mod_auth_digest#
Описание#
mod_auth_digest предназначен для реализации аутентификации пользователей с использованием протокола Digest Authentication. При данном методе аутентификации пароли не передаются в открытом виде.
Важно
Хранение паролей на сервере при дайджест-аутентификации менее надежно, чем при обычной аутентификации. Использование базовой аутентификации и шифрования всего соединения с помощью mod_ssl является лучшей альтернативой.
mod_auth_digest корректно работает на платформах, где APR поддерживает shared memory.
Примечание
Для создания файла с учетными данными пользователей, который будет использоваться модулем mod_auth_digest, потребуется утилита htdigest. Подробную информацию о ней можно получить, выполнив man htdigest.
Пример конфигурации#
Пример конфигурации, настроенной с помощью модуля mod_auth_digest:
# Применяет настройки аутентификации к URL-адресам, начинающимся с /private/
<Location "/private/">
# Указание, что используется метод аутентификации Digest
AuthType Digest
# Имя области аутентификации, отображаемое в диалоговом окне
AuthName "private area"
# Определение области аутентификации для указанных URL-адресов
AuthDigestDomain "/private/" "http://mirror.my.dom/private2/"
# Указание, что учетные данные пользователей хранятся в файле
AuthDigestProvider file
# Путь к файлу с учетными данными пользователей
AuthUserFile "/web/auth/.digest_pw"
# Разрешает доступ только аутентифицированным пользователям
Require valid-user
# Закрытие блока конфигурации <Location>
</Location>
Директивы#
Список директив модуля представлен в таблице ниже.
Синтаксис |
Значение по умолчанию |
Контекст |
Описание |
|---|---|---|---|
|
|
|
Выбирает алгоритм, используемый для вычисления хешей вызова и ответа в процессе дайджест-аутентификации |
|
Нет |
|
Позволяет указать один или несколько URI, которые находятся в одной области защиты (т.е. используют одну и ту же область и информацию об имени пользователя/пароле). Указанные URI являются префиксами; клиент будет считать, что все URI «ниже» также защищены тем же именем пользователя/паролем. URI могут быть как абсолютными (включая схему, хост, порт и т.д.), так и относительными |
|
|
|
Управляет тем, как долго серверный nonce остается действительным. Когда клиент обращается к серверу с истекшим nonce, сервер отправляет ответ |
|
|
|
Устанавливает, какие провайдеры используются для аутентификации пользователей в данном месте. Провайдер по умолчанию — |
|
|
|
Определяет качество защиты, используемое в процессе дайджест-аутентификации. Значение |
|
|
|
Определяет количество общей памяти, которое будет выделено при запуске сервера для отслеживания клиентов. Сегмент общей памяти не может быть установлен меньше, чем пространство, необходимое для отслеживания хотя бы одного клиента. Это значение зависит от системы. Если необходимо узнать точное значение, можно установить |