Bài viết sau đây chúng tôi sẽ hướng dẫn các user từ một cơ sở dữ liệu MySQL thực hiện điều này với mod_auth_mysql trên Apache2 sử dụng máy chủ Debian Squeeze.. Bạn cũng có thể cấu hình
Trang 1Bảo vệ thư mục web với mod_auth_mysql trên
Apache2 (Debian Squeeze) Đối với các nhà lập trình web, việc đặt mật khẩu để bảo vệ cho những thư mục web của mình là điều rất quan trọng Bài viết sau đây chúng tôi sẽ
hướng dẫn các user từ một cơ sở dữ liệu MySQL thực hiện điều này với mod_auth_mysql trên Apache2 sử dụng máy chủ Debian Squeeze Đây là sự
thay thế cho tập tin mật khẩu văn bản đơn giản được cung cấp bởi mod_auth và cho phép bạn sử dụng cú pháp SQL bình thường để tạo/chỉnh sửa/xóa user
Bạn cũng có thể cấu hình mod_auth_mysql để xác thực đối với một bảng người dùng hiện tại của MySQL
Một số lưu ý
Ở ví dụ minh họa này chúng tôi sử dụng vhost http://www.example.com với tập tin cấu hình vhost /etc/apache2/sites-available/www.example.com.vhost và thư mục root /var/www/www.example.com/web Yêu cầu đặt ra là thiết lập mật khẩu để bảo
vệ thư mục /var/www/www.example.com/web/protecteddir (dịch thành
http://www.example.com/protecteddir/)
Trang 2Cài đặt MySQL, mod_auth_mysql
Để cài đặt MySQL và mod_auth_mysql, chúng ta chạy lệnh:
apt-get install mysql-server mysql-client libapache2-mod-auth-mysql
Bạn sẽ được yêu cầu cung cấp mật khẩu cho user root MySQL:
New password for the MySQL "root" user: <
yourrootsqlpassword
Repeat password for the MySQL "root" user: <
yourrootsqlpassword
Sau đó kích hoạt module mod_auth_mysql:
a2enmod auth_mysql
Khởi động lại Apache:
/etc/init.d/apache2 restart
Cấu hình mod_auth_mysql
Bạn có thể tìm thấy các tài liệu hướng dẫn cho mod_auth_mysql trong thư mục
/usr/share/doc/libapache2-mod-auth-mysql Để đọc được nó cần gunzip tập tin DIRECTIVES.gz và USAGE.gz:
cd /usr/share/doc/libapache2-mod-auth-mysql
gunzip DIRECTIVES.gz
vi DIRECTIVES
gunzip USAGE.gz
vi USAGE
Sau khi đọc hai tập tin này, chúng ta tạo một cơ sở dữ liệu MySQL có tên
examplecomdb, trong đó tạo bảng mysql_auth để chứa những user và password
Trang 3Thêm vào đó tạo user examplecom_admin, được sử dụng bởi mod_auth_mysql để
kết nối tới MySQL sau này
mysqladmin -u root -p create examplecomdb
mysql -u root -p
GRANT SELECT, INSERT, UPDATE, DELETE ON examplecomdb.*
TO 'examplecom_admin'@'localhost' IDENTIFIED BY
'examplecom_admin_password';
GRANT SELECT, INSERT, UPDATE, DELETE ON examplecomdb.*
TO 'examplecom_admin'@'localhost.localdomain'
IDENTIFIED BY 'examplecom_admin_password';
FLUSH PRIVILEGES;
(Thay examplecom_admin_password bằng mật khẩu theo lựa chọn của bạn)
USE examplecomdb;
create table mysql_auth (
username char(25) not null,
passwd char(32),
groups char(25),
primary key (username)
);
(Tất nhiên bạn cũng có thể sử dụng các bảng hiện tại để lưu giữ thông tin của user,
và thêm các trường cho bảng chẳng hạn như để xác định xem người dùng hoạt động hay không.)
Bây giờ chúng ta insert người dùng test vào bảng mysql_auth với mật khẩu test (mã hóa sang MD5); user này thuộc nhóm testgroup:
INSERT INTO `mysql_auth` (`username`, `passwd`,
`groups`) VALUES('test', MD5('test'), 'testgroup');
Trang 4Sau đó rời khỏi MySQL shell:
quit;
Nếu muốn tạo tập tin htaccess trong thư mục
/var/www/www.example.com/web/protecteddir để chứa cấu hình
mod_auth_mysql, đầu tiên cần chỉnh sửa cấu hình vhost để htaccess được phép chứa các chỉ thị xác thực Chúng ta có thể làm điều này với dòng AllowOverride
AuthConfig hoặc AllowOverride All (cho phép htaccess ghi đè lên toàn bộ thiết
lập trong cấu hình vhost, không chỉ là thiết lập xác thực)
vi /etc/apache2/sites-available/www.example.com.vhost [ ]
<Directory
/var/www/www.example.com/web/protecteddir>
AllowOverride AuthConfig
</Directory>
[ ]
(Bạn có thể rời khỏi cấu hình trên nếu AllowOverride AuthConfig hoặc
AllowOverride All đã tồn tại cài đặt cho thư mục cha
/var/www/www.example.com/web - /var/www/www.example.com/web/protecteddir
kế thừa những thiết lập này, trừ khi một cái gì đó khác được đặt bên trong
<Directory /var/www/www.example.com/web/protecteddir> </Directory>)
Khởi động lại Apache:
/etc/init.d/apache2 reload
Bây giờ chúng ta tạo tập tin htaccess:
vi /var/www/www.example.com/web/protecteddir/.htaccess AuthBasicAuthoritative Off
Trang 5AuthUserFile /dev/null
AuthMySQL On
AuthName "Authentication required"
AuthType Basic
Auth_MySQL_Host localhost
Auth_MySQL_User examplecom_admin
Auth_MySQL_Password examplecom_admin_password
AuthMySQL_DB examplecomdb
AuthMySQL_Password_Table mysql_auth
Auth_MySQL_Username_Field username
Auth_MySQL_Password_Field passwd
Auth_MySQL_Empty_Passwords Off
Auth_MySQL_Encryption_Types PHP_MD5
Auth_MySQL_Authoritative On
require valid-user
Các dòng AuthBasicAuthoritative Off và AuthUserFile /dev/null để ngăn chặn các lỗi giống như trong file /var/log/apache2/error.log của Apache:
[Wed Jun 11 17:02:45 2008] [error] Internal error: pcfg_openfile() called with NULL filename
[Wed Jun 11 17:02:45 2008] [error] [client 127.0.0.1] (9)Bad file descriptor: Could not open password file: (null)
Trang 6Nếu bạn bổ sung các trường trong bảng MySQL để xác định nếu một user cho phép đăng nhập hay không (chẳng hạn trường có tên active), bạn có thể thêm chỉ
thị Auth_MySQL_Password_Clause, ví dụ:
[ ]
Auth_MySQL_Password_Clause " AND active=1"
[ ]
Lưu ý rằng phải đặt các chuỗi trong dấu ngoặc kép sau một dấu cách!
Dòng require valid-user làm cho mỗi user được liệt kê trong bảng mysql_auth có
thể đăng nhập nếu cung cấp mật khẩu chính xác Trường hợp bạn chỉ muốn user nhất định được phép đăng nhập, có thể thay bằng:
[ ]
require user jane joe
[ ]
Hoặc nếu chỉ muốn các thành viên trong một nhóm nhất định được phép đăng nhập, ta sử dụng lệnh:
[ ]
require group testgroup
[ ]
Bây giờ bạn có thể thử truy cập http://www.example.com/protecteddir/, và sẽ được
yêu cầu nhập vào username/password:
Trang 8Thay vì sử dụng tập tin htaccess chúng ta có thể đặt cấu hình mod_auth_mysql trực tiếp trong cấu hình vhost Nếu muốn làm điều này, chỉ cần xóa tập tin
.htaccess
rm -f
/var/www/www.example.com/web/protecteddir/.htaccess
… và mở tập tin cấu hình vhost:
vi /etc/apache2/sites-available/www.example.com.vhost
Thêm vào phần sau đây (hoặc thay đổi nội dung đã tồn tại trong <Directory
/var/www/www.example.com/web/protecteddir> </Directory>) Lưu ý rằng lần
này chúng ta không cần hai dòng AllowOverride AuthConfig hoặc AllowOverride
All nữa bởi không sử dụng tập tin htaccess
[ ]
<Directory
/var/www/www.example.com/web/protecteddir>
AuthBasicAuthoritative Off
AuthUserFile /dev/null
AuthMySQL On
AuthName "Authentication required" AuthType Basic
Auth_MySQL_Host localhost
Auth_MySQL_User examplecom_admin
Auth_MySQL_Password
examplecom_admin_password
AuthMySQL_DB examplecomdb
AuthMySQL_Password_Table mysql_auth
Trang 9Auth_MySQL_Username_Field username Auth_MySQL_Password_Field passwd Auth_MySQL_Empty_Passwords Off
Auth_MySQL_Encryption_Types PHP_MD5 Auth_MySQL_Authoritative On
require valid-user
</Directory>
[ ]
Khởi động lại Apache:
/etc/init.d/apache2 reload
Các link tham khảo
Apache: http://httpd.apache.org/
Debian: http://www.debian.org/
mod_auth_mysql: http://modauthmysql.sourceforge.net/
