访问控制认证与授权.DOCVIP

访问控制、认证与授权 访问控制、认证和授权为Web站点提供最基本的安全保障。 访问控制。控制哪些主机能访问站点认证，Apache以IP地址来标识主机。 认证。企业网站往往存放了一些重要文件，仅供员工在外出差时使用。为此，在访问这些文件时，客户端必须用户名和密码以证明客户的身份。 授权。控制哪些用户可以访问站点。 本实验的网络拓扑与“默认主机架构……”一节相同。 1 访问控制 以站点1111为例配置访问控制。虽然在Apache的图形化配置工具可以设置访问控制参数，但这一工具仍不完善，有时会出现难以解释的错误。因此，本节全部实验都通过直接修改Apache配置文件完成。 1.1 Apache访问许可参数 Apache的访问许可一般针对某个目录，包括主目录和虚拟目录。访问许可包含三个参数： (1) 允许访问的主机列表，以下简称“允许列表”。 该列表可以有很多记录，每条记录允许某一个或某一组主机访问站点。 设置该参数的关键词为Allow from，其后接有一条或多条记录，记录之间以空格相隔。记录格式如下表所示： 表1 允许列表和禁止列表的记录格式 记录类别 格式 单台计算机 0 一组计算机 / 所有计算机 All 域名 其中，一组计算机由网络号加上子网掩码指定。例如，表1中一组计算机中的记录表示~55。 (2) 禁止访问的主机列表，以下简称“禁止列表”。与前一个参数一样，该列表也可以有很多记录，每条记录禁止某一个或某一组主机访问站点。禁止列表的记录格式同上。 (3) 访问顺序。对于任何站点，前面两个参数都是独立设置的。很多时候，它们之间存在冲突。例如，允许列表包含单台计算机：00；禁止列表包含一组计算机：/。这样一来，00同时被包含在两个列表，那到底是禁止还是允许访问呢？ 为此Apache提供了访问顺序参数，规定允许列表和禁止列表的优先级。该参数有两个值：1) 先允许后禁止；2 )先禁止后允许。对两个列表来说，位于后面的优先级更高。也就是说，如果该参数设为“先允许后禁止”，那么禁止列表的优先级高于允许列表。出现上面所说的冲突时，以禁止列表为准，故00被禁止访问。 1.2 访问许可配置举例 使用KWrite打开Apache的配置文件httpd.conf，找到虚拟主机1111的参数设置部分，如下图所示。当前，未配置任何访问许可参数。 图1站点1111未设置访问许可的配置内容 首先，在“/Directory”前添加一行，内容为“Deny from 0”，并在Konsole中执行“service httpd restart”。分别在服务器和客户端上访问“:1111”，发现服务器端能正常访问该站点，但客户端出现如下图所示页面，说明客户端被禁止访问。 图2 客户端被禁止访问 接下来，在“Deny from 0”前添加两行。第一行内容为“Order allow,deny”，第二行内容为“Allow from /”。在Konsole中执行“service httpd restart”，并在客户端再次访问站点1111，发现仍被禁止访问。这是因为访问顺序为“先允许后禁止”，禁止列表的优先级更高，因此访问被禁止。 最后，将“Order allow,deny”改为“Order deny,allow”，执行“service httpd restart”并在客户端访问站点1111，发现访问被允许。 2 认证和授权 参考教材“Red Hat Linux 9网络服务”7.4.2节。