Apache - autentifikacia aautorizacia (mod_authn_default& mod_authz_default)
Richard Willmann
ml at foofree.sk
Thu Jul 17 03:23:44 CEST 2008
>> mod_auth_basic.". Otazne je, co znamena "if you don't have configured".
>> Mna
>> napadlo, ze to moze znamenat, ze nie je definovany prislusny provider na
>> autentifikaciu (nie autorizaciu) tj. napr. nespravne nakonfigurovana
>> direktiva "
>
> Nevim co znamena ten termin, ale ve zdrojacich vidim, ze Basic modul
> prochazi jednotlive moduly a to tak, ze na dalsi postupuje vyhradne v
> pripade, kdy aktualni vratil AUTH_USER_NOT_FOUND
ano to je spravne a mal by ich prechadzat v poradi, v akom su uvedene
httpd.conf
> Jakakoliv odpoved modulu ruzna od AUTH_USER_NOT_FOUND se povazuje za
> definitivni a dalsi modul uz se nezkousi.
ano, je tam ale este "maly fallbeck" na nizsie vrstvy. Implicitne je vsak
zakazany.
> V defaultnim modulu pak vidim, ze tu hlasku, co bys tak hrozne rad
> videl muzes videt pouze tehdy, kdy je tento modul nakonfigurovan jako
> neautoritativni, coz on defaultne neni. V defaultni konfiguraci pak
nie, v zdrojakoch je:
if (conf->authoritative == 0) {
return DECLINED;
}
a default je On
(http://httpd.apache.org/docs/2.2/mod/mod_authn_default.html)
> vraci DECLINED a nevypisuje nic - to je starost toho, kdo ho volal (a co
> udela ten, pokud je to Basic modul je napsane o odstavec vys)
>
> Zatim se mi tam opravdu nezda byti neco magickeho.
>
> Tedy v autentizaci. Autorizaci jsem neprohlizel - uz je pozde a navic
> tam celkem necekam zadne zvlastni prekvapeni.
>
>> * vyhodil som z modulov "mod_authn_file" - napisal ze providera nepozna -
>> ale opat, nie je to ta chyba z mod_authn_default tj. nenastal fallback
>
> To nepoznam - default bezne nic nevypisuje, protoze default je
> defaultne autoritativni.
no v kazdom pripade asi 20 minut po mojom predchodzom emaily som to
"nasimuloval". Vyhodil som oba moduly ktore riesia Basic a Digest
autorizaciu. Trosku som nad tym uvazoval a mam pocit, ze to chlapci trosku
odflakli. Oddelenie autorizacie a autentifikacie + oddelenie sposobu
kontroly je podla mna dost zmatocne. Dovod je, ze Apache si v ramci svojho
core zabezpeci "vypytanie mena a hesla". Moduly mod_auth_basic a
mod_auth_digest zabezpecia spravne "porovnanie" mena a hesla (tj. Digest sa
od Basic lisi len tym, ze rpacuje so solou). Ako databazu pouziju jedneho z
providerov (mod_authn_*) a nakoniec pri samotnom pristupe k zdroju je
autorizacia vykonavana na zaklade mod_authz_* providerov.
V kazdom pripade, z pohladu prehliadaca je jediny rozdiel v tom, ci ma
Apache loadnute default moduly alebo nie to, ze v pripade ak ich nema,
napise "500 Internal ..." a v tom druhom pripade si doblba pyta meno /
heslo.
Uff. Asi naozaj nemusim vsetkemu rozumiet :)
pekny vecer.
rwi
More information about the Users-l
mailing list