Настройка аутентификации и авторизации в веб-сервере Apache

Привет, сегодня я расскажу как с помощью веб-сервера Apache у себя на компьютере (сервере) настроить аутентификацию и авторизацию.
Начнем пожалуй с того, что такое авторизация, и что такое аутентификация?

Аутентифика?ция (англ. Authentication) или подтверждение подлинности — процедура проверки соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации, в простейшем случае — с помощью имени и пароля, в сложнейшем случае — с помощью проверки радужной оболочки глаза или отпечатков пальцев или ладони.

Авториза?ция (англ. authorization) — процесс, а также результат процесса проверки необходимых параметров и предоставление определённых полномочий лицу или группе лиц (прав доступа) на выполнение некоторых действий в различных системах с ограниченным доступом.

Настройка

Настраивается аутентификация либо в файле httpd.conf, и с помощью файла .htaccess. При настройке посредством .htaccess, необходимо сначала убедиться, что директива AllowOverride в файле httpd.conf разрешает получение настроек из файла .htaccess. Директива AllowOverride может принимать следующие значения:

AllowOverride None – файлы .htaccess игнорируются веб-сервером. Данное значение оказывает положительное влияние на быстродействие веб-сервера.
AllowOverride All – обрабатываются все без исключения директивы из файлов .htaccess.
AllowOverride AuthConfig – разрешены директивы аутентификации-авторизации, такие как AuthName, AuthType, AuthUserFile, AuthGroupFile, Require и т.д.

Теперь пробуем все это сделать, для этого нужно:

  • Установить сервер Apache.
  • Создать файл с паролями.
  • Прописать защищаемый ресурс в конфигурацию Apache (в файле httpd.conf или в файле .htaccess).
  • Создать файл для работы с группами и настроить групповой доступ (не обязательно).

Реализация

Преступим!
Установим сам сервер:

sudo aptitude install apache2
sudo aptitude install apache2

Если вы все это делаете на Ubuntu то расположение папок будет примерно таким:

/etc/apache2/ – тут лежат конфиги и необходимый нам httpd.conf
/var/www/ – (это и есть папка вашего сервера) там будет лежать файл вида Index.html, его стоит убить и создать там нужные вам папки, например:

mkdir /var/www/Public
mkdir /var/www/Secret
mkdir /var/www/Wordpress
mkdir /var/www/Public
mkdir /var/www/Secret
mkdir /var/www/Wordpress

Теперь проверим, введите в браузере http://localhost/ должны увидеть следующее:

Apache auth

Apache auth

Создаём файл с паролями, для этого используется утилита htpasswd, входящая в стандартную поставку сервера Apache. Запускается она так:

sudo htpasswd -c [путь к файлу с паролями] [имя пользователя]
sudo htpasswd -c [путь к файлу с паролями] [имя пользователя]

Ключ используется при первом запуске htpasswd и указывает на то, что нужно создать новый файл, подробнее о htpasswd:

man htpasswd
man htpasswd

Если файл с таким именем уже существует – он будет затёрт.

Создаем файл:

htpasswd -c /home/booch/.htpasswd mothes
htpasswd -c /home/booch/.htpasswd mothes

После запуска команды, будет дважды запрошен пароль для пользователя mothes, после чего будет создан файл /home/booch/.htpasswd

Вывод файла:

cat /home/booch/.htpasswd 
mothes:Uj3b8m6b0Xssc (логин и хеш пароля)
cat /home/booch/.htpasswd 
mothes:Uj3b8m6b0Xssc (логин и хеш пароля)

Прописываем защищаемый ресурс в конфигурационный файл Apache (файл httpd.conf)

Следующий код позволит нам защитить папку Secret от несанкционированного доступа. У меня после установки сервера, файл httpd.conf являлся пустым, по этому все необходимые настройки нужно вбивать самому, и делать это правильно!
Открываем файл httpd.conf:

sudo gedit /etc/apache2/httpd.conf
sudo gedit /etc/apache2/httpd.conf

Вносим в него следующие строки:

AccessFileName .htaccess
 
Files ~ "^.ht"
       Order allow,deny
       Deny from all
/Files
 
Directory "/var/www/Secret"
      AuthType Basic
      "Private Area"
      AuthUserFile /home/booch/.htpasswd
      Require valid-user
      AllowOverride AuthConfig
      Options Indexes FollowSymLinks
/Directory
AccessFileName .htaccess

Files ~ "^.ht"
       Order allow,deny
       Deny from all
/Files

Directory "/var/www/Secret"
      AuthType Basic
      "Private Area"
      AuthUserFile /home/booch/.htpasswd
      Require valid-user
      AllowOverride AuthConfig
      Options Indexes FollowSymLinks
/Directory

После внесения изменений в файл httpd.conf, необходимо перезапустить Apache:

sudo /etc/init.d/apache2 restart
sudo /etc/init.d/apache2 restart

Прописываем защищаемый ресурс в конфигурацию Apache (файл .htaccess) файл .htaccess должен храниться в той папке, которую мы защищаем.

Так как мы хотим защитить папку Secret от постороннего вмешательства логином\паролем, создаем в ней файл:

su root
cd /var/www/Secret/
touch .htaccess
su root
cd /var/www/Secret/
touch .htaccess

далее ….

в этот файл вписываем следующее строки и сохраняем файл:

sudo nano /home/booch/.htaccess
 
AuthType Basic
AuthName "Private Area"
AuthUserFile /home/booch/.htpasswd
Require user mothes
sudo nano /home/booch/.htaccess

AuthType Basic
AuthName "Private Area"
AuthUserFile /home/booch/.htpasswd
Require user mothes

Перезапуститe Apache:

sudo /etc/init.d/apache2 restart
sudo /etc/init.d/apache2 restart

Теперь проверьте:
введите в браузере http://localhost/

теперь вы будете видеть только те папки, которые мы не защищали, т.е.

  • Public
  • WordPress

а папка Secret исчезнет из списка
чтобы получить к ней доступ введите в браузере http://localhost/Secret

после чего вылетит окно с запросом ввода логина и пароля такого вида:

Apache auth

Apache auth

Чтобы настроить групповой доступ, необходимо создать файл .htgroup такого вида:

admins: alex peps 
users: anna dmitriy
admins: alex peps 
users: anna dmitriy

т.е. теперь мы имеем две группы: admins и users. В группу admins входят пользователи alex и peps, в группу users – anna и dmitriy.

Далее видоизменяем файл .htaccess приводя его к виду:

AuthType Basic
AuthName "Private Area"
AuthUserFile /home/booch/.htpasswd
AuthGroupFile /home/booch/.htgroup
Require group admins
AuthType Basic
AuthName "Private Area"
AuthUserFile /home/booch/.htpasswd
AuthGroupFile /home/booch/.htgroup
Require group admins

Digest-аутентификация

Digest-аутентификация представляет собой более крутой и сложный вид аутентификации, чем Basic-аутентификация. Главным отличием здесь является то, что логин-пароль пользователя пересылаются через сеть не в открытом виде, а шифруются по алгоритму MD5. Это говорит о том, что если кто-то снифером перехватит пакеты где будет содержаться логин пароль, то в дампе увидит только кракозябры, при Basic-аутентификации будет виден пароль. Настройка Digest-аутентификации похожа на настройку Basic-аутентификации, т.е. необходимо:

  • Создать файл с паролями.
  • Прописать защищаемый ресурс в конфигурацию Apache (в файле httpd.conf или в файле .htaccess).
  • Создать файл для работы с группами и настроить групповой доступ (не обязательно).

Создаём файл с паролями

Файл паролей создаётся при помощи стандартной утилиты htdigest

htdigest -c [путь к файлу с паролями] [название секретной области] [имя пользователя]
htdigest -c [путь к файлу с паролями] [название секретной области] [имя пользователя]

Ключ -c указывается при необходимости создать новый файл, а обязательный аргумент [название секретной области] – это наименование секретной области, которое позже будет указано в директиве AuthName.

Делаем:

sudo htdigest -c /home/booch/.htpasswd personal mothes
sudo htdigest -c /home/booch/.htpasswd personal mothes

После запуска команды нужно будет ввести пароль и его подтверждение.
В результате, мы получим файл /home/booch/.htpasswd

Прописываем защищаемый ресурс в конфигурацию Apache (файл .htaccess)

sudo nano /var/www/Secret/.htaccess
AuthType Digest
AuthName personal
AuthUserFile /home/booch/.htpasswd 
Require user mothes
sudo nano /var/www/Secret/.htaccess
AuthType Digest
AuthName personal
AuthUserFile /home/booch/.htpasswd 
Require user mothes

Доступ к папке http://localhost/Secret будет иметь только пользователь mothes.

Настраиваем групповой доступ

Создаем файл .htgroups следующего содержания

admins: alex peps 
users: anna dmitriy
admins: alex peps 
users: anna dmitriy

Далее видоизменяем файл .htaccess приводя его к виду:

AuthType Digest
AuthName personal
AuthUserFile /home/booch/.htpasswd
AuthGroupFile /home/booch/.htgroup
Require group admins
AuthType Digest
AuthName personal
AuthUserFile /home/booch/.htpasswd
AuthGroupFile /home/booch/.htgroup
Require group admins

РЕСУРСЫ:
1) http://httpd.apache.org/docs/2.2/ – документация на англ. языке.
2) http://httpd.apache.org/docs/2.2/howto/auth.html – настройка аутентификации и авторизации на англ. языке.

ФАЙЛЫ:
1) Пример файла httpd.conf
2) Перевод файла http.conf (pdf)
3) Пример файла .htaccess (tar.bz)