Web-Anmeldung unter Verwendung Linux-User-Daten?

[Traveller42]

Hallo zusammen,

wahrscheinlich eine Anfänger-Frage, aber irgendwie finde ich keine Lösung dazu im Netz ... vielleicht weil die Antwort zu einfach ist

Ich habe einen LAMP-Server am Raspberry PI laufen (Raspberry OS 10, Apache 2, PHP 7.3, MariaDB). Nun möchte ich, dass sich Nutzer in geschützten Bereichen mit Nutzername und Passwort anmelden sollen. Klar, das geht über das .htaccess Thema am einfachsten ... verstehe ich voll und ganz.

Aber ich möchte, dass die Nutzerdaten (Username und Passwort) von den im System registrierten Linux-Benutzern kommen (also aus /etc/shadow), da ich keine Lust habe, Nutzerdaten an zwei verschiedenen Orten zu pflegen.

Sprich: Ich möchte nur den im Linux registrierten Nutzer Zugang geben und dann auch abhängig vom Benutzernammen und dessen Gruppenzugehörigkeit eine Berechtigung haben, eine PHP/HTML-Seite aufzurufen.

Der Server steht nur einem eingeschränkten Personenkreis zur Verfügung und ist mit keinem öffentlichen Netz verbunden.Zugriff haben nur Clients, welche physikalisch im gleichen Netz hängen. Daher kommen auch keine Nutzer ran, welcher keinen Linux-Login auf dem PI besitzen. Mit FTP und SSH geht das ja problemlos. Nur der Webserver ist ja grundsätzlich erst einmal in der Nutzung anonym und offen.

Daher wären Ideen, wie ich das realisieren kann, sehr willkommen.

Ich bin gespannt und Danke schon mal im Voraus, Trav

[bluestar]

Daher wären Ideen, wie ich das realisieren kann, sehr willkommen.

Dann konfiguriere Apache einfach für auth pam, eine Anleitung gibt's auch im Netz: https://techexpert.tips/de/apache-de/ap ... fizierung/

[Traveller42]

Besten Dank ... geht grundsätzlich.
Nur kann nun JEDER sich anmelden.
Ich benötige aber eine Rechte-Abhängige Anmeldungüber die Zugehörigkeit zu einer bestimmten Gruppe.
Wie kann ich den Zugriff einschränken?

[eggy]

https://httpd.apache.org/docs/2.4/howto/auth.html

[Traveller42]

Ich finde es toll, wenn mir überhaupt jemand hilft ... aber wäre es vielleicht möglich auf meine spezifische Frage konkret einzugehen und individuell zu antworten?

Handbuchseiten des Apache-Servers finde ich selbst auch. Eine Suchmaschine kann ich bedienen. Dennoch habe ich auf diesem Wege keine Antworten auf meine Fragen gefunden, weswegen ich hier eben meine konkrete Frage gepostet habe.

[bluestar]

Handbuchseiten des Apache-Servers finde ich selbst auch.

Es steht dort erklärt, dennoch für dich:
Require valid-user durch Require group xyz ersetzen.

[eggy]

Handbuchseiten des Apache-Servers finde ich selbst auch.

Wie wäre es damit, sie auch zu lesen?

Falls Du das gemacht haben solltest, kleiner Tipp fürs nächste mal: das geht aus Deiner Anfrage nicht im mindesten hervor.

[Traveller42]

Nachdem ich gelesen habe (und die Authentifizierung mit PAM in der Dokumentation nicht auftaucht) versuche ich gerade selbst.

Die funktionierende Konfiguration mit einem Zutritt für ALLE angemeldeten Linux-User sieht so aus:

Code: Alles auswählen

<Directory "/var/www/html/r_verwaltung">
AuthType Basic
AuthName "private area"
AuthBasicProvider PAM
AuthPAMService apache
Require valid-user
</Directory>

Ersetze ich - wie empfohlen - "Require valid-user" durch "Require group admin" Sieht die Config nun so aus:

Code: Alles auswählen

<Directory "/var/www/html/r_verwaltung">
AuthType Basic
AuthName "private area"
AuthBasicProvider PAM
AuthPAMService apache
Require group admin
</Directory>

Bei einem Neustart des Apache2 läuft dieser in eine Fehlermeldung:

Code: Alles auswählen

Jan 24 10:52:02 raspberrypi systemd[1]: Starting The Apache HTTP Server...
Jan 24 10:52:02 raspberrypi apachectl[2031]: AH00526: Syntax error on line 11 of /etc/apache2/sites-enabled/000-default.conf:
Jan 24 10:52:02 raspberrypi apachectl[2031]: Unknown Authz provider: group
Jan 24 10:52:02 raspberrypi apachectl[2028]: Action 'start' failed.

Das Apache-Error-Log zeigt keine weiteren Fehler.

Leider bezieht sich die Doku unter https://httpd.apache.org/docs/2.4/howto/auth.html nicht auf das PAM, welches mir durch https://techexpert.tips/de/apache-de/ap ... fizierung/ aber empfohlen wurde. In Apache Handbuch finde ich keine info zu PAM. Auf der Modul-Dokumentation https://www.adelton.com/apache/mod_authnz_pam/ finde ich keine Infos zum Thema "Gruppen".

Muss ich vielleicht in der Datei /etc/pam.d/apache etwas ändern? Diese sieht aktuell so aus (gemäß Tutorial):

Code: Alles auswählen

auth required pam_unix.so
account required pam_unix.so

[bluestar]

Muss ich vielleicht in der Datei /etc/pam.d/apache etwas ändern? Diese sieht aktuell so aus (gemäß Tutorial):

Code: Alles auswählen

auth required pam_unix.so
account required pam_unix.so

Ja das wäre eine Lösung, du kannst über PAM Module auf eine oder mehrere Gruppen einschränken, ich hab das mal gesehen aber selbst nie gemacht. Die Suchmaschine deines Vertrauens und die PAM Dokumentation sollten dir da weiterhelfen können.

[Traveller42]

Leider hat mir weder das eine noch das andere geholfen.

[bluestar]

Leider hat mir weder das eine noch das andere geholfen.

Ich würde vorschlagen noch weniger Informationen zu deinen Informationsquellen in den Post zu packen, damit motivierst du die Leute unheimlich dir zu helfen.

[oln]

Moin,
ich hatte das mal mit authnz-external pwauth gemacht. Leider weiß ich nicht mehr genau wie das war. Aber da sollte sich im Netz etwas finden lassen.
Ich habe jetzt hier ein Samba-AD. Da ist das wieder anders.

[mig]

Hallo

Hier wird ein Weg aufgezeigt mit deinen Apache Modul und Groups:
https://github.com/adelton/mod_authnz_pam/issues/6

LG
Michael

[Traveller42]

Leider schaffe ich es nicht, die Zeit zu erübrigen um mich durch hunderte von Dokus zu hangeln. Was ich alleine jetzt schon für Stunden damit verbracht habe, war schon viel zu viel. Ich wollte nämlich nur ein Problem lösen und keinen Admin-Kurs für den Aapche machen Daher werde ich mich nicht weiter mit dem Thema beschäftigen.

Besten Dank an all jene, welche sich ernsthaft bemüht haben, mir bei der Lösung des Problems zu helfen und dabei auf schulmeisterliches Gehabe verzichtet haben.

Diese Thema kann daher meinerseits geschlossen werden.

[uname]

Ich benutze es nicht. Aber ich denke diese Konfiguration könnte funktionieren.
Da der Apache2 (www-data) auf /etc/shadow zugreift, muss man die Berechtigung für /etc/shadow etwas aufweichen.
Man sollte also wissen, was man tut.

Lesen ab Apache - PAM-Authentifizierung
https://techexpert.tips/de/apache-de/ap ... ifizierung