Apache的应用实例之认证和授权

wyyy721

　　一、认证
1）、两种认证类型
◆基本认证（basic)
◆摘要认证（digest)
摘要认证要比基本认证更加安全，但目前并非所有的浏览器都支持摘要认证，所以大多数情况下用户只能使用基本认证方式。
2）、认证的配置指令

所有的认证配置指令即可以出现在主配置文件的directory容器中，也可以出现在./htaccess 文件中，下面列出了可用的认证配置指令：

指令	语法	说明
authname	authname 名称	定义受保护的名称
authtype	authtype 认证方式	定义认证的方式
authgroupfile	authgroupfile 文件名	指定认证组文件的位置
authuserfile	authuserfile 文件名	指定认证口令文件的位置

　　
二、授权
当使用认证指令配置了认证之后，还需要为指定的用户或组进行授权，授权的指令为require，require指令的三种使用格式如下

语法格式	说明
require user	授权给指定的一个或多个用户
require group	授权给指定的一个或多个组
require valid-user	授权给认证口令文件中的所有用户

　　3、创建和管理认证文件的命令
主要是学习基于文本文件的认证口令和认证组文件；

1）、创建新的认证口令文件
htpasswd -c 认证口令文件名 用户名
#在添加一个认证用户的同时创建认证口令文件

2）、修改认证口令文件
htpasswd 认证口令文件名 用户名
#向现有的认证口令文件中添加用户或修改已存在的用户的口令；

3）、认证口令文件格式
与系统中的/etc/shadow 文件类似，认证口令文件中的每一行包含一个用户的用户名和加密口令；
用户名：加密口令


4）、管理认证组文件：
apache中没有提供创建认证组的文件的命令，它只是一个文本文件，用户可以使用编辑器对其进行编辑：格式如下：
组名：用户名  用户名  ......  

注意的是在认证组中添加的用户名必须先添加到认证口令文件中。为了安全的因素，认证口令和认证组文件不应该与web文档放在相同的目录下，可放在其他目录，在认证口令文件htpasswd文件没有提供删除用户的选项，如果想删除用户可以使用编辑器对其编辑删除想要删除的用户即可；


二、实例
1、编辑配置文件httpd.conf 添加如下：


#不使用./htaccess文件；
     AllowOverride None
#指定使用基本认证方式；
     AuthType Basic
#指定认证领域名称
     AuthName "sanguo"
#指定认证口令文件存放的位置；
     AuthUserFile /usr/www/passwd/sanguo
#授权给认证口令文件中的所有用户；
     require valid-user


2、创建认证口令文件，并添加一个xiaoqiao的用户；
[root@dns passwd]# /usr/local/apache2/bin/htpasswd -c sanguo xiaoqiao
New password:
Re-type new password:
Adding password for user xiaoqiao

[root@dns passwd]# ls
sanguo
3、重启apache

http://blog.51cto.com/summervast/../attachment/201006/201006021275469194057.jpg
输入帐户和口令
http://blog.51cto.com/summervast/../attachment/201006/201006021275469256029.jpg
就可以访问了；


三、向认证口令添加用户
由于用户 xianlin 没有添加在口令文件中 ，当用户xianlin去访问时是无法访问的，
用htpasswd修改口令文件加入xianlin这个用户
[root@dns passwd]# /usr/local/apache2/bin/htpasswd sanguo xianlin
New password:
Re-type new password:
Adding password for user xianlin
在访问的话就正常了；


四、访问控制、认证和授权的综合运用

在对一个容器进行了访问控制和认证授权后，将有satify 指令来进行控制；
satify 的两种取值

satify all:访问控制和认证授权两类指令均起作用；
stify any :只要一类指令满足条件即可以访问；

下面我们以查看服务器状态的信息为例说明 satify all的应用；

#vi htppd-info.conf


    SetHandler server-status
    Order deny,allow
    Deny from all
#允许192.168.0.33 这个主机的访问
    Allow from 192.168.0.33
#配置认证和授权
    AuthType Basic
    AuthName "admin"
    AuthUserFile /usr/www/passwd/kouling
    AuthGroupFile /usr/www/passwd/admingrp
    require  group admin
    Satisfy all

#cd /usr/www/passwd

#htpasswd -c kouling xiaoqiao
输入密码
#htpasswd kouling xianlin
输入密码

#记着认证文件组中的用户名必须先添加到认证口令文件中；

#vi admingrp
添加 admin: xiaoqiao xianlin
重启apache

现在 192.168.0.25 上面访问
http://blog.51cto.com/summervast/../attachment/201006/201006031275546971238.jpg
在192.168.0.33上访问
http://blog.51cto.com/summervast/../attachment/201006/201006031275547000889.jpg
http://blog.51cto.com/summervast/../attachment/201006/201006031275547023924.jpg