yoshiki 2002/06/06 00:19:53 Added: docs/manual/howto auth.html.ja.jis Removed: docs/manual/howto auth.html Log: New Japanese translation. Submitted by: Hiroaki KAWAI Reviewed by: Yoshiki Hayashi Revision Changes Path 1.1 httpd-2.0/docs/manual/howto/auth.html.ja.jis Index: auth.html.ja.jis =================================================================== 認証

認証


関連モジュール

mod_auth
mod_access
関連ディレクティブ

Allow
AuthGroupFile
AuthName
AuthType
AuthUserFile
Deny
Options
Require

認証

「認証」とは、誰かが自分は誰であるかを主張した場合に、 それを確認するための全ての過程を指します。「承認」とは、 誰かが行きたい場所に行けるように、あるいは欲しい情報を 得ることができるようにするための全ての過程を指します。

はじめに

もし機密の情報や、ごくごく少数グループの人向けの情報を ウェブサイトに置くのであれば、この文書に書かれている テクニックを使うことによって、そのページを見ている人たちが 望みの人たちであることを確実にできるでしょう。

この文書では、多くの人が採用するであろう、 ウェブサイトの一部分を保護する「一般的な」 方法についてカバーします。

準備

この文書で取り扱われるディレクティブは、 メインサーバ設定ファイル (普通は <Directory> セクション中) か、あるいはディレクトリ毎の設定ファイル (.htaccess ファイル) かで用います。

.htaccess ファイルを用いるのであれば、 これらのファイルに認証用のディレクティブを置けるように サーバの設定をしないといけないでしょう。これは AllowOverride ディレクティブで可能になります。このディレクティブは、 ディレクトリ毎の設定ファイル中に置くことのできる ディレクティブを、もしあれば、指定します。

認証について話を進めているので、次のような AllowOverride ディレクティブが必要になるでしょう:

      AllowOverride AuthConfig
  

そうでなく、メインサーバ設定ファイルの中にディレクティブを 直接置こうというのであれば、当然ながらそのファイルへの書き込み 権限を持っていなければならないでしょう。

その上、どのファイルがどこに保存されているか知るために、 サーバのディレクトリ構造について少し知っておく 必要があるでしょう。 これはそんなに難しくないはずで、 ディレクトリ構造が必要な場面ではそれが明らかになるようにしています。

動作させる

では、サーバ上のあるディレクトリをパスワードで保護する 基本を示します。

パスワードファイルを作る必要があります。 このファイルは、ウェブからアクセスできる場所に 置くべきではありません。これは、他の人がパスワードファイルを ダウンロードできないようにするためです。例えば、 /usr/local/apache/htdocs でドキュメントを 提供しているのであれば、パスワードファイルは /usr/local/apache/passwd などに置いた方が良いでしょう。

ファイルを作るためには、Apache 付属の htpasswd を使います。これは Apache をどこにインストールしようとも、 インストールディレクトリの bin ディレクトリに置かれます。ファイルを作るには、次のように タイプしてください:

          htpasswd -c /usr/local/apache/passwd/password rbowen
  

htpasswd は、パスワードを要求し、その後 確認のためにもう一度入力するように要求してきます。

          # htpasswd -c /usr/local/apache/passwd/passwords rbowen
          New password: mypassword
          Re-type new password: mypassword
          Adding password for user rbowen
  

もし htpasswd がパスの中に入っていない場合は、 もちろん、実行するためにプログラムまでのフルパスを タイプする必要があります。私のサーバであれば、 /usr/local/apache/bin/htpasswd にプログラムが置かれています。

次に、サーバがパスワードを要求するように設定して、 どのユーザがアクセスを許されているかをサーバに知らせなければ なりません。 httpd.conf を編集するか .htaccess ファイルを使用するかでこれを 行います。例えば、ディレクトリ /usr/local/apache/htdocs/secret を保護したい場合は、 /usr/local/apache/htdocs/secret/.htaccess か httpd.conf 中の <Directory /usr/local/apache/apache/htdocs/secret> セクションに 配置した、次のディレクティブを使うことができます。

          AuthType Basic
          AuthName "Restricted Files"
          AuthUserFile /usr/local/apache/passwd/passwords
          require user rbowen
  

これら個々のディレクティブについて見てみましょう。 AuthType ディレクティブはどういう方法でユーザの認証を行うかを 選択します。最も一般的な方法は Basic で、これは mod_auth において実装されています。しかしながら、 これは気を付けるべき重要なことなのですが、 Basic 認証はクライアントからブラウザへ、 パスワードを暗号化せずに送ります。ですから、 この方法は特に機密性の高いデータに対しては用いるべきでは ありません。 Apache ではもう一つ別の認証方法: AuthType Digest をサポートしています。 この方法は mod_auth_digest で実装されていて、もっと安全です。 ごく最近のクライアントのみが Digest 認証をサポートしている ことが知られています。

AuthName ディレクティブでは、認証に使う Realm (訳注: 領域) を設定します。Realm は大きく分けて二つの機能を提供します。 一つ目は、クライアントがパスワードダイアログボックスの 一部としてユーザにこの情報をよく提示する、というものです。 二つ目には、クライアントが与えられた認証領域に対してどのパスワードを 送信すれば良いのかを決定するために使われる、という機能があります。 ですから例えば、"Restricted Files" 領域中で 一度認証されれば、同一サーバ上で "Restricted Files" realm としてマークされたどんな領域でも、クライアントは 自動的に同じパスワードを使おうと試みます。 ですから、複数の制限領域に同じ realm を共有させて、 ユーザがパスワードを何度も要求される事態を 防ぐことができます。もちろん、セキュリティ上の理由から、 サーバのホスト名が変わればいつでも必ず、 クライアントは再びパスワードを尋ねる必要があります。

AuthUserFile ディレクティブは htpasswd で作った パスワードファイルへのパスを設定します。 ユーザ数が多い場合は、リクエスト毎のユーザの認証のための プレーンテキストの探索が非常に遅くなることがあります。 Apache ではユーザ情報を高速なデータベースファイルに 保管することもできます。 mod_auth_dbm モジュールがAuthDBMUserFile ディレクティブを提供します。これらのファイルは dbmmanage プログラムで作成したり操作したりできます。 Apache モジュールデータベース中にあるサードパーティー製の モジュールで、その他多くのタイプの認証オプションが 利用可能です。

最後に、require ディレクティブが、サーバのこの領域にアクセスできるユーザを 指定することによって、プロセスの承認部分を提供します。 次のセクションでは、require ディレクティブの 様々な用法について述べます。

複数の人が入れるようにする

上記のディレクティブは、ただ一人 (具体的にはユーザ名 rbowen の誰か) がディレクトリに 入れるようにします。多くの場合は、複数の人が 入れるようにしたいでしょう。ここでAuthGroupFile の登場です。

もし複数の人が入れるようにしたいのであれば、 グループに属するユーザの一覧の入っている、グループ名のついた グループファイルを作る必要があります。このファイルの 書式はきわめて単純で、お好みのエディタで生成できます。 ファイルの中身は次のようなものです:

          GroupName: rbowen dpitts sungo rshersey
  

一行にスペース区切りで、グループに所属するメンバーの 一覧をならべるだけです。

既に存在するパスワードファイルにユーザを加える場合は、 次のようにタイプしてください:

          htpasswd /usr/local/apache/passwd/password dpitts
  

依然と同じ応答が返されますが、新しいファイルを 作るのではなく、既にあるファイルに追加されています。 (新しいパスワードファイルを作るには -c を使います。)

ここで次のようにして .htaccess ファイルを 修正する必要があります:

          AuthType Basic
          AuthName "By Invitation Only"
          AuthUserFile /usr/local/apache/passwd/passwords
          AuthGroupFile /usr/local/apache/passwd/groups
          require group GroupName
  

これで、グループ GroupName にリストされていて、 password ファイルにエントリがある人は、 正しいパスワードをタイプすれば入ることができるでしょう。

もっと特定せずに複数のユーザが入れるようにする、 もう一つの方法があります。グループファイルを作るのではなく、 次のディレクティブを使えばできます。

          require valid-user
  

require user rbowen 行でなく、上記を使うと、 パスワードファイルにリストされている人であれば誰でも 許可されます。 単にパスワードファイルをグループ毎に分けておくことで、 グループのような振る舞いをさせることもできます。 このアプローチの利点は、Apache は二つではなく、 ただ一つのファイルだけを検査すればよいという点です。 欠点は、たくさんのパスワードファイルを管理して、 その中から AuthUserFile ディレクティブに正しいファイルへの 参照をさせなければならない点です。

起こりえる問題

Basic 認証が指定されている場合は、 サーバにドキュメントをリクエストする度に ユーザ名とパスワードを検査しなければなりません。 これは同じページ、ページにある全ての画像を リロードする場合であっても該当します (もし画像も保護されたディレクトリから来るのであれば) 。 予想される通り、これは動作を多少遅くします。 遅くなる程度はパスワードファイルの大きさと比例しますが、 これは、ファイルを開いてあなたの名前を発見するまで ユーザ名のリストを読まなければならないからです。 そして、ページがロードされる度にこれを行わなければ なりません。

結論としては、一つのパスワードファイルに置くことのできる ユーザ数には実質的な限界があります。 この限界はサーバマシンの性能に依存して変わりますが、 数百のエントリを越えたあたりから速度低下が見られると予期されています。 その時は他の認証方法を考慮に入れた方が良いでしょう。

もっと巧みに制御できない?

ユーザ名とパスワードによる認証は認証の一つの方法に過ぎません。 しばしば誰であるかということとは違う何かに基づいて、 入れるようにしたくなることもあるでしょう。例えばその人がどこから来ているか といったことです。

allowdeny ディレクティブを使って、ドキュメントを要求してきたマシンの ホスト名やホストアドレスに基づいて許可不許可を制御できます。 order ディレクティブはこの二つと連携して 動作し、Apache にどの順番でフィルタを適用するかを 知らせます。

これらのディレクティブの使い方は:

          allow from address
  

ここで、address は IP アドレス (または IP アドレスの一部)、あるいは完全修飾ドメイン名 (またはドメイン名の一部) です。 必要であれば複数のアドレスやドメイン名を指定できます。

例えば、もし誰かが掲示板を攻撃していて、 その人を閉め出したいのであれば、 次のようにすることができます:

          deny from 205.252.46.165
  

このアドレスから来る人は、このディレクティブの範囲内の コンテンツを見ることができないません。もし IP アドレスの代わりにマシン名があれば、それを使えます。

          deny from host.example.com
  

ドメイン全体からのアクセスを防ぎたければ、 単にアドレスやドメイン名の一部を指定することができます:

          deny from 192.101.205
          deny from cyberthugs.com moreidiots.com
          deny from ke
  

order を使うことで、 denyallow の組み合わせで 入っても良いグループが本当に確実に限定できているようにできます:

          order deny,allow
          deny from all
          allow from dev.example.com
  

allow ディレクティブを単純に列挙するのでは 望みの動作をしないでしょう。 なぜなら、全ての人が入れるということに加えて、 指定したホストからの人が入れるようにするからです。 やりたいことは、指定した人たちだけが入れるように することです。

追加情報

これら全てがどのように動作するかについて もっと多くの情報が書かれている mod_authmod_access の文書も読むとよいでしょう。