使用使用者和群組認證時,系統會提示使用者提供使用者名稱和密碼,之後才能存取在存取控制規則中指定的資源。
Proxy Server 會檢查儲存在 LDAP 伺服器 (如 Sun Java System Directory Server) 或內部檔案型之認證資料庫中的使用者和群組清單。
您可以允許或拒絕資料庫中的任何人進行存取,也可以使用萬用字元式樣以允許或拒絕特定的人員,或從使用者和群組清單中選取要允許或拒絕的人員。
下列為使用者介面中 [Access Control Rules For] 頁面上,針對 [Users/Groups] 所顯示的元素:
[Anyone (No Authentication)] 是預設設定,表示任何使用者都可以存取該資源而不必提供使用者名稱或密碼。但是,基於其他設定 (例如主機名稱或 IP 位址) 的不同,也可能會拒絕該使用者進行存取。針對 Administration Server,這項設定表示您為分散式管理所指定的管理者群組中,任何人都可以存取這些頁面。
Authenticated People Only
[All In The Authentication Database] 會比對與資料庫項目相符的任何使用者。
[Only The following People] 可讓您指定要比對的使用者和群組。您可以用逗號分隔各個項目來個別列出使用者或使用者群組,也可以使用萬用字元式樣,還可以從儲存在資料庫中的使用者和群組清單進行選取。[Group] 可比對指定群組中的所有使用者。[User] 可比對您指定的個別使用者。針對 Administration Server,使用者還必須位於您為分散式管理所指定的管理員群組中。
[Prompt For Authentication] 指定在認證對話方塊中顯示的訊息文字。您可以使用此文字來說明使用者需要鍵入的內容。使用者大約可以看到該提示的前 40 個字元,視作業系統而定。大多數瀏覽器都會快取使用者名稱和密碼,並將其與提示文字相關聯。如果使用者存取的伺服器檔案與目錄區域具有相同的提示,使用者就不需要重新鍵入使用者名稱和密碼。相反,如果要強制使用者重新認證後才可存取不同區域,您必須變更此資源上的 ACL 提示。
[Authentication Methods] 指定伺服器從用戶端取得認證資訊時所使用的方法。Administration Server 僅提供了基本認證方法。Server Manager 則提供下列方法:
[Default] 會使用 obj.conf 檔案中指定的預設方法,如果 obj.conf 中沒有任何設定,則會使用 [Basic]。如果選取 [Default],ACL 規則不會指定 ACL 檔案中的方法。如果選擇 [Default],您只需編輯 obj.conf 檔案中的一行文字,就可以輕鬆變更所有 ACL 的方法。
[Basic] 使用 HTTP 方法,從用戶端取得認證資訊。僅當為伺服器啟用了加密 (啟用 SSL) 後,才會對使用者名稱和密碼進行加密。否則,名稱和密碼會以明文方式傳送,如果遭到截取,他人就會看到這些內容。
[SSL] 使用用戶端憑證來認證使用者。若要使用此方法,必須為伺服器啟用 SSL。如果啟用加密,則可以合併 [Basic] 和 [SSL] 兩種方法。
您只能在反向代理模式中啟用安全性,不能在正向代理模式中啟用。
[Digest] 所使用的認證機制讓瀏覽器根據使用者名稱和密碼認證使用者,不以明文方式傳送使用者名稱和密碼。瀏覽器透過使用者的密碼和 Proxy Server 提供的一些資訊,使用 MD5 演算法來建立摘要值。伺服器端也會使用摘要式認證外掛程式計算此摘要值,並與用戶端提供的摘要值進行比對。
[Prompt For Authentication] 是摘要式認證的必要參數。變更值以符合範圍 (摘要檔案的必要項目)。例如,如果您在摘要檔案中將所有使用者都配置為位於 test 範圍內,則 [Prompt For Authentication] 欄位應包含文字 test。
[Authentication Database] 指定伺服器將用來認證使用者的資料庫。此選項僅在 Server Manager 中可用。如果選擇 [Default],伺服器將查找配置為預設的目錄服務中的使用者和群組。如果要配置讓個別的 ACL 使用不同資料庫,請選取 [Other] 並指定資料庫。您必須在 server-root/userdb/dbswitch.conf 中指定非預設資料庫和 LDAP 目錄。如果將存取控制 API 用於自訂資料庫,請選取 [Other] 並鍵入資料庫名稱。