auth.xml.ja revision 0ac51d2d5f0861a77fa75da5c80b7640a80a0d7e
<?xml version="1.0" encoding="UTF-8" ?>
<!-- English Revision: 479777:1599841 (outdated) -->
<!--
Licensed to the Apache Software Foundation (ASF) under one or more
contributor license agreements. See the NOTICE file distributed with
this work for additional information regarding copyright ownership.
The ASF licenses this file to You under the Apache License, Version 2.0
(the "License"); you may not use this file except in compliance with
the License. You may obtain a copy of the License at
Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
-->
<manualpage metafile="auth.xml.meta">
<parentdocument href="./">How-To / チュートリアル</parentdocument>
<title>認証、承認、アクセス制御</title>
<summary>
<p>「認証」とは、誰かが自分は誰であるかを主張した場合に、
それを確認するための全過程を指します。「承認」とは、
誰かが行きたい場所に行けるように、あるいは欲しい情報を
得ることができるようにするための全過程を指します。</p>
</summary>
<section id="related"><title>関連するモジュールとディレクティブ</title>
<p>認証と承認の処理に関連する 3 種類のモジュールがあります。
それぞれ少なくともひとつずつ必要です。</p>
<ul>
<li>認証のタイプ (
<directive module="core">AuthType</directive> ディレクティブ参照)
<ul>
<li><module>mod_auth_basic</module></li>
<li><module>mod_auth_digest</module></li>
</ul>
</li>
<li>認証プロバイダ (
<directive module="mod_auth_basic">AuthBasicProvider</directive>,
<directive module="mod_auth_digest">AuthDigestProvider</directive> ディレクティブ参照)
<ul>
<li><module>mod_authn_anon</module></li>
<li><module>mod_authn_dbd</module></li>
<li><module>mod_authn_dbm</module></li>
<li><module>mod_authn_default</module></li>
<li><module>mod_authn_file</module></li>
<li><module>mod_authnz_ldap</module></li>
</ul>
</li>
<li>承認 (
<directive module="core">Require</directive> ディレクティブ参照)
<ul>
<li><module>mod_authnz_ldap</module></li>
<li><module>mod_authz_dbm</module></li>
<li><module>mod_authz_dbm</module></li>
<li><module>mod_authz_default</module></li>
<li><module>mod_authz_groupfile</module></li>
<li><module>mod_authz_host</module></li>
<li><module>mod_authz_owner</module></li>
<li><module>mod_authz_user</module></li>
</ul>
</li>
</ul>
<p>これらのモジュールに加えて、<module>mod_authn_core</module>
と <module>mod_authz_core</module> があります。
この 2 つのモジュールは認証モジュールに共通なコアディレクティブを
実装しています。</p>
<p><module>mod_authnz_ldap</module> は認証プロバイダと承認プロバイダの
両方の機能を持っています。
<module>mod_authz_host</module> はホスト名、IP アドレスや
リクエストの特徴に基づいたアクセス制御を行いますが、
認証プロバイダのシステムの一部ではありません。
mod_access との後方互換性のため、
新しいモジュールの <module>mod_access_compat</module> があります。</p>
<p>様々なアクセス制御の行ない方については、
</section>
<section id="introduction"><title>はじめに</title>
<p>もし機密の情報や、ごくごく少数グループの人向けの情報を
ウェブサイトに置くのであれば、この文書に書かれている
テクニックを使うことで、そのページを見ている人たちが
望みの人たちであることを確実にできるでしょう。</p>
<p>この文書では、多くの人が採用するであろう、
ウェブサイトの一部分を保護する「一般的な」
方法についてカバーしています。</p>
<note><title>注意</title>
<p>データが本当に機密なのであれば、認証に加えてさらに
<module>mod_ssl</module> を使うと良いでしょう。</p>
</note>
</section>
<section id="theprerequisites"><title>準備</title>
<p>この文書で取り扱われるディレクティブは、
メインサーバ設定ファイル (普通は
<directive module="core" type="section">Directory</directive>
セクション中) か、あるいはディレクトリ毎の設定ファイル
(<code>.htaccess</code> ファイル) かで用います。</p>
<p><code>.htaccess</code> ファイルを用いるのであれば、
これらのファイルに認証用のディレクティブを置けるように
サーバの設定をしないといけないでしょう。これは
<directive module="core">AllowOverride</directive>
ディレクティブで可能になります。
<directive module="core">AllowOverride</directive>
ディレクティブでは、ディレクトリ毎の設定ファイル中に置くことのできる
ディレクティブを、もしあれば、指定します。</p>
<p>認証について話を進めているので、次のような
<directive module="core">AllowOverride</directive>
ディレクティブが必要になるでしょう。</p>
<example>
AllowOverride AuthConfig
</example>
<p>そうでなく、メインサーバ設定ファイルの中に
直接置くのであれば、当然ながらそのファイルへの書き込み
権限を持っていなければならないでしょう。</p>
<p>また、どのファイルがどこに保存されているか知るために、
サーバのディレクトリ構造について少し知っておく
必要があるでしょう。
これはそんなに難しくないので、この文書中で
ディレクトリ構造について知っておく必要がある場面では、
明らかになるようにします。</p>
<p><module>mod_authn_core</module> と <module>mod_authz_core</module>
の両方が httpd バイナリに静的に組み込み済みであるか、httpd.conf
設定ファイルで動的にロードされるかして、httpd に組み込まれていなければ
なりません。これらの二つのモジュールは、設定ファイルのなかで非常に
重要でウェブサーバの認証と承認で使用されるコアディレクティブと
その機能を提供しています。</p>
</section>
<section id="gettingitworking"><title>動作させる</title>
<p>では、サーバ上のあるディレクトリをパスワードで保護する
基本手順を示します。</p>
<p>まずはじめに、パスワードファイルを作ります。
どの認証プロバイダを使うかによって、パスワードファイル生成の手順は
大きく異なります。ここでの例では、手始めにテキストパスワードファイルを
使います。</p>
<p>このパスワードファイルは、ウェブからアクセスできる場所に
置くべきではありません。他の人がパスワードファイルを
ダウンロードできないようにするためです。例えば、
提供しているのであれば、パスワードファイルは
などに置いた方が良いでしょう。</p>
<p>ファイルを作るためには、Apache 付属の <program>htpasswd</program>
を使います。このコマンドは Apache をどこにインストールしようとも、
インストールディレクトリの <code>bin</code>
ディレクトリ以下に置かれます。サードバーティ製のパッケージで
インストールした場合は、実行パスの中で見つかるでしょう。</p>
<p>ファイルを作るには、次のようにタイプしてください。</p>
<example>
</example>
<p><program>htpasswd</program> は、パスワードを要求し、その後
確認のためにもう一度入力するように要求してきます。</p>
<example>
New password: mypassword<br />
Re-type new password: mypassword<br />
Adding password for user rbowen
</example>
<p>もし <program>htpasswd</program> がパスの中に入っていない場合は、
もちろん、実行するためにプログラムまでのフルパスを
タイプする必要があります。デフォルトのインストール状態であれば、
にプログラムが置かれています。</p>
<p>次に、サーバがパスワードを要求するように設定して、
どのユーザがアクセスを許されているかをサーバに知らせなければ
<code>.htaccess</code> ファイルを使用するかで
設定します。例えば、ディレクトリ
を保護したい場合は、
か httpd.conf 中の <Directory
配置して、次のディレクティブを使うことができます。</p>
<example>
AuthType Basic<br />
AuthName "Restricted Files"<br />
# (Following line optional)<br />
AuthBasicProvider file<br />
Require user rbowen
</example>
<p>個々のディレクティブについて見てみましょう。
<directive module="core">AuthType</directive>
ディレクティブはどういう認証方法でユーザの認証を行うかを
選択します。最も一般的な方法は <code>Basic</code>
で、これは <module>mod_auth_basic</module>
で実装されています。しかしながら、
これは気を付けるべき重要なポイントなのですが、
Basic 認証はクライアントからサーバへ、
パスワードを暗号化せずに送ります。ですからこの方法は、
<module>mod_ssl</module> と組み合わせない状態では、
特に機密性の高いデータに対しては用いるべきでは
ありません。 Apache ではもう一つ別の認証方法:
<code>AuthType Digest</code> をサポートしています。
この方法は <module>mod_auth_digest</module>
で実装されていて、もっと安全です。
最近のクライアントは Digest
認証をサポートしているようです。</p>
<p><directive module="core">AuthName</directive>
ディレクティブでは、認証に使う <dfn>Realm</dfn> (訳注: 領域)
を設定します。Realm は大きく分けて二つの機能を提供します。
一つ目は、クライアントがパスワードダイアログボックスの
一部としてユーザにこの情報をよく提示する、というものです。
二つ目には、クライアントが与えられた認証領域に対してどのパスワードを
送信すれば良いのかを決定するために使われる、という機能です。</p>
<p>例えば、<code>"Restricted Files"</code> 領域中で
一度認証されれば、同一サーバ上で <code>"Restricted Files"</code>
Realm としてマークされたどんな領域でも、クライアントは
自動的に同じパスワードを使おうと試みます。
このおかげで、複数の制限領域に同じ realm を共有させて、
ユーザがパスワードを何度も要求される事態を
防ぐことができます。もちろん、セキュリティ上の理由から、
サーバのホスト名が変わればいつでも必ず、
クライアントは再びパスワードを尋ねる必要があります。</p>
<p><directive
module="mod_auth_basic">AuthBasicProvider</directive>
はデフォルト値が <code>file</code> なので、今回の場合は無くても構いません。
<module>mod_authn_dbm</module> や <module>mod_authn_dbd</module>
といった他のモジュールを使う場合には必要になります。
</p>
<p><directive module="mod_authn_file">AuthUserFile</directive>
ディレクティブは <program>htpasswd</program> で作った
パスワードファイルへのパスを設定します。
ユーザ数が多い場合は、リクエスト毎のユーザの認証のための
プレーンテキストの探索が非常に遅くなることがあります。
Apache ではユーザ情報を高速なデータベースファイルに
保管することもできます。
<module>mod_authn_dbm</module> モジュールが
<directive module="mod_authn_dbm">AuthDBMUserFile</directive>
ディレクティブを提供します。これらのファイルは <program >dbmmanage</program>
プログラムで作成したり操作したりできます。
<a href="http://modules.apache.org/">Apache
モジュールデータベース</a>中にあるサードパーティー製の
モジュールで、その他多くのタイプの認証オプションが
利用可能です。</p>
<p>最後に、<directive module="core">Require</directive>
ディレクティブが、サーバのこの領域にアクセスできるユーザを
指定することによって、プロセスの承認部分を提供します。
次のセクションでは、<directive module="core">Require</directive>
ディレクティブの様々な用法について述べます。</p>
</section>
<section id="lettingmorethanonepersonin"><title>
複数の人が入れるようにする</title>
<p>上記のディレクティブは、ただ一人 (具体的にはユーザ名
<code>rbowen</code> の誰か) がディレクトリに
入れるようにします。多くの場合は、複数の人が
入れるようにしたいでしょう。ここで
<directive module="mod_authz_groupfile">AuthGroupFile</directive>
の登場です。</p>
<p>もし複数の人が入れるようにしたいのであれば、
グループに属するユーザの一覧の入っている、グループ名のついた
グループファイルを作る必要があります。このファイルの
書式はきわめて単純で、お好みのエディタで生成できます。
ファイルの中身は次のようなものです。</p>
<example>
GroupName: rbowen dpitts sungo rshersey
</example>
<p>一行にスペース区切りで、グループに所属するメンバーの
一覧をならべるだけです。</p>
<p>既に存在するパスワードファイルにユーザを加える場合は、
次のようにタイプしてください。</p>
<example>
</example>
<p>以前と同じ応答が返されますが、新しいファイルを
作るのではなく、既にあるファイルに追加されています。
(新しいパスワードファイルを作るには <code>-c</code>
を使います。)</p>
<p>ここで次のようにして <code>.htaccess</code> ファイルを
修正する必要があります。</p>
<example>
AuthType Basic<br />
AuthName "By Invitation Only"<br />
# Optional line:<br />
AuthBasicProvider file<br />
Require group GroupName
</example>
<p>これで、グループ <code>GroupName</code> にリストされていて、
<code>password</code> ファイルにエントリがある人は、
正しいパスワードをタイプすれば入ることができるでしょう。</p>
<p>もっと特定せずに複数のユーザが入れるようにする、
もう一つの方法があります。グループファイルを作るのではなく、
次のディレクティブを使えばできます。</p>
<example>
Require valid-user
</example>
<p><code>require user rbowen</code> 行でなく、上記を使うと、
パスワードファイルにリストされている人であれば誰でも
許可されます。
単にパスワードファイルをグループ毎に分けておくことで、
グループのような振る舞いをさせることもできます。
このアプローチの利点は、Apache は二つではなく、
ただ一つのファイルだけを検査すればよいという点です。
欠点は、たくさんのパスワードファイルを管理して、その中から
<directive module="mod_authn_file">AuthUserFile</directive>
ディレクティブに正しいファイルを参照させなければならない点です。</p>
</section>
<section id="possibleproblems"><title>起こりえる問題</title>
<p>Basic 認証が指定されている場合は、
サーバにドキュメントをリクエストする度に
ユーザ名とパスワードを検査しなければなりません。
これは同じページ、ページにある全ての画像を
リロードする場合であっても該当します
(もし画像も保護されたディレクトリから来るのであれば) 。
予想される通り、これは動作を多少遅くします。
遅くなる程度はパスワードファイルの大きさと比例しますが、
これは、ファイルを開いてあなたの名前を発見するまで
ユーザ名のリストを読まなければならないからです。
そして、ページがロードされる度にこれを行わなければ
なりません。</p>
<p>結論としては、一つのパスワードファイルに置くことのできる
ユーザ数には実質的な限界があります。
この限界はサーバマシンの性能に依存して変わりますが、
数百のエントリを越えたあたりから速度低下が見られると予期されています。
その時は他の認証方法を考慮に入れた方が良いでしょう。</p>
</section>
<section id="dbmdbd"><title>パスワードの保存形式を変える</title>
<p>プレーンテキストでパスワードを保存する方法には上記の問題があり、
データベースのような別の場所にパスワードを保存したいと思う
かもしれません。</p>
<p><module>mod_authn_dbm</module> と <module>mod_authn_dbd</module>
を使うと、それができるようになります。
<directive module="mod_auth_basic">AuthBasicSource</directive>
で file の代わりに、<code>dbm</code> あるいは <code>dbd</code>
を格納形式として選べます。</p>
<p>テキストファイルの代わりに dbm ファイルを選択する場合は、たとえば次のようにします。</p>
<example>
AuthName "Private"<br />
AuthType Basic<br />
AuthBasicProvider dbm<br />
Require valid-user<br />
</Directory>
</example>
<p>この他のオプションも存在します。詳細に関しては
<module>mod_authn_dbm</module> のドキュメントをご覧ください。</p>
</section>
<section id="multprovider"><title>複数のプロバイダを使用する</title>
<p>認証承認アーキテクチャに基づいている新しいプロバイダを使うと、
認証承認の方法をひとつに縛る必要がなくなります。
いくつものプロバイダを組み合わせて、自分の望みの挙動にできます。
次の例では file 認証プロバイダと ldap 認証プロバイダを
組み合わせています。</p>
<example>
AuthName "Private"<br />
AuthType Basic<br />
AuthBasicProvider file ldap<br />
AuthLDAPURL ldap://ldaphost/o=yourorg<br />
Require valid-user
</example>
<p>この例では、まず file プロバイダがユーザ認証を試みます。
認証できなかった場合には、ldap プロバイダが呼び出されます。
組織で複数の認証格納方法を使っている際などに、
この方法を使って認証のスコープを拡大できます。
もうひとつのシナリオは、ひとつの認証タイプと異なる承認を
組み合わせる方法でしょう。たとえば、パスワードファイルで認証して、
ldap ディレクトリで承認を行うといった場合です。</p>
<p>認証プロバイダを複数実装できるように、承認方法も複数使用できます。
この例では file グループ承認と ldap グループ承認を使っています。</p>
<example>
AuthName "Private"<br />
AuthType Basic<br />
AuthBasicProvider file<br />
AuthLDAPURL ldap://ldaphost/o=yourorg
Require group GroupName<br />
Require ldap-group cn=mygroup,o=yourorg
</example>
<p>承認をより細かく制御したい場合は、
<directive module="mod_authz_core"><SatisfyAll></directive> と
<directive module="mod_authz_core"><SatisfyOne></directive>
承認の処理順番の制御ができるようになっています。
これらのディレクティブをどのように使えるか、網羅した例をご覧ください。</p>
</section>
<section id="beyond"><title>単純な承認のその先</title>
<p>承認の方法は、ひとつのデータソースを見て一回だけチェックするのと比べて、
ずっと多彩な適用方法ができます。
承認処理の適用順序や制御、選択ができるようになりました。</p>
<p>承認がどのような順序で適用されているか、また、それをどのように制御するかは、
これまで混乱を招いていました。
Apache 2.2 ではプロバイダベースの認証メカニズムが導入され、
承認処理から認証処理とサポート機能とが切り分けられました。
これによるひとつの効果として、
認証モジュールのロード順やモジュール自体の順序に依存することなく、
指定した順番で認証プロバイダが呼び出せるよう、
設定できるようになりました。
このプロバイダメカニズムは承認処理でも導入されています。
つまり、<directive module="mod_authz_core">Require</directive>
ディレクティブは単にどの承認手法が使われるかを指定するだけではなく、
それらの呼び出し順序も指定できるようになりました。
複数の承認手法があるとき、その呼び出し順は、設定ファイルの
<directive module="mod_authz_core">Require</directive> ディレクティブ中で
現れた順序と同じになります。</p>
<p>追加で導入された
<directive module="mod_authz_core"><SatisfyAll></directive>,
<directive module="mod_authz_core"><SatisfyOne></directive>
ディレクティブを使って、承認手法がいつ呼び出され、アクセスが許可された際に
どの手続きが適用されるか指定することができます。
たとえば、次の承認ブロックのロジックを見てみましょう:</p>
<example>
# if ((user == "John") ||<br />
# ((Group == "admin")<br />
# && (ldap-group <ldap-object> contains auth'ed_user)<br />
# && ((ldap-attribute dept == "sales")<br />
# || (file-group contains auth'ed_user))))<br />
# then<br />
# auth_granted<br />
# else<br />
# auth_denied<br />
#<br />
<indent>
Authname ...<br />
AuthBasicProvider ...<br />
...<br />
Require user John<br />
<SatisfyAll><br />
<indent>
Require Group admins<br />
Require ldap-group cn=mygroup,o=foo<br />
<SatisfyOne><br />
<indent>
Require ldap-attribute dept="sales"<br />
Require file-group<br />
</indent>
</SatisfyOne><br />
</indent>
</SatisfyAll><br />
</indent>
</Directory>
</example>
<p>デフォルトでは <directive module="mod_authz_core">Require</directive>
ディレクティブは OR 操作として扱われます。つまり、もし指定した承認手法の
ひとつでも合格すれば、承認されます。
<directive module="mod_authz_core">Require</directive> ディレクティブのセットを
ひとつの <directive module="mod_authz_core"><SatisfyAll></directive>
ブロックで囲むとAND 操作となり、全ての承認手法で合格しなければ許可されません。</p>
</section>
<section id="reqaccessctrl"><title>アクセス制御における Require と Reject の使い方</title>
<p>ユーザ名とパスワードによる認証は全体の一部分でしかありません。
誰がアクセスしてきたかといった情報以外の条件を使いたい、
とよく思うことでしょう。
たとえば、どこからアクセスしてきているか、といった具合です。</p>
<p>承認プロバイダ <directive module="mod_authz_host">all</directive>,
<directive module="mod_authz_host">env</directive>,
<directive module="mod_authz_host">host</directive>,
<directive module="mod_authz_host">ip</directive>
を使うと、リクエストを送信してきているマシンのホスト名や IP アドレス
といった、ホストベースでのアクセス制御ができます。</p>
<p>これらプロバイダの扱いは
<directive module="mod_authz_core">Require</directive> や
<directive module="mod_authz_core">Reject</directive> で
指定されます。これらのディレクティブは承認プロバイダを登録し、
リクエスト処理の承認段階で呼び出されます。たとえば:</p>
<example>
Require ip <var>address</var>
</example>
<p>ここで、<var>address</var> は IP アドレス (あるいは IP アドレスの
一部) か : </p>
<example>
Require host <var>domain_name</var>
</example>
<p>ここで <var>domain_name</var> は FQDN (あるいはドメイン名の一部)
で、必要であれば複数のアドレスやドメイン名を書くことができます。</p>
<p>たとえば、スパムメッセージを送信してくる誰かを拒否したい場合、
次のようになります : </p>
<example>
Reject ip 10.252.46.165
</example>
<p>このディレクティブが有効な範囲のコンテンツに対しては、
そのアドレスからアクセスしてきても見ることができません。
もしマシン名がわかっていて IP アドレスよりもそちらで
指定したいのであれば、そのマシン名が使えます。</p>
<example>
</example>
<p>また、特定のドメインからのアクセス全てをブロックしたい場合は、
IP アドレスの一部や、ドメイン名が指定できます :</p>
<example>
<SatisfyAll><br />
<indent>
Reject ip <var>192.168.205</var><br />
Reject host <var>phishers.example.com</var> <var>moreidiots.example</var><br /> Reject host ke<br />
</indent>
</SatisfyAll>
</example>
<p><directive module="mod_authz_host">Reject</directive> ディレクティブを
<directive module="mod_authz_core"><SatisfyAll></directive> ブロックの中で使うと、
許可したいグループにのみアクセスができるように確認できます。</p>
<p>上記の例では <directive module="mod_authz_core"><SatisfyAll></directive>
を使って、アクセスに合格する前段階で、全ての
<directive module="mod_authz_host">Reject</directive> ディレクティブが
満たされていることを確認しています。</p>
</section>
<section id="filesystem"><title>アクセス制御の後方互換性</title>
<p>認証プロバイダベースの機構があるため、以前使用されていたディレクティブ
<directive module="mod_access_compat">Order</directive>,
<directive module="mod_access_compat">Allow</directive>,
<directive module="mod_access_compat">Deny</directive>,
<directive module="mod_access_compat">Satisfy</directive>
は必要なくなりました。
とはいうものの、古い設定ファイルでの後方互換性を提供するため、
これらのディレクティブは <module>mod_access_compat</module> モジュールに移されました。</p>
<p>これらのディレクティブの抱えていた問題のひとつに、承認の設定行とアクセス制御の設定行の
関係がとてもあいまいだったことが挙げられます。
<directive module="mod_access_compat">Satisfy</directive> ディレクティブは
リクエスト処理中でそれ自身を呼び出すことによって、これらの 2 つの処理段階を結びつけようとします。
現在は、これらのディレクティブは <module>mod_access_compat</module> に移動し、
新しい認証ディレクティブと古いアクセス制御ディレクティブを混ぜて使うことは
難しくなっています。この問題のため、<module>mod_authz_default</module> モジュールを
ロードすることがとても重要で、必須になっています。
<module>mod_authz_default</module> モジュールの主な目的は、どの承認プロバイダで
処理されなかった承認リクエストを受けることにあります。
しかし、古いアクセス制御ディレクティブが用いられた場合には、
アクセス制御と承認を結びつけて、すべての処理段階の出力結果を見てアクセスに合格するかを決めています。
ですから、古いディレクティブがうまく動作しない場合は、
<module>mod_authz_default</module> がロードされていないからかもしれない、
と疑ってみてください。</p>
</section>
</section>
<section id="moreinformation"><title>追加情報</title>
<p>これら全てがどのように動作するかについて
もっと多くの情報が書かれている <module>mod_auth_basic</module> と
<module>mod_authz_host</module>
の文書も読むとよいでしょう。
<directive module="mod_authn_core"><AuthnProviderAlias></directive>
ディレクティブを使うと、特定の認証設定が簡単に書けるようになります。</p>
関連するトピックがたくさん記載されていますので、ご覧ください。</p>
</section>
</manualpage>