mod_authz_groupfile - Apache HTTP サーバ バージョン 2.2

Apache Server 2.2

<-

Apache モジュール mod_authz_groupfile

説明:プレーンテキストファイルを用いたグループ承認
ステータス:Base
モジュール識別子:authz_groupfile_module
ソースファイル:mod_authz_groupfile.c
互換性:Apache 2.1 以降

概要

このモジュールは認証されたユーザがグループのメンバーか 否かによってウェブサイトの一部へのアクセスを許可するか拒否するかの 承認機能を提供します。同様の機能は mod_authz_dbm によっても提供されています。

top

AuthGroupFile ディレクティブ

説明:証認に使用するユーザグループの一覧が格納されている、 テキストファイルの名前を設定する
構文:AuthGroupFile file-path
コンテキスト:ディレクトリ, .htaccess
上書き:AuthConfig
ステータス:Base
モジュール:mod_authz_groupfile

AuthGroupFile ディレクティブは、 証認に使用するユーザグループの一覧が格納されている、 テキストファイルの名前を設定します。 file-path はグループファイルへのパスです。 絶対パスでなければ、 ServerRoot からの相対パスとして扱われます。

グループファイル各行は、グループ名、コロン、そして スペース区切りでそのメンバーのユーザ名を記述します。

例:

mygroup: bob joe anne

大きなファイルを探索するのは、非常に効率が悪いという点に 注意してください。そのような場合は、 AuthDBMGroupFile の方がずっと良い性能を発揮します。

セキュリティ

AuthGroupFile は、 ウェブサーバのドキュメントツリーの外側に 保管するようにしてください。 保護しようとしているディレクトリ以下には、置かないで下さい。 そうしないとクライアントが AuthGroupFile を ダウンロードできてしまう可能性があります。

top

AuthzGroupFileAuthoritative ディレクティブ

説明:承認が下位のモジュールに渡されるかどうかを設定する
構文:AuthzGroupFileAuthoritative On|Off
デフォルト:AuthzGroupFileAuthoritative On
コンテキスト:ディレクトリ, .htaccess
上書き:AuthConfig
ステータス:Base
モジュール:mod_authz_groupfile

AuthzGroupFileAuthoritative ディレクティブを 明示的に Off に設定すると userID に対応する グループがない場合に、 (module.c で定義されている) 下位のモジュールにグループ承認を 渡すことを許可します。

デフォルトでは制御は渡されず、未知のグループの場合は Authentication Required 応答が返されます。ですから、これを設定しないと システムを安全に保つことができ、NCSA 互換の振る舞いをさせることになります。

セキュリティ

ユーザの .htaccess ファイルで他の承認手段への 委譲ができるようにすることの意味するところは十分に考慮しておいてください。 そしてそれが、本当に望む挙動であることを確かめてください。 通常は一つの .htpasswd ファイルを安全にする方が より多くのアクセスインタフェースを持つかもしれないデータベースを 安全にするよりも簡単です。