WebDAV mit lighttpd einrichten und testen

TL;DR

Erstellen Sie eine htpasswd-Datei, setzen Sie die Berechtigungen, passen Sie den Virtual Host an und aktivieren Sie WebDAV im lighttpd‑VHost. Testen Sie den Zugriff mit cadaver; prüfen Sie bei Problemen Berechtigungen, Auth-Konfiguration und Logs.

4 Konfiguration des Virtual Hosts für WebDAV

Zuerst legen wir die WebDAV-Passwortdatei /var/www/web1/passwd.dav mit dem Benutzer test an. Die Option -c erzeugt die Datei, falls sie nicht existiert:

htpasswd -c /var/www/web1/passwd.dav test

Sie werden aufgefordert, ein Passwort für den Benutzer test einzugeben.

Wichtig: Verwenden Sie die Option -c nicht, wenn /var/www/web1/passwd.dav bereits existiert — dadurch wird die Datei neu erstellt und alle vorhandenen Benutzer gehen verloren.

Jetzt ändern wir die Berechtigungen der Datei so, dass nur root und Mitglieder der Gruppe lighttpd Zugriff haben:

chown root:lighttpd /var/www/web1/passwd.dav
chmod 640 /var/www/web1/passwd.dav

Anschließend bearbeiten wir die vhost-Konfiguration in /etc/lighttpd/lighttpd.conf:

vi /etc/lighttpd/lighttpd.conf

Fügen oder ändern Sie den Abschnitt für Ihren Host so, dass er in etwa wie folgt aussieht:

[...]
$HTTP["host"] == "www.example.com" {
  server.document-root = "/var/www/web1/web"
  alias.url = ( "/webdav" => "/var/www/web1/web" )
  $HTTP["url"] =~ "^/webdav($|/)" {
    dir-listing.activate = "enable"
    webdav.activate = "enable"
    webdav.is-readonly = "disable"
    auth.backend = "htpasswd"
    auth.backend.htpasswd.userfile = "/var/www/web1/passwd.dav"
    auth.require = ( "" => ( "method" => "basic",
                             "realm" => "webdav",
                             "require" => "valid-user" ) )
  }
}

Die alias.url-Direktive zusammen mit dem Pattern $HTTP[“url”] =~ “^/webdav($|/)” sorgt dafür, dass Aufrufe von /webdav den WebDAV-Dienst aktivieren, während alle anderen URLs des vhosts normales HTTP bleiben.

Starten Sie lighttpd neu, damit die Änderungen wirksam werden:

/etc/init.d/lighttpd restart

5 WebDAV testen

Installieren Sie den Kommandozeilen-Client cadaver:

yum install cadaver

Testen Sie den Zugriff:

cadaver http://www.example.com/webdav/

Geben Sie beim Prompt den Benutzernamen test und das zuvor gesetzte Passwort ein. Bei erfolgreicher Authentifizierung landen Sie in der WebDAV-Shell. Beispielausgabe:

[root@server1 ~]# cadaver http://www.example.com/webdav/
Authentication required for webdav on server `www.example.com':
Username: test
Password:
dav:/webdav/> quit
Connection to `www.example.com' closed.
[root@server1 ~]#

6 Windows‑XP‑Client konfigurieren

Die Anleitung auf https://www.howtoforge.com/setting-up-webdav-with-apache2-on-debian-etch-p2 beschreibt den Prozess für Windows. Wichtiger Hinweis: Geben Sie in der WebDAV‑URL den Port an, z. B. http://www.example.com:80/webdav, damit Windows XP normalen Benutzernamen (z. B. test) akzeptiert. Andernfalls fordert XP oft NTLM-Namen im Format www.example.com\test an.

7 Linux (GNOME) Client konfigurieren

Hinweise zur GNOME-Integration finden Sie unter https://www.howtoforge.com/setting-up-webdav-with-apache2-on-debian-etch-p3. GNOME kann WebDAV als entfernten Ordner einhängen (dav:// bzw. http://), meist über “Orte → Verbindung zu Server”.

8 Nützliche Links

Checkliste für Administratoren

Passwortdatei anlegen (nur einmal mit -c)
Dateiberechtigungen: owner root, group lighttpd, Modus 640
VHost-Konfiguration auf korrekte Pfade prüfen
webdav.activate = “enable” und auth.backend korrekt gesetzt
Service neu starten und Logs prüfen (/var/log/lighttpd/error.log)
Zugriffstest mit cadaver durchführen

Typische Fehler und Troubleshooting

401 Unauthorized: Prüfen Sie auth.require, den Pfad zur passwd.dav und Dateiberechtigungen.
403 Forbidden: Prüfen Sie filesystem-Rechte gegenüber document-root und SELinux/AppArmor‑Richtlinien.
Dateien werden nicht angezeigt oder verändert: Prüfen Sie webdav.is-readonly und Server-Logs.
Windows XP fordert DOMAIN\user: Verwenden Sie URL mit Port (http://host:80/webdav) oder konfigurieren Sie NTLM/realm-kompatible Auth.

Wichtige Prüfbefehle

# Prüfen, ob lighttpd den Port hört
ss -tulpn | grep lighttpd

# Letzte Zeilen des Error-Logs
tail -n 50 /var/log/lighttpd/error.log

Sicherheits- und Betriebsleitlinien

Verwenden Sie TLS (HTTPS) für WebDAV in Produktivsystemen; schützen Sie Zugangsdaten und übertragene Daten.
Beschränken Sie Schreibrechte auf die Benutzer, die sie benötigen.
Heben Sie sensible Freigaben nicht auf den globalen document-root an, sondern nutzen Sie dedizierte Verzeichnisse.
Überwachen Sie Logs auf fehlgeschlagene Authentifizierungen und ungewöhnliche Zugriffe.

Rollenbasierte Checkliste

Administrator:

Passwortdatei erstellen und sichern
Logs regelmäßig prüfen
TLS‑Zertifikate verwalten

Endanwender:

Zugangsdaten sicher aufbewahren
Bei Problemen Screenshots oder Log-Zeilen an den Admin senden

Akzeptanzkriterien

Anmeldung mit dem Benutzer test funktioniert per cadaver.
Verzeichnisse unter /webdav sind sichtbar (Dir‑Listing aktivieren erlaubt).
Schreiboperationen funktionieren, sofern webdav.is-readonly = “disable” gesetzt ist.
Andere URLs des VHosts verhalten sich wie gewohnt (keine unbeabsichtigte WebDAV‑Aktivierung).

Kurze Methodik zum Testen (Mini‑Methodology)

Erstellen: passwd.dav mit htpasswd anlegen.
Berechtigen: chown/chmod setzen.
Konfigurieren: VHost prüfen und WebDAV aktivieren.
Neustarten: lighttpd neu starten.
Testen: cadaver verwenden; danach GUI‑Clients testen.

Datenschutzhinweis

Wenn über WebDAV personenbezogene Daten gespeichert werden, stellen Sie sicher, dass Zugriffskontrollen, Verschlüsselung (TLS) und Löschkonzepte den lokalen Datenschutzanforderungen entsprechen.

Zusammenfassung

WebDAV in lighttpd erfordert htpasswd‑Auth, passende Berechtigungen und eine angepasste VHost‑Konfiguration. Testen Sie mit cadaver und prüfen Sie Logs bei Problemen. Setzen Sie TLS und restriktive Berechtigungen ein, bevor Sie produktiv gehen.