Apache Friends Support Forum

[mf_2]

Hallo,

Ja, ich weiss das Topic wurde hier schon oft behandelt und es gibt auch eine gute FAQ dazu, die ich mit der Suchfunktion ( ) gefunden habe.
Ich habe aber ein Problem:
Ich möchte einen Passwortschutz für ein Verzeichnis. Da ich XAMPP für Windows verwende, habe ich die Datei access.htaccess genannt ( ein User in einem anderen Thread hier meinte man müsse das unter Windows so machen, ich hatte zuerst nur .htaccess versucht ).
Es gibt auch die Datei pw.htpasswd, das ist die Datei mit den unverschlüsselten Passwörtern ( ich habe es auch schon mit dem pw-tool aus dem /bin-verzeichnis des apache mit md5 versucht ).

Quelltext access.htaccess:

AuthType Basic
AuthName "Verzeichnisschutz"
AuthUserFile pw.htpasswd
require user root

Quelltext ENDE

Quelltext pw.htaccess:

root:$apr1$mP5.....$9GslNXJsdzEXH3PlV.z21.
# Kommentar ( Das ist nicht der echte md5-String )

Quelltext ENDE

Wenn ich nun in das Verzeichnis will, das geschützt werden soll, komme ich ohne Probleme rein!
Nunja, ich dachte mir, die pw.htpasswd liegt wahrscheinlich falsch. Also habe ich alle möglichen Verzeichnismöglichkeiten angegeben ( und dazwischen immer wieder mit negativem Ergebnis getestet ) mit / oder \, mit C: und ohne C: etc. etc.
Zum Schluss hab ich dann ( wie im Quelltext zu sehen ) die Pfadangabe rausgestrichen und die pw.htpasswd an folgende Orte kopiert ( da ich nicht wusste, was der Apache standardmäßig als sein root-Verzeichnis ansieht ):
C:\
C:\xampp\
C:\xampp\phpmyadmin\ ( das ist das verzeichnis, welches geschützt werden soll )
C:\xampp\apache\

Es funzt immer noch nicht. Ich komme immer noch problemlos in das Verzeichnis rein. Wisst ihr noch weitere Fehlerquellen?

Muss man vielleicht noch was in der httpd.conf oder php.ini ändern? In der httpd.conf habe ich den htaccess Namen schon von .htaccess auf access.htaccess geändert, dies brachte aber nicht den gewünschten Erfolg.
Hilfe!

[DJ DHG]

Moin Moin

2 dinge sind mir aufgefallen.

1. AuthUserFile pw.htpasswd <--- es muss der komplette pfad angeben werden.

C:/xampp/htcos/bliblablub

und 2. unter windows muss das passwort im plaintext eingetragen werden.

eigentlich sollte die einstellung ".htaccess" reichen.

mfg DJ DHG

[Wiedmann]

und 2. unter windows muss das passwort im plaintext eingetragen werden.

Leider falsch. Geht zwar auch, aber aus Gründen der Sicherheit empfiehlt es sich die standardmäßige MD5-Verschlüsselung zu nehmen (Crypt geht nicht).
Auch muß das Tool "htpasswd.exe" genommen werden, da es 'leider' eine für den Apache modifizierte MD5-Version ist und damit inkompatible zu der md5-Funktion von PHP.

eigentlich sollte die einstellung ".htaccess" reichen.

Stimmt. Die Datei kann auch ".htaccess" / ".htpasswd" heißen. Nur tun sich unter Windows manche Programme schwer mit diesen Namen. z.B. der Explorer oder das FTP-Modul von Frontpage.

Ich z.B. nehme da einfach einen "_" anstatt ".". In die "httpd.conf" also folgende Zeilen rein:

Code: Select all

AccessFileName _htaccess
<FilesMatch "^\_ht">
    Order Deny,Allow
    Deny from all
</FilesMatch>


Das mit dem Fullpath ist auch sicherer (sonst relativ zu ServerRoot). So müsste deine Dateien dann aussehen:
C:\xampp\phpmyadmin\_htaccess

Code: Select all

AuthType Basic
AuthName "Verzeichnisschutz"
AuthUserFile "C:/xampp/phpmyadmin/_htpasswd"
Require user root


C:\xampp\phpmyadmin\_htpasswd

Code: Select all

root:$apr1$mP5.....$9GslNXJsdzEXH3PlV.z21.


In der https.conf im Directory-Abschnitt vom phpMyAdmin muss dann auch noch ein "AllowOverride AuthConfig" rein.

PS:
Hat phpMyAdmin nicht seinen eigenen Passwortschutz?

[DJ DHG]

Hat phpMyAdmin nicht seinen eigenen Passwortschutz?

yepp hat es. in folgender zeile das config, gegen http oder cookie austauschen.

Code: Select all

$cfg['Servers'][$i]['auth_type']     = 'config';

mfg DJ DHG

[excelite]

endlich mal eine vernüftige Erklärung.. ich hab weissgott schon lange bei google und anderen suchmaschinen nach einer klaren funktionierenden erklärung, wo was eingetragen werden muss gesucht. hätte ich dieses thread nicht gefunden wäre ich sicher noch lange auf der suche gewesen. hier steht wenigestens mal alles drinne was man so wissen muss..

gruß excelite

[Harry]

Jau, die Jungs sind äußerst fit hier

[mf_2]

Leider gehts immer noch ned, sonst noch Vorschläge? soll ich mal meine httpd.conf o.ä. posten? braucht ihr noch mehr infos?

[Wiedmann]

Was heisst es geht nicht?
- es kommt keine Passwortabfrage?
- Passwort wird nicht akzeptiert?

Schon mal den Browser geschlossen und das Verzeichnis direkt aufgerufen ("http://localhost/verzeichnis/")?

Willst du wirklich das Verzeichnis vom phpmyadmin schützen? Warum?

Die httpd.conf ist vielleicht etwas groß zum Posten. Hast du einen Link zum anschauen?

[mf_2]

Das Verzeichnis wird im Browser einfach geöffnet, es kommt garnichts.

Den PHPMyadmin hab ich mittlerweile über diesen Eintrag mit dem Wert"cookie" gwschützt, aber ich will auch andere Verzeichnisse mit htaccess schützen.