LDAP: Schulfotoseitenzugriff auf Schulöffentlichkeit beschränken
Bilder von Schülerinnen und Schülern sind oft ein Problem – vor allem dann, wenn man sie veröffentlich und das vielleicht sogar noch so tut, dass Namen einem bestimmten Foto zugeordnet werden können. In einigen Bundesländern ist das sogar strikt verboten.
Auch hier kann LDAP abmildern: Man nutzt ein Schul-LDAP als „Zapfstelle“ für eine HTTP-basierte Authentifizierung, die vielen bestimmt bekannt ist (.htaccess).
Mit meinem Lieblingswebserver (lighty) geht das sehr leicht – das auth-Modul muss allerdings aktiviert sein.
server.modules += ( „mod_auth“ )
auth.backend = „ldap“
auth.backend.ldap.hostname = „127.0.0.1“
auth.backend.ldap.base-dn = „ou=ldapbaum,dc=foo,dc=tld“
auth.backend.ldap.filter = „(uid=$)“$HTTP[„host“] == „subdomain.fuer.fotos“ {
auth.require = ( „“ => (
„method“ => „basic“,
„realm“ => „Anmeldung bitte mit Schulogin und ‑passwort fuer die Seite „,
„require“ => „valid-user“
)
)
}
… und schon ist nach einem /etc/init.d/lighttpd force-reload der Zugriff auf die Seite http://subdomain.fuer.fotos mit allen Unterseiten nicht mehr ohne Anmeldung möglich, wenn lokal der LDAP-Server oder eine Kopie bzw. Replikation davon mitläuft. So kann sich der der potentielle Kinderschänder nicht mehr ohne Weiteres sein nächstes Opfer anhand des letzten Schwimmwettbewerbsbildes auswählen – es sei denn, er kommt selbst von der Schule (zugegebenermaßen eine sehr düstere Option). Ingesamt nett und simpel.
Wenn man das jetzt noch mit WebDAV und Moodle kombiniert, kann man sogar einzelnen Lehrkräften Schreibrechte in bestimmten Moodleordnern einräumen. Da Lighty reguläre Ausdrücke unterstützt, müsste das sogar recht schmerzfrei gehen. Aber das ist eine andere Geschichte…
This work by Maik Riecken is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International