会不会有那么一天,生活可以简单到每天清早踏上一辆载着鲜花的脚踏车,微笑着穿过窄窄的街巷,为爱花的人送去芬芳,为需要知识的你送去帮助。
重点:
学会Web服务的访问控制
学会构建虚拟Web主机
简介
Apache HTTP Server 之所以受到众多企业的青睐,得益于其代码开源、跨平台、功能模块化、可灵活定制等诸多优点。其不仅性能稳定,在安全性方面的表现也十分出色。
本章将进一步学习httpd服务器的访问控制、虚拟Web主机的构建等相关知识。
理论讲解
一,httpd服务的访问控制
为了更好地控制对网站资源的访问,可以为特定的网站目录添加访问授权。本节将分别介绍客户机地址限制、用户授权限制,这两种访问控制方式都应用于httpd.conf配置文件中的目录区域范围内。
1.客户机地址限制
通过Require配置项,可以根据主机的主机名或IP地址来决定是否允许客户端访问。
在httpd服务器的主配置文件的<Location>、<Directory>、<Files>、<Limit>配置段中均可以使用Require配置项来控制客户端的访问。
使用Require配置项时,需要设置客户机地址以构成完整的限制策略,地址的形式可以是IP地址、网络地址、主机名或域名,使用名称“all”时表示任意地址。限制策略的常用格式如下所示:
Require all granted:表示允许所有主机访问。
Require all denied:表示拒绝所有主机访问。
Require local:表示仅允许本地主机访问。
Require [not] host <主机名或域名列表>:表示允许或拒绝指定主机或域访问。
Require [not] ip <ip 地址或网段列表>:表示允许或拒绝指定IP地址或网段访问。
通常情况下,网站服务器是对所有客户机开放的,网页文档目录并未做任何限制,因此使用的是“Require all granted”策略,表示允许从任何客户机访问.
定义限制策略时,多个不带not的Require配置语句之间是或的关系,即任意一条Require配置语句满足条件均可以访问。若既出现了不带not的Require配置语句,又出现了带not的Require配置语句,则语句之间是与的关系,即同时满足所有Require配置语句才可以访问。
当未被授权的客户机访问网站目录时,将会被拒绝访问。在不同的浏览器中,拒绝的消息可能会略有差异。例如,Edge浏览器中会显示“HTTP403错误Microsoft Edge无法访问此页”的报错页面
二,用户授权限制
基于用户的访问控制包含认证(Authentication)和授权(Authorization)两个过程,是Apache允许指定用户使用用户名和密码访问特定资源的一种方式。认证是指识别用户身份的过程,授权是指允许特定用户访问特定目录区域的过程。
httpd 服务器支持使用摘要认证(Digest)和基本认证(Basic)两种方式。使用摘要认证需要在编译httpd 之前添加“--enable-auth-digest”选项,但并不是所有的浏览器都支持摘要认证;而基本认证是httpd服务的基本功能,不需要预先配置特别的选项。
1.创建用户认证数据文件
httpd的基本认证通过校验用户名、密码组合来判断是否允许用户访问。授权访问的用户账号需要事先建立,并保存在固定的数据文件中。使用专门的htpasswd工具程序,可以创建授权用户数据文件,并维护其中的用户账号。
使用htpasswd工具时,必须指定用户数据文件的位置,添加“-c”选项表示新建立此文件。
若省略“-c”选项,则表示指定的用户数据文件已经存在,用于添加新的用户或修改现有用户的密码。
2.添加用户授权配置
有了授权用户账号以后,还需要修改httpd.conf配置文件,在特定的目录区域中添加授权配置,以启用基本认证并设置允许哪些用户访问。
htpasswd相关配置项的含义如下。
AuthName:定义受保护的领域名称,该内容将在浏览器弹出的认证对话框中显示。
AuthType:设置认证的类型,Basic表示基本认证。
AuthUserFile:设置用于保存用户账号、密码的认证文件路径。
Require valid-user:要求只有认证文件中的合法用户才能访问。其中,valid-user 表示所有合法用户,若只授权给单个用户,可改为指定的用户名(如webadmin)。
3.验证用户访问授权
当再次访问网站的默认首页时,浏览器会首先弹出认证对话框,只有输入正确的用户名和密码后才能查看网页,否则将拒绝访问.
三,构建虚拟Web主机
虚拟Web主机指的是在同一台服务器中运行多个Web站点,其中的每个站点实际上并不独立占用整个服务器,因此被称为“虚拟”Web主机。通过虚拟Web主机服务可以充分利用服务器的硬件资源,从而大大降低网站构建及运行成本。
使用httpd 可以非常方便地构建虚拟主机服务器,只需要运行一个httpd服务就能够同时支撑大量的Web站点。httpd支持的虚拟主机类型包括以下三种。
基于域名:为每个虚拟主机使用不同的域名,但是其对应的P地址是相同的。例如,www.bdqn1.com和www.bdqn2.com站点的IP地址都是173.17.17.11。这是使用最为普遍的虚拟Web主机类型。
基于IP地址:为每个虚拟主机使用不同的域名,且各自对应的IP地址也不相同。这种方式需要为服务器配备多个网络接口,因此应用并不是非常广泛。
基于端口:这种方式并不使用域名、IP地址来区分不同的站点内容,而是使用了不同的TCP端口号,因此用户在浏览不同的虚拟站点时需要同时指定端口号才能访问。
在上述几种虚拟Web主机中,基于域名的虚拟主机是使用最为广泛的,也是本节介绍的重点内容。
1.实验案例
需求描述
站点www.bdqn.com的网页文档存放在服务器的/var/www/html/bdqndoc目录下。
站点www.jbit.com的网页文档存放在服务器的/var/www/html/jbitdoc目录下。
构建基于域名的虚拟主机服务器,用于支撑以上两个Web站点。
其中www.jbit.com站点只对公司内部员工开放alan,agou,访问时需进行用户认证。
注意:上一章节我们已经讲过如何安装http服务以及如果优化(详情点击WEB网站服务(一)),所以这一章节就不说安装,直接进入实验操作步骤
本次实验案例需要使用DNS域名解析服务,后面我会详解!!!
本次实验案例需要使用DNS域名解析服务,后面我会详解!!!
本次实验案例需要使用DNS域名解析服务,后面我会详解!!!
1)备份主配置文件
2)创建/www/html/bdqndoc 在此目录创建index.html文件并输入“bdqndoc”
3)创建/var/www/html/jbitdoc在此目录创建index.html文件并输入“jbitdoc”
4)进入主配置文件,释放虚拟主机配置,如图:
5)进入虚拟主机配置文件,构建基于域名的虚拟主机服务服务器
进入虚拟主机配置文件:
[root@centos02 ~]# vim /usr/local/httpd/conf/extra/httpd-vhosts.conf
6)安装httpd-tools用于配置基本身份验证
7)创建基本身份验证账户alan,agou,密码为pwd@123
8)进入虚拟主机配置文件,配置基本身份验证
9)重启服务
测试:
1)访问www.bdqn.com,直接看到bdqndoc,不需要身份验证
2) 访问www.jbit.com,需要身份验证,输入alan或者agou,可以看到jbitdoc
输入alan测试
输入agou测试
测试成功
实验完成
故事很短,道理很长,学无止境,不忘初心,砥砺前行
今天的杂谈就到这里,不一定对每个人有用,但是对有需要的人会有帮助,做不到人民币,人人喜欢
不是每场相遇都有结局,但是每场相遇都有意义
微信搜索 “徐阿马杂谈” 关注公众号,把你们想知道的,想提的意见发给我,我会采纳!期待你的关注!
