Excluir directorio o archivo de la proteccion de mod_auth

#1 (**permalink**) 12/10/2011, 09:28

Hola a todos

Tengo un sitio protegido con mod_auth. Este es el código de mi .htaccess que esta en el raiz del dominio (carpeta www)

Código:

AuthName "Mi Sitio"
AuthUserFile /home/sitech/.htpasswds/.htpasswd
AuthType basic
Require valid-user

La pregunta ¿Puedo hacer que un archivo o directorio específico, sea excluido de esta regla? osea que todo el sitio menos una carpeta o archivo específico. Tampoco quiero andar especificando carpeta por carpeta cual quiero proteger

Otra ¿Hay alguna forma de que a los usuarios que entran con su pass no se le aplique un RewriteRule que tengo?

Gracias

emprear · #2 (**permalink**) 12/10/2011, 14:16

Esta respuesta es a medias, porque funciona solo editando httpd.conf, no trabaja sobre .htaccess, te la dejo por las dudas.
Si tu directorio se llama publico (al que queres acceder sin autorización)
a esto

Código Apache:

Ver originalOptions +Indexes +FollowSymLinks Includes
        AuthType Basic
        AuthName "Privado"
        AuthUserFile /home/datos/.usuarios
        require valid-user
        AllowOverride All

agregale

Código Apache:

Ver original<Location "/publico">
        Satisfy Any
</Location>

Nunca se me planteó hacer eso, voy a ver si existe una solución más global

Saludos

#3 (**permalink**) 12/10/2011, 17:00

Ok muchas gracias, seguro que me servira para otro caso.

Por otro lado quizas me este planteando mal la solucion a mi problema. Lo explico por si a alguien se le ocurre algo.

El tema es que estoy diseñando un sitio nuevo, junto con otras personas. Uso mod_auth desde el .htaccess para que se logueen, y así no depender de php por ejemplo.

Ahora que pasa personalizé los errores de apache pero si no estas logueado no te los muestra. Todos los errores estan en la carpeta errores por eso quiero expluir esa carpeta. Y atambien quiero excluir el index.html para que los visitantes sepan que estamos trabajando con el dominio.

De momento se me ocurre cambiar la estructura de directorios y dejarla así

Código:

/errores
   400.htm
   401.htm
   etc
/sitio
  .htaccess   //donde esta configurado el mod_auth
  otros archivos de mi sitio
/index.htm

Así sólo me queda protegida la carpeta sitio, pero eso me puede implicar problemas en la ruta de los enlaces, por eso queria evitarlo. Si a alguien se le ocurre una idea...

Saludos

emprear · #4 (**permalink**) 12/10/2011, 17:15

creo que la lógica que estás usando no es la correcta, yo imaginaba que querias desproteger otra area de tu sitio.

Como la primer medida es que se logueen tu
errordocument 401 /401.html
debés de ponerlo en la raíz, el resto, donde quieras,
cualquier acceso a tu web, incluso si llaman un archivo inexistente va a provocar un 401, no un 404, y si quieren ingresar a una carpeta con -indexes, tampoco les va a generar un 403, sino un 401, recién cuando superen el logueo los otros errordocument van a ser funcionales
Saludos

#5 (**permalink**) 12/10/2011, 21:22

Si eso!! es así, pero no me muestra el mensaje 401 personalizado me poner el que esta por defecto en el servidor. Pero cuando me logueo todos los demás sí son los personalizados el 404, 500 y 503. Pensé que era porque los errores personalizados también estaban protegidos. Alguna idea??

emprear · #6 (**permalink**) 12/10/2011, 22:44

Mirá yo lo tengo así y me funciona

Código Apache:

Ver originalErrorDocument 401 /401.shtml

lo teng oen la raiz del sitio, para ver si es un problema de que no encuentra el archivo
intenta de pasarle un mensaje en lugar de un documento

Código Apache:

Ver originalErrorDocument 401 "no se puede acceder"

Otra cosa que recuerdo es los errorDocument no funcionan en IE si el archivo tiene menos de un tamaño determinado (creo que 512bytes), el IE te muestra sus propios errores de error (ni siquiera los default de Apache), yo si son cortitos le agregi un comentario  hasta que tenga por lo menos 1kb.

Si asi aun no te funciona, puede que el servidor te ponga alguna limitación, pero es lo menos probable, en el server tendrias que tener algo como en tu virtualHost

Código Apache:

Ver original<Directory /web/docs>
 ErrorDocument 401 default
 </Directory>

Saludos

#7 (**permalink**) 13/10/2011, 08:27

Hola de nuevo!!!

Si eso soluciono el problema, moví todos los errores al raiz y funcionan perfectamente. Buscando encontré esta pagina donde sugieren una solución al problema pero parece no funcionar.

http://www.phpbuilder.com/board/show...php?t=10369501

Por otro lado, pegunto ¿se puede usar un script php para personalizar los emensajes de error? Osea, se que se puede porque ya loe probado, pero ¿no afecta a la función en sí del mensaje de error?

Gracias de nuevo

emprear · #8 (**permalink**) 13/10/2011, 10:31

Podés crear un unico documento en php ó shtml, que maneje todos tus mensajes de error.
la variable que te va a permitir elaborar una respuesta es
$_SERVER['REDIRECT_STATUS'];

y la otra es $_SERVER['REQUEST_URI'] para saber que documento de solicito

fijate

Código PHP:

Ver original<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" lang="es-ar">
<head>
<meta charset="utf-8" />
<title>XHtml5</title>
<meta name="author" content="Guillermo Gianello" lang="es" />
</head>
<body>
 
<?php 
$status = $_SERVER['REDIRECT_STATUS']; 
$codigos = array( 
        403 => array('403 Prohibido', 'Está prohibido el acceso a este recurso.'), 
        401 => array('401 No autorizado', 'Necesita de credenciales válidas para acceder a este recurso.'), 
        404 => array('404 No encontrado', 'El documento o recurso solicitado no se encuentra disponible.'), 
        405 => array('405 Método no permitido', 'Método no permitido.'), 
        408 => array('408 Tiempo de espera agotado', 'Su navegador ha superado el tiempo de espera permitido por el servidor.'), 
        500 => array('500 Error Interno del Servidor', 'Se ha pruducido un error interno en el servidor.')
        ); 
         
$titulo = $codigos[$status][0]; 
$mensaje = $codigos[$status][1]; 
if ($titulo == false || strlen($status) != 3) { 
    $mensaje= 'Código incorrecto.'; 
} 
 
echo '<h1>' . $titulo . '</h1>' .  
     '<p>' . $mensaje . '</p>';  
echo "<p>Recurso solicitado: " . $_SERVER['REQUEST_URI'] . "</p>";
  
?>
 
</body>
</html>

Bueno, ese sólo es un modelo sencillo. en realidad podés poner lo que quieras(crear logs, mandarlos a una base de datos, agregar más números de códigos, capturar más variables, etc), incluso personalizarla para que quede igual a tu página de inicio.
Cuidado con lo siguiente, si te aparece un error 500 y el error es por alguna falla en el propio .htaccess, obviamente te va a mostrar las páginas por defecto del server

Saludos

#9 (**permalink**) 13/10/2011, 15:31

Buen gracias no sabia lo del $_SERVER['REDIRECT_STATUS'];.

Ya hora volviendo al tema principal... Hay alguna forma de excluir un archivo del mod_auth. Lo que quiero es que el index no entre en la restricción del mod_auth así puedo mostrar un mensaje, estamos trabajando y google ya comienza a indexarme el sitio. ¿Se podrá hacer desde el .htaccess?

Gracias de Nuevo

Saludos

emprear · #10 (**permalink**) 13/10/2011, 16:24

La cosa es distinta si lo haces para un solo archivo. Volviendo a mi primer respuesta, si usas la directiva files, que si es admitida en .htaccess. podés probar (digo probar porque ahora no lo puedo verificar)

Código Apache:

Ver original<FilesMatch "inicio.html">
Satisfy Any
</FilesMatch>

Aunque creo que si esa página de inicio linkea a otros archivos (css, js, imágenes etc), o si es un php que lleva includes, tambien te va a pedir el mod_auth. Asi que esa página de inicio tendria que estar independiente de cualquier otro contenido
otra variante más elaborada y que podria corregir el comportamiento anterior es usar
extensiones agregando

Código Apache:

Ver original<FilesMatch "\.(js|css|jpg)$">
Satisfy Any
</FilesMatch>

o la inversa , poner el mod_Auth solo para ciertos tipos de archivo

Código Apache:

Ver original<FilesMatch "\.(php|phtml)$">
AuthType Basic
AuthName "Estadísticas"
AuthUserFile /users/claves/.misclaves
Require valid-user
</FilesMatch>

Son diferentes variantes, sería cosa de que experimentes

Saludos

#11 (**permalink**) 13/10/2011, 17:10

No puedo creer que me sigas respondiendo

. Mil gracias!!!!

Yo ahora tampoco puedo probar el código, pero si no esta bloqueado por el admin del servidor no creo tener problemas.

Lo pruebo u despues subo el código completo para que quede, por si a alguien le sirve.

Saludos

emprear · #12 (**permalink**) 13/10/2011, 17:43

hace 20 dias que estoy enfrascado en la PC con un proyecto 14hs x dia, y mis unicos recreos son los posts del foro...

Saludos y contame los resultados

#13 (**permalink**) 14/10/2011, 19:08

Bueno al final le encontré una solución y la comparto con ustedes:

Planteo del problema: usar autenticación en un sitio para restringir el acceso sólo a personas autorizadas, pero mostrar un mensaje para todos los visitantes. Al mismo tiempo personalizar las paginas de error, y que el error 401 se muestre correctemente.

Estructura del sitio:

Código:

.htaccess
error.php
offline.php
mas los archivos del sitio

Archivo .htaccess

Código Apache:

Ver original## AUTENTICACIÓN    
<FilesMatch "\.(php|phtml|js|jpg|gif|png|pdf|css)$">
    AuthName "MI SITIO"
    AuthUserFile /.htpasswds/.htpasswd
    AuthType basic
    Require valid-user
</FilesMatch>
 
<FilesMatch "(error.php|logo.png|offline.php)">
    Satisfy Any
</FilesMatch>
 
## ERRORES PERSONALIZADOS
 
ErrorDocument 400 /error.php
ErrorDocument 401 /error.php
ErrorDocument 403 /error.php
ErrorDocument 404 /error.php
ErrorDocument 405 /error.php
ErrorDocument 500 /error.php
ErrorDocument 503 /error.php
 
DirectoryIndex offline.php index.php index.html index.htm

Archivo de error.php

Código PHP:

Ver original<?php 
/***      CONFIGURACION      ***/
    $email_webmaster = "[email protected]";
    $img_logo = "images/logo.png";
    
/***      ERRORES      ***/
$status = $_SERVER['REDIRECT_STATUS']; 
switch ($status) {
    case 400: $codigos = array('ERROR 400 - ¡Solicitud Incorrecta!','Usaste una sintaxis no v&aacute;lida.','status400');   break;
    case 401: $codigos = array('ERROR 401 - ¡No est&aacute;s Autorizado!','No accediste con las credenciales válidas necesarias.','status400');break;
    case 403: $codigos = array('ERROR 403 - ¡Acceso Prohibido!','No pod&eacute;s entrar a este lugar, est&aacute;s en una   zona restringida de nuestro servidor.','status400');break;
    case 404: $codigos = array('ERROR 404 - ¡No lo Encontramos!','No encontramos la URL que estas buscando.','status400');break;
    case 405: $codigos = array('ERROR 405 - ¡Ese m&eacute;todo no est&aacute; permitido!','Intentaste usar un m&eacute;todo que no est&aacute; permitido.','status400');break;
    case 500: $codigos = array('ERROR 500 - ¡Uyy, tuvimos un error interno!','La p&aacute;gina que queres ver ha causado un error interno.','status500');break;
    case 503: $codigos = array('ERROR 503 - ¡No estamos disponibles por el momento!','Estamos haciendo unas modificaciones y todav&iacute;a no terminamos. Volv&eacute; mas tarde y combrobá si terminamos. Si ten&eacute;s usuario y contrase&ntilde;a entrá <a href="/index.html">ac&aacute;</a>','status500');break; }
?>
<html>
<head>
    <title><?php echo $codigos[0] ?></title>
    <style type="text/css"><!-- estilos del error    --></style>
</head>
<body>
        <h1 class="<?php echo $codigos[2] ?>"><?php echo $codigos[0] ?></h1>
    <img src="<?php echo $img_logo ?>" />
        <h2>Pas&oacute; lo siguiente:</h2>
        <p><?php echo $codigos[1] ?></p>
    <p>Si tenes una pregunta, ponete en contacto con el webmaster enviando un email a <a href="mailto:<?php echo $email_webmaster ?>"><?php echo $email_webmaster ?></a>.</p>
</body>
</html>

Archivo offline.php

Código HTML:

Ver originalMensaje que dice que se esta trabajando.

Explicación del .htaccess

La Línea 2 a 7 del .htaccess pone autenticación a todos los archivos con la extensiones dadas en la linea 2
Las líneas 9 a 11 excluye los archivos listados en la linea 9 de la autenticación
de la línea 15 a 21 modificamos los mensajes de error predeterminado de apache
Por ultimo en la línea 23 definimos los archivos que mostrara apache cuando sólo se escriba la /. En este caso primero mostrara offline.php y si no lo encuentra mustra el que sigue y así sucesivamente.

Funcionamiento
Cuando se escribe en la barra de direcciones el dominio (www.midominio.com.ar) el servidor busca el archivo offline.php si lo encuentra muestra ese archivo pero si el usuario escribe por ejemplo www.midominio.com.ar/contacto.htm antes de mostrar la página le pedirá que ingrese el usuario y la contraseña. Si no ingresa el usuario y la contraseña muestra el error personalizado 401. De esta forma me permite evitar tener que modificar los enlaces a la pagina de inicio, ya que si se escribe www.midominio.com.ar/index.html me va apedir la contraseña y si el usuario esta autenticado me mostrara el index.html.

Cuando termine de modificar el sitio, renombr el archivo offline.html y quito comento las lineas de la autenticación y el sitio queda funcional sin mas cambios.

Bueno espero haberme explicado correctamente, y que esto les sirva.

Cualquier cosa me preguntan.

Saludos

PanuWeb