Schränken Sie den Zugriff auf Webserver verzeichnisweise ein. Aus Ihrem Verzeichnis wird so ein kleines Intranet. Nur der von Ihnen bestimmte Nutzerkreis greift auf die Daten zu. Voraussetzung ist für die Zugreifenden ein JGU-Account.
WordPress bietet die Schnittstelle JGU Downloadcenter zu Dateien auf dem Webserver download.uni-mainz.de.
Aktuell: Umstellung auf OpenID Connect
Das ZDV stellt alle zugriffsbeschränkten Dienste auf OpenID Connect per zentralem Login-Knoten um.
Für eine Übergangszeit bis September 2022 funktioniert der Zugriffsschutz mit beiden Authentisierungstypen, Basic Authentication mit LDAP und OpenID Connect.
Generell besser unabhängig von Groß- Kleinschreibung!
|
1 2 3 |
Require claim "role~(?i)^stud_04$" Require claim "role~(?i)^MA-HSMed$" Require claim "role~(?i)^promovierende$" |
Beispiel
Zugriff ist nur nach Login möglich: http://download.uni-mainz.de/beispiel/intern-alle-user/readme.txt
Legen Sie die Datei .htaccess in das zu schützende Verzeichnis. Im Inhalt steht, wer Zugriff haben soll. Der Schutz gilt auch für alle Unterverzeichnisse.
Beispiel Inhalt einer .htaccess-Datei:
|
1 2 |
AuthType openid-connect Require valid-user |
Bedeutung:
- AuthType openid-connect: Das ZDV stellt alle Zugriffsbeschränkten Dienste auf Single Sign on um.
- Require valid-user: Alle mit einem JGU-Account dürfen zugreifen. Dies ist die einfachste Methode, Ihre Daten zu schützen.
Vor Zugriff schützen für Benutzergruppen
Im Folgenden finden Sie Beispiele zu Benutzergruppen, auf die Sie den Zugriff einschränken können. Verwen
|
1 2 |
AuthType openid-connect Require valid-user |
Alle Studierenden:
|
1 2 |
AuthType openid-connect Require claim "role~(?i)^Stud$" |
Für Studierende der Fachbereiche 01 bis 10:
❗ Achtung: Sollten Sie auch den Lehrämtlern Zugriff verschaffen wollen, brauchen wir deren aktuelle Liste, um sie hinzufügen zu können, da wir diese Information aktuell für die Funktion unserer Systeme nicht benötigen und daher auch nicht sammeln. Mit Umstieg auf ein integrierteres Identity Management sollte dieser Punkt sich mittelfristig lösen.
|
1 2 |
AuthType openid-connect Require claim "role~(?i)^Stud_01$" |
Für Studierende der Fachbereiche Musik und Kunst:
|
1 |
Require claim "role~(?i)^Stud_musik$" |
bzw.
|
1 |
Require claim "role~(?i)^Stud_kunst$" |
|
1 2 |
AuthType openid-connect Require claim "role~(?i)^Stud_musik$" |
Für Mitarbeitenden der Fachbereiche 01 bis 10:
|
1 2 |
AuthType openid-connect Require claim "role~(?i)^FB05-ma$" |
Für alle Mitarbeitenden:
|
1 2 |
AuthType openid-connect Require claim "role~(?i)^ma$" |
|
1 2 |
AuthType openid-connect Require claim "role~(?i)^FB01-hiwi$" |
Alt:
|
1 |
Require ldap-group CN=<strong>FBXX-hiwi</strong>,OU=<strong>FBXX-hiwi</strong>,OU=HiWi,OU=UserPSC,OU=User,DC=Uni-Mainz,DC=DE |
(dabei
|
1 |
FBXX-hiwi |
durch z.B.
|
1 |
FB03-hiwi |
an beiden Stellen ersetzen)
Warnung: ⚠️: HiWis erhalten nicht automatischen einen Account (trotz Vertrag), die HiWi-Accounts sind in der Regel nicht direkt in der gleichen jeweiligen Gruppe wie die Mitarbeiter!
|
1 2 |
AuthType openid-connect Require claim "role~(?i)^FBXX-gw$" |
|
1 |
Require ldap-group CN=<strong>FBXX-gw</strong>,OU=<strong>FBXX-gw</strong>,OU=GW,OU=UserPSC,OU=User,DC=Uni-Mainz,DC=DE |
|
1 |
FBXX-gw |
|
1 |
FB03-gw |
|
1 2 |
AuthType openid-connect Require claim "role~(?i)^STUD_00$" |
|
1 |
Require ldap-group CN=STUD_00,OU=Stud_00,OU=Stud,OU=UserPSC,OU=User,DC=Uni-Mainz,DC=DE |
Alle Promovierenden der JGU:
|
1 2 |
AuthType openid-connect Require claim "role~(?i)^Promovierende$" |
Da sich diese Namen jederzeit ändern können (Heirat usw.): Haupteinsatzzweck ist die temporäre Beschränkung auf den eigenen JGU-Account während der Entwicklung und anschließend Freigabe für alle Accountinhaber oder alle Mitarbeitenden.
Für bestimmte JGU-Accounts verwenden Sie:
|
1 2 3 |
AuthType openid-connect Require claim "zdv_upn~(?i)^benutzername1@uni-mainz.de$" Require claim "zdv_upn~(?i)^benutzername2@uni-mainz.de$" |
zdv_upn ist der Accountname, also das, was der Benutzer beim Login angibt. Es ist nicht die Mailadresse!
Wenn Sie mehrere Require-Zeilen untereinanderschreiben, gilt der Zugriffsschutz für alle diese Gruppen.
Beispiel Mitarbeitenden und Studierende des Fachbereiche 01:
AuthType openid-connect
Require claim role:fb01-ma
Require claim role:Stud_01
Für alle Mitarbeitenden:
AuthType openid-connect
Require claim role:ma
Fehlermeldungen
Unauthorized - Sie sind nicht in der Gruppe!
This server could not verify that you are authorized to access the document requested. Either you supplied the wrong credentials (e.g., bad password), or your browser doesn't understand how to supply the credentials required.
Für Gruppen im Bereich Web trägt Ihr Verwalter der Rechtegruppen Ihren Account ein.
Forbidden
Sie steuern vielleicht ein Verzeichnis an, in dem es nicht zulässig ist, Verzeichnislisten auszugeben. Dies ist aus Sicherheitsgründen der Standard. Versuchen Sie, direkt einen Link auf eine Datei anzusteuern.
Beispiel: Dies führt zur Fehlermeldung Forbidden:
http://download.uni-mainz.de/beispiel/intern-alle-user/
Dies hingegen funktioniert: http://download.uni-mainz.de/beispiel/intern-alle-user/readme.txt
Internal Server Error
Wenn Sie bei Aufruf des Verzeichnisses sofort folgende Meldung erhalten:
500 Internal Server Error: The server encountered an internal error or misconfiguration and was unable to complete your request.."
Dann ist die Umstellung Ihrer .htaccess-Datei vielleicht noch nicht vollständig. Ersetzen Sie Ihre .htaccess durch eine aus den obigen Beispielen und versuchen Sie es noch einmal.
Fehlermeldung nach dem Abschalten von Basic Authentication mit LDAP
Ist der Abschnitt per <ifmodule> eingegrenzt, kommt es nicht zu einer Fehlermeldung. Allerdings funktnioniert die Authentisierung auch nicht.
Dateien per Seafile anzeigen lassen
Alternativ zum Downloadcenter (wenn Sie die Daten beispielsweise mit einem Passwort schützen möchten) verweisen Sie auf unsere Datenplattform Seafile. Per Seafile Dateien anbieten.
Technische Details zur Umsetzung
Basic Authentication wird übrigens nicht komplett abgeschaltet, sondern die Basic authentication per LDAP. Basic Authentication mit z.B. einer htpasswd-Datei funktioniert weiter. Dies Verfahren ist allerdings derart alt, daß es auf unseren Servern kaum mehr verwendet wird.