Locked History Actions

Authentication and Access Control Modules

Žodis angliškai

Authentication and Access Control Modules

Santrumpa

mod_auth, mod_access

Žodis lietuviškai

Tapatumo nustatymo ir prieigos kontrolės moduliai


Apibrėžimas

Tapatumo nustatymo ir prieigos kontrolės moduliai leidžia nustatyti tapatumą ir leisti vartotojo prieigą prie apribotų žiniatinklio svetainės dalių.


Paaiškinimai

Apache turi daug modulių skirtų tapatumo nustatymo ir leidimų suteikimo užduotims atlikti. Daugeliu atvejų tapatumo nustatymo moduliai naudoja pagrindinį HTTP tapatumo nustatymą, kuris naudoja paprastus tekstinius slaptažodžius. Tamatumo nustatymo modulis leidžia valdyti prieiga prie žiniatinklio svetainės katalogų, naudojant vartotojo vardą arba IP adresą. Toliau yra pateikiamas su saugumu susijusių modulių, kurie leidžia atlikti tapatumo nustatymo ir prieigos kontrolės užduotis bei yra įtraukti į standartinį Apache, sąrašas:

mod_auth - vykdo pagrindinį HTTP tapatumo nustatymą.

mod_auth_anon - suteikia anoniminio vartotojo prieigą prie sričių, kurių tapatumas nustatytas.

mod_auth_dbm - atlieka vartotojo tapatumo nustatymus naudojant DMB failus.

mod_auth_db - atlieka vartotojo tapatumo nustatymus naudojant Berkely DB failus.

mod_auth_digest - vykdo maišos tapatumo nustatymą naudojant MD5.

mod_access - leidžia suteikti priegos teisę naudojant mazgo pavadinimą arba IP adresą.

mod_auth

Tai yra daugelio Apache tinklo serverių saugumo modulių pagrindas. Tai numatytasis modulis. Leidžia nustatyti vartotojų, kurių tapatumo nustatymo įrodymai yra saugomi tekstiniuose failuose, tapatumą. Paprastai naudojamas tekstinis failas, kuriame yra vartotojo vardas ir užšifruotas slaptažodis. Tekstinį failą tap pat galima naudoti vartotojų grupėms sukurti, kurias galima naudoti kuriant leidimų suteikimo taisykles. Rekomenduojama šį modulį naudoti nedidelėms vartotojų grupėms (keli šimtai vartotojų). Jis naudoja paprastus tekstinius failus tapatumo nustatymo duomenų bazių reikmėms. Įrašu forma yra tokia: „naudotojo vardas: slaptažodis“; po slaptažodžio gali būti papildomų laukų, nuo jo atskirtų dvitaškiu. Tačiau jų nepaisoma.

mod_auth_anon

Šis modulis kopijuoja anoniminio FTP elgesį. Užuot kaupęs galiojančių tapatumo nustatymų įrodymų duomenų bazę, jis atpažįsta galiojančių naudotojų vardų sąrašą ir suteikia prieigą bet kuriam iš jų su bet kokiu slaptažodžiu. Šis modulis naudingesnis prisijungimo prieigai prie išteklių ir robotų laikymui nuošalyje negu faktinei prieigos kontrolei. Šis modulis suteikia anonyminio vartotojo prieigą prie sričių, kurių tapatumas nustatytas. Visi vartotojai gali naudoti anoniminį vartotojo ID (angl. anonymous) ir el. pašto adresus kaip slaptažodį. Šie el. pašto adresai yra įvedami ir saugomi žurnalų failuose ir gali būti naudojami vartotojams sekti arba galimų klientų sąrašams sukurti. Galima nurodyti vieną arba daugiau vartotojo vardų, kurie gali būti naudojami prieigai prie tam tikros srities.

mod_auth_dbm

Tekstiniu failu pagrįstas tapatumo nustatymas nepakankamas sparčiam apdorojimui ir gali neigiamai paveikti žiniatinklio serverio darbą, kai daugeliui vartotojų (daugiau kaip 2000) reikia nustatyto tapatumo prieigos prie žiniatinklio serverio dalių. Todėl šis moodulis geresnis pasirinkimas šiuo atveju. Naudoja DBM failus, o ne tekstinius failus duomenims laikyti. DBM failas yra specialus duomenų failas, leidžiantis greitesnę laisvą prieiga prie saugomų duomenų. Šis modulis beveik tas pats, kaip mod_auth_db, tačiau tapatumo nustatymo įrodymai saugomi DBM faile.

mod_auth_db

Jei sistema nepritaikyta naudoti DBM, tačiau galima Berkeley DB failo palaikymas, galima naudoti šį modulį, kad butų galima naudoti DB failus, o ne DBM modulius. Šio modulio nėra standartiniame Apache. Šis modulis beveik tas pats, kaip mod_auth, tačiau tapatumo nustatymo įrodymai yra saugomi Berkely DB failų formatu. Direktyvos turi papildomas raides „DB“.

mod_auth_digest

Nors visi kiti konrolės moduliai, pateikiami kartu su Apache, palaiko pagrindinį tapatumo nustatymą, šis modulis yra vienintelis, kuris šiuo metu palaiko maišos mechanizmą. Šio modulio tapatumo nustatymo įrodymai yra saugomi tekstiniame faile. Maišos duomenų bazės failai yra tvarkomi naudojant specialų įrankį htdigest. Modulio mod_digest naudojimas daug sudėtingesnis, negu pagrindinio tapatumo nustatymo derinimas.

mod_access

Tai vienintelis modulis standartiniame Apache, kuris taiko privalomus valdiklius. Jis leidžia sudaryti tinklo mazgų, domenų ir (arba) IP adresų arba tinklų sąrašus, kuriems suteikiama arba nesuteikiama prieiga prie dokumentų.

Svetainių lankytojų tapatumo nustatymas ir leidimų suteikimas

Tapatumo nustatymas – tai vartotojo vardo ir slaptažodžio pateikimas. Pateikus vartotojo vardą ir slaptažodį reiškia, kad esate tas, kuriuo save įvardijate, t. y. nustatėte savo tapatumą. Kai kuriais atvejais be tapatumo nustatymo gali reikėti gauti leidimą, norint pasiekti tam tikrus resursus. Tapatumo nustatymo procesas pavaizduotas žemiau pateiktame paveiksle.

Tapatumo nustatymo procesas.jpg

Toliau detaliau aptariami tapatumo nustatymo proceso etapai:

  1. Tapatumo nustatymas prasideda, kai naršyklė siunčia universaliojo adreso (URL) užklausą, kuris yra apsaugotas HTTP tapatumo nustatymo schema (1).
  2. Žiniatinklio serveris gražina 401 būsenos antraštę kartu su tapatumo nustatymo atsakymo antrašte, kurioje nurodyta, kad reikia atlikti tapatumo nustatymą, kad būtų galima prieiti prie URL. Antraštėje yra tapatumo nustatymo schema ir srities pavadinimas (2).
  3. Atsiranda naršyklės dialogo laukas, kuriame reikia įvesti vartotojo vardą ir slaptažodį (3).
  4. Vartotojas įveda vartotojo vardą ir slaptažodį ir paspaudžia OK. Naršyklė siunčia vartotojo vardą ir slaptažodį kartu su ankstesne URL užklausą į serverį. Serveris patikrina, ar vartotojo vardas ir slaptažodis galioja (4).
  5. Jeigu vartotojo vardas ir slaptažodis galioja, serveris gražina reikiamą puslapį (5a). Jei vartotojo vardas ir slaptažodis netinka, serveris gražina 401 būseną ir siunčia tą pačią tapatumo nustatymo antraštę naršyklei (5b).
  6. Kiekvienoje sekančioje užklausoje tam pačiam serveriui, neršyklė siunčia vartotojo vardo ir slaptažodžio porą, kad serveriui nereikėtų kurti 401 būsenos antraštės.

Taigi tapatumo nustatymo ir leidimų suteikimo moduliai yra naudojami klientų tapatybei nustatyti ir jų prieigos teisėms nurodyti. Leidimus prieigai prie tam tikrų resursų nustato administratorius, kuris gali nurodyti kokiems tinklo mazgams (pagal mazgo pavadinimą, IP adresą)suteikti prieigą. Tam yra sudaromi specialūs leidimų sąrašai.


Naudota literatūra

  1. Mohammed J. Kabir. 2002. Apache Server 2 Bible. New York: Hungry Minds, Inc.
  2. http://www.linuxplanet.com/linuxplanet/tutorials/1527/7/


CategoryŽodis