Web Sayfası Şifreli Erişim

Akademik

Kullanıcılar Apache web server ' daki "basic authentication" sistemini kullanarak kendi home dizinlerine kullanıcı adı ve şifreyle erişim sağlayabilirler ve bunun için sistem yöneticisinin her kullanıcı için ayrıca bir konfigürasyon yapmasına gerek yoktur.

Bu dokumanda kullanıcıların kendi home dizinlerini ve home dizinleri altındaki alt dizinlere kullanıcı adı ve şifre sorgulaması yaptırarak erişim hakkı sağlanması anlatılmaktadır. 

Basic Authentication Nasıl Çalışır? 

Korumak istediğimiz dizin veya alt dizine erişilmek istendiğinde Apache tarayıcıya (Internet Explorer , Firefox , Mozilla , etc..) "401 Authentication Required" başlığını (header) gönderir ve tarayıcıdan cevap bekler.

Bu başlığı alan tarayıcı kullanıcıya bir popup menu aracılığı ile kullanıcı adı ve şifresini sorar ve girilen bilgileri Apache ' ye gönderir.

HTTP protokolu "connectionless" yani bağlantı oriented calışmadığı için tarayıcının her açılıp kapatılmasından sonra ilgili dizine erişim yapılmak istenirse kullanıcı adı ve şifresi tekrar sorulur.Fakat tarayıcı kapatılmadığı sürece kullanıcı adı ve şifresi tekrar sorulmaz. 

Ayrıca tarayıcı yolu ile sorulan kullanıcı adı ve şifre ' nin bulunduğu popup menude erişim sağlanan alanın (dizin , alt dizin) (realm) tanımı da görünür.

Konfigürasyon: Basic Authentication ile İçeriğin Korunması

Basic Authentication ile bir alanı (dizin , alt dizin , web sitesi) korumak istediğimizde yapmamız gereken bir php dosyasını buradan indirmek, kendi dizininizde çalıştırmak ve yönergeleri takip etmektir.

Şifre Dosyası Oluşturma:

Kullanıcı Adı ve Şifre kontrolü için bu bilgilerin tutulduğu kalıcı bir alan olmalıdır ve bu Kullanıcı Adı ve Şifreleri bir dosyada tutmakla sağlanır. Burada dikkat edilmesi gereken konu bu dosyanın web ' den erişilebilen bir dizinde bulunmamasıdır. Şifre dosyası oluşturulduğunda görüleceği üzere kullanıcı adları normal text , şifreler ise kriptolanmış halde tutulmaktadır. Yani kazara erişim hakkı olmayan bir kullanıcı bu dosyaya erişse bile şifreleri açık olarak görememektedir , buna rağmen şifreyle erişim verilen alanlara erişim vereceğimiz kullanıcılara şifrelerini tahmin edilebilecek şeylerden seçmemeleri belirtilmeli ve kullanıcılar bu şekilde yönlendirilmelidir.

sifreli-php.txt dosyasını bilgisayarınıza kaydediniz.

Bu dosyanın adını sifreli.php olarak değiştirip, ftp ile kendi public_html dizininize aktarınız. (Dosya mutlaka public_html içerisine aktarılmalıdır ve işlem sonrasında silmeniz gerekmektedir)

Herhangi bir web tarayıcı ile https://www.baskent.edu.tr/~kullanici/sifreli.php adresine gidiniz. (Burada kullanici sizin kendi kullanıcı adınızdır)

Eriştiğiniz sayfada, erişecek kullanıcı adını ve o kullanıcının sayfaya erişeceği şifreyi yazıp ONAYLA düğmesine basınız.

ONAYLA düğmesine basılmasının ardından size örnek .htaccess ve sifreler dosyaları içeriği görüntülenecektir. Bu dosyaları ONAYLA işleminden sonra çıkan sayfada anlaıldığı şekliyle oluşturup belirtilen, ilgili yerlere ftp ile aktarınız.

Deneme yapmak için hasan isimli kullanıcının bulunduğu web server'a herhangi bir tarayıcı(Internet Explorer , Netcape , gibi.) ile web isteği yapılır :

https://www.baskent.edu.tr/~kullanici/

Deneme başarılı oldu ise sifreli.php dosyasını web alanınızdan siliniz.

Kullanıcı adı ve Şifre yazıldığında şifreyle korunan alana erişmek mümkün olur.

Başkent Universitesi Bilgi İşlem Daire Başkanlığı , Sistem Grubu

M.Erdi Çınar , Dahili Tel : 1580
erdi@baskent.edu.tr