Will man ein Verzeichnis unter dem Apache passwortschützen, mach man das in einer .htaccess Datei oder mittels der Auth Angabe in der httpd.conf.

Bsp:

<Directory “/srv/www/htdocs/protected/”>
AuthName “protected”
AuthType Basic
AuthUserFile /srv/.htpasswd
require valid-user
</Directory>

Die /srv/.htpasswd legt man mit htpasswd -c /srv/.htpasswd username

und nach dem Enter-drücken mit eingabe des Passwortes an. Legt man einen zweiten Benutzer an, lässt man das -c weg, da sonst die Datei wieder überschrieben wird. -c dienst also nur dazu, um die Datei das erste mal anzulegen.

Auch wenn man das Passwort ändenr möchte, lässt man es weg und gibt einfach als Benutzer denjenigen Benutzer an, den man ändenr möchte – das sollte jetzt aber nicht das Thema sein.

Möchte man nun – unterhalb des protected-Verzeichnisses – wiederum ein Verzeichnis freigeben, geht das auch. Nennen wir es mal einen “Trick” oder auch einfach Konfiguration des Webservers

Man legt einfach noch eine .htaccess-Datei an, oder wie in meinem Beispiel eine weitere Option in der httpd.conf:

<Directory “/srv/www/htdocs/protected/unprotected/”>
allow from all
Satisfy any
</Directory>

“Allow from all” sagt, dass jeder auf das Verzeichnis zugreifen kann. Der Eintrag alleine reicht jedoch noch nicht, da immernoch Auth des Verzeichnisses oberhalb von unprotected zieht.

Erst “Satisfy any” sagt, dass nur eine der Regeln zutreffen muss. Also entweder stimmt Benuitzername und Passwort, oder die Herkunft des Benutzers. Die Herkunft des Benutzers stimmt natürlich immer, weil der Eintrag ja “any” lautet – somit ist das Verzeichnis also komplett ungeschützt.