Wollen Sie ein Verzeichnis schützen, laden Sie über das DAM-Modul eine .htaccess-Datei in dieses Verzeichnis. Der Inhalt der Datei gibt dem Webserver Anweisungen, wie der Zugriff auf das Verzeichnis erfolgen soll.

Hinweis: Wenn Sie mit Windows arbeiten und Probleme haben sollten, eine Datei namens .htaccess zu erstellen, wählen Sie vorerst einen anderen Namen, wie zum Beispiel test.htaccess. Nachdem Sie die Datei in das zu schützende TYPO3-Verzeichnis hochgeladen haben, müssen Sie die Datei allerdings in .htaccess umbenennen. Zur Zeit werden die .htaccess-Dateien nur Inhabern der TYPO3-Rolle Entwickler angezeigt. Bei Redakteuren / Chefredakteuren wird die .htaccess ausgeblendet.

Ihnen stehen verschiedene Möglichkeiten zur Auswahl, wie Sie mittels .htaccess ein Verzeichnis (inklusive der Unterverzeichnisse) schützen können.

Falls sich alle Personen, die zu den Zugriffsberechtigten gehören sollen, in einem gemeinsamen Netz (IP-Adressraum) befinden, brauchen Sie in Ihrer .htaccess-Datei nur Folgendes anzugeben:

# Zeilen mit # am Anfang sind Kommentare, die vom Webserver ignoriert
# werden.

# Standardmäßig wird der Zugriff von überall mit dieser Direktive
# verboten. Ausnahmen können aber über "Allow from" definiert werden.
Order allow,deny

# Der Zugriff aus dem Netz beginnend mit 130.149 oder 141.23 ist
# erlaubt. Das entspricht dem Netz der TUB
#(inkl. dem Proxie 212.201.104.11 von T-Labs).
Allow from 130.149.0.0/16 141.23.0.0/16 212.201.104.11/32

Wenn der Zugriffsschutz mit Prüfung des Netzes, aus dem ein Benutzer kommt, nicht gangbar ist, besteht alternativ die Möglichkeit, ein Login-Formular zu nutzen. Hierzu sind einige Direktiven in der .htacces anzugeben: der AuthType, der AuthName, das AuthDigestFile und das require.
Hierbei ist AuthDigestFile am wichtigsten, bei dem Sie den Pfad zu einer Datei angeben müssen, die die gültigen Nutzernamen und die verschlüsselten Passwörter für den Login enthält. Wie Sie eine solche Datei erzeugen können, wird im Abschnitt „Die Benutzername- und Passwort-Datei .htusers“ erklärt.

Eine .htaccess-Datei für die Benutzername/Passwort-Authentisierung könnte wie folgt aussehen:

# Zeilen mit # am Anfang sind Kommentare, die vom Webserver ignoriert
# werden.

# AuthType gibt die Art der Authentisierung an. "Digest" ist sicherer
# als "Basic", da die Passwörter nicht im Klartext übertragen werden.
AuthType Digest

# Der Authentisierungsname/-realm wird u.a. als Text im Login-Fenster
# verwendet und muss später bei der Bearbeitung der
# Benutzername/Passwort-Datei .htusers via htdigest.exe angegeben
# werden. Vermeiden Sie am besten Sonderzeichen bzw. Umlaute!
AuthName "Hier den Titel des Login-Fensters eingeben"

# AuthUserFile verweist auf den Pfad der Datei, die die gültigen
# User und verschlüsselten Passwörter enthält. Der Pfad ist absolut
# und beginnt immer mit:
# /afs/tu-berlin.de/units/tubit/typo3/tu-berlin/fileadmin/
# Ein Beispiel:
AuthUserFile /afs/tu-berlin.de/units/tubit/typo3/tu-berlin/fileadmin/fg38/.htusers

# require stellt die Bedingung, die bei der Abfrage erfüllt sein muss.
# Es sollen nur authentisierte User zugreifen dürfen:
require valid-user

Soll der Zugriff aus einem bestimmten Netz möglich und für Personen, die nicht aus diesem Netz stammen, gestattet sein, bietet sich eine Mischung aus Netz- und Passwortschutz an.
Das Schlüsselwort in der .htacces heißt hierzu Satisfy any. Es sorgt dafür, dass nur eine der Bedingungen erfüllt sein muss, um Zugriff auf das Verzeichnis zu erlangen. In der folgenden .htacces genügt es, dass Sie sich im erlaubten Netz befinden oder einen gültige Nutzernamen/Passwort-Kombination angeben:

AuthType Digest
AuthName "Hier den Titel des Login-Fensters eingeben"
AuthUserFile /afs/tu-berlin.de/units/tubit/typo3/tu-berlin/fileadmin/fg38/.htusers
require valid-user
Order allow,deny
Allow from 130.149.0.0/16 141.23.0.0/16 212.201.104.11/32
Satisfy any

Zum Generieren der .htusers-Datei für die Digest-Authentisierung benötigen Sie für Windows das Programm htdigest.exe (EXE, 68,1 KB) [1]. Kopieren Sie die htdigest.exe auf Ihren Arbeitsplatzrechner.

htdigest.exe ist kommandozeilenbasiert. Starten Sie als Erstes den Kommandozeileninterpreter von Windows. Hierzu gehen Sie bitte ins Startmenü, wählen dort den Unterpunkt Ausführen... und geben Sie das Kommando

cmd

ein und bestätigen Sie mit Ok. Nun öffnet sich ein Fenster mit schwarzem Hintergrund, in dem Sie kommandozeilenbasiert arbeiten können.

Wechseln Sie in das Verzeichnis, in dem das Programm htdigest.exe liegt, mit Hilfe des Befehls:

cd <Pfad>

Der <Pfad> muss natürlich entsprechend Ihrer Umgebung angegeben werden, z.B.

cd programmehtdigest

Nun können Sie htdigest.exe (ohne Pfadangabe) aufrufen und sich z.B. die Programmhilfe anzeigen lassen:

htdigest.exe ­­--help

Generieren Sie mit folgendem Kommando die .htusers-Datei und fügen Sie ihr einen neuen Benutzer hinzu:

htdigest.exe -c <Datei> <Authentisierungsrealm> <User>

Die Werte <Datei>, <Authentisierungsealm> und <User> sind geeignet zu ersetzen, wobei unbedingt darauf zu achten ist, dass der <Authentisierungsrealm> dem entspricht, was als AuthName in der .htaccess angegeben wurde. Gemäß der Werte, die wir im obigen Beispiel für die Nutzername/Passwort-Authentisierung verwendet haben, könnte der Befehl so lauten:

htdigest.exe -c .htusers "Hier den Titel des Login-Fensters eingeben" gast0815

Nun erfolgt eine Frage nach dem Passwort des Nutzers. Die Angabe ist zu wiederholen, um Schreibfehler zu vermeiden. Jetzt wird das Passwort verschlüsselt und zusammen mit dem Benutzernamen und dem Realm in die Datei geschrieben. Mit einem Texteditor können Sie sich davon überzeugen, aber Vorsicht: nichts mehr verändern!

Um zusätzliche Benutzer einzutragen, wiederholen Sie die Prozedur. Da die Datei inzwischen existiert, muss die Option -c zur Erzeugung weggelassen werden.

htdigest.exe .htusers "Hier den Titel des Login-Fensters eingeben" gast0816

Die gerade mit htdigest.exe bearbeitete Datei uploaden Sie nun in Ihren TYPO3-­Ordner, den Sie schützen wollen.

Hinweis: Sie sollten die .htusers-Datei nicht mit einem Editor bearbeiten, da möglicherweise danach die Authentisierung nicht mehr funktioniert.