Apache HTTP サーバ バージョン 2.2
Apache モジュール mod_authz_groupfile
| 説明: | プレーンテキストファイルを用いたグループ承認 |
|---|---|
| ステータス: | Base |
| モジュール識別子: | authz_groupfile_module |
| ソースファイル: | mod_authz_groupfile.c |
| 互換性: | Apache 2.1 以降 |
概要
このモジュールは認証されたユーザがグループのメンバーか
否かによってウェブサイトの一部へのアクセスを許可するか拒否するかの
承認機能を提供します。同様の機能は mod_authz_dbm
によっても提供されています。
AuthGroupFile ディレクティブ
| 説明: | 証認に使用するユーザグループの一覧が格納されている、 テキストファイルの名前を設定する |
|---|---|
| 構文: | AuthGroupFile file-path |
| コンテキスト: | ディレクトリ, .htaccess |
| 上書き: | AuthConfig |
| ステータス: | Base |
| モジュール: | mod_authz_groupfile |
AuthGroupFile ディレクティブは、
証認に使用するユーザグループの一覧が格納されている、
テキストファイルの名前を設定します。
file-path はグループファイルへのパスです。
絶対パスでなければ、
ServerRoot
からの相対パスとして扱われます。
グループファイル各行は、グループ名、コロン、そして スペース区切りでそのメンバーのユーザ名を記述します。
例:
mygroup: bob joe anne
大きなファイルを探索するのは、非常に効率が悪いという点に
注意してください。そのような場合は、
AuthDBMGroupFile
の方がずっと良い性能を発揮します。
セキュリティ
AuthGroupFile は、
ウェブサーバのドキュメントツリーの外側に
保管するようにしてください。
保護しようとしているディレクトリ以下には、置かないで下さい。
そうしないとクライアントが AuthGroupFile を
ダウンロードできてしまう可能性があります。
AuthzGroupFileAuthoritative ディレクティブ
| 説明: | 承認が下位のモジュールに渡されるかどうかを設定する |
|---|---|
| 構文: | AuthzGroupFileAuthoritative On|Off |
| デフォルト: | AuthzGroupFileAuthoritative On |
| コンテキスト: | ディレクトリ, .htaccess |
| 上書き: | AuthConfig |
| ステータス: | Base |
| モジュール: | mod_authz_groupfile |
AuthzGroupFileAuthoritative ディレクティブを
明示的に Off に設定すると userID に対応する
グループがない場合に、
(module.c で定義されている) 下位のモジュールにグループ承認を
渡すことを許可します。
デフォルトでは制御は渡されず、未知のグループの場合は Authentication Required 応答が返されます。ですから、これを設定しないと システムを安全に保つことができ、NCSA 互換の振る舞いをさせることになります。
セキュリティ
ユーザの .htaccess ファイルで他の承認手段への
委譲ができるようにすることの意味するところは十分に考慮しておいてください。
そしてそれが、本当に望む挙動であることを確かめてください。
通常は一つの .htpasswd ファイルを安全にする方が
より多くのアクセスインタフェースを持つかもしれないデータベースを
安全にするよりも簡単です。