Zugriffssteuerung mit .htaccess-Dateien
- Vorteile
- flexibel änderbar
- Nachteile
- nur Schutz bestehender Verzeichnisse möglich
- Beispiel 1 (Apache 2.4), IP-Adresse oder Shibboleth:
<RequireAny> Require ip 134.28.0.0/16 AuthType shibboleth ShibRequestSetting requireSession true Require valid-user </RequireAny>
- Beispiel 2 (Apache 2.4), Test von Attributen:
AuthType shibboleth ShibRequestSetting requireSession true <RequireAll> Require shib-attr affiliation student Require shib-attr ou ~ ^SDE ^SDM </RequireAll>
- Apache 2.4 unterstützt folgende Direktiven; deren Schachtelung ist möglich:
<RequireAll> ... </RequireAll> <RequireAny> ... </RequireAny> <RequireNone> ... </RequireNone>
Shibboleth und Java
- Attribute in Umgebungsvariablen übergeben (empfohlen):
Falls mod_proxy_ajp genutzt wird, um zu erreichen, dass Apache Requests via AJP an einen Servlet Container weiterreicht, ist in shibboleth2.xml einzufügenDies ist erforderlich, da Umgebungsvariablen von mod_proxy_ajp nur weitergereicht werden, wenn sie den Präfix AJP_ besitzen.<ApplicationDefaults id="default" policyId="default" [...] attributePrefix="AJP_" > - Attribute mittels HTTP Header übergeben (weniger sicher):
Hier muss die Apache 2.4 Konfiguration erweitert werden:
AuthType shibboleth ShibRequestSetting requireSession true ShibUseHeaders On Require valid-user