使用用户和组验证时,将提示用户提供用户名和密码,然后才能访问在访问控制规则中指定的资源。
Proxy Server 将检查在 LDAP 服务器(例如 Sun Java System Directory Server)或基于内部文件的验证数据库中存储的用户和组的列表。
可以允许或拒绝数据库中每个用户的访问,也可以使用通配符模式允许或拒绝特定用户的访问,还可以从用户和组的列表中选择允许或拒绝其访问的用户。
在用户界面内 "Access Control Rules" 页面的 "Users/Groups" 中,将显示以下元素。
Anyone (No Authentication) 是默认设置,意味着任何用户都可以访问该资源而不必提供用户名或密码。但是,根据其他设置(例如主机名或 IP 地址)的不同,该用户也可能被拒绝访问。对于 Administration Server,此设置意味着您为分布式管理指定的管理员组中的任何用户都可以访问各个页面。
Authenticated People Only
All In The Authentication Database 将匹配在数据库中具有用户条目的任何用户。
Only The following People 将指定要匹配的用户和组。您可以用逗号分隔各个条目以分别列出用户或用户组,也可以使用通配符模式,还可以从数据库中存储的用户和组的列表中选择。Group 将匹配您指定的组中的所有用户。User 将匹配您指定的单个用户。对于 Administration Server,用户还必须位于您为分布式管理指定的管理员组中。
Prompt For Authentication 将指定在验证对话框中显示的消息文本。您可以使用此文本来说明用户需要键入的内容。基于不同的操作系统,用户大约会看到该提示的前 40 个字符。大多数浏览器会缓存用户名和密码,并将它们与提示文本关联。如果用户访问的服务器文件和目录区域具有相同的提示,则该用户不需要重新键入用户名和密码。反过来,如果要强制用户针对不同区域再次进行验证,则必须为该资源的 ACL 更改提示。
Authentication Methods 指定服务器用于从客户机获取验证信息的方法。 Administration Server 仅提供了基本验证方法。Server Manager 提供了以下验证方法:
默认 将使用在 obj.conf 文件中指定的默认方法;如果 obj.conf 中没有设置,则使用基本验证。如果选中 "Default",ACL 规则将不会在 ACL 文件中指定方法。如果选择 "Default",您只需编辑 obj.conf 文件中的一行文本即可方便地更改所有 ACL 的方法。
基本使用 HTTP 方法从客户机获取验证信息。仅当为服务器启用了加密(启用 SSL)后才对用户名和密码加密。否则,用户名和密码将以明文形式发送,在受到拦截时可被读取。
SSL 使用客户机证书验证用户。要使用此方法,必须为服务器启用 SSL。如果启用了加密,可以组合使用基本方法和 SSL 方法。
只能以反向代理模式而不是正向代理模式启用安全性。
摘要使用这样一种验证机制:通过该机制,浏览器可以基于用户名和密码来验证用户,而不必以明文形式发送用户名和密码。浏览器使用用户的密码和 Proxy Server 提供的某些信息,利用 MD5 算法来创建摘要值。服务器端也可以计算此摘要值(使用摘要验证插件)并与客户机提供的摘要值进行比较。
"Prompt For Authentication" 是摘要验证中的一个必需参数。请将此值更改为与领域相匹配(摘要文件所要求的)。例如,如果在摘要文件中,您已经将所有用户配置为位于领域 test 中,则 "Prompt For Authentication" 字段中应当包含文本 test。
Authentication Database 指定服务器用于验证用户的数据库。此选项仅在 Server Manager 中可用。如果选择 "Default",服务器将查找配置为默认的目录服务中的用户和组。如果要将各个 ACL 配置为使用不同的数据库,请选 "Other",然后指定数据库。必须在 server-root/userdb/dbswitch.conf 中指定非默认数据库和 LDAP 目录。如果为某个自定义数据库使用访问控制 API,请选择 "Other",然后键入数据库名称。