test

Sun Java System Web Server 7.0 管理員指南

配置存取控制

伺服器使用儲存在本機上的存取控制清單 (ACL) 來支援認證與授權,這些清單說明使用者對資源具有哪些存取權限。例如,ACL 中的某項目可授予名為 John 的使用者對特定資料夾 misc讀取權限。

本節說明了限制存取您網站上檔案或目錄的程序。您可以為所有伺服器設定全域存取控制規則,也可以為特定的伺服器進行個別設定。例如人力資源部門可以建立 ACL,允許所有經過認證的使用者檢視其自己的薪資資料,但是僅允許負責薪資的人力資源人員更新資料。

伺服器支援的核心 ACL 是三種類型的認證:基本認證、SSL 認證以及摘要認證。

若要編輯存取控制設定,請執行以下作業:

  1. 按一下 [配置] 標籤,然後選取配置。

  2. 按一下 [安全性] 子標籤 > [存取控制] 子標籤

  3. 按一下 [增加 ACL] 按鈕 增加新的 ACL,或按一下現有 ACL 來編輯設定。

增加存取控制清單 (ACL)

以下小節說明將新的 ACL 增加至配置的程序。

  1. 按一下 [配置] 標籤,然後選取配置。

  2. 按一下 [存取控制] 子標籤 > [存取控制清單] 子標籤

  3. [新增] 按鈕,增加新的 ACL。

配置以下參數:

表 7–2 ACL 參數

參數

說明

資源

已命名/URI/路徑。選取您需要設定存取限制和指定值的資源類型。URI 資源範例—「/sales」。路徑資源範例—「/usr/sun/server4/docs/cgi-bin/*」。 

認證資料庫

認證資料庫可讓您選取伺服器將用於認證使用者的資料庫。

預設為 keyfile

認證方法

  1. 基本—使用 HTTP 基本方法從用戶端取得認證資訊。僅當為伺服器啟用 SSL 時,才會透過網路對使用者名稱和密碼進行加密。

  2. SSL—使用用戶端憑證來認證使用者。若要使用此方法,必須為伺服器啟用 SSL。啟用加密後,您可以結合使用「Basic」和「SSL」方法。

  3. 摘要—使用認證機制,使得瀏覽器能夠根據使用者名稱和密碼進行認證,而無須傳送明文格式的使用者名稱和密碼。瀏覽器利用使用者的密碼和 Web Server 提供的某些資訊,透過 MD5 演算法來建立摘要值。請注意,為使用摘要,基本 auth-db 必須也支援摘要。僅當已安裝摘要認證外掛程式時,這才表示使用 digestfile 的檔案 auth-db 或 LDAP auth-db

  4. 其他—使用透過存取控制 API 建立的自訂方法。

提示進行認證

[提示進行認證] 選項可讓您輸入顯示在認證對話方塊中的訊息文字。您可以使用此文字來說明使用者需要輸入的內容。基於瀏覽器不同,使用者將看到該提示中大概前 40 個字元。

通常,Web 瀏覽器會快取使用者名稱和密碼,並將其與提示文字相關聯。當使用者存取具有相同提示之伺服器的檔案和目錄時,無須再次輸入使用者名稱和密碼。如果您要讓使用者針對特定檔案和目錄再次進行認證,則只需變更該資源上 ACL 的提示。 

拒絕的存取回應

指定存取資源遭拒絕時所採取的回應動作。 

1. 使用預設訊息回應—選取此選項,以顯示來自伺服器的標準存取拒絕訊息。 

2. 使用 URL 回應—選取此選項,以將請求轉寄至其他外部 URL 或錯誤頁面。 

備註 –

使用 CLI

若要透過 CLI 增加 ACL,請執行以下指令。


wadm> set-acl --user=admin --password-file=admin.pwd 
--host=serverhost --port=8989 --vs=config1_vs_1 --config=config1
--aclfile=aclfile1

請參閱 CLI 參照 set-acl(1)

增加存取控制項目 (ACE)

本節說明為所選配置增加新存取控制項目 (ACE) 的程序。

  1. 按一下 [配置] 標籤,然後選取配置。

  2. 按一下 [存取控制] 子標籤 > [存取控制清單] 子標籤

  3. 按一下 [新增] 按鈕

  4. 按一下存取控制項目下的 [新增] 按鈕

配置以下 ACE 參數:

表 7–3 ACE 參數

參數

說明

存取

  • 允許表示使用者或系統可以存取請求的資源

  • 拒絕表示使用者或系統不能存取該資源

    伺服器將檢查整個存取控制表示式 (ACE) 清單以確定存取權限。

使用者

1. 任何人—無認證。授予每個人存取權。

2. 認證資料庫中的所有使用者—對認證資料庫中指定的所有使用者授予存取權。

3. 僅認證資料庫中的以下使用者—僅限於認證資料庫中所選使用者存取。

您可以根據一般屬性 (如名字、姓氏和電子郵件位址) 來查詢認證資料庫。 

群組

使用群組認證時,會提示使用者輸入使用者名稱和密碼,然後使用者才能存取在存取控制規則中指定的資源。 

使用此選項限制對特定群組的存取。 

從主機

您可以根據請求的來源電腦限定對 Administration Server 或您的網站的存取。 

您可以根據請求的來源電腦限定對 Administration Server 或您的網站的存取。 

  • [任何位置] 允許存取所有使用者和系統

  • [僅來自] 僅允許對特定主機名稱或 IP 位址進行存取

如果選取 [僅來自] 選項,請在 [主機名稱] 或 [IP 位址] 欄位中輸入萬用字元式樣或以逗號分隔的清單。依主機名稱進行限定比依 IP 位址進行限定更為靈活:使用者的 IP 位址發生變更時,您不需要更新此清單。但是,依 IP 位址進行限定更可靠:如果某個連線用戶端的 DNS 查詢失敗,將無法使用主機名稱限制。 

您只能在萬用字元式樣中使用 * 萬用字元表示法,以比對電腦的主機名稱或 IP 位址。例如,若要允許或拒絕特定網域內的所有電腦,請輸入與該網域內所有主機相符的萬用字元式樣,例如 *.sun.com。您可以為存取 Administration Server 的超級使用者設定不同的主機名稱和 IP 位址。

對於主機名稱,* 必須替代名稱中的整個部分。亦即,*.sun.com 有效,但 *users.sun.com 無效。* 出現在主機名稱中時,必須是最左側的字元。

例如,*.sun.com 有效,但 users.*.com 無效。對於 IP 位址,* 必須替代位址中的整個位元組。例如 198.95.251.* 有效,但 198.95.251.3* 無效。* 出現在 IP 位址中時,必須是最右側的字元。例如 198.* 有效,但 198.*.251.30 無效。

權限

存取權限可限制對您的網站上檔案和目錄的存取。除了允許或拒絕所有存取權限外,您還可以指定一個允許或拒絕部分存取權限的規則。例如,您可以授予使用者對您擋案的唯讀存取權限,這樣他們可以檢視資訊,但不能變更檔案。 

  • [所有存取權限] 是預設設定,將允許或拒絕所有權限

  • [僅限以下權限] 允許您選取要允許或拒絕的權限組合:

    • 讀取可讓使用者檢視檔案,包括 HTTP 方法 GET、HEAD、POST 和 INDEX

    • 寫入可讓使用者變更或刪除檔案,包括 HTTP 方法 PUT、DELETE、MKDIR、RMDIR 與 MOVE。若要刪除檔案,使用者必須同時具有寫入和刪除權限

    • 執行可讓使用者執行伺服器端應用程式,例如 CGI 程式、Java applet 與代理程式

    • 刪除可讓還具有寫入權限的使用者刪除檔案或目錄。

    • 清單可讓使用者存取不包含 index.html 檔案之目錄中的檔案清單。

    • 資訊可讓使用者接收有關 URI 的資訊,例如 http_head

繼續

伺服器將檢查整個存取控制表示式 (ACE) 清單以確定存取權限。例如,第一個 ACE 通常會拒絕所有使用者。如果將第一個 ACE 設定為「繼續」,伺服器將檢查清單中的第二個 ACE,如果它們相符,則會使用下一個 ACE。 

如果核取「繼續」,則將拒絕所有使用者存取資源。伺服器將繼續檢查清單,直至找到某個不相符的 ACE,或者找到某個相符但未設定為繼續的 ACE。最後一個相符的 ACE 將確定是允許還是拒絕存取。