Wie richte ich einen per .htaccess geschützten Bereich ein?
Wenn man einen Bereich schaffen möchte der nicht für die Öffentlichkeit zugänglich ist, für zum Beispiel eine Test-Installation ("test.meinedomain.de") seiner eigenen Webseite oder einen Mitarbeiter-Download Bereich mit den Bildern der Weihnachtsfeier ("test.meinedomain.de/downloads/weihnachtsfeier2011/"), wird nicht viel benötigt.
Nach dem der Verzeichnisschutz eingerichtet wurde, kann auf den geschützten Bereich von außen nur noch mit Benutzer und Passwort zugegriffen werden.
.htaccess und .htpasswd Dateien erstellen
Um die Dateien zu erstellen verbindet man sich per SSH auf den Webspace. Dann mit "cd" bzw. mit "mc" in das zu schützende Verzeichnis wechseln (z.B.: "cd typo3cms/projekt1/weihnachtsfeier2011/"). Dabei ist zu beachten, dass im Verzeichnis bereits eine ".htaccess" Datei existieren kann! Mit dem Unix-Befehl "ls -lah .ht*" kann dies nachgeprüft werden. Wenn dort schon eine ".htaccess" Datei existiert müssen die Anpassungen in dieser ergänzt werden. Die zusätzlichen Zeilen Code müssen am Anfang der Datei gemacht werden (vor den Rewirtes!), sonst greifen die Einstellungen evtl. nicht korrekt!
".htaccess" Inhalt
# Die HTTP-Authentifizierung aktivieren
AuthType Basic
# Der Name des Bereichs, dieser wird beim Aufruf im Browser angezeigt
AuthName "Weihnachtsfeier2011"
# GANZ WICHTIG: mit dem Shell Befehl "pwd" kann man sich den kompletten Server Pfad ausgeben lassen, denn die .htpasswd wird nur so gefunden.
AuthUserFile /kompletter/server/pfad/zu/dem/verzeichnis/.htpasswd require valid-user
Um die ".htpasswd" Datei zu erstellen gibt es mehrere Möglichkeiten zum Beispiel Online-Generatoren, doch halte ich diese für kritisch. Man ist gezwungen seinen Benutzername und Kennwort in ein Fremdes Formular ein zugeben und weis nicht was mit seinen Daten in Wirklichkeit passiert.
Deswegen empfehle ich die folgende Vorgehensweise, mit dem Unix Befehl "htpasswd" kann man dies einfach erledigen. Ein Beispielhafter Aufruf würde dann so ausschauen:
htpasswd -cm ./.htpasswd benutzername
Anschließend wird man aufgefordert ein Password inkl. Wiederholung einzugeben.
Wenn danach weitere User hinzugefügt werden, darf auf keinen Fall die Option "-c" (create new file / Neue Datei erstellen) gesetzt sein, sonst wird die Datei ohne Nachfrage überschrieben.
Das "-m" bedeutet dass, das Passwort mit MD5 verschlüsselt in der Datei geschrieben wird.
htpasswd -m ./.htpasswd weitererbenutzer
".htpasswd" Inhalt
benutzername:$1$EoIs4qcxdex/a8SFsS4efr9tZSVPCD1
Um zu Testen ob alles erfolgreich war, braucht man einfach nur die geschütze URL im Browser aufrufen. Wenn dort eine Dialogbox zum Einloggen angezeigt wird und der Login funktioniert ist der Schutz schon eingerichtet. Falls ein "Server Error 500" Ausgegeben wird, ist dies mit sehr großer Wahrscheinlichkeit auf einen Syntax Fehler in der .htaccess bzw. .htpasswd zurück zu führen.
