Beratung und Support Technische Plattform Support-Netz-Portal paedML® – stabil und zuverlässig vernetzen Anleitung Gesicherter Bereich in public_html Stand 15.04.2015 paedML® Novell Version: 3.3.4 Impressum Herausgeber Landesmedienzentrum Baden-Württemberg (LMZ) Support-Netz Rotenbergstraße 111 70190 Stuttgart Autoren der Zentralen Expertengruppe Netze (ZEN), Support-Netz, LMZ Hubert Bechthold Stefan Falk Ulrich Frei Carl-Heinz Gutjahr Friedrich Heckmann Uwe Labs Alfred Wackler Endredaktion Alfred Wackler Bildnachweis Titelbilder: Thinkstock Weitere Informationen www.support-netz.de www.lmz-bw.de Veröffentlicht: Jahr der Veröffentlichung © Landesmedienzentrum Baden-Württemberg Inhaltsverzeichnis 1. LDAP-User einrichten .......................................................................... 4 2. Gesicherten Bereich vorbereiten ....................................................... 6 3. Weitere Möglichkeiten ......................................................................... 8 3.1 3.2 public_html komplett schützen ....................................................................................... 8 Bereich, auf den nur Lehrer Zugriff haben ..................................................................... 8 Vorwort Mit public_html besteht für jeden Benutzer in der paedML Novell die Möglichkeit, eine persönliche Website bereitzustellen, falls diese in der Schulkonsole für ihn freigegeben wurde. Da diese Seiten im Internet weltweit unbeschränkt erreichbar sind, dürfen dort keine urheberrechtlich problematischen Inhalte abgelegt werden. In der vorliegenden Anleitung wird nun gezeigt, wie Sie in public_html einen Bereich anlegen können, bei dem zum Zugriff die Benutzeranmeldung eines schulischen Benutzers erforderlich ist. In diesen geschützten Bereichen können nun auch Inhalte zur Verfügung gestellt werden, die nicht für die Allgemeinheit bestimmt sind. Durchzuführende Schritte 1. LDAP-User einrichten Starten Sie den iManager und melden Sie sich als admin an (Falls Sie für die SchulAdmins bereits die iManager-Rollen eingerichtet haben, können Sie sich besser als Schuladmin Ihrer Schule anmelden). Öffnen Sie mit Objekte anzeigen die Baumansicht. Browsen Sie zur OU System.Verwalter.Benutzer.<Schule>.SCHULEN.ml3. Markieren sie im Baum diesen Eintrag. Rechts erscheinen die Objekte unterhalb dieser OU. Die Abbildungen wurden anhand einer Schule LFB erstellt. Ersetzen Sie jeweils LFB bzw. <Schule> durch Ihr Schulkürzel. Abb. 1: Wählen Sie Neu - Benutzer erstellen. Tragen Sie im folgenden Formular die abgebildeten Daten ein. Weitere Angaben sind nicht erforderlich. Wählen Sie ein sicheres Passwort und notieren Sie dieses. paedML® Novell / Version: 3.3.4 / Gesicherter Bereich in public_html/ Stand 15.04.2015 Seite 4 Abb. 2: Browsen Sie nun zur OU Benutzer.<Schule>.SCHULEN.ml3 und klicken sie auf diesen Eintrag. Wieder erscheinen rechts die Objekte unterhalb dieser OU. Markieren Sie „aktuelle Ebene“ und wählen Sie „Aktionen | Trustees bearbeiten“. Abb. 3: Klicken Sie im nächsten Dialog auf die Schaltfläche „Trustee hinzufügen“ Browsen Sie zum Benutzer ldapuserpublichtml und wählen Sie diesen aus. Klicken Sie auf den Link Zugewiesene Rechte. Der abgebildete Dialog erscheint. Abb. 4: Setzen Sie die Häkchen bei [Entry Rights] und bei [All Attributes Rights] und klicken Sie „Auswahl entfernen“. Klicken sie dann „Eigenschaft hinzufügen“. Setzen Sie das Häkchen bei „Alle Eigenschaften im Schema anzeigen“. paedML® Novell / Version: 3.3.4 / Gesicherter Bereich in public_html/ Stand 15.04.2015 Seite 5 Abb. 5: Markieren Sie den Eintrag CN. Abschließen mit OK. Setzen Sie nun beim Eintrag CN in der Trustee-Liste die in Bild 4 abgebildeten Häkchen bei Vergleichen, Lesen und Vererben. Schließen Sie den Vorgang mit Fertig, Anwenden und zweimal folgend mit OK. 2. Gesicherten Bereich vorbereiten Der Zugriff im geschützten Bereich soll durch eine .htaccess-Datei gesichert werden. Um einen geschützten Bereich bei den Benutzern von public_html einzurichten wurde in der Schulkonsole ein Verteilmechanismus implementiert. Alle Ordner und Dateien, die im Ordner K:\schulkonsole\Bilder\Vorlagen\public_html abgelegt werden, werden bei der Freigabe von public_html in der Schulkonsole in den public_html-Ordner der Benutzer kopiert. Legen Sie nun in DATA:\Zentral\Schulkonsole\Bilder\Vorlagen den Ordner public_html und darunter den Ordner intra an. Führen Sie die folgende Aktion für jede angelegte Schule durch. Öffnen Sie Notepad oder einen anderen Editor und geben Sie die folgenden Zeilen ein. (Ersetzen Sie lfb durch Ihr Schulkürzel). Geben sie bei AuthLDAPBindPassword das vorher notierte Passwort ein. AuthType Basic AuthName LDAP_Auth_Test AuthBasicProvider ldap AuthzLDAPAuthoritative OFF AuthLDAPBindDN "cn=ldapuserpublichtml,ou=System, ¬ ¬ ou=Verwalter,ou=benutzer,ou=lfb,ou=schulen,o=ml3" AuthLDAPBindPassword "sicherespasswort" AuthLDAPURL ldaps://10.1.1.32/ou=Benutzer,ou=LFB,ou=SCHULEN,o=ml3?cn?sub Require valid-user AuthLDAPCompareDNOnServer off AuthLDAPGroupAttributeIsDN off Geben Sie die durch ¬ abgesetzten Zeilen dabei in einer einzigen Zeile ein. Speichern Sie nun die Datei im Ordner intra unter dem Namen .htaccess ab. Windows fügt dieser Datei die Endung .txt an. Gehen Sie mit putty auf den GServer03 und ändern die Datei an der Konsole paedML® Novell / Version: 3.3.4 / Gesicherter Bereich in public_html/ Stand 15.04.2015 Seite 6 cd /media/nss/DATA/Zentral/pgm/schulkonsole/Bilder/Vorlagen/public_html/intra mv .htaccess.txt .htaccess Führen Sie diese Befehle für jede angelegte Schule durch! Damit ist die Vorbereitung abgeschlossen. Starten Sie nun die Schulkonsole als Schuladmin. Gehen Sie zu „Konfiguration | public_html konfigurieren“.  Entfernen Sie die Häkchen bei den Benutzern, für die public_html freigegeben ist. Klicken Sie „Jetzige Einstellungen übernehmen“. Die public_html-Verzeichnisse der betroffenen Benutzer bleiben inklusive aller Dateien erhalten. Es wird lediglich der Zugriff gesperrt.  Setzen Sie bei den Benutzern, für die public_html freigegeben werden sollen nun wieder das Häkchen. Klicken Sie wieder „Jetzige Einstellungen übernehmen“. Der Zugriff auf public_html wird nun wieder freigegeben. Dabei wird auch der Inhalt von K:\Schulkonsole\Bilder\Vorlagen\public_html bei allen Benutzern in das freigegebene public_html kopiert. Hinweis: Führen Sie die beiden obigen Schritte auch aus, wenn Sie Änderungen in K:\Schulkonsole\Bilder\Vorlagen\public_html vorgenommen haben und verteilen wollen. Damit steht den Benutzern unter public_html für ihre persönliche Website der geschützte Ordner intra zur Verfügung. In intra können sie beliebig Ordner und Dateien ablegen, auf die der Zugriff dann erst nach Benutzeranmeldung möglich ist. Abb. 6: Bei der oben beschriebenen Konfiguration sind alle in der paedML Novell für die Schule eingerichteten Benutzer (Kontext Benutzer.<Schule>.SCHULEN.ml3) auf die Seiten unterhalb intra zugriffsberechtigt. Seiten in public_html, die außerhalb des Ordners intra liegen, können weiterhin von jedermann ohne Authentisierung erreicht werden. paedML® Novell / Version: 3.3.4 / Gesicherter Bereich in public_html/ Stand 15.04.2015 Seite 7 3. Weitere Möglichkeiten 3.1 public_html komplett schützen Denkbar ist auch, dass grundsätzlich alle Seiten innerhalb public_html abgesichert werden. Wenn Sie dies an Ihrer Schule wünschen, so platzieren Sie die oben beschriebene .htaccess-Datei direkt in K:\Schulkonsole\Bilder\Vorlagen\public_html. 3.2 Bereich, auf den nur Lehrer Zugriff haben Legen Sie in K:\Schulkonsole\Bilder\Vorlagen\public_html z.B. einen Ordner lehrer an. Platzieren Sie darin die oben beschriebene .htaccess-Datei. Ersetzen sie die Zeile AuthLDAPURL ldaps://10.1.1.32/ou=Benutzer,ou=LFB,ou=SCHULEN,o=ml3?cn?sub durch AuthLDAPURL ldaps://10.1.1.32/ou=Lehrer,ou=Benutzer,ou=LFB,ou=SCHULEN,o=ml3?cn?sub (Eingabe ist eine einzige Zeile) Hinweis: Wir empfehlen, dass Sie die hier beschriebenen geschützten Bereiche erst einsetzen, wenn Sie den Webzugriff entsprechend der Anleitung Zertifikate-Anleitung.pdf eingerichtet haben. Nach dieser Anleitung wird jede Verbindung sofort auf eine https-Verbindung umgeleitet und so auch das Anmeldeformular abgesichert. Bei einer ungesicherten http-Verbindung wird das Passwort unverschlüsselt übertragen. Dieses Risiko sollten Sie nicht eingehen. Download: http://www.lmz-bw.de/fileadmin/user_upload/Technische_Unterstuetzung_SPN /Dateien/6_Kundenportal/2_Novell/3_Erweiterungen/Zertifikate-Anleitung.pdf paedML® Novell / Version: 3.3.4 / Gesicherter Bereich in public_html/ Stand 15.04.2015 Seite 8 Landesmedienzentrum Baden-Württemberg (LMZ) Support Netz Rotenbergstraße 111 70190 Stuttgart © Landesmedienzentrum Baden-Württemberg, 2015