nicht angemeldet
Kein Zugriff auf Internetsite für bestimmte User
Hallo Leute
Ich habe eine Website erstellt, welche die Mitarbeiter benutzen können, wenn sie bei einem Programm nicht mehr weiter kommen. Also eine Art Hilfe, wo alle Punkte des Programms erläutert werden und spezielle Arbeitschritte aufgezeigt sind. Die Seite ist auf eiem Server unserer Firma "stationiert".
Die Benuzter sind bei uns in 2 Gruppen aufgeteilt: Studenten, welche sich auf einer anderen Domäne einloggen, als die Mitarbeiter. Die Domänen stehen sich aber in einer Vertrauensverbindung gegenüber (oder sowas ähnliches). Also haben die Schüler z.T Zugriff auf der Mitarbeiterdomäne und umgekehrt.
Die Website geht aber die Schüler nichts an (Haben das Programm auch nicht) und sollte darum für die gespert werden.
Also wenn ein Mitarbeiter sich in der Mitarbeiterdomände einloggt, sollte die Seite erscheinen, wenn er im Browser den Servernamen eingibt, ein Student, der sich auf der Studentendomäne einloggt aber nicht.
Hat hier irgendjemand eine Idee wie ich das realisieren könnte?
Für Hilfe wäre ich sehr dankbar!
Gruss Marco
-
Hi Marco,
Die Benuzter sind bei uns in 2 Gruppen aufgeteilt: Studenten, welche sich auf einer anderen Domäne einloggen, als die Mitarbeiter.
was ist eine "Domäne"? Wem gegenüber findet dieser Login-Vorgang statt? Welche Schnittstellen stellt dieser Jemand ggf. anderen Applikationen zur Verfügung, um die Ergebnisse dieses Authentifizierungsvorgangs weiter verarbeiten zu können?
Wenn Du ein Problem im HTTP-Universum lösen willst (nämlich einen eingeschränkten Zugriff auf einen URL-Teilbereich eines HTTP-Servers), dann wirst Du entweder auf Informationen zurückgreifen müssen, welche Dir in diesem Universum zur Verfügung stehen, oder versuchen müssen, ggf. verfügbare proprietäre Effekte Deiner Installation auszunutzen, um dieses "Domänen"-Authentifizierung ins HTTP-Universum zu transportieren. Mit handelsüblichen Browser dürfte Dir letzteres jedoch ziemlich schwer fallen.
Hat hier irgendjemand eine Idee wie ich das realisieren könnte?
Ich würde versuchen, ein im HTTP-Universum verfügbares Kriterium zu verwenden - also entweder eine separate Authentifizierung dort, oder ggf. das Ausnutzen von Eigenschaften Deines Netzwerkes: Vielleicht lassen sich die Rechner unterscheiden (über IP-subranges?), wenn es die Browser schon nicht tun?
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.-
Hallo Michael
Danke für deine Antwort. Ich werde es wahrscheinlich mal so versuchen: Eine leere Startseite die überprüft, wer eingeloggt ist und ihn dann je nachdem weiterleiten oder nicht. Werde morgen mal etwas versuchen.
Das mit der Domäne ist vielleicht ein bisschen falsch ausgedrückt. Bei der Windows-Anmeldung kann man unter "Anmelden an:" zwischen zwei verschiedenen Gruppen auswählen. Die für Schüler und die für Mitarbeiter.
Gruss Marco
-
Hi Marco,
Danke für deine Antwort. Ich werde es wahrscheinlich mal so versuchen: Eine leere Startseite die überprüft, wer eingeloggt ist
genau darauf bezogen sich meine Fragen: Wie soll eine auf dem HTTP-Server (!) laufende serverseitige Intelligenz auf Informationen eines client-spezifischen Login-Vorgangs in ein HTTP-fernes Fremdprodukt (Windows) zugreifen können? Du bist im falschen Universum.
Das mit der Domäne ist vielleicht ein bisschen falsch ausgedrückt. Bei der Windows-Anmeldung kann man unter "Anmelden an:" zwischen zwei verschiedenen Gruppen auswählen. Die für Schüler und die für Mitarbeiter.
Windows hat mit HTTP nichts zu tun - das aber ist Dein Problem.
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.
-
-
Moin!
Ich stellem folgendes fest:
(1) Intranet
(2) vermutlich Windows- Netzwerk und Internet ExplorerMit handelsüblichen Browser dürfte Dir letzteres jedoch ziemlich schwer fallen.
Das ist in dem fall Falsch. Der IE ist "handelsüblich".
Lese unter Extras->Internetoptionen Register Sicherheit mal die Einstellungen zu Bentzerauthentifizierung durch. Setz dazu den Cursor auf: "Automatisches Anmelden nur in der Intranetzone", rechte Maustaste, Direkthilfe.
Du wirst staunen.... weil: Er kann zur Benutzerauthentifizierung tatsächlich die Netzwerkanmeldung benutzen. Nur muß er schauen, wie er das auf dem Server hinbekommt. Vermutlich wird er hier auf einen IIS zurückgreifen müssen.
MFFG (Mit freundlich- friedfertigem Grinsen)
fastix®
--
Meinereinerselbst ist auf der Suche nach Aufträgen-
Hi fastix®,
Lese unter Extras->Internetoptionen Register Sicherheit mal die Einstellungen zu Bentzerauthentifizierung durch. Setz dazu den Cursor auf: "Automatisches Anmelden nur in der Intranetzone", rechte Maustaste, Direkthilfe.
Du wirst staunen...in der Tat - denn mein M$IE hat im Register "Sicherheit" nichts, was auch nur annähernd so klingt wie das, was Du hier beschreibst ...
Nur muß er schauen, wie er das auf dem Server hinbekommt. Vermutlich wird er hier auf einen IIS zurückgreifen müssen.
Dieser Satz ist mir ein Rätsel. Wenn der M$IE auf dem Client es tatsächlich hinkriegen sollte, eine Windows-Domain-Login-Information zu nutzen, um diese an einen ihm eigentlich völlig unbekannten Realm des HTTP-Universums zu senden (was ich nach wie vor bezweifele - woher soll der M$IE wissen, daß diese Information dort irgendwas nützen könnte und er auf die Dialog-Login-Box verzichten kann), dann muß er dies in Form eines HTTP-Headers tun ... wieso sollte es dann eine Rolle spielen, welcher HTTP-Server diesen Request annimmt?
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.-
Moin!
in der Tat - denn mein M$IE hat im Register "Sicherheit" nichts, was auch nur annähernd so klingt wie das, was Du hier beschreibst ...
Es ist da. (IE 6) Willst Du ein Bildschirmfoto?
Nur muß er schauen, wie er das auf dem Server hinbekommt. Vermutlich wird er hier auf einen IIS zurückgreifen müssen.
Dieser Satz ist mir ein Rätsel. Wenn der M$IE auf dem Client es tatsächlich hinkriegen sollte, eine Windows-Domain-Login-Information zu nutzen, um diese an einen ihm eigentlich völlig unbekannten Realm des HTTP-Universums zu senden (was ich nach wie vor bezweifele - woher soll der M$IE wissen, daß diese Information dort irgendwas nützen könnte und er auf die Dialog-Login-Box verzichten kann), dann muß er dies in Form eines HTTP-Headers tun ... wieso sollte es dann eine Rolle spielen, welcher HTTP-Server diesen Request annimmt?
Der IE nimmt an, dass es etwas nützt, weil diese Option für das Intranet eingestellt ist. Also versucht er das Realm mit dem Senden der Daten zu "bedienen". Frag mich ja nicht, ob verschlüsselt oder unverschlüsselt :) (Sicherheitsloch?) (Mal sniffen gehen...)
Es kann aber auch durchaus sein, M$ verwendet in diesem Fall irgendeinen properitären Scheiß und nicht die übliche HTTP-Authentifikation, diese dann womöglich als fallback. (->Mal sniffen gehen...)
Der HTTP-Server müsste sich allerdings die Benutzerinformationen vom Active Directory (Oder PDC oder einem BDC...) bestätigen lassen- deshalb die von mir vermutete Notwendigkeit des IIS. (Damit wäre auch gleich das Problem der Intranetzuordnung erschlagen: er muß dazugehören um die Information zu bekommen.) Sonstigenfalls müssten alle Benutzer 2 Mal angelegt werden. Und das erscheint mir hier nicht als der Sinn der Sache. Ich wüsste auch nicht, wie ich den Apache dazu bekomme, das Windows- Netzwerk zu fragen, ob die Login- Daten des Realms passen...
MFFG (Mit freundlich- friedfertigem Grinsen)
fastix®
--
Meinereinerselbst ist auf der Suche nach Aufträgen-
Moin!
Moin!
in der Tat - denn mein M$IE hat im Register "Sicherheit" nichts, was auch nur annähernd so klingt wie das, was Du hier beschreibst ...
Es ist da. (IE 6) Willst Du ein Bildschirmfoto?Achs so: Du musst auf [Stufe anpassen] klicken und ein wenig scrollen... (Jetzt hast Du es haargenau...)
fastix®
--
Meinereinerselbst ist auf der Suche nach Aufträgen-
Hi fastix®,
"Automatisches Anmelden nur in der Intranetzone", rechte Maustaste, Direkthilfe.
in der Tat - denn mein M$IE hat im Register "Sicherheit" nichts, was auch nur annähernd so klingt wie das, was Du hier beschreibst ...
Es ist da. (IE 6) Willst Du ein Bildschirmfoto?
Achs so: Du musst auf [Stufe anpassen] klicken und ein wenig scrollen... (Jetzt hast Du es haargenau...)ah, jetzt, ja. Das hat in der Tat auch schon mein M$IE 5.0.
Ich verwende HTTP authentication ständig (auch mit diesem Browser) und habe noch nie etwas von dieser (bei mir aktiven) Einstellung mitbekommen - weil wir für die zentralen Zugriffe kein Windows-Netzwerk verwenden (sondern ein Novell-Netzwerk) und ich mich deshalb bei keiner Windows-Domain anmelde ...
Aber gilt Deine Beschreibung nicht sogar noch eher für den Eintrag "Automatisches Anmelden mit aktuellem Benutzernamen und Kennwort" (eine Zeile darüber)?
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.-
Moin!
Aber gilt Deine Beschreibung nicht sogar noch eher für den Eintrag "Automatisches Anmelden mit aktuellem Benutzernamen und Kennwort" (eine Zeile darüber)?
*brrr* Noch ein Grund, den IE als gefährlich zu betrachten: Wenn es ein admin versäumt dem Benutzer das herumspielen an den Sicherheitseinstellungen zu verbieten, dann versucht der das Senden der Daten womöglich bei beliebigen Webseiten...
Jetzt noch zielgerichtet den Benutzern Mails mit einem Link (oder einer Grafik) senden, einen Webserver ein wenig umstricken und schon loggt der die Benutzernamen und Passwörter von Benutzern, die idiotische "Sicherheitseinstellungen" verwenden. Dann wären das ja "Unsicherheitseinstellungen"! - Ok: Niemand hat im IE "Sicherheitseinstellungen"! Die Dinger sind schlicht gefährlich voreingestellt, aber noch gefährlicher konfigurierbar. Nach dem M$- Motto: "Hauptsache bequem und einfach" - auch für Hacker....
MFFG (Mit freundlich- friedfertigem Grinsen)
fastix®
--
Meinereinerselbst ist auf der Suche nach Aufträgen
-
-
-
Hi fastix®,
in der Tat - denn mein M$IE hat im Register "Sicherheit" nichts, was auch nur annähernd so klingt wie das, was Du hier beschreibst ...
Es ist da. (IE 6)wie kommst Du auf die Idee, die Version meines (!) M$IE zu erraten? (Es ist ein 5.0er.)
Willst Du ein Bildschirmfoto?
Vielleicht würde das helfen, mir zu erklären, was Du meinst ... ich habe natürlich auch einen M$IE 6.0 (auf einem anderen Rechner), aber auch dort sieht die Karteikarte "Sicherheit" nicht anders aus. (Hast Du vielleicht in Deiner Beschreibung einen Navigationsschritt übersprungen?)
Der IE nimmt an, dass es etwas nützt, weil diese Option für das Intranet eingestellt ist. Also versucht er das Realm mit dem Senden der Daten zu "bedienen".
Ich würde das gerne lokal mal ausprobieren ... wenn ich nur wüßte, was Du meinst ...
Es kann aber auch durchaus sein, M$ verwendet in diesem Fall irgendeinen properitären Scheiß und nicht die übliche HTTP-Authentifikation, diese dann womöglich als fallback.
Hm ... wäre es so, dann müßte ich in diversen Apache-Logfiles eigentlisch schon mal entsprechende HTTP-Statuscodes des ersten, gescheiterten Zugriffsversuchs gesehen haben, denke ich mal ...
Der HTTP-Server müsste sich allerdings die Benutzerinformationen vom Active Directory (Oder PDC oder einem BDC...) bestätigen lassen- deshalb die von mir vermutete Notwendigkeit des IIS. (Damit wäre auch gleich das Problem der Intranetzuordnung erschlagen: er muß dazugehören um die Information zu bekommen.) Sonstigenfalls müssten alle Benutzer 2 Mal angelegt werden. Und das erscheint mir hier nicht als der Sinn der Sache. Ich wüsste auch nicht, wie ich den Apache dazu bekomme, das Windows- Netzwerk zu fragen, ob die Login- Daten des Realms passen...
Eben. Eigentlich waren wir doch beim Thema HTTP, also einem Client-Server-Netzwerk mit Zugriffsinitiative beim Client - das, was Du beschreibst, setzt aber eine Netzwerkarchitektur voraus, in welcher der Server Rückfragen mit anderen Protokollen stellen muß ... (ich habe die vage Vorstellung, daß http://httpd.apache.org/docs-2.0/mod/mod_auth_ldap.html ungefähr so ähnlich funktionieren könnte)
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.
-
-
Hallo Michael,
Es gibt ein Protocol von MS namens NTLM, dass für diese Art von Authentifizierung zuständig ist.
Eine Dokumentation des undokumentierten Protokolls ;-)
http://www.innovation.ch/java/ntlm.htmlEin Apachemodul damit es nicht nur mit dem IIS geht:
http://modntlm.sourceforge.net/Mozilla unterstüzt dieses Protokoll seit Version 1.4 ebenfalls.
Es gab doch noch nie einen Standard, den Microsoft mit ganz tollen Erweiterungen versehen hätte oder? ;-)
Grüße
Daniel
-
Moin!
Ich habs vermutet: properitäre Scheiße(tm) a la M$....
MFFG (Mit freundlich- friedfertigem Grinsen)
fastix®
--
Meinereinerselbst ist auf der Suche nach Aufträgen
-
-
-
-
-
Hallo
Zuerst mal Danke für eure Hilfe.
Beim Stöbern durch SelfHtml ist mir dies aufgefallen: http://selfhtml.teamone.de/diverses/htaccess.htm
Ihr müsst mir jetzt nicht sagen wie das und jenes funktioniert, sondern mich interessiert nur, ob das mit htaccess umzusetzen ist, oder ob ich schon wieder im falschen Universum bin :-)
Ist wahrscheinlich für euch Profis eine dummme Frage, aber ich bin nicht so der Held in Server Angelegenheiten...
Auf jedenfall sieht mir dies recht einfach aus, verschiedene Benutzer zu sperren.
Wir benutzen hier Windows 2000 Server.Gruss Marco
-
Hi Marco,
Auf jedenfall sieht mir dies recht einfach aus, verschiedene Benutzer zu sperren.
wie schon erwähnt: Dein Problem liegt nicht auf der Seite der Server-Konfiguration, sondern zunächst auf der Seite des Browsers.
Wenn Du die von fastix® beschriebene Browser-Konfiguration verwenden kannst, dann sollte Deiner Serverkonfiguration wiederum egal sein, ob der Browser etwas sendet, das er vom Betriebssystem des Client erfragt hat, oder etwas, das der Benutzer im Dialog eingegeben hat.
Wir benutzen hier Windows 2000 Server.
Die Betriebssystemplattform, auf welcher Dein Apache 2.0.47 läuft, sollte für Deine Frage irrelevant sein.
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.
-