[Subject Prev][Subject Next][Thread Prev][Thread Next][Subject Index][Thread Index]
[webdav-jp:0874] Re: mod_auth_ldap改造パッチ
吉山です。
ディレクトリ/通常ファイル(とそれらへのシンボリックリンク)以外のディレク
トリエントリ(パイプ、キャラクタデバイス等)へのアクセスと、root 所有のファ
イル/ディレクトリへのアクセス制限を復活させました。
但し、rootによる認証を禁止した訳ではありません。ディレクトリエントリ以外
のリソースへのアクセスでたまたま所有者情報が root を意味する場合、root に
よる認証を受け付けてしまいます。このパッチの制限はあくまで通常ファイル/デ
ィレクトリへのアクセスに限った制限です。
On Mon, 8 Sep 2003 02:34:29 +0900
吉山 晃 <yosshy@xxxxxxxxxxxx> wrote:
> mod_auth_ldap による認証で、ファイル/ディレクトリの所有者に認証を制限す
> る機能を作ってみました。
> 例えば1万人のユーザのホームディレクトリに対し、WebDAVのアクセスを個々の
> ユーザに制限したい場合、従来は1万ディレクトリ分の設定ファイルを書く必要が
> ありましたが、それが単一の設定で済むようになります。
> 但し、ファイルの所有者に依存するという事は、diskquota パッチとの併用が前
> 提になります。
>
> ■コンパイル方法
>
> 1.Apache 2.0.47のソースを展開し、添付のパッチを当ててください。
> # cd httpd-2.0.47
> # patch -p2 < 017_mod_auth_ldap_require_owner
> 2.普通にコンパイル、インストールしてください。
>
> ■設定方法
>
> mod_auth_ldap 用のディレクティブが1つ追加になります。
>
> AuthLDAPCheckOwner <on|off>
>
> on にすると、認証時に認証対象をファイル/ディレクトリの所有者に限定します。
> (以前のパッチと異なり、安全性の為に行っていた URL 対象がファイル/ディレク
> トリであるかどうかと、root であるかどうかのチェックをしません。)
>
> ■設定例
>
> <Directory "/home/*/public_html">
> Dav On
> Options Indexes FollowSymLinks
> AllowOverride None
> order allow,deny
> allow from all
>
> AuthName "LDAP password required"
> AuthType Basic
> AuthLDAPUrl "ldap://ldapserver.yourdomain.or.jp:389/ou=People,dc=yourdomain,dc=or,dc=jp?uid?sub"
> AuthLDAPCheckOwner on
> <Limit PUT POST DELETE PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
> require valid-user
> </Limit>
> </Directory>
---
吉山あきら<yosshy@xxxxxxxxxxxx>