Vicenasobna autentizace Apache

Matus UHLAR - fantomas uhlar na fantomas.sk
Pátek Duben 1 11:26:12 CEST 2005


> Ondrej Cecak wrote:
>> potykam se s trochu podivnym problemem. Mam adresar, ve kterem je radove
>> desitka podadresaru, ktere ukryvaji obrazek grafu. Pristup do
>> jednotlivych adresaru je omezen pomoci souboru .htaccess tak, ze
>> pristup ma pouze uzivatel admin a dalsi uzivatel (obvykle shodny s
>> nazvem adresare).
>>
>> V adresari s touto spoustou podadresaru je take podadresar admin (kam ma
>> pristup pouze admin), kde je HTML soubor, ktery nacita obrazky ze vsech
>> zminenych podadresaru. A prave zde je kamen urazu -- jak docilit toho,
>> aby se ptal jenom jednou a pro zbytek pouzival uz zadane heslo admina.

Petr Vileta <stoupa na practisoft.cz> wrote:
> No ja bych to delal takhle:
> adresar /var/www/pepa
> .htaccess bude obsahovat uzivatele
> pepa
> admin
> 
> adresar /var/www/jarda
> .htaccess bude obsahovat uzivatele
> jarda
> admin
> 
> adresar /var/www/admin
> .htaccess bude obsahovat pouze uzivatele
> admin
> 
> Samozrejme, ze admin musi mit ve vsech .htaccess stejne heslo a pokud se
> generuje novy .htaccess pro noveho uzivatele, tak se nesmi zapomenout take
> na admina ;-)

nepomylili ste si .htaccess so suborom s heslami? .htaccess obsahuje
vacsinou konfiguracne direktivy apache, nie pouzivatelov. na to druhe sa
pouziva .htpasswd, ovela bezpecnejsie vsak je tento subor ulozit niekde
mimo DocumentRoot.

Subor s heslami staci jeden, subor so skupinami pouzivatelov detto.
Dolezite je, aby v roznych adresaroch boli pouzite rovnake AuthName.
Rovnake AuthName totizto znamena rovnake pristupove prava a ked to
porusite, browser bude zabudat prihlasovacie meno/heslo (ked pre "xyz"
toto meno a heslo neplati, tak ho nebudebe pouzivat).

Vztah medzi AuthName a adresarmi nie je v protokole definovany, prakticky
to vyzera tak, ze prvy dokument ku ktoremu pristupite a ma obmedzene
pristupovaho prava, vyvola request s danym AuthName a Apache nasledne
skusa pouzivat dotycne credentials.

Ja to riesim tak, ze do hlavneho adresara povolim pod jednym AuthName pristup
vsetkym autentizovanym pouzivatelom, a do podadresarov so specifickymi
datami jednotlivych pouzivatelov len dotycnym, kazdemu pod inym AuthName.
mena a hesla su rovnake, a pouzivatel ho vacsinou dvakrat zadat nemusi.
(jedine ze raz sam pristupi do nadradeneho adresara a potom podriadeneho).

-- 
Matus UHLAR - fantomas, uhlar na fantomas.sk ; http://www.fantomas.sk/
Warning: I wish NOT to receive e-mail advertising to this address.
Varovanie: na tuto adresu chcem NEDOSTAVAT akukolvek reklamnu postu.
Micro$oft random number generator: 0, 0, 0, 4.33e+67, 0, 0, 0...


Další informace o konferenci Linux