Apache: Модуль Apache mod_authz

RU EN

Пункт 115. Модуль Apache mod_authz_host

Провайдеры авторизации, реализованные с помощью, mod_authz_host регистрируются с использованием Require директивы. На директиву можно ссылаться в разделе <Directory> , <Files> или , <Location> а также .htaccess в файлах для управления доступом к определенным частям сервера. Доступ можно контролировать на основе имени хоста или IP-адреса клиента.

Как правило, директивы ограничения доступа применяются ко всем методам доступа ( GET , PUT , POST , и т. д.). Это желаемое поведение в большинстве случаев. Однако можно ограничить некоторые методы, оставив без ограничений другие методы, заключив директивы в секцию <Limit> .

Требуемые директивы

Директива Apache Require используется на этапе авторизации, чтобы гарантировать, что пользователю разрешен или запрещен доступ к ресурсу. mod_authz_host расширяет типы авторизации с помощью ip , host и forward-dns . local Другие типы авторизации также могут использоваться, но могут потребовать загрузки дополнительных модулей авторизации.

Эти провайдеры авторизации влияют на то, какие хосты могут получить доступ к области сервера. Доступ можно контролировать по имени хоста, IP-адресу или диапазону IP-адресов.

Начиная с версии 2.4.8, выражения поддерживаются директивами host require.

Требовать IP

Провайдер ip позволяет контролировать доступ к серверу на основе IP-адреса удаленного клиента. Когда указано, то запросу разрешается доступ, если IP-адрес совпадает. Require ip ip-address

Полный IP-адрес:

 Требовать IP 10.1.2.3
Требовать ip 192.168.1.104 192.168.1.205

IP-адрес хоста, которому разрешен доступ

Частичный IP-адрес:

 Требовать айпи 10.1
Требуется IP 10 172.20 192.168.2

Первые 1–3 байта IP-адреса для ограничения подсети.

Пара сеть/сетевая маска:

 Требовать ip 10.1.0.0/255.255.0.0

Сеть abcd и сетевая маска wxyz Для более точного ограничения подсети.

Спецификация network/nnn CIDR:

 Требовать IP 10.1.0.0/16

Аналогичен предыдущему случаю, за исключением того, что маска сети состоит из nnn старших битов 1.

Обратите внимание, что последние три приведенных выше примера соответствуют одному и тому же набору хостов.

Адреса IPv6 и подсети IPv6 можно указать, как показано ниже:

 Требовать IP-адрес 2001:db8::a00:20ff:fea7:ccea
Требовать IP-адрес 2001:db8:1:1::a
Требовать IP-адрес 2001:db8:2:1::/64
Требовать ip 2001:db8:3::/48

Примечание. Поскольку IP-адреса анализируются при запуске, выражения не оцениваются во время запроса.

Требовать хост

Провайдер host позволяет контролировать доступ к серверу на основе имени хоста удаленного клиента. Если указано, то запросу разрешается доступ, если имя хоста совпадает. Require host host-name

(частично) доменное имя

 Требуется хост example.org
Требуется хост .net example.edu

Хостам, чьи имена совпадают с этой строкой или оканчиваются на нее, разрешен доступ. Сопоставляются только полные компоненты, поэтому приведенный выше пример будет соответствовать, foo.example.org но не будет соответствовать fooexample.org . Эта конфигурация заставит Apache выполнять двойной обратный поиск DNS по IP-адресу клиента, независимо от настройки директивы HostnameLookups . Он выполнит обратный поиск DNS по IP-адресу, чтобы найти связанное имя хоста, а затем выполнит прямой поиск по имени хоста, чтобы убедиться, что оно соответствует исходному IP-адресу. Доступ будет разрешен только в том случае, если прямой и обратный DNS согласованы и совпадения имени хоста.

Требовать переадресацию DNS

Провайдер forward-dns позволяет контролировать доступ к серверу на основе простых имен хостов. Когда указано, всем IP-адресам, соответствующим разрешен доступ. Require forward-dns host-name host-name

В отличие от host провайдера, этот провайдер не полагается на обратный поиск DNS: он просто запрашивает DNS для имени хоста и разрешает клиенту, если его IP-адрес совпадает. Как следствие, он будет работать только с именами хостов, а не с доменными именами. Однако, поскольку обратный DNS не используется, он будет работать с клиентами, использующими службу динамического DNS.

 Требовать forward-dns bla.example.org

bla.example.org Доступ будет предоставлен клиенту, IP-адрес которого разрешен из имени .

Провайдер forward-dns был добавлен в 2.4.19.

Требовать местные

Провайдер local разрешает доступ к серверу, если выполняется любое из следующих условий:

адрес клиента соответствует 127.0.0.0/8
адрес клиента ::1
и клиентский, и серверный адрес соединения одинаковы

Это обеспечивает удобный способ сопоставления соединений, исходящих с локального хоста:

 Требовать местные

Примечание по безопасности

Если вы проксируете содержимое на свой сервер, вы должны знать, что адрес клиента будет адресом вашего прокси-сервера, а не адресом клиента, и поэтому использование директивы Require в этом контексте может не делать того, что вы имеете в виду. См mod_remoteip . одно из возможных решений этой проблемы.