Все об AuthType (авторизация в Apache)

| Комментариев: 0

Все об AuthType или авторизация в Apache

Здесь я расскажу о возможностях Apache защищать содержимое сервера либо его частей.

Директивы Apache для контроля доступа


Контроль по IP

Если вам нужно просто разрешить или блокировать доступ к какой-либо части сайта или всему серверу в целом для определенных IP, используйте следующие директивы.

Внимание! Если вы хотите использовать эти директивы в файле .htaccess, проверьте, что бы для вашего хоста директива AllowOverride корневого файла конфигурации Apache включала опцию Limit

Order

Значения: Order (allow,deny | deny,allow)

Директива Order указывает порядок, в котором будет производиться чтение из директив Allow и Deny

* Allow,deny - сначала читаются директивы Allow. Если пользователя нет в этом списке, то он блокируется. Если же он есть, то далее считываются директивы Deny(процесс еще не закончен). Если же пользователь есть и там, то он блокируется. Если его там нет, то он пропускается. Т.е пользователь пропускается только при наличии только в списке Allow, но не в Deny
* Deny,allow - сначала обрабатываются директивы Deny и отсеиваются те пользователи, которые есть в этом списке. Любые другие пропускаются. Т.е пользователь пропускается всегда, но если его нет в списке Deny

Allow и Deny

Формат директив: (Allow | Deny) from (IP | IPs | all) (IP | IPs | all) : (IP | IPs | all)

Директивы Allow и Deny определяют клиентов, которым разрешить или запретить доступ к серверу.

Директивы допускают использование:

* Одиночного IP(IP) - обычный вид IP, например, 127.0.0.1
* Группы IP(IPs) - группа IP, например, для доступа, только из локальной сети, 192.168.1.0/24
* Любого IP(all) - обозначает любой IP

После слова from может идти любое количество указанных директив, разделенных пробелом

Примеры

Файл .htaccess

Order allow,deny
# Deny from all # если вы это напишите, то даже те адреса,
# которые указаны в директивах Allow не будет пропущены
Allow from 192.168.1.0/24 11.11.11.12

В этом файле указывается доступ только для клиентов из локальной сети или с IP 11.11.11.12

Часть файла httpd.conf

...
<
Directory "/home/Site.ru">
Order deny,allow
Deny from 33.250.11.25
</Diectory>
...

Так мы баним сайт для какого-нибудь одного IP
Контроль по имени пользователя или группе

Если вам нужно защитить сайт или часть сервера паролем, используйте следующие директивы.

Внимание! Если вы хотите использовать эти директивы в файле .htaccess, проверьте, что бы для вашего хоста директива AllowOverride корневого файла конфигурации Apache включала опцию AuthType. Так же для некоторых директив(AuthUserFile и AuthGroupFile) нужна поддержка mod_auth

AuthType

Значения: AuthType (Basic | Digest)

Apache поддерживает 2 типа защиты содержания (директива AuthType):

* Basic - базовая авторизация. Шифрование используется я на обеих сторонах, но клиент передает пароль не надежно зашифрованным, т. к не используется ключ шифрования. Это крупный недостаток этого метода. Применяется алгоритм шифрования Base64
* Digest - аутентификация специальным кодом (дайджестом), который использует ключ, конкретно, имя пользователя, пароль, область, требующая аутентификацию, различную информацию о запросе и уникальный код данного запроса, который Apache присваивает каждому соединению. Это однонаправленный метод, и для того, что бы расшифровать это, стороннему человеку требуется слишком много информации об обеих сторонах. Но главный недостаток этого метода в том, что его не поддерживает ни один пользовательский браузер, хотя сейчас это уже, наверное, не так (данные на 2000 год). Этот метод обычно используется в специализированных системах

AuthName

Формат директивы: AuthName "String"

Эта директива указывает текст подсказки, которая отображается в браузере при входе на защищенную часть сайта, см. рисунок выше

AuthUserFile, AuthGroupFile

Формат директив: (AuthUserFile | AuthGroupFile) "String"

Внимание! Для работы этих директив необходим модуль Apache mod_auth, который подключается по умолчанию

Эти директивы определяют, соответственно, путь (абсолютный) к файлу, хранящему связки Имя:DES и путь (тоже абсолютный) к файлу, хранящему связки Группа:Имя Имя : Имя

AuthUserFile

Содержит информацию о допустимых именах пользователей и их паролях в формате Имя:DES, где DES - это название алгоритма шифрования. Файл можно создать стандартной консольной программой, входящей в состав Apache, htpasswd. Описание ее использования смотрите ниже

AuthGroupFile

Эту директиву нужно указывать только, если вы указали значение для директивы Request(смотрите ниже) равном group

Этот файл содержит информацию о допустимых группах пользователях для входа. Формат файла: Группа:Имя Имя : Имя. Т.е только те пользователи, которые существуют и которые входят в группы, описанные в директиве Require(смотрите ниже), смогут войти

Require

Значения: Require (user Имя Имя : Имя | group Группа Группа : Группа | valid-user

Эта директива определяет принцип аутентификации:

* User - только пользователи, указанные следующими через пробел, и указавшие верный пароль, смогут войти
* Group - только пользователи, входящие в группы, указанные следующие через пробел, и указавшие верный пароль, смогут войти. Указание директивы AuthGroupFile обязательно
* Valid-user - любой пользователь, существующий в файле AuthUserFile, и указавший верный пароль, сможет войти

На этом директивы, необходимые для метода AuthType Basic, перечислены. Другие директивы, относящиеся к методу AuthType Digest, я перечислять не буду, т. к они имеют узконаправленное действие и в общих системах не используются
Утилита Apache htpasswd

Эта консольная программа создает файлы, указываемые в директиве AuthUserFile. Файл хранит связки Имя:Пароль для доступа к защищенной части сайта

Обычно программа поставляется вместе с Apache и находиться в папке bin ее корневой папки

Формат вызова утилиты:

htpasswd [-cdpsb] ПутьКФайлуПаролей ИмяНужногоПользователя

Параметры командной строки

* -с - создать новый файл. Если этот параметр не указан, и файл не существует, утилита выдаст ошибку и аварийно завершит работу. Внимание! Если файл уже существовал, он будет перезаписан
* -d - утилита будет использовать алгоритм шифрования DES (в C это функция crypt()). По умолчанию используется во всех ОС, но не в Windows
* -m - использовать алгоритм шифрования MD5, который является шифром по умолчанию в Windows
* -p - сохранить пароль в чистом виде, без шифрования. Работает только в Windows
* -s - утилита будет использовать алгоритм шифрования SHA
* -b - в нормальном режиме, без этой опции, утилита получает пароль вводом в стандартный входной поток. При использовании этой опции, после пути к файлу паролей должен идти пароль, и утилита получит пароль из этой опции. Утилита не будет ждать пользовательского ввода, она сразу возвратит управление в оболочку. Пример: htpasswd -b .htpasswd smhtpass

Примеры паролирования

Файл .htaccess

AuthType Basic
AuthName
"You are entering Private area. Please enter your login and password"
AuthUserFile /home/Site.ru/www/PrivateDir/.htpasswd
# AuthGroupFile .htgroup # эта директива здесь не нужна,
# т. к мы используем аутентификацию по пользователям, но не по группам
Require user My root UUCP hacker guest

Здесь доступ разрешен по файлу .htpasswd для пользователей My, root, UUCP, hacker и guest. Тип авторизации Basic

Часть файла httpd.conf

....
<
Directiory "/home/Site.ru/www/My">
AuthType Basic
AuthName
"This is only my area"
AuthUserFile /home/Site.ru/www/PrivateDir/.htaccess
AuthGroupFile
/home/Site.ru/www/My/.htgroup
Require group my root
</Directory>
....

Здесь доступ разрешен по тому же файлу с пользователями, но только с теми, кто входит в группы my или root, определенные в файле .htgroup

Для создания файла паролей для первого примера

Входим в shell и пишем такие команды

; Считаем, что текущая папка установлена на папку с утилитой htpasswd
; Так же считаем, что файл паролей, который требуется создать, еще не существует
# htpasswd -cb /home/Site.ru/www/PrivateDir/.htpasswd root rootpasswd
# htpasswd -b /home/Site.ru/www/PrivateDir/.htpasswd UUCP pass_rootcp
# htpasswd /home/Site.ru/www/PrivateDir/.htpasswd My
Password: mypasswd
Repeat password
: mypasswd
Password created OK
; Аналогично создаем записи для пользователей hacker и guest


codenet.ru
   Читать в Яндекс.Ленте    Читать c Google    




Комментировать





  • » Как зарабатывать на жизнь, играя
  • » Россияне делают деньги в интернете
  • » Биржа ссылок и статей "Main Link"
  • » Движок для блога Movable Type - часть 2 (установка)
  • » Отличный хостинг и сервис подбора доменного имени
  • » Партнерская программа знакомств GOLD FLIRT
  • » Нужны ли покупные ссылки?
  • » Продвижения сайта -- к чему приводит приостановка
  • » Сервис для заработка на социалках Vklike
  • » Партнерская программа Доктор Дик
  • » Партнерская программа по юридической и около-юридической тематике
  • » Directadmin: Zend Optimizer
  • » CentOS: Установка LibXSLT
  • » Биржа трафика "Pop Up Traf"
  • » Биржа покупки и продажи ссылок "Fat Link"
  • » Буржуйская биржа ссылок Spiders Market
  • » Анонс партнерской программы и хостинга Сервер Хост
  • » RSS-канал, социалка и прочее как средства продвижения блога (сайта)
  • » Сервис обмена статьями по ключевым темам
  • » Фильтры и санкции Yandex
  • » Биржа покупки и продажи статей "Liex"
  • » Сдулась уникальная партнерка для заработка на файловом трафике
  • » Партнёрская adult программа "TheRussianKings.com"
  • » Партнерская программа All Partners
  • » Анонс партнерской сети Ping Media
  • » CentOS: SSH сервер и конфигурационный файл sshd_config
  • » Лучшие из лучших...
  • » Что такое ПИФы? И какие из них лучшие в России?
  • » Долгожданное удаление доменных имен из реестров доменов .РФ и .RU продолжится 29 декабря
  • » Система размещения статей "Mira Links"
  • » Рекламная сеть в формате "Кликандер" - Web Under
  • » Знание - сила
  • » Большой апдейт системы
  • » Если поисковая оптимизация не дает ожидаемого результата
  • » Открыт новый сервис по работе с юридическими лицами
  • » Что нужнее пользователям?
  • » Словари
  • » Новый параметр проверки ссылок: «тИЦ сайта склеен»
  • » Проблемы авторизации
  • » Новейшие «Рамблер-Карты»
  • » Плановые работы
  • » Обновление ТИЦ 05.10.2011
  • » Пасха
  • » С первым сентября!
  • » АП тИЦ 02.07.2010
  • » Приглашаем Дилеров
  • » С наступающим Новым Годом и Рождеством!
  • » Обучающий центр SeoPult
  • » Оптимизатору: возможность изменить продвигаемый URL
  • » Какими бывают поисковые запросы?
  • » Новый конкурс
  • » Апдейт ТИЦ
  • » Новый инструмент для вебмастеров
  • » Конкурс от Sape «Новостной сайт за 3 месяца»
  • » С Победой Вас!
  • » Этика блоггера: миф или реальность?
  • » Победитель конкурса «SeoPult-эксперт»
  • » Поиск по внутренним страницам
  • » Дважды два четыре...
  • » Среднее число ссылок на страницу





Категории


Последние записи

Полезные заметки