[AIX]请教：关于IBM HTTP SERVER的问题

slls

想在IBM HTTP SERVER中加上安全认证，如访问HTTP时需要输入用户名、密码，或者限制制定的IP访问。\r\n我在IBM Administration Server里琢磨了半天也没搞定，请问谁知道如何配置？\r\n谢谢！

Fenng

什么服务器?阿帕奇吗?如果是还是比较容易做到的

Fenng

Apache 服务器的用户认证(1)\r\n\r\n经常上网的读者会遇到这种情况：访问一些网站的某些资源时，浏览器弹出一个对话框，要求输入用户名和密码来获取对资源的访问。这就是用户认证的一种技术。用户认证是保护网络系统资源的第一道防线，它控制着所有登录并检查访问用户的合法性，其目标是仅让合法用户以合法的权限访问网络系统的资源。基本的用户认证技术是“用户名＋密码”。 \r\n\r\nApache是目前流行的Web服务器，可运行在Linux、Unix、Windows等操作系统下，它可以很好地解决“用户名＋密码”的认证问题。Apache用户认证所需要的用户名和密码有两种不同的存贮方式：一种是文本文件；另一种是MSQL、Oracle、MySQL等数据库。下面以Linux的Apache为例，就这两种存贮方式，分别介绍如何实现用户认证功能，同时对Windows的Apache用户认证作简要的说明。 \r\n\r\n采用文本文件存储 \r\n这种认证方式的基本思想是：Apache启动认证功能后，就可以在需要限制访问的目录下建立一个名为.htaccess的文件，指定认证的配置命令。当用户第一次访问该目录的文件时，浏览器会显示一个对话框，要求输入用户名和密码，进行用户身份的确认。若是合法用户，则显示所访问的页面内容，此后访问该目录的每个页面，浏览器自动送出用户名和密码，不用再输入了，直到关闭浏览器为止。以下是实现的具体步骤： \r\n\r\n以超级用户root进入Linux，假设Apache 1.3.12已经编译、安装到了/usr/local/apache目录中。缺省情况下，编译Apache时自动加入mod_auth模块，利用此模块可以实现“用户名+密码”以文本文件为存储方式的认证功能。 \r\n\r\n1.修改Apache的配置文件/usr/local/apache/conf/httpd.conf，对认证资源所在的目录设定配置命令。 \r\n\r\n下例是对/usr/local/apache/htdocs/members目录的配置： \r\n\r\n＜Directory /usr/local/apache/htdocs /members＞\r\nOptions Indexes FollowSymLinks\r\nallowoverride authconfig\r\norder allow,deny\r\nallow from all＜/Directory＞ \r\n\r\n其中，allowoverride authconfig一行表示允许对/usr/local/apache/htdocs/ members目录下的文件进行用户认证。 \r\n\r\n2.在限制访问的目录/usr/local/apache/htdocs/members下建立一个文件.htaccess，其内容如下： \r\n\r\nAuthName \"会员区\"\r\nAuthType basic\r\nAuthUserFile/usr/local/apache/members.txt\r\nrequire valid-user \r\n\r\n说明：文件.htaccess中常用的配置命令有以下几个： \r\n\r\n1)AuthName命令：指定认证区域名称。区域名称是在提示要求认证的对话框中显示给用户的。\r\n2)AuthType命令：指定认证类型。在HTTP1.0中，只有一种认证类型：basic。在HTTP1.1中有几种认证类型，如：MD5。\r\n3)AuthUserFile命令：指定一个包含用户名和密码的文本文件，每行一对。\r\n4)AuthGroupFile命令：指定包含用户组清单和这些组的成员清单的文本文件。组的成员之间用空格分开，如：managers:user1 user2。\r\n5)require命令：指定哪些用户或组才能被授权访问。如：\r\nrequire user user1 user2 （只有用户user1和user2可以访问)\r\nrequire group managers (只有组managers中成员可以访问)\r\nrequire valid-user (在AuthUserFile指定的文件中任何用户都可以访问) \r\n\r\n3.利用Apache附带的程序htpasswd，生成包含用户名和密码的文本文件：/usr/local/apache/members.txt，每行内容格式为“用户名:密码”。 \r\n\r\n#cd /usr/local/apache/bin\r\n#htpasswd -bc ../members.txt user1 1234\r\n#htpasswd -b ../members.txt user2 5678 \r\n\r\n文本文件members.txt含有两个用户：user1,口令为1234；user2，口令为5678。注意，不要将此文本文件存放在Web文档的目录树中，以免被用户下载。 \r\n\r\n欲了解htpasswd程序的帮助，请执行htpasswd -h。 \r\n\r\n当用户数量比较少时，这种方法对用户的认证是方便、省事的，维护工作也简单。但是在用户数量有数万人，甚至数十万人时，会在查找用户上花掉一定时间，从而降低服务器的效率。这种情形，应采用数据库方式。 \r\n\r\n采用数据库存储 \r\n目前，Apache、PHP4、MySQL三者是Linux下构建Web网站的最佳搭档，这三个软件都是免费软件。将三者结合起来，通过HTTP协议，利用PHP4和MySQL，实现Apache的用户认证功能。 \r\n\r\n只有在PHP4以Apache的模块方式来运行的时候才能进行用户认证。为此，在编译Apache时需要加入PHP4模块一起编译。假设PHP4作为Apache的模块，编译、安装Apache到/usr/local/apache目录，编译、安装MySQL到/usr/local/mysql目录。然后进行下面的步骤： \r\n\r\n1.在MySQL中建立一个数据库member，在其中建立一个表users，用来存放合法用户的用户名和密码。 \r\n1)用vi命令在/tmp目录建立一个SQL脚本文件auth.sql，内容为：\r\ndrop database if exists member;\r\ncreate database member;\r\nuse member;\r\ncreate table users (\r\nusername char(20) not null,\r\npassword char(20) not null,\r\n);\r\ninsert into users values(\"user1\",password(\"1234\");\r\ninsert into users values(\"user2\",password(\"5678\");\r\n2)启动MySQL客户程序mysql，执行上述SQL脚本文件auth.sql的命令， 在表users中增加两个用户的记录。\r\n#mysql -u root -pmypwd＜/tmp/auth.sql \r\n2.编写一个PHP脚本头文件auth.inc，程序内容为： \r\n＜?php\r\nfunction authenticate() {\r\nHeader(\'WWW-authenticate: basic realm=\"会员区\"\');\r\nHeader(\'HTTP/1.0 401 Unauthorized\');\r\necho \"你必须输入正确的用户名和口令。\\n\";\r\nexit;\r\n}\r\nfunction CheckUser($uname, $pwd) {\r\nif ($uname == \"\" || $pwd == \"\" return 0;\r\n$query = \"SELECT username,password FROM users WHERE username=\'$uname\' and password=password(\'$pwd\')\";\r\n$db_id = mysql_connect(\'localhost\', \'root\', \'mypwd\');\r\nmysql_select_db(\'member\',$db_id);\r\n$result = mysql_query($query, $db_id);\r\n$num=mysql_num_rows($result);\r\nmysql_close($db_id);\r\nif ($num＞0) {\r\nreturn 1; // 有效登录\r\n} else {\r\nreturn 0; // 无效登录\r\n}\r\n}\r\n?＞\r\n函数Authenticate()的作用是利用函数Header(\'WWW-authenticate: basic realm=\"会员区\"\')，向浏览器发送一个认证请求消息，使浏览器弹出一个用户名/密码的对话框。当用户输入用户名和密码后，包含此PHP脚本的URL将自动地被再次调用，将用户名、密码、认证类型分别存放到PHP4的三个特殊变量：$PHP_AUTH_USER、$PHP_AUTH_PW、$PHP_AUTH_TYPE，在PHP程序中可根据这三个变量值来判断是否合法用户。Header()函数中，basic表示基本认证类型，realm的值表示认证区域名称。\r\n函数Header(\'HTTP/1.0 401 Unauthorized\')使浏览器用户在连续多次输入错误的用户名或密码时接收到HTTP 401错误。\r\n函数CheckUser()用来判断浏览器用户发送来的用户名、密码是否与MySQL数据库的相同，若相同则返回1，否则返回0。其中mysql_connect(\'localhost\', \'root\', \'mypwd\')的数据库用户名root和密码mypwd，应根据自己的MySQL设置而改变。 \r\n3.在需要限制访问的每个PHP脚本程序开头增加下列程序段:

Fenng

http://www.5xsoft.com/data/200107/2609201001_1.htm\r\n看上面吧

Fenng

Apache服务器可以针对目录进行文档的访问控制，然而访问控制可以通过两 \r\n\r\n种方式来实现，一个是在设置文件 httpd.conf（或access.conf）中针对每个目 \r\n\r\n录进行设置，另一个方法是在每个目录下设置访问控制文件，通常访问控制文件 \r\n\r\n名字为.htaccess。虽然使用这两个方式都能用于控制浏览器的访问，然而使用配置文件的方法要求每次改动后重新启动httpd守护进程，比较不灵活，因此主要用于配置服务器系统的整体安全控制策略，而使用每个目录下的.htaccess文件设置具体目录的访问控制更为灵活方便。 \r\n\r\n　　Directory语句就是用来定义目录的访问限制的，这里可以看出它的标准语法，为一个目录定义访问限制。上例的这个设置是针对系统的根目录进行的，设置了允许符号连接的选项FollowSymLinks ，以及使用AllowOverride None表示不允许这个目录下的访问控制文件来改变这里进行的配置，这也意味着不用查看这个目录下的相应访问控制文件。 \r\n\r\n　　由于Apache对一个目录的访问控制设置是能够被下一级目录继承的，因此对 \r\n\r\n根目录的设置将影响到它的下级目录。注意由于AllowOverride None的设置，使 \r\n\r\n得Apache服务器不需要查看根目录下的访问控制文件，也不需要查看以下各级目 \r\n\r\n录下的访问控制文件，直至httpd.conf（或access.conf ）中为某个目录指定了 \r\n\r\n允许Alloworride，即允许查看访问控制文件。由于Apache对目录访问控制是采用的继承方式，如果从根目录就允许查看访问控制文件，那么Apache就必须一级一级的查看访问控制文件，对系统性能会造成影响。而缺省关闭了根目录的这个特性，就使得Apache从httpd.conf中具体指定的目录向下搜寻，减少了搜寻的级数，增加了系统性能。因此对于系统根目录设置AllowOverride None不但对于系统安全有帮助，也有益于系统性能。 \r\n\r\n\r\nOptions Indexes FollowSymLinks \r\n\r\nAllowOverride None \r\n\r\nOrder allow,deny \r\n\r\nAllow from all \r\n\r\n　　这里定义的是系统对外发布文档的目录的访问设置，设置不同的 AllowOverride选项，以定义配置文件中的目录设置和用户目录下的安全控制文件的关系，而Options选项用于定义该目录的特性。 \r\n\r\n　　配置文件和每个目录下的访问控制文件都可以设置访问限制，设置文件是由 \r\n\r\n管理员设置的，而每个目录下的访问控制文件是由目录的属主设置的，因此管理 \r\n\r\n员可以规定目录的属主是否能覆盖系统在设置文件中的设置，这就需要使用 啊AllowOverride参数进行设置，通常可以设置的值为： \r\n\r\nAllowOverride的设置 对每个目录访问控制文件作用的影响 \r\n\r\nAll 缺省值，使访问控制文件可以覆盖系统配置 \r\n\r\nNone 服务器忽略访问控制文件的设置 \r\n\r\nOptions 允许访问控制文件中可以使用Options参数定义目录的选项 \r\n\r\nFileInfo 允许访问控制文件中可以使用AddType等参数设置 \r\n\r\nAuthConfig 允许访问控制文件使用AuthName，AuthType等针对每个用户的认证机制，这使目录属主能用口令和用户名来保护目录 Limit 允许对访问目录的客户机的IP地址和名字进行限制 \r\n\r\n　　每个目录具备一定属性，可以使用Options来控制这个目录下的一些访问特性设置，以下为常用的特性选项： \r\n\r\n\r\nOptions设置 服务器特性设置 \r\n\r\nAll 所有的目录特性都有效，这是缺省状态 \r\n\r\nNone 所有的目录特性都无效 \r\n\r\nFollowSymLinks 允许使用符号连接，这将使浏览器有可能访问文档根目录 （DocumentRoot）之外的文档 SymLinksIfOwnerMatch 只有符号连接的目的与符号连接本身为同一用户所拥有时，才允许访问，这个设置将增加一些安全性 \r\n\r\nExecCGI 允许这个目录下可以执行CGI程序 Indexes 允许浏览器可以生成这个目录下所有文件的索引，使得在这个目录下没有index.html（或其他索引文件）时，能向浏览器发送这个目录下的文件列表 \r\n\r\n　此外，上例中还使用了Order、Allow、Deny等参数，这是Limit语句中用来根据浏览器的域名和 IP地址来控制访问的一种方式。其中Order定义处理Allow和Deny的顺序，而Allow、Deny则针对名字或IP进行访问控制设置，上例使用allowfrom all，表示允许所有的客户机访问这个目录，而不进行任何限制。 \r\n\r\n\r\n　　UserDir public_html \r\n\r\n　　当在一台Linux上运行Apache服务器时，这台计算机上的所有用户都可以有自己的网页路径，形如 http://example.org.cn/~user，使用波...Dir的参数即可。 \r\n\r\n\r\n# \r\n\r\n# AllowOverride FileInfo AuthConfig Limit \r\n\r\n# Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec \r\n\r\n# \r\n\r\n# Order allow,deny \r\n\r\n# Allow from all \r\n\r\n# \r\n\r\n# \r\n\r\n# Order deny,allow \r\n\r\n# Deny from all \r\n\r\n# \r\n\r\n# \r\n\r\n\r\n　　这里可以看到Directory的另一个用法，即可以通过简单的模式匹配方法，针对分布在不同目录下的子目录定义访问控制权限。这样设置就需要Apache服务器对每个路径进行额外的处理，因此就会降低服务器的性能，所以缺省情况并没有打开这种访问限制。