Hallo
1.) Es gibt auf dem Server per ldap verwaltete User und Gruppen.
2.1.) Die legen Files normalerweise nicht mit o+rwx an, sondern o-rwx. 2.2.) apache2 als user www-run kann auf solche Files nicht zugreifen.
3.1.) apache2 kann in ein beliebiges <directory> ldap-authentifizierten Usern zugänglich machen, 3.2.) und gibt den Inhalt weiter, wenn er als www-run im <directory> lesen darf.
Wie bringe ich den Prozeß apache2 im im Schritt 3.2.) dazu, selber als der in 3.1) authentifizierte User aufzutreten?
Ideen: mount --bind -o (geht aber so nicht), ggf. fusermount (Zugriffe sollen nur lesen können, schreibend ist nicht nötig.)
TIA!
Bernhard
Hallo Bernhard,
mit Hilfe von ACL könntest du dem Benutzer www-run Leserechte auf die entsprechenden Dateien und Verzeichnisse geben, ohne dass du die Dateien für jeden sichtbar machen musst. Dass www-run unter dem Namen von anderen Benutzern unterwegs ist, würde ich versuchen zu vermeiden. Da du gar nichts über die Gruppen gesagt hast, wäre es aber auch möglich, mit dem s-Bit dafür zu sorgen, dass alle Dateien in den Ordnern unter einer Gruppe abgelegt werden, der auch www-run angehört.
Gruß
Björn
Am 22.03.2011 18:32, schrieb Bernhard Schiffner:
Hallo
1.) Es gibt auf dem Server per ldap verwaltete User und Gruppen.
2.1.) Die legen Files normalerweise nicht mit o+rwx an, sondern o-rwx. 2.2.) apache2 als user www-run kann auf solche Files nicht zugreifen.
3.1.) apache2 kann in ein beliebiges <directory> ldap-authentifizierten Usern zugänglich machen, 3.2.) und gibt den Inhalt weiter, wenn er als www-run im <directory> lesen darf.
Wie bringe ich den Prozeß apache2 im im Schritt 3.2.) dazu, selber als der in 3.1) authentifizierte User aufzutreten?
Ideen: mount --bind -o (geht aber so nicht), ggf. fusermount (Zugriffe sollen nur lesen können, schreibend ist nicht nötig.)
TIA!
Bernhard
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Gute Tips, mal sehen, was sich machen läßt.
Hallo Bernhard,
mit Hilfe von ACL könntest du dem Benutzer www-run Leserechte auf die entsprechenden Dateien und Verzeichnisse geben, ohne dass du die Dateien für jeden sichtbar machen musst. Dass www-run unter dem Namen von anderen Benutzern unterwegs ist, würde ich versuchen zu vermeiden. Da du gar nichts über die Gruppen gesagt hast, wäre es aber auch möglich, mit dem s-Bit dafür zu sorgen, dass alle Dateien in den Ordnern unter einer Gruppe abgelegt werden, der auch www-run angehört.
Gruß
Björn
Am 22.03.2011 18:32, schrieb Bernhard Schiffner:
Hallo
1.) Es gibt auf dem Server per ldap verwaltete User und Gruppen.
2.1.) Die legen Files normalerweise nicht mit o+rwx an, sondern o-rwx. 2.2.) apache2 als user www-run kann auf solche Files nicht zugreifen.
3.1.) apache2 kann in ein beliebiges <directory> ldap-authentifizierten Usern
zugänglich machen,
3.2.) und gibt den Inhalt weiter, wenn er als www-run im <directory> lesen darf.
Wie bringe ich den Prozeß apache2 im im Schritt 3.2.) dazu, selber als der in 3.1) authentifizierte User aufzutreten?
Ideen: mount --bind -o (geht aber so nicht), ggf. fusermount (Zugriffe sollen nur lesen können, schreibend ist nicht nötig.)
TIA!
Bernhard
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
----- Ursprüngliche Mail ----
Von: Bernhard Schiffner bernhard@schiffner-limbach.de An: Linux-User-Group Dresden lug-dd@mailman.schlittermann.de Gesendet: Dienstag, den 22. März 2011, 18:32:42 Uhr Betreff: apache2 und ldap
Hallo
1.) Es gibt auf dem Server per ldap verwaltete User und Gruppen.
--> apache in eine gemeinsame gruppe legen
2.1.) Die legen Files normalerweise nicht mit o+rwx an, sondern o-rwx.
-other sollte wenn gleiche gruppe nicht mehr ziehen
2.2.) apache2 als user www-run kann auf solche Files nicht zugreifen.
3.1.) apache2 kann in ein beliebiges <directory> ldap-authentifizierten Usern zugänglich machen,
webdav würde ich jetzt in den ring werfen
3.2.) und gibt den Inhalt weiter, wenn er als www-run im <directory> lesen darf.
sollte auch mit webdav gehen
Wie bringe ich den Prozeß apache2 im im Schritt 3.2.) dazu, selber als der in
3.1) authentifizierte User aufzutreten?
also wenn jeder user nur in sein verzeichniss sein zeug machen darf dann kann man die /home/*/public_html variante in betracht ziehen
oder vieleicht hilft sowas <VirtualHost *> ServerName server1 AssignUserID user1 group1 </VirtualHost>
andreas
Ideen: mount --bind -o (geht aber so nicht), ggf. fusermount (Zugriffe sollen nur lesen können, schreibend ist nicht nötig.)
TIA!
Bernhard
lug-dd@mailman.schlittermann.de
-
Bernhard Schiffner -
Björn Abheiden -
Grimnin Fridyson