Apache: Модуль Apache mod_authn

RU EN

Пункт 104. Модуль Apache mod_authn_core

Этот модуль предоставляет основные возможности аутентификации, чтобы разрешить или запретить доступ к частям веб-сайта. mod_authn_core предоставляет директивы, общие для всех поставщиков аутентификации.

Создание псевдонимов провайдера аутентификации

Провайдеры расширенной проверки подлинности могут быть созданы в файле конфигурации и им может быть присвоен псевдоним. Затем на провайдеров псевдонимов можно ссылаться через директивы AuthBasicProvider или AuthDigestProvider так же, как на базового провайдера аутентификации. Помимо возможности создавать расширенный провайдер и псевдоним, он также позволяет ссылаться на один и тот же расширенный провайдер проверки подлинности в нескольких местах.

Примеры

В этом примере проверяется наличие паролей в двух разных текстовых файлах.

Проверка нескольких файлов текстовых паролей

 # Сначала проверьте здесь
<файл AuthnProviderAlias file1>
 AuthUserFile "/www/conf/passwords1"
</AuthnProviderAlias>
# Тогда проверьте здесь
<AuthnProviderAlias файл file2>
 AuthUserFile "/www/conf/passwords2"
</AuthnProviderAlias>
<Каталог "/var/web/pages/secure">
 AuthBasicProvider файл1 файл2
 
 Основной тип авторизации
 AuthName "Защищенная область"
 Требовать действительного пользователя
</Каталог>

В приведенном ниже примере создаются два разных псевдонима провайдера аутентификации ldap на основе провайдера ldap. Это позволяет обслуживать одно аутентифицированное местоположение несколькими хостами ldap:

Проверка нескольких серверов LDAP

 <AuthnProviderAlias ldap ldap-alias1>
 AuthLDAPBindDN cn=youruser,o=ctx
 AuthLDAPBindPassword ваш пароль
 АутентификацияLDAPURL ldap://ldap.host/o=ctx
</AuthnProviderAlias>
<AuthnProviderAlias ldap ldap-other-alias>
 AuthLDAPBindDN cn=yourotheruser,o=dev
 AuthLDAPBindPassword ваш другой пароль
 АутентификацияLDAPURL ldap://other.ldap.host/o=dev?cn
</AuthnProviderAlias>
Псевдоним "/secure" "/webpages/secure"
<Каталог "/webpages/secure">
 AuthBasicProvider ldap-other-alias ldap-alias1
 
 Основной тип авторизации
 AuthName "Защищенное место LDAP"
 Требовать действительного пользователя
 # Обратите внимание, что Require ldap-* здесь не работает, так как
 # AuthnProviderAlias не предоставляет конфигурацию провайдерам авторизации
 # которые реализованы в том же модуле, что и поставщик аутентификации.
</Каталог>

Директива AuthName

Описание:	Область авторизации для использования в аутентификации HTTP
Синтаксис:	`AuthName auth-domain`
Контекст:	каталог, .htaccess
Переопределить:	Аутконфиг
Положение дел:	База
Модуль:	mod_authn_core

Эта директива устанавливает имя области авторизации для каталога. Эта область предоставляется клиенту, чтобы пользователь знал, какое имя пользователя и пароль отправлять. AuthName принимает один аргумент; если имя области содержит пробелы, оно должно быть заключено в кавычки. Она должна сопровождаться AuthType и Require директивами, и директивами вроде AuthUserFile и AuthGroupFile на работу.

Например:

 AuthName "Совершенно секретно"

Строка, предоставленная для , AuthName будет отображаться в диалоговом окне пароля, предоставляемом большинством браузеров.

Смотрите также

Аутентификация, авторизация и контроль доступа
mod_authz_core

Директива <AuthnProviderAlias>

Описание:	Заключите группу директив, которые представляют собой расширение базового поставщика аутентификации и на которые ссылается указанный псевдоним.
Синтаксис:	`<AuthnProviderAlias baseProvider Alias> ... </AuthnProviderAlias>`
Контекст:	конфигурация сервера
Положение дел:	База
Модуль:	mod_authn_core

<AuthnProviderAlias> и </AuthnProviderAlias> используются для включения группы директив аутентификации, на которые можно ссылаться по псевдониму, используя одну из директив AuthBasicProvider или AuthDigestProvider .

Эта директива не влияет на авторизацию, даже для модулей, которые обеспечивают и аутентификацию, и авторизацию.

Директива AuthType

Описание:	Тип аутентификации пользователя
Синтаксис:	`AuthType None\|Basic\|Digest\|Form`
Контекст:	каталог, .htaccess
Переопределить:	Аутконфиг
Положение дел:	База
Модуль:	mod_authn_core

Эта директива выбирает тип аутентификации пользователя для каталога. Доступны следующие типы аутентификации: None , Basic (реализовано mod_auth_basic ), Digest (реализовано mod_auth_digest ) и Form (реализовано mod_auth_form ).

Для реализации аутентификации необходимо также использовать директивы AuthName и Require . Кроме того, сервер должен иметь модуль поставщика аутентификации, такой как mod_authn_file и модуль авторизации, такой как mod_authz_user .

Тип аутентификации None отключает аутентификацию. Когда аутентификация включена, она обычно наследуется каждым последующим разделом конфигурации, если не указан другой тип аутентификации. Если для подраздела аутентифицированного раздела не требуется аутентификация, None может использоваться тип аутентификации; в следующем примере клиенты могут получить доступ к /www/docs/public каталогу без аутентификации:

 <Каталог "/www/docs">
 Основной тип авторизации
 Документы AuthName
 Файл AuthBasicProvider
 AuthUserFile "/usr/local/apache/passwd/пароли"
 Требовать действительного пользователя
</Каталог>
<Каталог "/www/docs/public">
 Тип авторизации Нет
 Требовать все предоставленные
</Каталог>

При отключении проверки подлинности обратите внимание, что клиенты, которые уже прошли проверку подлинности в другой части дерева документов сервера, обычно продолжают отправлять HTTP-заголовки проверки подлинности или файлы cookie с каждым запросом, независимо от того, действительно ли сервер требует проверки подлинности для каждого ресурса.

Смотрите также

Аутентификация, авторизация и контроль доступа