login und htaccess

[culan]

Hallo,
habe ein Problem,

habe ein kompletten Memberbereich mit htaccess und mod_auth_mysql.
brauche den htaccessschutz wegen vieler Bilder in unterordnern.

So nun zu meinem problem:

Die Members haben alle ein Passwort und Benutzernamen. Nun habe ich das Forum installiert. Die User sollen sich nun nur einmal einloggen und dann den normalen Mitgliederbereich benutzen können und mit dem selben benutzernamen und Pwd auch das Forum.

Es gibt für mich 2 Varianten:

1. Variante
- alte Usertabelle in der Mysql
- übergabe des passwortes und Benutzername bei aufruf des Forums ( automatisches login)

Problem dabei:
- Passwortänderung vom Forum abschalten. Wie?
- wie übergebe ich das Passwort und den Benutzernamen?

2. Variante
- die Usertabelle vom Forum
- Modifizieren der Templates für Userdaten

Problem dabei:
- brauche das Passwort irgendwie im klartext ( für .htaccess ) also den MD5 hash irgenwie abschalten, oder noch zusätzlich eintragen.
- wo trage ich die zusätzlichen Datenbankfelder hinzu? ( in den Templates ist klar, aber wo steht das die Dateien in die Mysqldb eingetragen werden?


So das dürfte für die meisten hier wohl kein Problem darstellen

gruß Markus

[daFlo]

Ich hab ein ähnliches Problem:

Benutzer ist bereits angemeldet (im Members-Bereich, nicht jedoch im phpBB). Wenn er das phpBB aufruft, soll er automatisch eingeloggt werden... Wie funktioniert das?

[huschi]

Nun bin ich schon Nummer 3!
Auch ich möchte phpBB unterhalb einer bestehenden Weblication einbinden und den Useren eine zweite Registrierung/Login ersparen.

Ich habe mir vorgestellt, daß ich neue User automatisch in die phpbb_user eintragen lasse.
Aber wo muß ich ansetzten um das Login zu umgehen?
Kann mir dazu jemand einen Tipp geben?

Huschi.

[Christian_W]

Vieleicht hilft's ja:
Neue User über das ACP anlegen und aktivieren
KB:phpbb_login
KB:forum_homepage
KB:phpbb_seite

Gruß Christian

[huschi]

Danke, der erste Link hilft mir wahrscheinlich beim automatischen Anlegen von neuen Benutzern.
Den Rest kannte ich bereist aus dieversen Dokus und hilft im Problem nicht weiter. Aber ich habe nach langem Suchen bei phpbb.com einen MOD-Ansatz gelesen der die User-Auth direkt in die index.php packt und dabei eine gültige Session-ID vergibt.

Darf ich hier den direkten Link posten? Ansonsten könnte ich eine deutsche Zusammenfassung schreiben, sobald ich das vollständig am Laufen habe.

huschi.

[Christian_W]

Darf ich hier den direkten Link posten?

Natürlich.

Ansonsten könnte ich eine deutsche Zusammenfassung schreiben, sobald ich das vollständig am Laufen habe.

Das darfst Du natürlich gerne auch machen.

Gruß Christian

[huschi]

Hi,
es hat etwas gedauert, da ich erst den ganzen Kram umsetzten und austesten mußte. Dabei hat ein fast vollständig neu gestalltetes Template die meiste Zeit gekostet. Inzwischen ist das Board aber seit einer Woche online und es scheint ohne Probleme zu funktionieren.

Also, der ursprüngliche Link für den Mod ist von phpbb.com
Das erste Posting enthält den eigendlichen Hack, auf der 2.Seite des Threads findet sich eine zip-Datei mit eines ausführlich ausgearbeiteten MOD.

Die Idee ist folgende:
Es wird lediglich ein Stück Code in die index.php eingefügt, welches prüft ob bereits eine SessionID vergeben wurde und wenn nicht, ob ein 'REMOTE_USER' vom Webserver übergeben wurde. Dann wird für diesen REMOTE_USER eine SessionID erzeugt, falls dieser in der Datenbank angelegt ist.

Dieser Code ist vollkommen OK und für meine Zwecke ausreichend gewesen. Dennoch will ich kurz auf die Hints eingehen:
a) Als einzige Veränderung habe ich in dem MOD die Variable $autologin = TRUE; gesetzt.
b) Eine Authorisierung findet nur in der index.php statt. Und nicht wenn jemand direkt in viewtopic.php oder viewforum.php springt ohne vorher jemals auf der index.php gewesen zu sein.
c) Eine Nacharbeit im Template ist nötig, damit die login/logout/register-Buttons verschwinden. (i.d.R. lediglich in 'overall_header.tpl')
d) Sicherheitshalber kann man noch ein 'exit;' in die login.php setzten. Und wer ganz sicher gehen will, kann in profile.php eine Abfrage auf $mode == 'register' einsetzten um dort ebenfalls ein exit zu setzen. Alternativ kann man statt exit auch ein 'message_die(CRITICAL_ERROR, "blabla");' oder gar ein 'redirect('index'.$phpEx);' nehmen.
e) Man muß die User irgendwie in die Datenbank bringen. Entweder manuell (dazu gibt es entsprechende Admin-Mods) oder (wie ich) per eigenen Script, welches regelmässig die Personal-DB auf die user-DB schreibt. Dabei verwende ich als user_id unsere Personal-Nummern. Folgende Felder setze ich auf sinnvolle Werte wärend der der Rest auf std. Einstellung bleibt:
user_id, username, user_style=1, user_email, user_from, user_lang='german', user_allowhtml=0, user_notify_pm=1, user_popup_pm=1, user_viewemail=1, user_regdate, user_timezone=4, user_dateformat='d.m.Y, H:i', user_attachsig=1
Da bei uns starke Restrinktionen bei den einzelnen geschlossenen Foren herrschen, müssen auch die Gruppen und die Zugehörigkeiten gesetzt werden. Aber das führt hier jetzt zu weit...

huschi.