Ich mache eine Authentifizierung des Clients an der AD mittels dem Modul mod_auth_sspi, d.h. jeder User der zum Apache connected muss erstmal username +pw eingeben und wird dann über die AD verifiziert ob er die Erlaubnis bekommt ein cgi-skript auszuführen. Alles schön und gut.
Der User klickt also auf einen Link zu einer Datei auf dem Server, welches aber zunächst das Skript auf den Plan ruft. Das cgi-Skript dient lediglich dazu zu Überprüfen, ob der User überhaupt die Berechtigung hat die jeweilige Datei anzuschaun. Die Berechtigung der Dateien ist mittels ACL gesetzt. Das Perl Skript holt die Gruppenzugehörigkeiten der User mittels LDAP aus der AD und überprüft sie mit den ACL der Datei. Soweit klappt das auch alles ...
Nur, wenn der User nun manuell die URL ändert und ohne Skript auf eine Datei zugreift, dann bekommt er logischerweise den Zugriff ohne Rechte überprüfung --> Sicherheitslücke ...
Habe nun überlegt das Ganze mittels .htaccess zu erledigen, aber da gibts auch so einige Probleme, z.B. dass der User jedesmal bei jeder Datei erneut username +pw eingeben muss und ich nicht weiß ob ich eine Verifikation zwischen AD und .htaccess machen kann ... eher wohl nicht ...
kann mir jemand weiterhelfen ?
gibt es vielleicht ein Modul was eine Verifikation eines authentifizierten Users mit ACLs einer Datei machen kann ? oder kann ich irgendwie die Gruppen der AD in einer htaccess Datei abbilden ?
Kann ich die Verifikation zwischen den Gruppen des Users und der .htaccess Datei mittels Perl vornehmen, so dass der User an sich nichts davon mitbekommt ?
bitte um Hilfe
Gruß
Daytalker