Http GET Query-String und Passwortschutz

Hallo zusammen,

ich hoffe, ich bin hier richtig und könnt mir ein wenig Licht ins Dunkel bringen.
Eines vorab: ich bin kein admin sondern bewege mich fachlich im Bereich GDI/INSPIRE, habe somit trotzdem technisches Verständnis.

Nun zu meiner Frage:
Ich habe einen WebFeatureService (WFS) mit 15 Layern über den UMN MapServer aufgebaut und möchte diesen Dienst mit Passwort "schützen".

Der MapServer selbst ist eine cgi-Anwendung und besitzt keine Authentifizierungs- oder Rollenmodule. Die Herausforderung ist, dass jeder Layer einen unterschiedlichen Nutzer mit Passwort bekommen soll.
Des Weiteren gibt es einen Super-Nutzer, der auf alle Layer zugreifen darf.

Die URL sieht etwa so aus:
http://www.domäne.de/alkis/wfs?
wobei unterschiedliche http-Requests nach dem "?" möglich sind:
SERVICE=WFS&VERSION=1.1.0&REQUEST=GetCapabilities oder
SERVICE=WFS&VERSION=1.1.0&TYPENAME=Landkreise&REQUEST=DescribeFeatureType oder
SERVICE=WFS&VERSION=1.1.0&REQUEST=GetFeature&TYPENAME=Landkreise&SRSNAME=EPSG:25833

TYPENAME = Layername

Bisher habe ich im Apache dies mal mit dem Modul auth_digest und auf das Mapfile (darin sind alle Layer beschrieben) direkt, umgesetzt.
Das heißt, dass der WFS-Dienst dann komplett gesperrt wird und nicht wie gewünscht Layerweise.

Hier mal das bisherige Beispiel:

Alias /alkis/wfs /usr/lib/cgi-bin/mapserv.fcgi
<Location /pfadMapfile/wfs>
AuthType Digest
AuthName "WFS Passwortabfrage"
AuthUserFile /etc/apache2/pwuser
Require user USER
SetEnv MS_MAPFILE /pfadMapfile/wfs/test.map
</Location>

Soweit ich verstanden habe, lässt sich dies irgendwie mit Filterregeln abfangen, da es HTTP-Requests sind.

Lässt sich dies im Apache mit rewrite oder if-directive irgendwie lösen?

Zusammenfassung:
- Zugriff auf den WFS-Dienst mit Apache und Digest/LDAP absichern
- 15 Layer -> jeder Layer hat unterschiedliche Nutzer, ein Super-User darf alle Layer sehen
- eine GetCapabilities-Anfrage (welche Layer sind verfügbar?) soll von allen Nutzern einsehbar sein
- erst wenn ein Layer im GIS-Client ausgewählt wird, soll die Nutzer/Passwortabfrage erfolgen

Besten Dank schon mal!
Stephan

Hallo Jörg,

ja, das ist korrekt. Es heißt natürlich:

Alias /alkis/wfs /usr/lib/cgi-bin/mapserv.fcgi
<Location /alkis/wfs>

Zur zweiten Frage:
Ja, lässt sich ableiten, da der Layername im Request vorkommt, z.B.
?Request...&TYPENAME=Landkreise...oder
?Request...&TYPENAME=Gemeinden...oder
?Request...&TYPENAME=Gemarkungen...oder

Habe einen Zwischenweg über <If </If> gefunden:

Alias /alkis/wfs /usr/share/cgi-bin/mapserv.fcgi
<Location alkis/wfs
<If "%{QUERY_STRING}=~ /(?i)&TYPENAME=Landkreise/">
LDAP-Server-Parameter
AuthName "Anmeldung"
AuthBasicProvider ldap
AuthType Basic
AuthLDAPGroupAttribute member
AuthLDAPGroupAttributeISDN On
AuthLDAPMaxSubGroupDepth 5
AuthLDAPSubGroupClass group
Require ldap-group (LIST,NLPL)
</If>
<If "%{QUERY_STRING}=~ /(?i)&TYPENAME=Gemeinden/">
LDAP-Server-Parameter
AuthName "Anmeldung"
AuthBasicProvider ldap
AuthType Basic
AuthLDAPGroupAttribute member
AuthLDAPGroupAttributeISDN On
AuthLDAPMaxSubGroupDepth 5
AuthLDAPSubGroupClass group
Require ldap-group (LIST,NLBZ)
</If>
<If "%{QUERY_STRING}=~ /(?i)&TYPENAME=Gemarkungen/">
LDAP-Server-Parameter
AuthName "Anmeldung"
AuthBasicProvider ldap
AuthType Basic
AuthLDAPGroupAttribute member
AuthLDAPGroupAttributeISDN On
AuthLDAPMaxSubGroupDepth 5
AuthLDAPSubGroupClass group
Require ldap-group (LIST,NLZ)
</If>
SetEnv MS_MAPFILE /home/user/mapfiles/alkis.mapfiles/fisbaum_sbv
Options +ExcecCGI
</Location>

PS: jetzt soll natürlich gleich noch ldap angebunden werden :)

Frage:
Nun sind natürlich 3 If-container in dieser Location enthalten.
Kann man das irgendwie kürzen?
Schließlich habe ich 15 Layer und da wollte ich ungern 15 If-Bedingungen aufführen. Geht sowas?

Danke und viele Grüße!
Stephan

Ok, also sehe das aufgeräumt etwa so aus?

<If "%{QUERY_STRING} =~ /(?i)&TYPENAME=Landkreise/">
Require ldap-group (LIST,NLPL)
</If>
<If "%{QUERY_STRING}=~ /(?i)&TYPENAME=Gemarkungen/">
Require ldap-group (LIST,NLZ)
</If>
<If "%{QUERY_STRING}=~ /(?i)&TYPENAME=Gemeinden/">
Require ldap-group (LIST,NLBZ)
</If>
LDAP-Server-Parameter
AuthName "Anmeldung"
AuthBasicProvider ldap
AuthType Basic
AuthLDAPGroupAttribute member
AuthLDAPGroupAttributeISDN On
AuthLDAPMaxSubGroupDepth 5
AuthLDAPSubGroupClass group
SetEnv MS_MAPFILE /home/user/mapfiles/alkis.mapfiles/fisbaum_sbv
Options +ExcecCGI

Und kann man den Typename irgendwie in eine Variable packen, so dass bei entsprechendem Layer die richtige ldap-Gruppe greift?

...in einem globalen if-Container:
<If "%{QUERY_STRING} =~ /(?i)&TYPENAME=">
AuthName "Anmeldung"
AuthBasicProvider ldap
AuthType Basic
AuthLDAPGroupAttribute member
AuthLDAPGroupAttributeISDN On
AuthLDAPMaxSubGroupDepth 5
AuthLDAPSubGroupClass group
</If>

Das ist mir noch etwas unklar. Wie kommt denn dann der Typename an die richtige Stelle?

Viele Grüße!
Stephan

Ok, langsam verstehe ich es aber mir ist nur noch nicht so recht klar, wo ich den allgemeinen if Container definiere: ich habe eine vhost.conf Datei in der diese oben beschriebenen Anweisungen stehen. Erstelle ich beispielsweise im conf-enabled Verzeichnis so eine globale if-container Datei?

Gruß, Stephan

die vhost.conf liegt im Verzeichnis conf-enabled. Darin sind mehrere Alias-Diektive (mit unterschiedlichen Pfaden zu den Mapfiles) für den MapServer aufgeführt. Passwortgeschützt wird nur eine Alias-Direktive.

Der MapServer kann zwar über verschiedene Alias-Direktive angesprochen werden, liefert aber nur Daten, wenn auch ein Mapfile verlinkt ist, sonst kommt nur eine Meldung, dass er läuft, sofern diese einsehbar ist.