Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:acl [2012-11-23 14:54] – alte Version wieder hergestellt (2011/01/15 15:58) 141.65.129.247
+++ de:acl [2024-01-04 11:34] (aktuell) – [Zugriffskontrolle mittels ACLs] 82.220.5.46
@@ Zeile 1: / Zeile 1: @@
-====== Zugriffskontrolle ======
+====== Zugriffskontrolle mittels ACLs ======
-[[DokuWiki]] ist -- wie die meisten **Wikis** -- in der Basiskonfiguration sehr offen. Jeder hat das Recht, Seiten zu erstellen, zu editieren oder zu löschen. Manchmal ist es trotzdem besser, den Zugriff zu manchen oder allen Seiten zu beschränken. An diesem Punkt kommen //Access Control Lists// (ACL) ins Spiel. Diese Seite soll einen Überblick darüber geben, wie ACLs im DokuWiki arbeiten und wie sie konfiguriert werden.
+[[DokuWiki]] ist -- wie die meisten **Wiki** -- in der Basiskonfiguration sehr offen. Jeder hat das Recht, Seiten zu erstellen, zu editieren oder zu löschen. Manchmal ist es trotzdem besser, den Zugriff zu manchen oder allen Seiten zu beschränken. An diesem Punkt kommen //Access Control Lists// (ACL) ins Spiel. Diese Seite soll einen Überblick darüber geben, wie ACLs im DokuWiki arbeiten und wie sie konfiguriert werden.
-Für weiterführende Informationen oder Fragen --> [[discussion:acl|discussion:acl]]
+{{:aclexample.png?400|}}
-:!: **WARNUNG:** Die ACL-Funktion im DokuWiki ist seit einiger Zeit eingebaut und sollte stabil sein. Wenn Sie sich jedoch wegen der Risiken eines unautorisierten Benutzerzugriffs auf die Informationen in ihrem Wiki sorgen, sollten Sie diese Information niemals auf einen Rechner stellen, auf den über das Internet zugegriffen werden kann......
 ===== Konfiguration =====
-Um ACL im DokuWiki zu aktivieren, benötigen sie zumindest ein Standard-ACL. Kopieren Sie einfach jeweils die Beispieldateien ''conf/acl.auth.php.dist'' und ''conf/users.auth.php.dist'' nach ''conf/acl.auth.php'' und ''conf/users.auth.php''. Danach sollte die Anmeldeseite funktionieren. Wenn Sie die Meldung "No ACL setup yet! Denying access to everyone." erhalten, dann stellen Sie sicher, dass der Code am Anfang der Datei acl.auth.php die Datei ''acl.auth.php'' :?: (steht so im Original) :?: liest und nicht ''users.auth.php''.
+Um ACL im DokuWiki zu aktivieren, benötigen Sie zumindest ein Standard-ACL. Kopieren Sie einfach jeweils die Beispieldateien ''conf/acl.auth.php.dist'' und ''conf/users.auth.php.dist'' nach ''conf/acl.auth.php'' und ''conf/users.auth.php''. Danach sollte die Anmeldeseite funktionieren. Wenn Sie die Meldung "No ACL setup yet! Denying access to everyone." erhalten, dann stellen Sie sicher, dass der Code am Anfang der Datei acl.auth.php die Datei ''acl.auth.php'' :?: (steht so im Original) :?: liest und nicht ''users.auth.php''.
 Sie benötigen darüber hinaus einige [[config]] Optionen. Betrachten wir ein Beispiel, das Sie in ihre ''local.php'' einfügen könnten, um die Standard Klartext-Authentifizierung bei der öffentlichen Registrierung zu aktivieren:
@@ Zeile 29: / Zeile 27: @@
 Auf diese Art und Weise können Benutzer nur von einem Administrator hinzugefügt werden (entweder durch das Admin-Webinterface oder durch den direkten Eintrag in ''conf/users.auth.php'' ).
-Darüber hinaus gibt es zusätzliche Konfigurationsoptionen, die Kontrolle über andere Aspekte der ACL's erlauben. Viele werden hierfür aber die Standardeinstellungen für ausreichend halten.
+Darüber hinaus gibt es zusätzliche Konfigurationsoptionen, die Kontrolle über andere Aspekte der ACLs erlauben. Viele werden hierfür aber die Standardeinstellungen für ausreichend halten.
 <code php>
@@ Zeile 51: / Zeile 49: @@
 ===== Benutzermanagement =====
-Benutzer koennen hinzugefuegt, geloescht und bearbeitet werden mittels [[plugin:usermanager]]. Fuer Informationen wie Benutzer manuell hinzugefuegt werden lesen sie die Beschreibung in der [[.auth:plain|plain backend]] Dokumentation. Standardmaessig koennen sich Benutzer selbst registrieren.
+Benutzer können hinzugefügt, gelöscht und bearbeitet werden mittels [[plugin:usermanager]]. Für Informationen wie Benutzer manuell hinzugefügt werden lesen sie die Beschreibung in der [[.auth:plain|plain backend]] Dokumentation. Standardmäßig können sich Benutzer selbst registrieren.
 Siehe dazu: [[faq:regdisable|FAQ: How to disable open user registration]]
-===== Zugriffsbeschraenkungen =====
+===== Zugriffsbeschränkungen =====
-Zugriffsbeschraenkungen werden mit [[pagename|pages]] und [[namespaces]] verbunden. Es gibt fuenf Zugriffsrechte: //read//, //edit//, //create//, //upload// und //delete// (lesen, editieren, anlegen, hochladen und loeschen). Jedes hoehere Zugriffsrecht enthaelt die darunter liegenden. Dabei ist //read// das unterste und //delete// das hoechste Recht. Die Rechte create, upload und delete koennen nur namespaces zugewiesen werden.
+Zugriffsbeschränkungen werden mit [[pagename|pages]] und [[namespaces]] verbunden. Es gibt fünf Zugriffsrechte: //read//, //edit//, //create//, //upload// und //delete// (lesen, editieren, anlegen, hochladen und löschen). Jedes höhere Zugriffsrecht enthält die darunter liegenden. Dabei ist //read// das unterste und //delete// das höchste Recht. Die Rechte create, upload und delete können nur namespaces zugewiesen werden.
-Wenn DokuWiki prueft, welche Rechte es einem Benutzer geben soll, benutzt es alle Regeln, die mit dem Benutzernamen übereinstimmen oder der Gruppenrechte der Gruppe, in der sich der Benutzer befindet. Die Regel mit dem hoechsten Recht wird benutzt. Die Rechte werden zuerst fuer die Seite geprüft. Danach werden alle übergeordneten namespaces geprueft, bis eine zutreffende Regel gefunden wurde.
+Wenn DokuWiki prüft, welche Rechte es einem Benutzer geben soll, benutzt es alle Regeln, die mit dem Benutzernamen übereinstimmen oder der Gruppenrechte der Gruppe, in der sich der Benutzer befindet. Die Regel mit dem höchsten Recht wird benutzt. Die Rechte werden zuerst für die Seite geprüft. Danach werden alle übergeordneten namespaces geprueft, bis eine zutreffende Regel gefunden wurde.
-Um eine beschraenkende Regel hinzuzufuegen, wechseln Sie auf die Seite, die beschraenkt werden soll und wechseln dann auf die Administrationsoberflaeche durch druecken des ''Admin'' Button (Nur verfuegbar fuer den [[config:superuser]]). Dort selektieren Sie //Access Control List Management//. Ihnen wird dann eine Tabelle wie die folgende gezeigt, die alle Beschraenkungen der ausgewaehlten Seite zeigt.
+Um eine beschränkende Regel hinzuzufuegen, wechseln Sie auf die Seite, die beschränkt werden soll und wechseln dann auf die Administrationsoberfläche durch drücken des ''Admin'' Button (Nur verfügbar für den [[config:superuser]]). Dort selektieren Sie //Access Control List Management//. Ihnen wird dann eine Tabelle wie die folgende gezeigt, die alle Beschränkungen der ausgewählten Seite zeigt.
-{{wiki:acladmin.png|Beispiel einer ACL-Beschraenkung}}
+{{wiki:acladmin.png|Beispiel einer ACL-Beschränkung}}
-Beschraenkungen werden in die oberste Zeile der Tabelle eingetragen. Sie muessen einen Bereich auswaehlen. Dies kann entweder die gewaehlte Seite selbst oder einer der namespaces sein, in denen sich die Seite befindet ((der oberste namespace heisst ''*'')). Sie muessen ausserdem auswaehlen, wem Sie den Zugriff erlauben (oder verbieten) wollen; dies kann eine Gruppe oder ein Benutzer sein. Zum Schluss muessen Sie noch die Rechte waehlen, die Sie gewaehren wollen. Wird nichts gewaehlt, wird der gewaehlte Benutzer oder die gewaehlte Gruppe von der Benutzung der Seite oder des namespaces ausgeschlossen.
+Beschränkungen werden in die oberste Zeile der Tabelle eingetragen. Sie müssen einen Bereich auswählen. Dies kann entweder die gewählte Seite selbst oder einer der namespaces sein, in denen sich die Seite befindet ((der oberste namespace heisst ''*'')). Sie müssen ausserdem auswählen, wem Sie den Zugriff erlauben (oder verbieten) wollen; dies kann eine Gruppe oder ein Benutzer sein. Zum Schluss müssen Sie noch die Rechte wählen, die Sie gewähren wollen. Wird nichts gewählt, wird der gewählte Benutzer oder die gewählte Gruppe von der Benutzung der Seite oder des namespaces ausgeschlossen.
-Anm.: Das //delete//-Recht betrifft nur media Dateien. Seiten koennen geloescht (und wieder hergestellt) werden von jedermann, der wenigstens //edit//-Rechte hat. Jemand der //upload//-Rechte aber keine //delete//-Rechte hat, kann existierende media Dateien nicht mehr ueberschreiben.
+Anm.: Das //delete//-Recht betrifft nur media Dateien. Seiten können gelöscht (und wieder hergestellt) werden von jedermann, der wenigstens //edit//-Rechte hat. Jemand der //upload//-Rechte aber keine //delete//-Rechte hat, kann existierende media Dateien nicht mehr überschreiben.
 === Spezielle Gruppen ===
-**ALL**. Jeder, selbst Benutzer die nicht angemeldet sind, sind Mitglieder der Gruppe ALL. Sie koennen diese Gruppe benutzen, um den Zugriff fuer alle Benutzer zu beschraenken (als Standardeinstellung) um dann die Rechte ausgewaehlter Benutzer zu erweitern. Im Bildschirmfoto oben ist z.B. niemand berechtigt etwas hochzuladen ausser den Mitgliedern der Gruppe UPLOAD.
+**ALL**. Jeder, selbst Benutzer, die nicht angemeldet sind, sind Mitglieder der Gruppe ALL. Sie können diese Gruppe benutzen, um den Zugriff für alle Benutzer zu beschränken (als Standardeinstellung) um dann die Rechte ausgewählter Benutzer zu erweitern. Im Bildschirmfoto oben ist z.B. niemand berechtigt etwas hochzuladen ausser den Mitgliedern der Gruppe UPLOAD.
-**user**. Alle Benutzer, die sich selbst registriert haben sind automatisch Mitglied der Gruppe USER. Benutzen Sie dies, um angemeldeten Benutzern Rechte zu geben. Der Name dieser Gruppe wird durch die Option [[config:defaultgroup]] festgelegt. Anders als die virtuelle Gruppe ALL, ist die Gruppe "user" real. Zu ihr werden alle Benutzer automatisch hinzugefuegt, wenn die einfache Benutzerauthentifizierung benutzt wird. Wenn Sie ein anderes Verfahren verwenden muessen Sie die Gruppen benutzen, die dieses Verfahren benutzt.
+**user**. Alle Benutzer, die sich selbst registriert haben, sind automatisch Mitglied der Gruppe USER. Benutzen Sie dies, um angemeldeten Benutzern Rechte zu geben. Der Name dieser Gruppe wird durch die Option [[config:defaultgroup]] festgelegt. Anders als die virtuelle Gruppe ALL, ist die Gruppe "user" real. Zu ihr werden alle Benutzer automatisch hinzugefügt, wenn die einfache Benutzerauthentifizierung benutzt wird. Wenn Sie ein anderes Verfahren verwenden, müssen Sie die Gruppen benutzen, die dieses Verfahren benutzt.
 ===== Hintergrundinformationen =====
@@ Zeile 131: / Zeile 129: @@
 Anm.: Um Benutzer und Gruppen mit speziellen Zeichen (wie Leerzeichen) zu konfigurieren müssen Sie den Namen "URL escapen". Das trifft nur auf spezielle Zeichen im unteren 128 Byte Bereich zu. Die ACL Datei benutzt UTF-8 Codierung. Dadurch kann jedes Multibyte-Zeichen geschrieben werden, wie es ist. Dies trifft nur dann zu, wenn ein Verfahren benutzt wird, dass anders ist als [[.auth:plain]] -- das einfache Verfahren erlaubt keine speziellen Zeichen.
+=====FAQ=====
+Meldung „No ACL setup yet! Denying access to everyone.“ kann auch von einem fehlenden PHP Modul verursacht werden, natürlich nur wenn man die Authentifizierung über das Microsoft ActiveDirectory erledigt. php5-ldap