• View
• Edit
• History
• Print
• Backlinks

Benutzerautorisierung

für die Liste aller Seiten

AuthUser ist PmWikis identitätsbasiertes Autorisierungssystem, das die Kontrolle des Zugriffs auf Seiten erlaubt über den Einsatz von Benutzernamen und -Passwörtern (anders als beim Standardsystem, bei dem nur Passwörter verwendet werden und diese nicht an Benutzer, sondern an Seiten oder Gruppen oder die Site gebunden sind). AuthUser kann zusätzlich zu diesem, in der Standardkonfiguration benutzten, passwort-basierten Schema benutzt werden.

AuthUser ist ein sehr flexibles System zum Verwalten der Zugangskontrolle zu Seiten, aber Flexibilität kann auch Komplexität und vermehrten Aufwand zur Pflege für den Administrator mit sich bringen. Genau darum ist PmWikis Standard das einfachere passwort-basierte System. Wegen ein paar Gedanken zu den jeweiligen Vorzügen der beiden Systeme siehe PmWiki:ThoughtsOnAccessControl.

Siehe auch: Cookbook:Quick Start for AuthUser.

AuthUser aktivieren

Um PmWikis identitätsbasiertes System AuthUser zu aktivieren, braucht man nur die folgende Zeile in die local/config.php hinzuzufügen:

Vergewissern Sie sich, dass Sie ein site-weites Passwort gesetzt haben, andernfalls könnten Sie SiteAdmin.AuthUser nicht bearbeiten.

PmWiki speichert einige Gruppen- und Seiten-Autorisierungsebenen zwischen, wenn auf eine Seite zugegriffen wird. Deshalb ist es besser, authuser.php eher weiter vorn in der config.php-Datei einzusetzen, sicher jedoch

• nach allen Rezepten, die eine eigenen Seitenspeicher-Klasse (MySQL, SQLite, Compressed PageStore oder andere) etablieren
• und nach jeder Internationalisierung (UTF-8 und XLPage).

(Wenn Sie keine eigene Seitenspeicher-Klasse und i18n nutzen, sollte authuser.php das Erste in der config.php sein.)

Alle anderen Rezepte sollten dahinter aufgeführt werden.

Benutzerkonten anlegen

Das Meiste von AuthUsers Konfiguration wird über die SiteAdmin.AuthUser-Seite erledigt. Zum Ändern der AuthUser-Konfiguration bearbeiten Sie einfach diese Seite wie andere Seiten auch (man braucht typischerweise das Passwort des Site-Administrators dafür).

Um einen Login-Konto (account) zu erstellen, fügen Sie zu SiteAdmin.AuthUser einfach Zeilen wie diese hinzu:

Um zum Beispiel "Alice" ein Loginkonto mit dem Passwort "restaurant" zu geben, schreiben Sie also:

Wenn die Seite gespeichert wird, wird der "(:encrypt restaurant:)"-Teil des Textes durch eine verschlüsselte Form des Passwortes "restaurant" ersetzt. Diese Verschlüsselung geschieht, damit jemand, der die Seite ansieht, nicht zu einfach das gespeicherte Passwort erschließen kann.

Um eines Benutzers Passwort zu ändern oder zurückzusetzen, ersetzt man den verschlüsselten String durch eine weitere (:encrypt:)-Direktive.

Zugriff auf Seiten durch Anmelden kontrollieren

Seiten und Gruppen können auf der Basis der Loginkonten geschützt werden, indem man "Passwörter" der Form id:benutzername in die Passwortfelder bei ?action=attr einträgt (siehe Passwörter. Damit zum Beispiel eine Seite nur von Alice bearbeitet werden kann, würde man als neues "bearbeiten"-Passwort "id:alice" eintragen.

Es ist möglich, mehrere "id"-Deklarationen und Passwörter in dem "?action=attr"-Formular einzugeben, deshalb erlaubt die folgende Einstellung den Zugriff durch Alice, Carol und jeden, der das Passwort "schnell" kennt:

Um jedem den Zugriff zu erlauben, der sich erfolgreich eingeloggt hat, schreibt man "id:*".

Man kann auch site-weite Einschränkungen einrichten, die auf den Identitäten im $DefaultPasswords-Array (in local/config.php) basieren: z. B.

# Einloggen erforderlich, bevor Seiten gelesen werden können
$DefaultPasswords['read'] = 'id:*';
# Alice und Carol dürfen bearbeiten
$DefaultPasswords['edit'] = 'id:alice,carol';
# Alle Admins und Fred dürfen bearbeiten
$DefaultPasswords['edit'] = array('@admins', 'id:Fred');

Man kann das $DefaultPasswords-Array in den lokalen Anpassungsdateien ändern:

• local/config.php (für das ganze Wiki)
• farmconfig.php (für die ganze Wikifarm)

Organisieren der Konten in Gruppen

AuthUser macht es auch möglich, Loginkonten in Autorisierungsgruppen zu sammeln, die durch ein einleitendes '@'-Zeichen bezeichnet werden. Wie die Loginkonten werden Gruppenzugehörigkeiten durch Einträge in der SiteAdmin.AuthUser-Seite verwaltet, Gruppenzugehörigkeit entweder durch Auflisten der Gruppen im Loginkonto (Person gehört zu den Gruppen ...) oder durch Auflisten der Konten für eine Gruppe (Gruppe enthält Leute). Man kann die beiden Arten wiederholt anwenden oder mischen:

    @writers: alice, bob
    carol: @writers, @editors
    @admins: alice, dave

Um dann Seitenzugriffe auf eine bestimmte Gruppe zu beschränken, trägt man einfach "@gruppe" als das "Passwort" in ?action=attr oder in das $DefaultPasswords-Array ein, gerade so wie "id:benutzername" für die Zugriffsbeschränkung auf ein Loginkonto eingetragen wurde.

Einzelne aus Passwortgruppen ausschließen

Gruppenpasswortzugehörigkeiten werden über das Bearbeiten der SiteAdmin.AuthUser-Seite verwaltet. Um eine Passwortgruppe anzugeben, die jedem, der eingeloggt ist, den Zugriff erlaubt, gibt man an:

    @wholeoffice: *

Wenn Fred von dieser Passwortgruppe ferngehalten werden soll:

    @wholeoffice: *,-Fred

Um allen außer Fred zu erlauben, die Seitenattribute zu ändern, schreibt man beispielsweise in die config.php-Datei:

Kontonamen und Passwörter von anderen Wikiseiten holen

Wenn Sie PmWiki veranlassen wollen, Kontonamen und Passwörter von anderen Seiten als von SiteAdmin.AuthUser zu holen, können Sie die Variable $AuthUserPageFmt in der config.php-Datei setzen. $AuthUserPageFmt muss vor dem Aufruf von authuser.php gesetzt werden.

Vor der PmWiki-Version 2.2.108 können Sie PmWiki auf eine andere Seite als SiteAdmin.AuthUser zeigen lassen mit:

    $AuthUserPageFmt = 'EineAndereGruppe.EineAndereSeite';

Ab der PmWiki-Verion 2.2.108 können Sie PmWiki auf eine andere Seite als SiteAdmin.AuthUser zeigen lassen mit:

    $AuthUserPageFmt = array('EineAndereGruppe.EineAndereSeite', 'EineDritteGruppe.EineDritteSeite');

Dadurch prüft PmWiki alle aufgelisteten Seiten mit dem selben Format, das für SiteAdmin.AuthUser dokumentiert ist. Wenn es Wiederholungen gibt, werden frühere Werte durch spätere ersetzt.

Kontonamen und Passwörter aus externen Quellen holen

Das AuthUser-Skript hat die Fähigkeit, Benutzernamen/Passwörter-Paare von anderen Stellen als der SiteAdmin.AuthUser-Seite zu holen, als da wären

• passwd-formatierte Dateien (auf Apache-Servern gewöhnlich '.htpasswd' genannt),
• LDAP-Server oder sogar
• die local/config.php-Datei.

Passwd-formatierte Dateien (.htpasswd/.htgroup)

Passwd-formatierte Dateien, in Apache gewöhnlich .htpasswd-Dateien genannt, sind Textdateien, in denen jede Zeile einen Benutzernamen und ein verschlüsseltes Passwort enthält, getrennt durch einen Doppelpunkt. Eine typische .htpasswd-Datei könnte so etwas enthalten:

    alice:vK99sgDV1an6I
    carol:Q1kSeNcTfwqjs

Damit AuthUser diese Benutzer und Passwörter von einer .htaccess-Datei lädt, schreibt man eine Zeile in SiteAdmin.AuthUser, wobei man "/path/to/.htpasswd" dur den Dateisystempfad der .htpasswd-Datei ersetzt:

    htpasswd: /path/to/.htpasswd

Anlegen und Verwalten der .htpasswd-Datei kann mit einem Texteditor durchgeführt werden (???? nur .htgroup!) oder mit einer Reihe von Drittanbieter-Werkzeugen, die mit .htpasswd-Dateien umgehen können. Beim Apache-Server wird typischerweise ein htpasswd-Kommando mit installiert, mit dem man Konten in .htpasswd anlegen und verwalten kann.

    $ htpasswd /path/to/.htpasswd alice
    New password:
    Re-type new password:
    Adding password for user alice
    $

Entsprechend kann man .htgroup-formatierte Dateien benutzen, um Gruppenzugehörigkeiten zu spezifizieren. Jede Zeile enthält den Namen einer Gruppe (ohne dem "@"), gefolgt von einem Doppelpunkt, gefolgt von einer durch Leerzeichen getrennten Liste von Benutzernamen in der Gruppe.

    writers: carol
    editors: alice carol bob
    admins: alice dave

Anmerkung: Die Gruppen sind nach wie vor "@writers", "@editors" und "@admins" in PmWiki, auch wenn in den Dateien das "@"-Zeichen nicht mitgeschrieben wird.
Damit AuthUser diese Gruppen lädt, schreibt man eine Zeile in SiteAdmin.AuthUser wie:

    htgroup: /path/to/.htgroup

Konfiguration durch local/config.php

AuthUser-Konfigurationseinstellungen können auch in der local/config.php-Datei gemacht werden – zusätzlich zu der SiteAdmin.AuthUser-Seite. Solche Einstellungen werden in das $AuthUser-Array gesetzt und müssen vor dem Einfügen des authuser.php-Skripts gesetzt werden. Einige Beispiele:

# setze ein Password für alice
$AuthUser['alice'] = pmcrypt('restaurant');
# setze ein Password für carol
$AuthUser['carol'] = '$1$CknC8zAs$dC8z2vu3UvnIXMfOcGDON0';
# definiere die @editors-Gruppe
$AuthUser['@editors'] = array('alice', 'carol', 'bob');
# Benutze local/.htpasswd für Benutzernamen/Passwörter
$AuthUser['htpasswd'] = 'local/.htpasswd';
# Benutze local/.htgroup für die Gruppenzugehörigkeit
$AuthUser['htgroup'] = 'local/.htgroup';

include_once("$FarmD/scripts/authuser.php");

Konfiguration über LDAP

Die Authentifizierung kann über einen externen LDAP-Server ausgeführt werden – setzen Sie einfach einen Eintrag für "ldap" entweder in die SiteAdmin.AuthUser-Seite oder in die local/config.php-Datei.

# Benutze ldap.airius.com für die Authentifizierung
$AuthUser['ldap'] = 'ldap://ldap.airius.com/ou=People,o=Airius?cn?sub';

Vergewissern Sie sich, dass AuthUser nach dem Eintrag für den LDAP-Server eingeschlossen wird.

# Wir brauchen AuthUser, damit wir ldap für die Passwörter einsetzen können
    include_once("$FarmD/scripts/authuser.php");

Und denken Sie daran, die Sicherheitsvariablen für "Bearbeiten" und "Versionen" (oder was auch immer) zu setzen:

#Sicherheitsvariablen setzen für Bearbeiten und Versionen,
# um beides jedermann mit einem ldap-Eintrag zu erlauben:
$HandleAuth['diff'] = 'edit'; # Versionen
$DefaultPasswords['edit'] = 'id:*'; # Bearbeiten
$Author = $AuthId;

Die LDAP-Authentifizierung in AuthUser folgt dicht dem Modell, das Apache 2.0s mod_auth_ldap-Modul benutzt; siehe besonders die Dokumentation zu AuthLDAPUrl wegen einer Beschreibung des URL-Fomates.

Für Server, die kein anonymes 'bind' erlauben, bietet Authuser die Variablen $AuthLDAPBindDN und $AuthLDAPBindPassword, um anzugeben, welches 'Binding' zur Suche benutzt werden soll.

Siehe auch Cookbook:AuthUser via Microsoft LDAP

Setzen des Autorennamen

Im Standard benutzt PmWiki den Loginnamen im Autorenfeld des Bearbeiten-Formulars, erlaubt aber den Benutzern, den Wert vorm Speichern zu ändern. Um zu erzwingen, dass der Loginnamen immer als Autorenname benutzt wird, trägt man die folgende Sequenz in die config.php-Datei ein:

include_once("$FarmD/scripts/authuser.php");
$Author = $AuthId; # after include_once()

Für eine größere Flexibilität, die trotzdem einen Verweis auf den autorisierten Benutzer in den Versionen erlaubt, kann man dem Autorennamen einen Präfix aus der $AuthId geben:

    include_once("$FarmD/scripts/author.php");
    include_once("$FarmD/scripts/authuser.php");
    if ($Author) {
        if (strstr($Author, '-') != false) {
            $Author = "$AuthId-" . preg_replace('/^[^-]*-/', '', $Author);
        } else if ($Author != $AuthId) {
            $Author = $AuthId . '-' . $Author;
        } else {
            $Author = $AuthId;
        }
    } else {
        $Author = $AuthId;
    }
    $AuthorLink = "[[~$Author]]";

Das Obige erlaubt den Benutzern einen Autorennamen ihrer Wahl einzugeben, der wird aber immer ersetzt durch einen Namen mit vorangestelltem "$AuthID-". Der Grund, warum $AuthorLink auch gesetzt werden muss, ist, dass sonst die 'RecentChanges'-Seite den falschen Verweis enthält.

Das "Autor"-Eingabefeld entfernen

Das zwingt die Autoren, mit ihrer AuthID zu schreiben, anstatt ein Feld zu haben, in das sie jeden beliebigen Namen eintragen können. Das ermöglicht der Verwaltung, besser im Auge zu behalten, wer was tut. Diese Zeile verlinkt auch den Autorennamen mit ihrem Profil.

Autorisierung, Sessions und WikiFarms

PmWiki benutzt PHP-Sessions, um die Benutzerautorisierungsinformationen zu verfolgen. Im Standard ist PHP so konfiguriert, dass alle Interaktionen mit dem selben Server (indentifiziert durch den Domainnamen) als Teil der gleichen Session behandelt werden.

Das bedeutet für PmWiki, wenn mehrere Wikis innerhalb des gleichen Domainnamen laufen, dass PHP ein Login für ein Wiki als gültig auch für alle Wikis in der gleichen Domain ansieht. Die leichteste Lösung ist, jedes Wiki anzuweisen, ein verschiedenes "Session-Cookie" zu benutzen. Fügen Sie in der Nähe des Anfangs in einer local/config.php-Datei eines Wikis, vor dem Aufruf von authuser oder anderen Rezepten, eine solche Zeile ein:

session_name('XYZSESSID');

'XYZSESSID' kann irgendein unverwechselbarer, einmaliger Name sein (nur Buchstaben ist am sichersten). Wegen der exakten Namensregeln sehen Sie nach in der Beschreibung im PHP-Handbuch unter der PHP-Version, die Sie auf Ihrem Server verwendeten.

Sicherheitshinweis: Der Gebrauch unterschiedlicher Sitzungsnamen in Cookies und/oder URLs hilft gegen Verwirrung bei Wiki-Farmen, ist aber kein Schutz gegen untergeschobene Sitzungsdaten auf dem Server. Siehe hierzu Cookbook:Session Security Advice, Abschnitt "Session injection".

Siehe auch

• PmWiki.Passwords
• PmWiki.PasswordsAdmin
• Cookbook:AuthUser Wegen Tipps und Tricks
• SiteAdmin.AuthUser

FAQ

$DefaultPasswords['admin'] = array( pmcrypt('masterpass'), # globales Passwort
    '@admins', '@moderators', # + Benutzer in diesen Gruppen
    'id:Fred', 'id:Barney');  # + Benutzer Fred und Barney

## Define usernames and passwords.
$AuthUser['carol'] = '$1$CknC8zAs$dC8z2vu3UvnIXMfOcGDON0';

## Enable authentication based on username.
include_once('scripts/authuser.php');

# $DefaultPasswords['admin'] = pmcrypt('secret');
$DefaultPasswords['admin'] = 'id:carol';

für die Liste aller Seiten