skip to content

Beschränkung des Zugriffs

Die Daten des Webservers www.uni-koeln.de sowie der Projektserver sind normalerweise mit HTTP weltweit unbeschränkt sichtbar und zusätzlich für die Benutzer der zentralen RRZK-Rechner sichtbar, solange sie ein AFS-Token haben. (Zu den Begriffen siehe Glossar)

Für vertrauliche oder lizenzrechtlich nicht freigegebene Daten kann der Zugang beschränkt werden. Das geschieht normalerweise für ein ganzes Verzeichnis einschließlich seiner Unterverzeichnisse. Für den Schutz gibt es 5 (unten näher beschriebene) verschiedene Möglichkeiten. Die Varianten 3 und 4 kann jeder Webbetreuer selbst einrichten. In allen anderen Fällen wenden sich dazu die Verantwortlichen an Webmaster mit der Angabe des Verzeichnisses und des gewünschten Schutzes.

  1. Beschränkung auf das UKLAN, das Universitätsnetz: Das reicht zum Beispiel aus, wenn die Lizenz zu einer Dokumentation nur für die Hochschule gegeben ist. Es ist auch sinnvoll bei Listen von Mitarbeitern eines Instituts oder Teilnehmern einer Veranstaltung, wenn die lokale Kommunikation über das Netz erforderlich ist und keine Einwilligung zur weltweiten Verbreitung vorliegt.Da der AFS-Zugang schon auf die lokalen Benutzer eingeschränkt ist, muss nur noch der HTTP-Zugang von außerhalb verhindert werden.
  2. Beschränkung auf bestimmte Domains, Subdomains oder Rechner: Zum Beispiel können so Seiten nur in einem bestimmten Institut gesehen werden. Webmaster sind dazu die numerischen Internetadressen anzugeben und ob der AFS-Zugang auf die Schreibberechtigten beschränkt sein soll.
  3. Beschränkung durch ein Kennwort: Dies bietet sich an, wenn nur ein kleiner Kreis von Personen Zugang haben soll. Diesen Personen wird dann das Kennwort genannt, und sie können unabhängig von ihrer Domain die Daten sehen. Vertrauliche Daten für einen größeren Personenkreis kann man so aber kaum schützen, da erfahrungsgemäß das Kennwort schnell weitergegeben wird.Sie können diesen Schutz mittels .htaccess-Dateien selbst in Ihrem Verzeichnis einrichten. Eine Anleitung finden Sie bei SelfHTML. Das Kennwort sollte nicht erratbar sein. Statt des Kennwortes muss seine verschlüsselte Fassung verwendet werden. Diese bekommt man zum Beispiel unter Unix (zum Beispiel auf dem Server dialog) mit dem Befehl

    perl -e 'print crypt("Kennwort","ab"),"\n"'

    wobei "ab" ein fester Parameter (sog. "Salt") ist. In der SelfHTML-Anleitung wird mit einer Website eine weitere Möglichkeit geboten, das Kennwort verschlüsselt zu erhalten.

  4. Authentifizierung gegen LDAP, also mittels Personalaccount: Achtung: Dies geht nur in Webprojekten, nicht auf dem statischen Webserver! Auch in diesem Fall legen Sie eine .htaccess-Datei an, geben ihr aber folgenden Inhalt (im Beispiel für die Accounts "muellerxy" und "maierabc"):

    AuthBasicAuthoritative off
    AuthName "IhrProjektname"
    AuthType Basic
    AuthBasicProvider ldap1 ldap2
    require user muellerxy maierabc

  5. Zweistufiger Zugriffsschutz: Alternativ zu den separaten Methoden "erreichbar innerhalb UKLAN" und "Kennwortschutz" kann man ein Verzeichnis auch so einrichten, dass der Zugriff innerhalb UKLAN (oder eines anderen bestimmten IP-Bereiches) immer gewährleistet ist, von außerhalb aber ein Passwort vonnöten ist.

Contact
If you have any questions or problems, please contact the RRZK-Helpdesk