende dirs te plaatsen als ik sowieso maar die 2 users kan gebruiken of bedoel je iets anders?

Vermits dat bij mij niet werkt zal dat te maken hebben met beperkingen/beveiliging, niet?

Daarom mijn oorspronkelijke vraag: ZONDER gebruik te maken van .htaccess.

Ik ben heel zeker dat je hier wel iets zult vinden.