Apache - autentifikacia aautorizacia (mod_authn_default& mod_authz_default)

Richard Willmann ml at foofree.sk
Thu Jul 17 03:23:44 CEST 2008


>> mod_auth_basic.". Otazne je, co znamena "if you don't have configured". 
>> Mna
>> napadlo, ze to moze znamenat, ze nie je definovany prislusny provider na
>> autentifikaciu (nie autorizaciu) tj. napr. nespravne nakonfigurovana
>> direktiva "
>
> Nevim co znamena ten termin, ale ve zdrojacich vidim, ze Basic modul
> prochazi jednotlive moduly a to tak, ze na dalsi postupuje vyhradne v
> pripade, kdy aktualni vratil AUTH_USER_NOT_FOUND

ano to je spravne a mal by ich prechadzat v poradi, v akom su uvedene 
httpd.conf

> Jakakoliv odpoved modulu ruzna od AUTH_USER_NOT_FOUND se povazuje za
> definitivni a dalsi modul uz se nezkousi.

ano, je tam ale este "maly fallbeck" na nizsie vrstvy. Implicitne je vsak 
zakazany.

> V defaultnim modulu pak vidim, ze tu hlasku, co bys tak hrozne rad
> videl muzes videt pouze tehdy, kdy je tento modul nakonfigurovan jako
> neautoritativni, coz on defaultne neni. V defaultni konfiguraci pak

nie, v zdrojakoch je:

    if (conf->authoritative == 0) {
        return DECLINED;
    }

a default je On 
(http://httpd.apache.org/docs/2.2/mod/mod_authn_default.html)

> vraci DECLINED a nevypisuje nic - to je starost toho, kdo ho volal (a co
> udela ten, pokud je to Basic modul je napsane o odstavec vys)
>
> Zatim se mi tam opravdu nezda byti neco magickeho.
>
> Tedy v autentizaci. Autorizaci jsem neprohlizel - uz je pozde a navic
> tam celkem necekam zadne zvlastni prekvapeni.
>
>> * vyhodil som z modulov "mod_authn_file" - napisal ze providera nepozna -
>> ale opat, nie je to ta chyba z mod_authn_default tj. nenastal fallback
>
> To nepoznam - default bezne nic nevypisuje, protoze default je
> defaultne autoritativni.

no v kazdom pripade asi 20 minut po mojom predchodzom emaily som to 
"nasimuloval". Vyhodil som oba moduly ktore riesia Basic a Digest 
autorizaciu. Trosku som nad tym uvazoval a mam pocit, ze to chlapci trosku 
odflakli. Oddelenie autorizacie a autentifikacie + oddelenie sposobu 
kontroly je podla mna dost zmatocne. Dovod je, ze Apache si v ramci svojho 
core zabezpeci "vypytanie mena a hesla". Moduly mod_auth_basic a 
mod_auth_digest zabezpecia spravne "porovnanie" mena a hesla (tj. Digest sa 
od Basic lisi len tym, ze rpacuje so solou). Ako databazu pouziju jedneho z 
providerov (mod_authn_*) a nakoniec pri samotnom pristupe k zdroju je 
autorizacia vykonavana na zaklade mod_authz_* providerov.

V kazdom pripade, z pohladu prehliadaca je jediny rozdiel v tom, ci ma 
Apache loadnute default moduly alebo nie to, ze v pripade ak ich nema, 
napise "500 Internal ..." a v tom druhom pripade si doblba pyta meno / 
heslo.

Uff. Asi naozaj nemusim vsetkemu rozumiet :)

pekny vecer.

rwi 




More information about the Users-l mailing list