direkt zum Inhalt springen

direkt zum Hauptnavigationsmenü

Sie sind hier

TU Berlin

Inhalt des Dokuments

Neue Webserverversion

Im Rahmen der regelmäßigen Aktualisierung der auf unseren Servern eingesetzten Software werden wir im November 2012 auf eine neuere Version des Apache Webservers wechseln, d.h. von der derzeit genutzten Version 2.0 auf die Version 2.2.

In der neuen Apache Version 2.2 gibt es im Vergleich zur Version 2.0 Änderungen an einigen Direktiven, die in .htaccess-Dateien verwendet werden können.

Da viele der TUB-WebadministratorInnen und -BearbeiterInnen mithilfe von Authentisierungs- und Autorisierungs-Direktiven in .htaccess-Dateien den Zugriff auf bestimmte Webseiten oder Dokumente steuern, sind diese Änderungen für sie von Bedeutung.

Das Umbenennen der eingesetzten alten, betroffenen Direktiven ist zwingend erforderlich, damit die gewünschte Funktionalität auch nach der Umstellung noch gegeben ist. Sollten die notwendigen Änderungen nicht vorgenommen werden, führen die veralteten Direktiven nach der Umstellung dazu, dass auf Webseiten oder Dokumente, für die die Direktiven gelten, nur noch eine Fehlerseite "Internal Server Error" ausgegeben wird.

Welche Auftritte sind betroffen?

Potentiell betroffen sind alle konventionellen Webauftritte, alle persönlichen Webseiten (Seiten unterhalb von public_html) und TYPO3-Auftritte innerhalb der durch tubIT betreuten TYPO3-Hauptinstallation.

Wer muss etwas tun?

Alle BearbeiterInnen von TYPO3-Auftritten, konventionellen Webauftritten oder persönlichen Webseiten, die schon einmal eine .htaccess-Datei angelegt bzw. bearbeitet haben, sollten die Dateien der Webauftritte nach dem Vorhandensein von .htaccess überprüfen und entsprechend unserer Anleitung vorgehen. Falls ehemalige KollegInnen derartige Dateien angelegt haben könnten, sollten Sie ebenfalls tätig werden.

Nachfolgend finden Sie eine kurze Liste der zu ändernden Direktiven und darunter eine knappe Beschreibung der zugrunde liegenden Funktionalität.

Betroffene Direktiven
Alte Direktive
Neue Direktive
AuthDigestFile
AuthUserFile
AuthLDAPAuthoritative
AuthzLDAPAuthoritative
AuthLDAPEnabled On“
AuthBasicProvider ldap“
require group“
require ldap-group“

Hinweis: Die mit „“ gekennzeichneten Direktiven dienen zur Hervorhebung der Tatsache, dass der Direktive Optionen übergeben werden, die auch geändert werden müssen.

Die Direktiven

AuthDigestFile (alt)

Wenn Sie den Zugriff auf Ihre Webseiten oder TYPO3-Ordner nur bestimmten NutzerInnen ermöglichen wollen und als AuthType "digest" (nicht "basic") verwenden, können Sie mit dieser Direktive angeben, in welcher Datei die Benutzernamen und Passwörter konfiguriert sind. Diese Änderung dürfte viele NutzerInnen betreffen.

AuthLDAPAuthoritative und AuthLDAPEnabled (alt)

Diese beiden Direktiven steuern das Verhalten bei der Verwendung von LDAP zur Authentisierung von Benutzern. Es dürfte nur wenige Webauftritte geben, bei denen explizit eine LDAP-Authentisierung eingerichtet wurde und die somit von der Änderung betroffen wären.

„require group“ (alt)

Mit der Direktive „require“ können Sie angeben, welche der über den verwendeten Authentisierungsmechanismus gültigen Benutzer dann tatsächlich autorisiert sind, auf die Seiten zuzugreifen. Wenn Sie LDAP für die Authentisierung aktiviert haben und einer LDAP-Gruppe den Zugriff gewähren wollen, müssen Sie nun in der require-Direktive „ldap-group“ statt „group“ zuzüglich des/r Gruppennamen angeben.

Achtung: befolgen Sie bitte den unteren Hinweis

Wie passen Sie die .htaccess-Dateien an?

Da die neuen Direktiven erst nach der Umstellung funktionieren und die bisherigen sofort nach der Umstellung ungültig sind, müssen Sie eine Versionsweiche einbauen, die für jede Apache-Version die richtige Direktive verwendet, so dass ein problemloser Übergang möglich ist.

Beispiel:

<IfVersion < 2.2>

AuthDigestFile /afs/tu-berlin.de/....

</IfVersion>

<IfVersion >= 2.2>

AuthUserFile /afs/tu-berlin.de/....

</IfVersion>

Skript als Hilfe für die Anpassungen

Da wir aus datenschutzrechtlichen Gründen nicht einfach Dateien Ihres Auftrittes ändern dürfen, Sie jedoch mit der Umstellung nicht alleine lassen wollen, haben wir ein Perl-Skript erstellt, das Ihnen die Arbeit, jede .htaccess-Datei finden, überprüfen und bearbeiten zu müssen, abnehmen kann.

Das Skript verfügt über einen Testmodus, der Ihnen zunächst alle Dateien auflistet, die noch bearbeitet werden müssen oder bereits bearbeitet wurden.

Im Patchmodus wird eine Kopie der zu ändernden Datei im jeweiligen Verzeichnis abgelegt und das Original anschließend geändert. Da das Perl-Skript das UNIX-Kommando "find" zum Finden von in Frage kommenden Dateien verwendet, kann es nur auf Linux/Unix Systemen aufgerufen werden.

Im Folgenden beschreiben wir Ihnen, wie Sie das Skript auf einem unserer Server anwenden können. Natürlich haben Sie auch die Möglichkeit, das Skript auf einem anderen Linux/Unix-Rechner mit AFS-Anbindung aufzurufen.

Voraussetzung: Da das Skript mit Ihren AFS-Rechten ausgeführt wird, benötigen Sie für die Überprüfung und Bearbeitung der Dateien des entsprechenden konventionellen Webauftritts, der persönlichen Webseite bzw. des fileadmin-Bereiches von TYPO3 schreibende und lesende AFS-Zugriffsrechte. Falls Sie keinen Zugriff haben sollten, wenden Sie sich bitte an die/den AFS-Verantwortliche/n Ihrer Einrichtung.

Schritt für Schritt

1. Loggen Sie sich mit Ihrem tubIT-Konto via SSH auf dem Server sshgate.tu-berlin.de ein.
2. Führen Sie den folgenden Befehl auf der Kommandozeile aus:

perl /afs/tu-berlin.de/public/patch_htaccess_AuthUserFile.pl --test PFAD

Hinweis zum PFAD: Der PFAD ist von Ihnen geeignet zu ersetzen. In Frage kommen die Unterverzeichnisse von „www“ und „typo3“ im AFS-Bereich Ihrer Einrichtung bzw. „public_html“ Ihres persönlichen AFS-Bereiches. Hier liegen alle fileadmin-Ordner, konventionellen Webauftritte bzw. User-Pages. Sollten Sie Schreib- und Leserechte für den gesamten AFS-Datenbereich Ihrer Einrichtung besitzen, können Sie auch als PFAD den Pfad zum www-Ordner Ihrer Einrichtung übergeben.

Beispiel:

perl /afs/tu-berlin.de/public/patch_htaccess_AuthUserFile.pl --test /afs/tu-berlin.de/units/tubit/www/test1.tubit

Nach dem Aufruf des Skriptes im Testmodus folgt eine Auflistung der zu ändernden .htaccess-Dateien. Falls keine Dateien aufgelistet werden, ist auch nichts zu tun. Sollten Fehler angezeigt werden, fehlen Ihnen vermutlich die notwendigen Zugriffsrechte oder der angegebene Pfad war ungültig.

Wenn Sie die aufgelisteten Dateien nun mit der Versionsweiche versehen wollen, führen Sie nun das Skript im Patchmodus aus:

perl /afs/tu-berlin.de/public/patch_htaccess_AuthUserFile.pl --patch PFAD

Die zuvor aufgelisteten Dateien werden nun geändert. Die Originalversion der Datei wird jeweils im gleichen Verzeichnis als Kopie gespeichert.

ACHTUNG

Da ein einfaches Skript die komplexe Logik aus verschiedenen von einander abhängigen bzw. in Beziehung stehenden Direktiven nicht erfassen kann, müssen .htaccess-Dateien zur LDAP-Authentisierung bzw. -Autorisierung leider von Ihnen manuell überprüft und ggf. angepasst werden.

Trotz aller Tests kann es passieren, dass es beim Bearbeiten der Dateien zu Fehlern kommt. Testen Sie Ihre Webseiten anschließend also unbedingt auf Funktion. Bei Problemen können Sie die im gleichen Verzeichnis abgelegte Sicherheitskopie mit dem Suffix „_tubit_DATUM“, durch Umbenennen wieder herstellen. Über einen Hinweis bzgl. des Problems würden wir uns natürlich freuen.

Zusatzinformationen / Extras

Direktzugang

Schnellnavigation zur Seite über Nummerneingabe