Apache - autentifikacia a autorizacia (mod_authn_default& mod_authz_default)

[Richard Willmann]

>> dokazal by mi prosim niekto objasnit magiu okolo mod_authn_default &
>> mod_authz_default? Nech sa snazim akokolvek, ani po precitani zdrojakov z
>> toho moc mudry nie som.
>
> Me teda pripada, ze tam zadna zvlastni magie neni - proste obe ty veci
> resi/muze resit cela rada modulu - a prvni, ktery to vyresi to vyresil.
> Pokud to nevyresi zadny, propadne to az na "default" moduly, ktere
> pozadavek zamitnou.

az take jednoduche to nie je. bohuzial :)

> Je ale mozne, ze mi neco zasadniho uniklo - mozna by bylo lepsi
> specializovany dotaz na Apache polozit spis v nejake konferenci
> Apachovske ...
>
>> nasimulovat toto:
>>
>>     ap_log_rerror(APLOG_MARK, APLOG_ERR, 0, r,
>>                   "access to %s failed, reason: verification of user id 
>> '%s'
>> "
>>                   "not configured",
>>                   r->uri, r->user ? r->user : "<null>");
>>
>> sa mi ani po dvoch hodinach nepodarilo.
>
> No, to podle me znamena jednu ze dvou veci - bud' si Apache cele dve
> hodiny mysli, ze pri pristupu k danemu URI neni zadna autentizace
> potreba, nebo vse potrebne cele dve hodiny resi jiny modul a na
> "default" se uz nedostane.

no a teraz vazne. Predpokladam, ze vies ake boli zmeny v autentifikacii a 
autorizacii v 2.2 rade Apache oproti predchazajucim. Cele to v podstate 
rozdelili na tri casti.

mod_authn_default by mal byt fall back modul, ktory vzdy povie "NIE" v 
pripade ak "... if you don't have configured an authentication module like 
mod_auth_basic.". Otazne je, co znamena "if you don't have configured". Mna 
napadlo, ze to moze znamenat, ze nie je definovany prislusny provider na 
autentifikaciu (nie autorizaciu) tj. napr. nespravne nakonfigurovana 
direktiva "
AuthBasicProvider". Ona ma default hodnotu "file" tj. by default to chce 
pouzit "mod_authn_file".

Vygooglil som, ze chybovu hlasku, ktoru generuje "mod_authn_default" ludia 
nachadzali v error logoch v pripade, ak pouzivali autentifikaciu a 
autorizaciu oproti LDAP a explicitne nenastavili direktivu 
"AuthBasicProvider" na hodnotu LDAP tj. neurcili LDAP ako providera. To ci 
mali mod_authn_file loadnute som sa nedopatral.

Snazil som sa to nasimulovat tak, ze:

* som nastavil AuthBasicProvider na file tj. default a "nenakonfiguroval 
som" cestu k suboru s heslami - napisalo, ze neviem najst subor s heslami :)
* vyhodil som z modulov "mod_authn_file" a nastavil som cestu k suboru s 
heslami - napisal, ze direktivu na nastavenie cesty nepozna :) - opat 
logicke
* vyhodil som z modulov "mod_authn_file" - napisal ze providera nepozna - 
ale opat, nie je to ta chyba z mod_authn_default tj. nenastal fallback

podobny fallckack modul je aj pre autorizaciu. Tu sa mi tu chybu nasimulovat 
podarilo, ale moc mudry opat nie som. Cestou bolo vyhodit mod_authz_user a 
nastavit Require valid-user. Tj. autorizaciu na zaklade existencie mena 
pricom prislusny modul nebol do Apacha loadnuty. AK by to ovnako fungovalo 
aj pri autentifikacii, povazoval by som to za z mojej strany "pochopene" a 
zabudol by som na to.

Cele to je iba o tom, ze nerad pouzivam veci, ktorym nerozumiem. Obvykle si 
clovek v takychto pripadoch koleguje o problem.

Mimochodom ak vies o rozumnej Apache konferencii, potesil by ma link. 
Prezrel som archiv konferencii priamo na Apache.org ale vo vseobecnosti sa 
tam riesia velmi trivialne problemy a obavam sa, ze to nestoji za namahu :(

pekny vecer...

rwi