Apache: Модуль Apache mod_auth

RU EN

Пункт 100. Модуль Apache mod_auth_basic

Этот модуль позволяет использовать базовую HTTP-аутентификацию для ограничения доступа путем поиска пользователей у заданных провайдеров. Дайджест-аутентификация HTTP обеспечивается mod_auth_digest . Этот модуль обычно следует комбинировать по крайней мере с одним модулем аутентификации, например, mod_authn_file и одним модулем авторизации, например mod_authz_user .

Директива AuthBasicAuthoritative

Описание:	Устанавливает, передаются ли авторизация и аутентификация модулям более низкого уровня
Синтаксис:	`AuthBasicAuthoritative On\|Off`
По умолчанию:	`AuthBasicAuthoritative On`
Контекст:	каталог, .htaccess
Переопределить:	Аутконфиг
Положение дел:	База
Модуль:	mod_auth_basic

Обычно каждый модуль авторизации, указанный в списке, AuthBasicProvider пытается проверить пользователя, и если пользователь не найден ни у одного провайдера, доступ будет запрещен. Явная установка AuthBasicAuthoritative директивы на Off разрешает передачу как аутентификации, так и авторизации другим модулям, не основанным на провайдере, если нет идентификатора пользователя или правила , соответствующего предоставленному идентификатору пользователя. Это должно быть необходимо только при объединении mod_auth_basic со сторонними модулями, которые не настроены с помощью AuthBasicProvider директивы. При использовании таких модулей порядок обработки определяется в исходном коде модулей и не настраивается.

Директива AuthBasicFake

Описание:	Поддельная базовая аутентификация с использованием заданных выражений для имени пользователя и пароля
Синтаксис:	`AuthBasicFake off\|username [password]`
По умолчанию:	`none`
Контекст:	каталог, .htaccess
Переопределить:	Аутконфиг
Положение дел:	База
Модуль:	mod_auth_basic
Совместимость:	HTTP-сервер Apache 2.4.5 и более поздние версии

Указанные имя пользователя и пароль объединяются в заголовок авторизации, который передается на сервер или службу за веб-сервером. Поля имени пользователя и пароля интерпретируются с помощью синтаксического анализатора выражений, который позволяет устанавливать и имя пользователя, и пароль на основе параметров запроса.

Если пароль не указан, будет использоваться значение по умолчанию «пароль». Чтобы отключить фальшивую базовую аутентификацию для пространства URL-адресов, укажите «AuthBasicFake off».

В этом примере мы передаем фиксированное имя пользователя и пароль на внутренний сервер.

Фиксированный пример

 <Расположение "/демо">
 Демо-пропуск AuthBasicFake
</местоположение>

В этом примере мы передаем адрес электронной почты, извлеченный из сертификата клиента, расширяя функциональность опции FakeBasicAuth в директиве SSLOptions . Как и в случае с параметром FakeBasicAuth, в качестве пароля задается фиксированная строка «password».

Пример сертификата

 <Расположение "/secure">
 AuthBasicFake "%{SSL_CLIENT_S_DN_Email}"
</местоположение>

Расширяя приведенный выше пример, мы генерируем пароль, хэшируя адрес электронной почты с фиксированной кодовой фразой и передавая хэш на внутренний сервер. Это можно использовать для входа в устаревшие системы, которые не поддерживают клиентские сертификаты.

Пример пароля

 <Расположение "/secure">
 AuthBasicFake "%{SSL_CLIENT_S_DN_Email}" "%{sha1:фраза-пароль-%{SSL_CLIENT_S_DN_Email}}"
</местоположение>

Пример исключения

 <Расположение "/public">
 AuthBasicFake off
</местоположение>

Директива AuthBasicProvider

Описание:	Устанавливает поставщика(ов) аутентификации для этого местоположения
Синтаксис:	`AuthBasicProvider provider-name [provider-name] ...`
По умолчанию:	`AuthBasicProvider file`
Контекст:	каталог, .htaccess
Переопределить:	Аутконфиг
Положение дел:	База
Модуль:	mod_auth_basic

Директива AuthBasicProvider устанавливает, какой провайдер используется для аутентификации пользователей для этого местоположения. Поставщик по умолчанию file реализуется модулем mod_authn_file . Убедитесь, что выбранный модуль провайдера присутствует на сервере.

Пример

 <Расположение "/secure">
 Основной тип авторизации
 AuthName "частная область"
 База данных AuthBasicProvider
 AuthDBMType SDBM
 AuthDBMUserFile "/www/etc/dbmpasswd"
 Требовать действительного пользователя
</местоположение>

Провайдеры опрашиваются по порядку, пока провайдер не найдет совпадение с запрошенным именем пользователя, после чего этот единственный провайдер попытается проверить пароль. Неспособность проверить пароль не приводит к передаче управления последующим провайдерам.

Провайдеры реализованы mod_authn_dbm , mod_authn_file , и . mod_authn_dbd mod_authnz_ldap mod_authn_socache

Директива AuthBasicUseDigestAlgorithm

Описание:	Сверяйте пароли с поставщиками аутентификации, как если бы вместо обычной аутентификации применялась дайджест-аутентификация.
Синтаксис:	`AuthBasicUseDigestAlgorithm MD5\|Off`
По умолчанию:	`AuthBasicUseDigestAlgorithm Off`
Контекст:	каталог, .htaccess
Переопределить:	Аутконфиг
Положение дел:	База
Модуль:	mod_auth_basic
Совместимость:	HTTP-сервер Apache 2.4.7 и выше

Обычно при использовании базовой аутентификации перечисленные провайдеры AuthBasicProvider пытаются подтвердить пользователя, проверяя свои хранилища данных на наличие совпадающего имени пользователя и связанного с ним пароля. Сохраненные пароли обычно зашифрованы, но не обязательно; каждый провайдер может выбрать свою схему хранения паролей.

При использовании AuthDigestProvider дайджест-аутентификации провайдеры выполняют аналогичную проверку, чтобы найти соответствующее имя пользователя в своих хранилищах данных. Однако, в отличие от случая обычной аутентификации, значение, связанное с каждым сохраненным именем пользователя, должно быть зашифрованной строкой, состоящей из имени пользователя, имени области и пароля. (Подробнее о формате, используемом для этой зашифрованной строки, см. в RFC 2617, раздел 3.2.2.2.)

Вследствие разницы в хранимых значениях между базовой и дайджест-аутентификацией преобразование дайджест-аутентификации в базовую аутентификацию обычно требует, чтобы всем пользователям были назначены новые пароли, поскольку их существующие пароли не могут быть восстановлены из схемы хранения паролей, навязанной теми провайдерами, которые поддержка дайджест-аутентификации.

Установка AuthBasicUseDigestAlgorithm директивы на MD5 приведет к проверке пароля базовой аутентификации пользователя с использованием того же зашифрованного формата, что и для дайджест-аутентификации. Сначала строка, состоящая из имени пользователя, имени области и пароля, хэшируется с помощью MD5; затем имя пользователя и эта зашифрованная строка передаются поставщикам, перечисленным в, AuthBasicProvider как если бы AuthType было установлено значение Digest и действовала дайджест-аутентификация.

С помощью AuthBasicUseDigestAlgorithm сайта можно переключиться с дайджеста на обычную аутентификацию, не требуя от пользователей назначения новых паролей.

Обратный процесс переключения с базовой на дайджест-аутентификацию без назначения новых паролей, как правило, невозможен. Только если пароли базовой аутентификации были сохранены в виде обычного текста или с обратимой схемой шифрования, их можно будет восстановить и создать новое хранилище данных в соответствии со схемой хранения паролей дайджест-аутентификации. Только провайдеры, поддерживающие дайджест-аутентификацию, смогут аутентифицировать пользователей, если AuthBasicUseDigestAlgorithm установлено значение MD5 . Использование других поставщиков приведет к ответу об ошибке, и клиенту будет отказано в доступе.