Passwort-Schutz mit .htaccess leicht gemacht

Die Bordmittel des Apache Webservers sinnvoll einsetzen

Wie Sie im Handumdrehen Webseiten oder ganze Verzeichnisse auf Ihrem Server schützten – mit den Bordmitteln des Apache Webservers gelingt dies in wenigen Minuten – das Resultat ist ein sicherer Zugangsschutz.

Mit hoher Wahrscheinlichkeit funktioniert der Webserver, auf welchen Sie Ihre Homepages abspeichern mit der kostenlosen Software ‚Apache’ – denn der Apache ist ungeschlagener Marktführer. In diesem Fall lässt sich mit wenig Aufwand eine relativ sichere Passwortabfrage für bestimmte Verzeichnisse Ihres Webspaces anlegen – mit diversen Ausbaumöglichkeiten!

Am Besten wir probieren das Ganze gleich mal aus. Legen Sie in einem Verzeichnis ihres Webspace (welches dann später geschützt werden soll) die Datei namens .htaccess an. Wichtig ist der Punkt, des Weiteren gibt es keine Dateiendung (die Heimat des Apache ist ohnehin Unix/Linux, hier sind Dateiendungen keine Selbstverständlichkeit wie beispielsweise unter Windows-Pendants).

Schreiben Sie nun in die Datei:

001:
002:
003:
004:
005:
006:  
AuthUserFile /pfad/zum/.htpasswd 
 AuthName Geheimbereich 
 AuthType Basic 
 <Limit GET> 
     require user xxx 
 </Limit>

In der ersten Zeile hinter “AuthUserFile” geben Sie den absoluten Pfad zu der .htpasswd Datei (welche wir gleich erstellen) an. Dieser kann beispielsweise derart lauten ‚/var/www/onetwomax/geheim/.htpasswd’. Sie können hier sicherlich auch Ihren Webspace-Anbieter um Rat fragen.

In der bereits erwähnten Datei .htpasswd werden die Benutzer samt Passwörter gespeichert. Der Clou ist, dass die Passwörter dort natürlich verschlüsselt gespeichert werden, sie sollen ja geheim sein. Dies geschieht mittels dem MD5-Algorithmus, welcher irreversible Strings erzeugt (d.h. ein bestimmtes Wort oder ein bestimmter Satz wird zwar verschlüsselt, kann aber nicht mehr entschlüsselt werden). Zum verschlüsseln verwenden Sie am Besten einen Passwortgenerator, wie man ihn auf zahlreichen Webseiten kostenlos findet. Zum Beispiel bei Linux-Profis. Geben Sie dort dann das Passwort ein – und schon erhalten Sie die verschlüsselte Zeichenkette.

Anschließend legen wir die Datei .htpasswd an, dort verfahren wir nach folgendem Schema: Name Verschlüsseltes Passwort. Ein simples Beispiel:

001:  
marius:iJEU3RzDrld5s

Sie können beliebig viele Benutzer mitsamt Passwörtern in der Datei .htpasswd speichern! Mehr ist dann auch nicht zu tun! Wenn alle Strickt reißen und ihre htaccess Kombination einfach nicht funktionieren will – der Server-Administrator kann das Anlegen von htaccess Dateien seitens des Benutzers unterbinden – fragen sie einfach nach.

Falls ich Ihre Neugierde wecken konnte und sie weitere Experimente mit dem Apache wagen möchten: Unter www.apacheweek.com finden Sie eine sehr gute Seite mit massig Informationen, allerdings in englischer Sprache.