Web網(wǎng)站服務(wù)（二）

Web網(wǎng)站服務(wù)（二）

具體步驟：

l 客戶機地址限制

通過配置項Order、Deny from、Allow from，可以根據(jù)客戶機的主機名或IP地址來決定是否允許客戶端訪問。其中Order用于設(shè)置限制順序，Deny from和Allow from用于設(shè)置具體限制內(nèi)容。

使用Order配置項時，可以設(shè)置為“allow，deny”或“deny，allow”，以決定主機應(yīng)用“允許”、“拒絕”策略的先后順序。

? allow，deny：先允許后拒絕，默認拒絕所有未明確允許的客戶機地址。

? deny，allow：先拒絕后允許，默認允許所有未明確拒絕的客戶及地址。

使用Allow和Deny配置項時，需要設(shè)置客戶機地址以構(gòu)成完整的限制策略，地址的形式可以是IP地址、網(wǎng)絡(luò)地址、主機名、域名，使用名稱“all”時表示任意地址。限制格式策略的格式如下所示：

Allow from address1 address2 ……

Deny from address1 address2 ……

通常情況下，網(wǎng)站服務(wù)器是對所有客戶機開放的，網(wǎng)頁文檔目錄并未做任何限制，因此使用的是“Allow from all”的策略，表示允許從任何客戶機訪問。如圖所示：

需要使用“僅允許”的限制策略時，應(yīng)將處理順序改為“allow，deny”，并明確設(shè)置允許策略，只允許一部分主機訪問。例如，若只希望IP地址為173.16.16.173的網(wǎng)管工作用機能夠訪問AWStats系統(tǒng)，則針對AWStats系統(tǒng)的目錄區(qū)域應(yīng)做如下的設(shè)置。

需要使用“僅拒絕”的限制策略時，應(yīng)將處理順序改為“deny，allow”，并明確設(shè)置拒絕策略，只禁止一部分主機訪問。例如，若只希望禁止來自兩個內(nèi)網(wǎng)網(wǎng)段192.168.0.0/24和192.168.1.0/24的主機訪問，但允許其他任何主機訪問，可以使用如下限制策略。

l 用戶授權(quán)限制

httpd服務(wù)器支持使用摘要認證（Digest）和基本認證（Basic）兩種方式。使用摘要認證需要在編譯httpd之前添加“—enable-auth-digest”選項，但并不是所有的瀏覽器都支持摘要認證；而基本認證時httpd服務(wù)的基本功能，不需要預(yù)先配置特別的選項。

基于用戶的訪問控制包含認證和授權(quán)兩個過程，認證（Authentication）是指識別用戶身份的過程，授權(quán)（Authorization）是允許特定用戶訪問特定目錄區(qū)域的過程。

1. 創(chuàng)建用戶認證數(shù)據(jù)文件

httpd的基本認證通過校驗用戶名、密碼組合來判斷是否允許用戶訪問。授權(quán)訪問的用戶賬戶需要事先建立，并保存在固定的數(shù)據(jù)文件中。使用專門的htpasswd工具程序，可以創(chuàng)建授權(quán)用戶數(shù)據(jù)文件，并維護其中的用戶賬號。

使用htpasswd工具時，必須指定用戶數(shù)據(jù)文件的位置，添加“-c”選項表示新建立此文件。例如：執(zhí)行以下操作可以新建數(shù)據(jù)文件/usr/local/httpd/conf/.awspwd，其中包含一個名為webadmin的用戶信息。

若省略“-c”選項，則表示指定的用戶數(shù)據(jù)文件已經(jīng)存在，用于添加新的用戶或修改現(xiàn)有用戶的密碼。例如，需要向.awspwd數(shù)據(jù)文件中添加一個新用戶pengjie時，可以執(zhí)行以下操作：

2. 添加用戶授權(quán)配置

有了授權(quán)用戶賬號以后，還需要修改httpd.conf配置文件，在特定的目錄區(qū)域中添加授權(quán)配置，以啟用基本認證并設(shè)置允許哪些用戶訪問。如圖所示：

上述配置內(nèi)容中，相關(guān)配置項的含義如下：

? AuthName:定義受保護的領(lǐng)域名稱，該內(nèi)容將在瀏覽器彈出的認證對話框中顯示。

? AuthType：設(shè)置認證的類型，Basic表示基本認證

? AuthUserFile：設(shè)置用于保存用戶賬號、密碼的認證文件路徑。

? require valid-user：要求只有認證文件中的合法用戶才能訪問。其中valid-user表示所有合法用戶，若只授權(quán)給單個用戶，可改為指定的用戶名。

3. 驗證用戶訪問權(quán)限

基本認證的登陸界面。如圖所示：

認證失敗時將拒絕訪問。如圖所示：

l 基于域名的虛擬主機

1. 為虛擬主機提供域名解析

搭建好DNS服務(wù)器

2. 為虛擬主機準備好網(wǎng)頁文檔

在/var/www/html/目錄中創(chuàng)建兩個子目錄，分別作為兩個網(wǎng)站的網(wǎng)站根目錄，并分別編寫測試網(wǎng)頁文件。如圖所示：

3. 添加虛擬主機配置

在httpd服務(wù)器的主配置文件中，若要啟用基于域名的虛擬Web主機，通常需要配置一下幾個方面的內(nèi)容。

? 監(jiān)聽地址：使用NameVirtualHost配置項指定提供虛擬主機服務(wù)的IP地址，也就是進行域名查詢時各虛擬Web主機的IP地址。

? 虛擬主機區(qū)域：使用“<VirtualHost 監(jiān)聽地址>……</VirtualHost>”區(qū)域配置，為每一個虛擬Web主機建立獨立的配置內(nèi)容。其中至少應(yīng)包括虛擬主機的網(wǎng)站名稱、網(wǎng)頁根目錄的配置項；其他如管理郵箱、訪問日志等更多配置項可根據(jù)實際需要添加。

? 目錄權(quán)限：使用“<Directory 目錄位置>……</Directory>”區(qū)域配置，為每一個虛擬Web主機的網(wǎng)站目錄設(shè)置訪問權(quán)限，如允許任何人訪問。目錄方訪問可以繼承其父目錄的授權(quán)許可，因此可以采取直接為父文件夾授權(quán)訪問權(quán)限的方法來簡化配置。

當虛擬Web主機的數(shù)量較多時，建議使用獨立的虛擬主機配置文件，然后在httpd.conf文件中通過Include加載這些配置。這樣可以將對httpd.conf文件的改動減至最少，更方便配置內(nèi)容的維護。

4. 在客戶機中訪問虛擬Web主機

在客戶機的瀏覽器中，使用網(wǎng)站名稱分別訪問不同的虛擬Web主機，確認能夠看到不同的網(wǎng)頁內(nèi)容。如圖所示：

l 基于IP地址的虛擬主機

配置基于IP地址的虛擬Web主機時，不再使用NameVirtualHost配置項來指定監(jiān)聽服務(wù)的IP地址，而只要在每個虛擬Web主機的VirtualHost配置中指定各自域名所對應(yīng)的IP地址。

具體步驟：

1. 為虛擬主機準備網(wǎng)頁文檔

2. 編輯配置文件

l 基于端口的虛擬主機

配置基于端口的虛擬主機Web主機時，也不再需要使用NameVirtualHost配置項。而是通過多個Listen配置項來指定要監(jiān)聽的TCP端口號，每個虛擬Web主機的VirtualHost配置中應(yīng)同時指定IP地址和端口號。

具體步驟：

在客戶機上訪問，在域名后加上端口號。如圖所示：