「認証」とは、誰かが自分は誰であるかを主張した場合に、 + それを確認するための全過程を指します。「承認」とは、 + 誰かが行きたい場所に行けるように、あるいは欲しい情報を + 得ることができるようにするための全過程を指します。
+もし機密の情報や、ごくごく少数グループの人向けの情報を + ウェブサイトに置くのであれば、この文書に書かれている + テクニックを使うことで、そのページを見ている人たちが + 望みの人たちであることを確実にできるでしょう。
+ +この文書では、多くの人が採用するであろう、 + ウェブサイトの一部分を保護する「一般的な」 + 方法についてカバーしています。
+この文書で取り扱われるディレクティブは、
+ メインサーバ設定ファイル (普通は
+ .htaccess ファイル) かで用います。
.htaccess ファイルを用いるのであれば、
+ これらのファイルに認証用のディレクティブを置けるように
+ サーバの設定をしないといけないでしょう。これは
+
認証について話を進めているので、次のような
+
そうでなく、メインサーバ設定ファイルの中に + 直接置くのであれば、当然ながらそのファイルへの書き込み + 権限を持っていなければならないでしょう。
+ +また、どのファイルがどこに保存されているか知るために、 + サーバのディレクトリ構造について少し知っておく + 必要があるでしょう。 + これはそんなに難しくないので、この文書中で + ディレクトリ構造について知っておく必要がある場面では、 + 明らかになるようにします。
+では、サーバ上のあるディレクトリをパスワードで保護する + 基本手順を示します。
+ +パスワードファイルを作る必要があります。
+ このファイルは、ウェブからアクセスできる場所に
+ 置くべきではありません。他の人がパスワードファイルを
+ ダウンロードできないようにするためです。例えば、
+ /usr/local/apache/htdocs でドキュメントを
+ 提供しているのであれば、パスワードファイルは
+ /usr/local/apache/passwd
+ などに置いた方が良いでしょう。
ファイルを作るためには、Apache 付属の htpasswd
+ を使います。このコマンドは Apache をどこにインストールしようとも、
+ インストールディレクトリの bin
+ ディレクトリ以下に置かれます。ファイルを作るには、次のように
+ タイプしてください。
htpasswd は、パスワードを要求し、その後
+ 確認のためにもう一度入力するように要求してきます。
もし htpasswd がパスの中に入っていない場合は、
+ もちろん、実行するためにプログラムまでのフルパスを
+ タイプする必要があります。私のサーバであれば、
+ /usr/local/apache/bin/htpasswd
+ にプログラムが置かれています。
次に、サーバがパスワードを要求するように設定して、
+ どのユーザがアクセスを許されているかをサーバに知らせなければ
+ なりません。 httpd.conf を編集するか
+ .htaccess ファイルを使用するかで
+ 設定します。例えば、ディレクトリ
+ /usr/local/apache/htdocs/secret
+ を保護したい場合は、
+ /usr/local/apache/htdocs/secret/.htaccess
+ か httpd.conf 中の <Directory
+ /usr/local/apache/apache/htdocs/secret> セクションに
+ 配置して、次のディレクティブを使うことができます。
個々のディレクティブについて見てみましょう。
+ Basic
+ で、これは AuthType Digest をサポートしています。
+ この方法は
例えば、"Restricted Files" 領域中で
+ 一度認証されれば、同一サーバ上で "Restricted Files"
+ Realm としてマークされたどんな領域でも、クライアントは
+ 自動的に同じパスワードを使おうと試みます。
+ このおかげで、複数の制限領域に同じ realm を共有させて、
+ ユーザがパスワードを何度も要求される事態を
+ 防ぐことができます。もちろん、セキュリティ上の理由から、
+ サーバのホスト名が変わればいつでも必ず、
+ クライアントは再びパスワードを尋ねる必要があります。
htpasswd で作った
+ パスワードファイルへのパスを設定します。
+ ユーザ数が多い場合は、リクエスト毎のユーザの認証のための
+ プレーンテキストの探索が非常に遅くなることがあります。
+ Apache ではユーザ情報を高速なデータベースファイルに
+ 保管することもできます。
+
最後に、
上記のディレクティブは、ただ一人 (具体的にはユーザ名
+ rbowen の誰か) がディレクトリに
+ 入れるようにします。多くの場合は、複数の人が
+ 入れるようにしたいでしょう。ここで
+
もし複数の人が入れるようにしたいのであれば、 + グループに属するユーザの一覧の入っている、グループ名のついた + グループファイルを作る必要があります。このファイルの + 書式はきわめて単純で、お好みのエディタで生成できます。 + ファイルの中身は次のようなものです。
+ +一行にスペース区切りで、グループに所属するメンバーの + 一覧をならべるだけです。
+ +既に存在するパスワードファイルにユーザを加える場合は、 + 次のようにタイプしてください。
+ +以前と同じ応答が返されますが、新しいファイルを
+ 作るのではなく、既にあるファイルに追加されています。
+ (新しいパスワードファイルを作るには -c
+ を使います。)
ここで次のようにして .htaccess ファイルを
+ 修正する必要があります。
これで、グループ GroupName にリストされていて、
+ password ファイルにエントリがある人は、
+ 正しいパスワードをタイプすれば入ることができるでしょう。
もっと特定せずに複数のユーザが入れるようにする、 + もう一つの方法があります。グループファイルを作るのではなく、 + 次のディレクティブを使えばできます。
+ +require user rbowen 行でなく、上記を使うと、
+ パスワードファイルにリストされている人であれば誰でも
+ 許可されます。
+ 単にパスワードファイルをグループ毎に分けておくことで、
+ グループのような振る舞いをさせることもできます。
+ このアプローチの利点は、Apache は二つではなく、
+ ただ一つのファイルだけを検査すればよいという点です。
+ 欠点は、たくさんのパスワードファイルを管理して、その中から
+
Basic 認証が指定されている場合は、 + サーバにドキュメントをリクエストする度に + ユーザ名とパスワードを検査しなければなりません。 + これは同じページ、ページにある全ての画像を + リロードする場合であっても該当します + (もし画像も保護されたディレクトリから来るのであれば) 。 + 予想される通り、これは動作を多少遅くします。 + 遅くなる程度はパスワードファイルの大きさと比例しますが、 + これは、ファイルを開いてあなたの名前を発見するまで + ユーザ名のリストを読まなければならないからです。 + そして、ページがロードされる度にこれを行わなければ + なりません。
+ +結論としては、一つのパスワードファイルに置くことのできる + ユーザ数には実質的な限界があります。 + この限界はサーバマシンの性能に依存して変わりますが、 + 数百のエントリを越えたあたりから速度低下が見られると予期されています。 + その時は他の認証方法を考慮に入れた方が良いでしょう。
+ユーザ名とパスワードによる認証は認証の一つの方法に過ぎません。 + しばしば誰であるかということとは違う何かに基づいて、 + 入れるようにしたくなることもあるでしょう。 + 例えばその人がどこから来ているかといったことです。
+ +これらのディレクティブの使い方は次のようになります。
+ +ここで、address は IP アドレス + (または IP アドレスの一部)、あるいは完全修飾ドメイン名 + (またはドメイン名の一部) です。 + 必要であれば複数のアドレスやドメイン名を指定できます。
+ +例えば、もし誰かが掲示板を攻撃していて、 + その人を閉め出したいのであれば、 + 次のようにすることができます。
+ +このアドレスから来る人は、このディレクティブの範囲内の + コンテンツを見ることができないません。もし IP + アドレスの代わりにマシン名があれば、それを使えます。
+ +ドメイン全体からのアクセスを防ぎたければ、 + 単にアドレスやドメイン名の一部を指定することができます。
+ +これら全てがどのように動作するかについて
+ もっと多くの情報が書かれている