Apache: Модуль Apache mod_authz

RU EN

Пункт 113. Модуль Apache mod_authz_dbm

Этот модуль предоставляет возможности авторизации, так что аутентифицированным пользователям можно разрешать или запрещать доступ к частям веб-сайта посредством членства в группе. Аналогичная функциональность предоставляется mod_authz_groupfile .

Требуемые директивы

Директивы Apache Require используются на этапе авторизации, чтобы гарантировать, что пользователю разрешен доступ к ресурсу. mod_authz_dbm расширяет типы авторизации с помощью dbm-group .

Начиная с версии 2.4.8, выражения поддерживаются директивами DBM require.

Требовать dbm-группу

Эта директива определяет членство в группе, которое требуется пользователю для получения доступа.

 Требуется администратор dbm-группы

Требовать dbm-file-group

Когда указана эта директива, пользователь должен быть членом группы, назначенной файлу, к которому осуществляется доступ.

 Требовать dbm-file-group

Пример использования

Обратите внимание, что использование mod_authz_dbm требует, чтобы dbm-group вместо group :

 <Каталог "/foo/bar">
 Основной тип авторизации
 AuthName "Защищенная зона"
 База данных AuthBasicProvider
 AuthDBMUserFile "сайт/данные/пользователи"
 AuthDBMGroupFile "сайт/данные/пользователи"
 Требуется администратор dbm-группы
</Каталог>

Директива AuthDBMGroupFile

Описание:	Задает имя файла базы данных, содержащего список групп пользователей для авторизации
Синтаксис:	`AuthDBMGroupFile file-path`
Контекст:	каталог, .htaccess
Переопределить:	Аутконфиг
Положение дел:	Расширение
Модуль:	mod_authz_dbm

Директива AuthDBMGroupFile задает имя DBM-файла, содержащего список групп пользователей для авторизации пользователей. Путь к файлу — это абсолютный путь к файлу группы.

Групповой файл вводится по имени пользователя. Значение для пользователя представляет собой разделенный запятыми список групп, к которым принадлежат пользователи. В значении не должно быть пробелов, и оно никогда не должно содержать двоеточий.

Безопасность

Убедитесь, что файл AuthDBMGroupFile хранится вне дерева документов веб-сервера. Не помещайте его в каталог, который он защищает. В противном случае клиенты смогут загружать файлы, AuthDBMGroupFile если они не защищены иным образом.

Объединение файлов группы и пароля DBM: в некоторых случаях проще управлять одной базой данных, которая содержит как пароль, так и сведения о группе для каждого пользователя. Это упрощает любые вспомогательные программы, которые необходимо написать: теперь им нужно иметь дело только с записью и блокировкой одного файла DBM. Этого можно добиться, сначала настроив файлы групп и паролей так, чтобы они указывали на один и тот же DBM:

 AuthDBMGroupFile "/www/userbase"
AuthDBMUserFile "/www/userbase"

Ключом для единственной DBM является имя пользователя. Значение состоит из

Encrypted Password : List of Groups [ : (ignored) ]

Раздел пароля содержит зашифрованный пароль, как и прежде. Далее следует двоеточие и список групп, разделенных запятыми. Другие данные могут быть опционально оставлены в файле DBM после еще одного двоеточия; он игнорируется модулем авторизации. Это то, что www.telescope.org использует для своей комбинированной базы данных паролей и групп.

Директива AuthzDBMType

Описание:	Устанавливает тип файла базы данных, который используется для хранения списка групп пользователей.
Синтаксис:	`AuthzDBMType default\|SDBM\|GDBM\|NDBM\|DB`
По умолчанию:	`AuthzDBMType default`
Контекст:	каталог, .htaccess
Переопределить:	Аутконфиг
Положение дел:	Расширение
Модуль:	mod_authz_dbm

Задает тип файла базы данных, который используется для хранения списка групп пользователей. Тип базы данных по умолчанию определяется во время компиляции. Доступность других типов файлов базы данных также зависит от параметров времени компиляции.

Крайне важно, чтобы любая программа, которую вы используете для создания групповых файлов, была настроена на использование одного и того же типа базы данных.