Systempasswort mit ändern
Eingetragen von Q-Base (339)am 26.10.2006 - 21:51 Uhr in
Hallo,
ich habe da eine besondere Anforderung bekommen. Das verwendete System hat auch noch ein htaccess mit Zugriffskontrolle. Dass bedeutet, wenn ein User sein Passwort ändert (beim Anlegen natürlich auch), muss es kurz das Klartextpasswort abgegriffen werden und dann in die htpasswd eingetragen werden. Weiter brauche ich das Klartextpasswort nicht, es kann dann weggeschmissen werden.
Wie kann ich das lösen?
Das wäre echt cool.
Ciao, Q
- Anmelden oder Registrieren um Kommentare zu schreiben
Warum nutzt Du nicht das
am 27.10.2006 - 09:01 Uhr
Warum nutzt Du nicht das Apache-Modul
auth_mysql, doppelte Datenspeichern sollte man im Allgegemeinen vermeiden und bei so sensiblen Daten wie Passworten gilt das doppelt.vg
--
sanduhrs - drupalcenter
--------------------------------
http://erdfisch.de
hmm
am 27.10.2006 - 10:13 Uhr
Hallo,
ja, das mit dem doppeltem Speichern lässt sich nicht vermeiden. Es gibt für Member noch einen großen Downloadbereich. In diesem Bereich befinden sich die Mods, die auch auf dem Server laufen. Zur kurzen Erklärung: ich baue die Community-Seite eines Online Gaming Clans. Damit alle Member dieselbe Version der Spiele & Mods haben wie auf dem Server sind, werden in einem besonders gesichertem Bereich die Mods angeboten. Da die Mods im Allgemeinen etwa CD-Größe haben, möchte ich die nicht im Drupal verwaltet haben.
Es gibt also noch ein extra Verzeichnis, das mit htaccess & htpasswd geschützt ist. Da die Anmeldung somit nicht vom Drupal geprüft wird, sondern vom Apache selbst und trotz einer Passwortänderung überall dasselbe Passwort des Members gespeichert sein.
Es gibt ja schon eine (alte) Webseite für den Clan, aber genau diese soll mit Drupal ersetzt werden. Bisher wurde beim Ändern des Passworts einfach ein weiteres SH-Script aufgerufen, dem das Passwort übergeben wird.
Ciao, Q
Für diesen Anwendungszweck
am 27.10.2006 - 10:43 Uhr
Für diesen Anwendungszweck ist mod_auth_mysql[1] perfekt.
Das Prinzip ist absolut identisch mit .htaccess/.htpasswd nur, dass die Benutzer nicht anhand der .htpasswd identifiziert werden, sondern anhand der Benutzerdaten in der Datenbank - also Drupals users-Tabelle.
Damit sind die sensiblen Zugangsdaten _nicht_ doppelt gespeichert und müssen nicht im Klartext abgegriffen/übertragen werden. Das zusätzliche Script zum Speichern neuer und geänderter Benutzerdaten fällt weg. Du hast den gewünschten Zugriffsschutz für die Verzeichnisse, wobei die Zugangsdaten von Drupal verwaltet werden -> perfekte Lösung ;)
vg
[1] http://sourceforge.net/projects/modauthmysql/
--
sanduhrs - drupalcenter
--------------------------------
http://erdfisch.de
Danke
am 27.10.2006 - 10:47 Uhr
OK, dann muss ich das mal mit dem Admin diskutieren. Ich bin nur für die Umsetzung der Webseite verantwortlich, die Software dadrunter macht jemand anderes und dort gibt es eine Policy, wann etwas installiert werden kann und wann nicht.
Debian-Freak :rolleyes:
Wenn er ein Debian-Freak
am 27.10.2006 - 11:03 Uhr
Wenn er ein Debian-Freak ist, sollte die doppelte Datenspeicherung ein DICKES Argument sein.
Das Apache-Modul ist sowohl für Apache[1], als auch für Apache2[2] in Debian-Stable vorhanden.
vg
[1] http://packages.debian.org/cgi-bin/search_packages.pl?keywords=libapache...
[2] http://packages.debian.org/cgi-bin/search_packages.pl?keywords=libapache...
--
sanduhrs - drupalcenter
--------------------------------
http://erdfisch.de
:)
am 27.10.2006 - 11:07 Uhr
Ist es denn auch ein Jahr alt?
ich sage nichts mehr ohne meinen Anwalt, sonst bekomme ich Haue
Die erste VErsion ist vom
am 27.10.2006 - 11:19 Uhr
Die erste VErsion ist vom
Wed, 9 Jan 2002 15:15:23 -0700;)vg
--
sanduhrs - drupalcenter
--------------------------------
http://erdfisch.de