Login-Maske für Intranet benötigt
Manche Bereiche mit Passwort sichern
hi,
also Problem is folgendes, ich bin grad ein Intranet am basteln und bräuchte für manche Bereiche eine Anmelde- oder Loginmaske, weil nicht jeder diese Seiten sehen soll. Hab schon viel rumprobiert, von wegen mit Perl und so, aber ich hab auf dem Server auf dem des Intranet läuft (W2000 Advanced) kein php-Interpreter und kann da auch vorerst keinen installieren. Und Java is noch net so mein, also von wegen da selbst was basteln, kann mir jemand verraten wie ich das hinbekomm?
Entweder über HTML oder Java, habs mir in etwa so vorgestellt, dass wenn man auf den Link klickt, ein neues Fenster kommt und darin dann eine Loginmaske enthalten ist um den User und das Passwort abzufragen, diese würd ich dann gern vorher in ner Textdatei oder so hinterlegen, sind nur etwa 20 verschiedene und je nach korrektem Login oder nicht auf die entsprechende Seite weiterleiten.
Ich hab im Netz nix gefunden was man da grad mal so reinbauen könnte, ausser eben als php-Script, des aber nicht läuft, weil kein Interpreter installiert.
Nachtrag: Ich hab des mit dem IIS mal probiert, aber da kann ich ja nur die Dateien per ActiveDirectory User zumachen, das möcht ich nicht, weil es meistens so is das sich an den Kisten hier morgens jemand anmeldet und die Karre dann den ganzen Tag offen ist und so ein Zugriff auf des Intranet möglich ist, ich möchte also vermeiden das jeder der an dem PC vorbeiläuft mit ein paar Klicks auf die entsprechenden Intranet Seiten kommt. Und wenn der User ja eh schon angemeldet ist dann hat er auch Zugriff, also zB der Abteilungsleiter meldet den PC an und er soll auch alles sehen, aber wenn jetzt ein Praktikant am PC sitz, angemeldet mit dem Account vom Abteilungsleiter, dann soll er diese Seiten nicht sehen, nur nach Passwortabfrage. Sorry, die Struktur hier im Betrieb is nicht optimal, deshalb viele kleine Zwischenlösungen usw. und auch die Anfrage hier.
Im voraus schon mal vielen Dank
Ciao Sascha
also Problem is folgendes, ich bin grad ein Intranet am basteln und bräuchte für manche Bereiche eine Anmelde- oder Loginmaske, weil nicht jeder diese Seiten sehen soll. Hab schon viel rumprobiert, von wegen mit Perl und so, aber ich hab auf dem Server auf dem des Intranet läuft (W2000 Advanced) kein php-Interpreter und kann da auch vorerst keinen installieren. Und Java is noch net so mein, also von wegen da selbst was basteln, kann mir jemand verraten wie ich das hinbekomm?
Entweder über HTML oder Java, habs mir in etwa so vorgestellt, dass wenn man auf den Link klickt, ein neues Fenster kommt und darin dann eine Loginmaske enthalten ist um den User und das Passwort abzufragen, diese würd ich dann gern vorher in ner Textdatei oder so hinterlegen, sind nur etwa 20 verschiedene und je nach korrektem Login oder nicht auf die entsprechende Seite weiterleiten.
Ich hab im Netz nix gefunden was man da grad mal so reinbauen könnte, ausser eben als php-Script, des aber nicht läuft, weil kein Interpreter installiert.
Nachtrag: Ich hab des mit dem IIS mal probiert, aber da kann ich ja nur die Dateien per ActiveDirectory User zumachen, das möcht ich nicht, weil es meistens so is das sich an den Kisten hier morgens jemand anmeldet und die Karre dann den ganzen Tag offen ist und so ein Zugriff auf des Intranet möglich ist, ich möchte also vermeiden das jeder der an dem PC vorbeiläuft mit ein paar Klicks auf die entsprechenden Intranet Seiten kommt. Und wenn der User ja eh schon angemeldet ist dann hat er auch Zugriff, also zB der Abteilungsleiter meldet den PC an und er soll auch alles sehen, aber wenn jetzt ein Praktikant am PC sitz, angemeldet mit dem Account vom Abteilungsleiter, dann soll er diese Seiten nicht sehen, nur nach Passwortabfrage. Sorry, die Struktur hier im Betrieb is nicht optimal, deshalb viele kleine Zwischenlösungen usw. und auch die Anfrage hier.
Im voraus schon mal vielen Dank
Ciao Sascha
Please also mark the comments that contributed to the solution of the article
Content-Key: 35366
Url: https://administrator.de/contentid/35366
Printed on: April 19, 2024 at 11:04 o'clock
20 Comments
Latest comment
Hallo,
dafür bietet sich wohl die "Verzeichnissicherheit" des IIS an. Managementkonsole -> Verzeichnis auswählen, das geschützt werden soll -> Rechte Maustaste, Eigenschaften -> Reiter Verzeichnissicherheit -> Steuerung des.... : Bearbeiten.
Mit Java geht das ganze nicht wirklich, da Java auf dem Clientrechner ausgeführt wird, die Zugriffskontrolle jedoch auf dem Server erfolgen muss. Und auch ein PHP-Skript ist nicht die ganz tolle Lösung. Was die machen ist nur einmal das Passwort überprüfen und dann in einer Variable (die über mehere Zugriffe erhalten bleibt) speichern, ob man authentifiziert ist. Allerdings muss jede Seite, die aufgerufen wird selber entscheiden, ob sie ausgeliefert wird, sprich diese Variable überprüfen. Lange Rede, kurzer Sinn: du musst jede Datei, die geschützt sein soll bearbeiten und eine entsprechende Abfrage einbauen. Ich vermute aber fast mal, das willst du nicht.
Filipp
dafür bietet sich wohl die "Verzeichnissicherheit" des IIS an. Managementkonsole -> Verzeichnis auswählen, das geschützt werden soll -> Rechte Maustaste, Eigenschaften -> Reiter Verzeichnissicherheit -> Steuerung des.... : Bearbeiten.
Mit Java geht das ganze nicht wirklich, da Java auf dem Clientrechner ausgeführt wird, die Zugriffskontrolle jedoch auf dem Server erfolgen muss. Und auch ein PHP-Skript ist nicht die ganz tolle Lösung. Was die machen ist nur einmal das Passwort überprüfen und dann in einer Variable (die über mehere Zugriffe erhalten bleibt) speichern, ob man authentifiziert ist. Allerdings muss jede Seite, die aufgerufen wird selber entscheiden, ob sie ausgeliefert wird, sprich diese Variable überprüfen. Lange Rede, kurzer Sinn: du musst jede Datei, die geschützt sein soll bearbeiten und eine entsprechende Abfrage einbauen. Ich vermute aber fast mal, das willst du nicht.
Filipp
Hallo,
eine Überprüfung (das Frontend) in Java zu machen ist kein Problem. Aber trotzdem sollte ja der Server steuern, welche Seiten er ausliefert. Und das geht mit einfachem Java nicht, da das eben nicht auf dem Server läuft (dafür gäbe es dann JavaServerPages und diverses anderes, da gilt aber das gleiche wie für PHP).
Aber wenn das ganze einfach nur über zwei Links haben willst, die alternativ ausgeführt werden geht das ganze sogar mit JavaScript, wurde hier im Forum auch schon ausgiebig diskutiert (suche mal "Passwortabfrage JavaScript", am besten aber nicht mit der Forumssuchfunktion, die taugt nicht). Ist nur leider nicht sicher. Ist es denn ein Problem, wenn du alle zu schützenden Dateien in ein spezielles (zu schützendes) Verzeichnis legst?
Filipp
eine Überprüfung (das Frontend) in Java zu machen ist kein Problem. Aber trotzdem sollte ja der Server steuern, welche Seiten er ausliefert. Und das geht mit einfachem Java nicht, da das eben nicht auf dem Server läuft (dafür gäbe es dann JavaServerPages und diverses anderes, da gilt aber das gleiche wie für PHP).
Aber wenn das ganze einfach nur über zwei Links haben willst, die alternativ ausgeführt werden geht das ganze sogar mit JavaScript, wurde hier im Forum auch schon ausgiebig diskutiert (suche mal "Passwortabfrage JavaScript", am besten aber nicht mit der Forumssuchfunktion, die taugt nicht). Ist nur leider nicht sicher. Ist es denn ein Problem, wenn du alle zu schützenden Dateien in ein spezielles (zu schützendes) Verzeichnis legst?
Filipp
Wenn Du kein PHP installieren kannst, willst aber mit Perl und Co. rumspielen...
(hört sich sehr verdächtig an...)
Entweder installierst Du Dir PHP, alternativ wirst Du nix sichereres finden, denn JS und eine Textdatei, die dann jeder aus dem Quelltext auslesen kann... naja, zeugt nicht gerade von Sicherheit...
Lonesome Walker
(hört sich sehr verdächtig an...)
Entweder installierst Du Dir PHP, alternativ wirst Du nix sichereres finden, denn JS und eine Textdatei, die dann jeder aus dem Quelltext auslesen kann... naja, zeugt nicht gerade von Sicherheit...
Lonesome Walker
Ich hab des auch schon
probiert mit nem JavaScript und wie du schon
richtig sagst, lässt sich das Passwort
aus dem Quelltext rauslesen, deshalb die
Idee mit einer extra Datei, in welcher des
alles drin is und dann einfach nur ne
Abfrage wenn OK dann Link X sonst Link Y.
Das mit der externen Datei ist ungefähr genau so sicher: die Datei wird zum Auswerten auch erst auf den Rechner des Nutzers geladen. Sprich: da kann man auch einfach reingucken, so wie in den Quelltext.probiert mit nem JavaScript und wie du schon
richtig sagst, lässt sich das Passwort
aus dem Quelltext rauslesen, deshalb die
Idee mit einer extra Datei, in welcher des
alles drin is und dann einfach nur ne
Abfrage wenn OK dann Link X sonst Link Y.
Filipp
^^ Wenns Intranet ist, sollte auch VBS funktionieren, alternativ glaube ich kann ich ein altes Script von mir umbiegen, damit es mit JavaScript läuft.
Sicherheit ist bis auf menschliches Versagen 100%.
Daß mir das nicht früher eingefallen ist...
Ich muß jetzt nur noch in meinem 10-Jahres-Archiv suchen...
Melde mich aber umgehend
Lonesome Walker
Sicherheit ist bis auf menschliches Versagen 100%.
Daß mir das nicht früher eingefallen ist...
Ich muß jetzt nur noch in meinem 10-Jahres-Archiv suchen...
Melde mich aber umgehend
Lonesome Walker
Link kam per Email.
Funktionsweise des Scriptes für alle erklärt:
Das Script nimmt das eingegebene Kennwort, und erzeugt aus dem Kennwort eine URL, z.B. bei Eingabe des Passwortes "Test" wird der Login nur über die URL:
http://www.domain.de/gasdfasfd.html
möglich sein.
Jetzt muß man nur noch die gasdfasfd.html erstellen, und da eine Weiterleitung einstellen ^^
Ich stelle die Behauptung auf, daß ohne menschliches Versagen (Paßwort-Spionage) oder sehr viel Glück keiner auf den Login kommt.
Den Beweis hierzu trete ich gerne an.
Lonesome Walker
Funktionsweise des Scriptes für alle erklärt:
Das Script nimmt das eingegebene Kennwort, und erzeugt aus dem Kennwort eine URL, z.B. bei Eingabe des Passwortes "Test" wird der Login nur über die URL:
http://www.domain.de/gasdfasfd.html
möglich sein.
Jetzt muß man nur noch die gasdfasfd.html erstellen, und da eine Weiterleitung einstellen ^^
Ich stelle die Behauptung auf, daß ohne menschliches Versagen (Paßwort-Spionage) oder sehr viel Glück keiner auf den Login kommt.
Den Beweis hierzu trete ich gerne an.
Lonesome Walker
Ich stelle die Behauptung auf, daß
ohne menschliches Versagen
(Paßwort-Spionage) oder sehr viel
Glück keiner auf den Login kommt.
Ich wundere mich immer wieder, auf was für Seiten doch Suchmaschinen-Robots vorstossen. Da habe ich schon Seiten gefunden, von denen ich weiss, dass sie nicht verlinkt sind.ohne menschliches Versagen
(Paßwort-Spionage) oder sehr viel
Glück keiner auf den Login kommt.
Eine Möglichkeit dafür sind z.B. Statistiken: die werden ja auch nach URL aufgeschlüsselt. Und auf einmal taucht dann nämlich doch der streng geheim gehaltene Name der URL irgendwo ausgeschrieben auf (kann in der Statistik angeklickt werden und wird von Suchmaschinen indiziert).
Und was ist, wenn jemand einen Link per Mail verschickt, weil ihm gar nicht bewusst ist, dass der andere die Seite nicht lesen darf? Gerade das dürfte in einer Firma ein sehr häufiges Szenario sein.
Von der "Zurück"-Taste mal abgesehen, immerhin war es anforderung von fruchtzwerg, dass jeder User das auch von einem anderen PC als nur von seinem nutzen kann.
Also sicher ist das definitiv nicht. Und wenn "die Boss-Buben meinen des is Supergeheim und so eben" würde ich mich darauf nicht einlassen, weil es sein kann, dass sie dann eben auch supersauer werden, wenn sie herausfinden, dass die Daten, von denen man ihnen vertraulichkeit zugesichert hatte, doch nur pseudo-geschützt sind.
Filipp
Agree in weiten Bereichen Deiner Ausführung.
Wenn jemand aber Intranet zu mir sagt, dann gehe ich davon aus, daß er weiß, was Intranet bedeutet.
Statistiken online, ts, schlechte Hoster.
Das mit der Zurück-Taste und URL-Verlauf, hey, da setzt Du schon wieder kriminelle Energie voraus.
AUßerdem habe auch ich oben schon erwähnt, daß ich sowieso schon längst den Interpreter installiert hätte...
Lonesome Walker
Wenn jemand aber Intranet zu mir sagt, dann gehe ich davon aus, daß er weiß, was Intranet bedeutet.
Statistiken online, ts, schlechte Hoster.
Das mit der Zurück-Taste und URL-Verlauf, hey, da setzt Du schon wieder kriminelle Energie voraus.
AUßerdem habe auch ich oben schon erwähnt, daß ich sowieso schon längst den Interpreter installiert hätte...
Lonesome Walker
Das mit der Zurück-Taste und
URL-Verlauf, hey, da setzt Du schon wieder
kriminelle Energie voraus.
Nein. Kriminell sowieso nicht, wenn das Ding gar nicht gesichert ist. Und noch nichtmal verwerflich, wenn mehrere Leute regulär am gleichen Rechner arbeiten. Man kann ja durchaus nach eigenen Sachen suchen und dabei versehentlich über etwas stolpern, was nicht von einem selber ist. Und in diesem Fall wäre es auch nicht illegal den Inhalt dann eingehend zu studieren, man weiss ja im Zweifelsfall noch nicht mal, dass er eigentlich geheim sein soll.URL-Verlauf, hey, da setzt Du schon wieder
kriminelle Energie voraus.
Filipp
Du gibst in dem Passwortfeld Dein gewünschtes Pwd ein.
Dann klickst Du auf den Button.
Jetzt zeigt er Dir die zugehörige URL zu Deinem Pwd.
Unter diesem Namen erstellst Du jetzt eine HTML-Datei, in der Du dann die Weiterleitung hinterlegst.
Lonesome Walker
PHP ist eigentlich nie schwer gewesen.
Dann klickst Du auf den Button.
Jetzt zeigt er Dir die zugehörige URL zu Deinem Pwd.
Unter diesem Namen erstellst Du jetzt eine HTML-Datei, in der Du dann die Weiterleitung hinterlegst.
Lonesome Walker
PHP ist eigentlich nie schwer gewesen.
Hi,
wenn dein Server schon mit Win und IIS läuft: warum nimmst du nicht den Schutz vie NT Security??
auf der Windows-Kiste:
lege n lokale Accounts für deine Logons auf den Unterseiten an
im Filesystem:
- d:\webroot - [NT-Zugriffsrechte - alle: Lesen]
- d:\webroot\geschuetzter_bereich\ - [NT-Zugriffsrechte - alle: deny; Administrators: full; backup-User: full; user1: Lesen; user 2: lesen; ...]
im IIS:
webroot\geschuetzter_bereich\ --> Eigenschaften --> directory security --> editieren der Zugangs --> AUS: anonymous access; EIN: integrated windows authentication
Einziger Nachteil: es kommt ein Popup als Logon. Aber du hast die beste Kontrolle über deine Dateien und deren Rechte. Fehlgeschlagene Logons siehst du im Eventlog. Ausserdem entfallen Aufwände für Skriptprogrammierung.
Viele Grüsse
-= Axel =-
wenn dein Server schon mit Win und IIS läuft: warum nimmst du nicht den Schutz vie NT Security??
auf der Windows-Kiste:
lege n lokale Accounts für deine Logons auf den Unterseiten an
im Filesystem:
- d:\webroot - [NT-Zugriffsrechte - alle: Lesen]
- d:\webroot\geschuetzter_bereich\ - [NT-Zugriffsrechte - alle: deny; Administrators: full; backup-User: full; user1: Lesen; user 2: lesen; ...]
im IIS:
webroot\geschuetzter_bereich\ --> Eigenschaften --> directory security --> editieren der Zugangs --> AUS: anonymous access; EIN: integrated windows authentication
Einziger Nachteil: es kommt ein Popup als Logon. Aber du hast die beste Kontrolle über deine Dateien und deren Rechte. Fehlgeschlagene Logons siehst du im Eventlog. Ausserdem entfallen Aufwände für Skriptprogrammierung.
Viele Grüsse
-= Axel =-
Hallo,
du kannst per .htaccess auch einzelne Dateien schützen, das ist nur von der Verwaltung her halt umständlicher (und Fehleranfälliger) als ganze Verzeichnisse. Siehe z.B. http://de.selfhtml.org/servercgi/server/htaccess.htm#verzeichnisschutz
Filipp
du kannst per .htaccess auch einzelne Dateien schützen, das ist nur von der Verwaltung her halt umständlicher (und Fehleranfälliger) als ganze Verzeichnisse. Siehe z.B. http://de.selfhtml.org/servercgi/server/htaccess.htm#verzeichnisschutz
Filipp
Hallo,
mit .htaccess geht das unter Apache, das ist richtig.
Falls du viele verschiedene zu schützende Dateien hast, müsstest du viele .htaccess-Dateien verteilen. Wenn du es zentral haben willst, kannst du auch alles direkt in Apache-Config (oder in einer includeten Datei) reinsetzen und in je einer DIRECTORY-Sektion vergeben:
s. http://httpd.apache.org/docs/2.0/mod/core.html#directory
Nachteil der zentralen Config: Apache muss neu gestartet werden, wenn du die Config änderst.
Viele Grüsse
-= Axel =-
mit .htaccess geht das unter Apache, das ist richtig.
Falls du viele verschiedene zu schützende Dateien hast, müsstest du viele .htaccess-Dateien verteilen. Wenn du es zentral haben willst, kannst du auch alles direkt in Apache-Config (oder in einer includeten Datei) reinsetzen und in je einer DIRECTORY-Sektion vergeben:
s. http://httpd.apache.org/docs/2.0/mod/core.html#directory
Nachteil der zentralen Config: Apache muss neu gestartet werden, wenn du die Config änderst.
Viele Grüsse
-= Axel =-