tas2580
Blog über Webentwicklung

Lighttpd mit LDAP

tas2580  

Da ich den Apache irgendwie nicht mag benutze ich für meine Webserver schon seit einiger Zeit den lighttpd. Das ist ein schön schlanker Webserver der eigentlich alles kann was man für einen normalen Webserver benötigt. Gerade wenn man pro Server nur eine oder wenige Webseiten laufen hat ist der Lighttpd gut geeignet.

Jetzt stand ich vor dem Problem das ich einen Bereich habe der nicht öffentlich zugänglich sein soll, unter Apache würde ich einfach einen .htaccess Passwortschutz einrichten. Da ich aber meine Benutzer in einem LDAP Verzeichnis liegen habe wäre es doch schon wenn ich den Lighttpd so konfigurieren könnte das ich meine LDAP Benutzer für den Zugriffsschutz verwenden könnte.


Es hat sich raus gestellt das es mit dem Lighttpd erstaunlich einfach ist einen Zugriffsschutz für bestimmte Bereiche einzurichten der seine Benutzer vom LDAP Verzeichnis bezieht. Zu erst muss man mod_auth einbinden, dazu passt man die /etc/lighttpd/lighttpd.conf folgendermaßen an:

server.modules = (
	...
	"mod_auth",
	...
)

Jetzt kann man in der lighttpd.conf das Modul konfigurieren, dazu fügt man folgendes ein:

auth.backend = "ldap"
auth.backend.ldap.hostname     = "127.0.0.1" 
auth.backend.ldap.base-dn      = "ou=users,dc=example,dc=com" 
auth.backend.ldap.filter       = "(uid=$)"

Nun kann man den Zugriffschutz für die einzelnen Bereiche konfigurieren:

$HTTP["url"] =~ "/intern/" {
    auth.require = ( 
       "/intern/" => ( 
            "method" => "basic", 
            "realm" => "Secret Area", 
            "require" => "valid-user" 
       )
    )
}

Damit wird jetzt beim Zugriff auf .../intern/ eine Anmeldung vom Webserver gefordert, Zugriff haben alle Benutzer die im LDAP unter ou=users,dc=example,dc=com liegen.

Bekannte Probleme

Leider geht mit LDAP als Backend nur basic und kein digest, man sollte also den Zugriff nur über HTTPS zulassen da sonst das Passwort in Klartext übers Netz geht.

Ein weiteres Problem ist das man keine Gruppen angeben kann die Zugriff haben sollen, es haben immer alle Benutzer Zugriff, dazu gibt es zwar schon ein Feature Request, ob sich da noch was tut wird sich zeigen.


Ähnliche Beiträge


Kommentare


Bitte warten ...

Kommentar schreiben

URLs werden automatisch umgewandelt.
[b]DEIN TEXT[/b] für Fett gedruckt
[quote]DEIN ZITAT[/quote] für Zitate
[code]DEIN CODE[/code] für Code
captcha