[AIX]請教：關(guān)于IBM HTTP SERVER的問題

slls

想在IBM HTTP SERVER中加上安全認證，如訪問HTTP時需要輸入用戶名、密碼，或者限制制定的IP訪問。\r\n我在IBM Administration Server里琢磨了半天也沒搞定，請問誰知道如何配置？\r\n謝謝！

Fenng

什么服務(wù)器?阿帕奇嗎?如果是還是比較容易做到的

Fenng

Apache 服務(wù)器的用戶認證(1)\r\n\r\n經(jīng)常上網(wǎng)的讀者會遇到這種情況：訪問一些網(wǎng)站的某些資源時，瀏覽器彈出一個對話框，要求輸入用戶名和密碼來獲取對資源的訪問。這就是用戶認證的一種技術(shù)。用戶認證是保護網(wǎng)絡(luò)系統(tǒng)資源的第一道防線，它控制著所有登錄并檢查訪問用戶的合法性，其目標是僅讓合法用戶以合法的權(quán)限訪問網(wǎng)絡(luò)系統(tǒng)的資源。基本的用戶認證技術(shù)是“用戶名＋密碼”。 \r\n\r\nApache是目前流行的Web服務(wù)器，可運行在Linux、Unix、Windows等操作系統(tǒng)下，它可以很好地解決“用戶名＋密碼”的認證問題。Apache用戶認證所需要的用戶名和密碼有兩種不同的存貯方式：一種是文本文件；另一種是MSQL、Oracle、MySQL等數(shù)據(jù)庫。下面以Linux的Apache為例，就這兩種存貯方式，分別介紹如何實現(xiàn)用戶認證功能，同時對Windows的Apache用戶認證作簡要的說明。 \r\n\r\n采用文本文件存儲 \r\n這種認證方式的基本思想是：Apache啟動認證功能后，就可以在需要限制訪問的目錄下建立一個名為.htaccess的文件，指定認證的配置命令。當用戶第一次訪問該目錄的文件時，瀏覽器會顯示一個對話框，要求輸入用戶名和密碼，進行用戶身份的確認。若是合法用戶，則顯示所訪問的頁面內(nèi)容，此后訪問該目錄的每個頁面，瀏覽器自動送出用戶名和密碼，不用再輸入了，直到關(guān)閉瀏覽器為止。以下是實現(xiàn)的具體步驟： \r\n\r\n以超級用戶root進入Linux，假設(shè)Apache 1.3.12已經(jīng)編譯、安裝到了/usr/local/apache目錄中。缺省情況下，編譯Apache時自動加入mod_auth模塊，利用此模塊可以實現(xiàn)“用戶名+密碼”以文本文件為存儲方式的認證功能。 \r\n\r\n1.修改Apache的配置文件/usr/local/apache/conf/httpd.conf，對認證資源所在的目錄設(shè)定配置命令。 \r\n\r\n下例是對/usr/local/apache/htdocs/members目錄的配置： \r\n\r\n＜Directory /usr/local/apache/htdocs /members＞\r\nOptions Indexes FollowSymLinks\r\nallowoverride authconfig\r\norder allow,deny\r\nallow from all＜/Directory＞ \r\n\r\n其中，allowoverride authconfig一行表示允許對/usr/local/apache/htdocs/ members目錄下的文件進行用戶認證。 \r\n\r\n2.在限制訪問的目錄/usr/local/apache/htdocs/members下建立一個文件.htaccess，其內(nèi)容如下： \r\n\r\nAuthName \"會員區(qū)\"\r\nAuthType basic\r\nAuthUserFile/usr/local/apache/members.txt\r\nrequire valid-user \r\n\r\n說明：文件.htaccess中常用的配置命令有以下幾個： \r\n\r\n1)AuthName命令：指定認證區(qū)域名稱。區(qū)域名稱是在提示要求認證的對話框中顯示給用戶的。\r\n2)AuthType命令：指定認證類型。在HTTP1.0中，只有一種認證類型：basic。在HTTP1.1中有幾種認證類型，如：MD5。\r\n3)AuthUserFile命令：指定一個包含用戶名和密碼的文本文件，每行一對。\r\n4)AuthGroupFile命令：指定包含用戶組清單和這些組的成員清單的文本文件。組的成員之間用空格分開，如：managers:user1 user2。\r\n5)require命令：指定哪些用戶或組才能被授權(quán)訪問。如：\r\nrequire user user1 user2 （只有用戶user1和user2可以訪問)\r\nrequire group managers (只有組managers中成員可以訪問)\r\nrequire valid-user (在AuthUserFile指定的文件中任何用戶都可以訪問) \r\n\r\n3.利用Apache附帶的程序htpasswd，生成包含用戶名和密碼的文本文件：/usr/local/apache/members.txt，每行內(nèi)容格式為“用戶名:密碼”。 \r\n\r\n#cd /usr/local/apache/bin\r\n#htpasswd -bc ../members.txt user1 1234\r\n#htpasswd -b ../members.txt user2 5678 \r\n\r\n文本文件members.txt含有兩個用戶：user1,口令為1234；user2，口令為5678。注意，不要將此文本文件存放在Web文檔的目錄樹中，以免被用戶下載。 \r\n\r\n欲了解htpasswd程序的幫助，請執(zhí)行htpasswd -h。 \r\n\r\n當用戶數(shù)量比較少時，這種方法對用戶的認證是方便、省事的，維護工作也簡單。但是在用戶數(shù)量有數(shù)萬人，甚至數(shù)十萬人時，會在查找用戶上花掉一定時間，從而降低服務(wù)器的效率。這種情形，應(yīng)采用數(shù)據(jù)庫方式。 \r\n\r\n采用數(shù)據(jù)庫存儲 \r\n目前，Apache、PHP4、MySQL三者是Linux下構(gòu)建Web網(wǎng)站的最佳搭檔，這三個軟件都是免費軟件。將三者結(jié)合起來，通過HTTP協(xié)議，利用PHP4和MySQL，實現(xiàn)Apache的用戶認證功能。 \r\n\r\n只有在PHP4以Apache的模塊方式來運行的時候才能進行用戶認證。為此，在編譯Apache時需要加入PHP4模塊一起編譯。假設(shè)PHP4作為Apache的模塊，編譯、安裝Apache到/usr/local/apache目錄，編譯、安裝MySQL到/usr/local/mysql目錄。然后進行下面的步驟： \r\n\r\n1.在MySQL中建立一個數(shù)據(jù)庫member，在其中建立一個表users，用來存放合法用戶的用戶名和密碼。 \r\n1)用vi命令在/tmp目錄建立一個SQL腳本文件auth.sql，內(nèi)容為：\r\ndrop database if exists member;\r\ncreate database member;\r\nuse member;\r\ncreate table users (\r\nusername char(20) not null,\r\npassword char(20) not null,\r\n);\r\ninsert into users values(\"user1\",password(\"1234\");\r\ninsert into users values(\"user2\",password(\"5678\");\r\n2)啟動MySQL客戶程序mysql，執(zhí)行上述SQL腳本文件auth.sql的命令， 在表users中增加兩個用戶的記錄。\r\n#mysql -u root -pmypwd＜/tmp/auth.sql \r\n2.編寫一個PHP腳本頭文件auth.inc，程序內(nèi)容為： \r\n＜?php\r\nfunction authenticate() {\r\nHeader(\'WWW-authenticate: basic realm=\"會員區(qū)\"\');\r\nHeader(\'HTTP/1.0 401 Unauthorized\');\r\necho \"你必須輸入正確的用戶名和口令。\\n\";\r\nexit;\r\n}\r\nfunction CheckUser($uname, $pwd) {\r\nif ($uname == \"\" || $pwd == \"\" return 0;\r\n$query = \"SELECT username,password FROM users WHERE username=\'$uname\' and password=password(\'$pwd\')\";\r\n$db_id = mysql_connect(\'localhost\', \'root\', \'mypwd\');\r\nmysql_select_db(\'member\',$db_id);\r\n$result = mysql_query($query, $db_id);\r\n$num=mysql_num_rows($result);\r\nmysql_close($db_id);\r\nif ($num＞0) {\r\nreturn 1; // 有效登錄\r\n} else {\r\nreturn 0; // 無效登錄\r\n}\r\n}\r\n?＞\r\n函數(shù)Authenticate()的作用是利用函數(shù)Header(\'WWW-authenticate: basic realm=\"會員區(qū)\"\')，向瀏覽器發(fā)送一個認證請求消息，使瀏覽器彈出一個用戶名/密碼的對話框。當用戶輸入用戶名和密碼后，包含此PHP腳本的URL將自動地被再次調(diào)用，將用戶名、密碼、認證類型分別存放到PHP4的三個特殊變量：$PHP_AUTH_USER、$PHP_AUTH_PW、$PHP_AUTH_TYPE，在PHP程序中可根據(jù)這三個變量值來判斷是否合法用戶。Header()函數(shù)中，basic表示基本認證類型，realm的值表示認證區(qū)域名稱。\r\n函數(shù)Header(\'HTTP/1.0 401 Unauthorized\')使瀏覽器用戶在連續(xù)多次輸入錯誤的用戶名或密碼時接收到HTTP 401錯誤。\r\n函數(shù)CheckUser()用來判斷瀏覽器用戶發(fā)送來的用戶名、密碼是否與MySQL數(shù)據(jù)庫的相同，若相同則返回1，否則返回0。其中mysql_connect(\'localhost\', \'root\', \'mypwd\')的數(shù)據(jù)庫用戶名root和密碼mypwd，應(yīng)根據(jù)自己的MySQL設(shè)置而改變。 \r\n3.在需要限制訪問的每個PHP腳本程序開頭增加下列程序段:

Fenng

http://www.5xsoft.com/data/200107/2609201001_1.htm\r\n看上面吧

Fenng

Apache服務(wù)器可以針對目錄進行文檔的訪問控制，然而訪問控制可以通過兩 \r\n\r\n種方式來實現(xiàn)，一個是在設(shè)置文件 httpd.conf（或access.conf）中針對每個目 \r\n\r\n錄進行設(shè)置，另一個方法是在每個目錄下設(shè)置訪問控制文件，通常訪問控制文件 \r\n\r\n名字為.htaccess。雖然使用這兩個方式都能用于控制瀏覽器的訪問，然而使用配置文件的方法要求每次改動后重新啟動httpd守護進程，比較不靈活，因此主要用于配置服務(wù)器系統(tǒng)的整體安全控制策略，而使用每個目錄下的.htaccess文件設(shè)置具體目錄的訪問控制更為靈活方便。 \r\n\r\n　　Directory語句就是用來定義目錄的訪問限制的，這里可以看出它的標準語法，為一個目錄定義訪問限制。上例的這個設(shè)置是針對系統(tǒng)的根目錄進行的，設(shè)置了允許符號連接的選項FollowSymLinks ，以及使用AllowOverride None表示不允許這個目錄下的訪問控制文件來改變這里進行的配置，這也意味著不用查看這個目錄下的相應(yīng)訪問控制文件。 \r\n\r\n　　由于Apache對一個目錄的訪問控制設(shè)置是能夠被下一級目錄繼承的，因此對 \r\n\r\n根目錄的設(shè)置將影響到它的下級目錄。注意由于AllowOverride None的設(shè)置，使 \r\n\r\n得Apache服務(wù)器不需要查看根目錄下的訪問控制文件，也不需要查看以下各級目 \r\n\r\n錄下的訪問控制文件，直至httpd.conf（或access.conf ）中為某個目錄指定了 \r\n\r\n允許Alloworride，即允許查看訪問控制文件。由于Apache對目錄訪問控制是采用的繼承方式，如果從根目錄就允許查看訪問控制文件，那么Apache就必須一級一級的查看訪問控制文件，對系統(tǒng)性能會造成影響。而缺省關(guān)閉了根目錄的這個特性，就使得Apache從httpd.conf中具體指定的目錄向下搜尋，減少了搜尋的級數(shù)，增加了系統(tǒng)性能。因此對于系統(tǒng)根目錄設(shè)置AllowOverride None不但對于系統(tǒng)安全有幫助，也有益于系統(tǒng)性能。 \r\n\r\n\r\nOptions Indexes FollowSymLinks \r\n\r\nAllowOverride None \r\n\r\nOrder allow,deny \r\n\r\nAllow from all \r\n\r\n　　這里定義的是系統(tǒng)對外發(fā)布文檔的目錄的訪問設(shè)置，設(shè)置不同的 AllowOverride選項，以定義配置文件中的目錄設(shè)置和用戶目錄下的安全控制文件的關(guān)系，而Options選項用于定義該目錄的特性。 \r\n\r\n　　配置文件和每個目錄下的訪問控制文件都可以設(shè)置訪問限制，設(shè)置文件是由 \r\n\r\n管理員設(shè)置的，而每個目錄下的訪問控制文件是由目錄的屬主設(shè)置的，因此管理 \r\n\r\n員可以規(guī)定目錄的屬主是否能覆蓋系統(tǒng)在設(shè)置文件中的設(shè)置，這就需要使用 啊AllowOverride參數(shù)進行設(shè)置，通�？梢栽O(shè)置的值為： \r\n\r\nAllowOverride的設(shè)置 對每個目錄訪問控制文件作用的影響 \r\n\r\nAll 缺省值，使訪問控制文件可以覆蓋系統(tǒng)配置 \r\n\r\nNone 服務(wù)器忽略訪問控制文件的設(shè)置 \r\n\r\nOptions 允許訪問控制文件中可以使用Options參數(shù)定義目錄的選項 \r\n\r\nFileInfo 允許訪問控制文件中可以使用AddType等參數(shù)設(shè)置 \r\n\r\nAuthConfig 允許訪問控制文件使用AuthName，AuthType等針對每個用戶的認證機制，這使目錄屬主能用口令和用戶名來保護目錄 Limit 允許對訪問目錄的客戶機的IP地址和名字進行限制 \r\n\r\n　　每個目錄具備一定屬性，可以使用Options來控制這個目錄下的一些訪問特性設(shè)置，以下為常用的特性選項： \r\n\r\n\r\nOptions設(shè)置 服務(wù)器特性設(shè)置 \r\n\r\nAll 所有的目錄特性都有效，這是缺省狀態(tài) \r\n\r\nNone 所有的目錄特性都無效 \r\n\r\nFollowSymLinks 允許使用符號連接，這將使瀏覽器有可能訪問文檔根目錄 （DocumentRoot）之外的文檔 SymLinksIfOwnerMatch 只有符號連接的目的與符號連接本身為同一用戶所擁有時，才允許訪問，這個設(shè)置將增加一些安全性 \r\n\r\nExecCGI 允許這個目錄下可以執(zhí)行CGI程序 Indexes 允許瀏覽器可以生成這個目錄下所有文件的索引，使得在這個目錄下沒有index.html（或其他索引文件）時，能向瀏覽器發(fā)送這個目錄下的文件列表 \r\n\r\n　此外，上例中還使用了Order、Allow、Deny等參數(shù)，這是Limit語句中用來根據(jù)瀏覽器的域名和 IP地址來控制訪問的一種方式。其中Order定義處理Allow和Deny的順序，而Allow、Deny則針對名字或IP進行訪問控制設(shè)置，上例使用allowfrom all，表示允許所有的客戶機訪問這個目錄，而不進行任何限制。 \r\n\r\n\r\n　　UserDir public_html \r\n\r\n　　當在一臺Linux上運行Apache服務(wù)器時，這臺計算機上的所有用戶都可以有自己的網(wǎng)頁路徑，形如 http://example.org.cn/~user，使用波...Dir的參數(shù)即可。 \r\n\r\n\r\n# \r\n\r\n# AllowOverride FileInfo AuthConfig Limit \r\n\r\n# Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec \r\n\r\n# \r\n\r\n# Order allow,deny \r\n\r\n# Allow from all \r\n\r\n# \r\n\r\n# \r\n\r\n# Order deny,allow \r\n\r\n# Deny from all \r\n\r\n# \r\n\r\n# \r\n\r\n\r\n　　這里可以看到Directory的另一個用法，即可以通過簡單的模式匹配方法，針對分布在不同目錄下的子目錄定義訪問控制權(quán)限。這樣設(shè)置就需要Apache服務(wù)器對每個路徑進行額外的處理，因此就會降低服務(wù)器的性能，所以缺省情況并沒有打開這種訪問限制。