Einloggen bei index.php - Zugriff verweigert!
Brought to you by:
mcms09
Menu
▾
▴
Obwohl ich in der install.php ein ziemlich simplen Benutzernamen und Kennwort angegeben habe, kann ich mich mit dem nach der Installation nicht bei index.php einloggen. Er akzptiert nicht meine Daten und verweigert mir den Zugriff:
Tellmatic Login - Bitte geben Sie Ihren Benutzernamen und Passwort ein:
Sie sind nicht angemeldet! You are not logged in!
Zugriff verweigert! Access denied!
php laueft als cgi?
leider bekommen es nur wenige provider geregelt das auch http auth unter php als cgi funktioniert.
siehe hierzu auch http://www.tellmatic.org/faq
v.
Hmmh, da steht in den FAQ in der Tat:
"PHP is running as CGI, Why does Authentication/Login not work?
HTTP-AUTH doesnt work with php running as cgi!
Change Index.inc::Line 22:
from $LOGIN->Login...
to #$LOGIN->Login..."
Also hab ich wie befohlen geändert. Allerdings ist die Seite nun überhaupt nicht geschützt. Jeder kann drauf zugreifen.
Hallo,
das ist in der Tat ein Problem.
Tellmatic wird zukuenftig Session-Logins benutzen und damit sollte das CGI Problem dann weitestgehend geloest sein.
Wann und in welcher Version das der Fall sein wird kann ich nicht sagen.
Alternativ gibt es 2 Moeglichkeiten:
a) Erstelle eine .htaccess für das Tellmatic Verzeichnis (Ein Beispiel findest du im Verzeichnis 'include', einfach kopieren ;)
b) Drumherum-Dingsbums / Lösung / Workaround / provisorische Lösung, Abhilfe, Hilfskonstruktion etc.
Es gibt aber einen noch ungetesteten 'Workaround' für HTTP-Auth mit CGI-PHP.
Im Installationsverzeichnis von Tellmatic liegt eine Datei namens '.htaccess_php_running_as_cgi'.
Kopiere deren Inhalt doch bitte mal in die Datei .htaccess im Tellmatic Verzeichnis.
Hierzu ist es aber noetig das die rewrite-engine aktiviert wird und verfuegbar ist
/.htaccess:
#AddType application/x-httpd-php5 .php
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
</IfModule>
und in der Datei 'include/mnl_lib' ändere die Zeile 22 in:
list($_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW']) = explode(':' , base64_decode(substr($_SERVER['HTTP_AUTHORIZATION'], 6)));
(// entfernen)
Wie gesagt ist es noch ungetestet. Über eine Rückmeldung würde ich mich freuen. Auf den von mir getesteten Webspaces funktioniert das mit dem http-auth unter php als cgi wunderbar (z.Bsp. bei meinem Lieblingsprovider http://www.udmedia.de mit PHP4 und 5)
Grützi
v.
Der 'Workaround' wurde gefunden, und Details sind nachzulesen bei: http://www.besthostratings.com/articles/http-auth-php-cgi.html
Achtung :)
Wie mir mitgeteilt wurde (thx to manuel), funktioniert der 'Workaround' nur mit CGI, nicht FCGI (fast cgi), und/oder wenn FCGI die HTTP-Auth Header weitergibt.
Für Unterstützung der HTTP-Authentifizierung unter fas cgi kann man evtl seinen Provider ueberreden folgendes Patch einzuspielen:
http://manuel.mausz.at/coding/patches/php/5.2.2/php5.2.2-fcgiauth.patch
und FCGI entsprechend zu konfigurieren:
FCGIConfig -singleThreshhold 1 -pass-header Authorization
(sofern der Betreiber des Servers diesen im Griff hat... ;-)
v.
Leider funktioniert bei mir keines der genannten Methoden, um die http Authentifizierung zum laufen zu bringen.
Meine Idee ist nun, die entsprechenden Zeilen zur Authentifizierung auszuklammern und die Sicherheit über einen Verzeichnisschschutz von Apache zu gewährleisten.
Weiß jemand, welche Zeilen in welchen Files da in Frage kämen oder ob das zu kompliziert wird? Dürfte dann auch für die anderen eine einfach Alternative sein, denn scheinbar scheint die Sache nicht ganz so trivial zu sein.
Danke schonmal
Felix
"Meine Idee ist nun, die entsprechenden Zeilen zur Authentifizierung auszuklammern und die Sicherheit über einen Verzeichnisschschutz von Apache zu gewährleisten. "
....das steht uebrigens in der FAQ http://www.tellmatic.de/faq ;)
Aber nicht vergessen das Admin-Verzeichnis mit .htaccess zu schuetzen, da sonst JEDER Zugriff hat!!!!