Web網站服務（二）

Web網站服務（二）

具體步驟：

l 客戶機地址限制

通過配置項Order、Deny from、Allow from，可以根據客戶機的主機名或IP地址來決定是否允許客戶端訪問。其中Order用于設置限制順序，Deny from和Allow from用于設置具體限制內容。

使用Order配置項時，可以設置為“allow，deny”或“deny，allow”，以決定主機應用“允許”、“拒絕”策略的先后順序。

? allow，deny：先允許后拒絕，默認拒絕所有未明確允許的客戶機地址。

? deny，allow：先拒絕后允許，默認允許所有未明確拒絕的客戶及地址。

使用Allow和Deny配置項時，需要設置客戶機地址以構成完整的限制策略，地址的形式可以是IP地址、網絡地址、主機名、域名，使用名稱“all”時表示任意地址。限制格式策略的格式如下所示：

Allow from address1 address2 ……

Deny from address1 address2 ……

通常情況下，網站服務器是對所有客戶機開放的，網頁文檔目錄并未做任何限制，因此使用的是“Allow from all”的策略，表示允許從任何客戶機訪問。如圖所示：

需要使用“僅允許”的限制策略時，應將處理順序改為“allow，deny”，并明確設置允許策略，只允許一部分主機訪問。例如，若只希望IP地址為173.16.16.173的網管工作用機能夠訪問AWStats系統，則針對AWStats系統的目錄區域應做如下的設置。

需要使用“僅拒絕”的限制策略時，應將處理順序改為“deny，allow”，并明確設置拒絕策略，只禁止一部分主機訪問。例如，若只希望禁止來自兩個內網網段192.168.0.0/24和192.168.1.0/24的主機訪問，但允許其他任何主機訪問，可以使用如下限制策略。

l 用戶授權限制

httpd服務器支持使用摘要認證（Digest）和基本認證（Basic）兩種方式。使用摘要認證需要在編譯httpd之前添加“—enable-auth-digest”選項，但并不是所有的瀏覽器都支持摘要認證；而基本認證時httpd服務的基本功能，不需要預先配置特別的選項。

基于用戶的訪問控制包含認證和授權兩個過程，認證（Authentication）是指識別用戶身份的過程，授權（Authorization）是允許特定用戶訪問特定目錄區域的過程。

1. 創建用戶認證數據文件

httpd的基本認證通過校驗用戶名、密碼組合來判斷是否允許用戶訪問。授權訪問的用戶賬戶需要事先建立，并保存在固定的數據文件中。使用專門的htpasswd工具程序，可以創建授權用戶數據文件，并維護其中的用戶賬號。

使用htpasswd工具時，必須指定用戶數據文件的位置，添加“-c”選項表示新建立此文件。例如：執行以下操作可以新建數據文件/usr/local/httpd/conf/.awspwd，其中包含一個名為webadmin的用戶信息。

若省略“-c”選項，則表示指定的用戶數據文件已經存在，用于添加新的用戶或修改現有用戶的密碼。例如，需要向.awspwd數據文件中添加一個新用戶pengjie時，可以執行以下操作：

2. 添加用戶授權配置

有了授權用戶賬號以后，還需要修改httpd.conf配置文件，在特定的目錄區域中添加授權配置，以啟用基本認證并設置允許哪些用戶訪問。如圖所示：

上述配置內容中，相關配置項的含義如下：

? AuthName:定義受保護的領域名稱，該內容將在瀏覽器彈出的認證對話框中顯示。

? AuthType：設置認證的類型，Basic表示基本認證

? AuthUserFile：設置用于保存用戶賬號、密碼的認證文件路徑。

? require valid-user：要求只有認證文件中的合法用戶才能訪問。其中valid-user表示所有合法用戶，若只授權給單個用戶，可改為指定的用戶名。

3. 驗證用戶訪問權限

基本認證的登陸界面。如圖所示：

認證失敗時將拒絕訪問。如圖所示：

l 基于域名的虛擬主機

1. 為虛擬主機提供域名解析

搭建好DNS服務器

2. 為虛擬主機準備好網頁文檔

在/var/www/html/目錄中創建兩個子目錄，分別作為兩個網站的網站根目錄，并分別編寫測試網頁文件。如圖所示：

3. 添加虛擬主機配置

在httpd服務器的主配置文件中，若要啟用基于域名的虛擬Web主機，通常需要配置一下幾個方面的內容。

? 監聽地址：使用NameVirtualHost配置項指定提供虛擬主機服務的IP地址，也就是進行域名查詢時各虛擬Web主機的IP地址。

? 虛擬主機區域：使用“<VirtualHost 監聽地址>……</VirtualHost>”區域配置，為每一個虛擬Web主機建立獨立的配置內容。其中至少應包括虛擬主機的網站名稱、網頁根目錄的配置項；其他如管理郵箱、訪問日志等更多配置項可根據實際需要添加。

? 目錄權限：使用“<Directory 目錄位置>……</Directory>”區域配置，為每一個虛擬Web主機的網站目錄設置訪問權限，如允許任何人訪問。目錄方訪問可以繼承其父目錄的授權許可，因此可以采取直接為父文件夾授權訪問權限的方法來簡化配置。

當虛擬Web主機的數量較多時，建議使用獨立的虛擬主機配置文件，然后在httpd.conf文件中通過Include加載這些配置。這樣可以將對httpd.conf文件的改動減至最少，更方便配置內容的維護。

4. 在客戶機中訪問虛擬Web主機

在客戶機的瀏覽器中，使用網站名稱分別訪問不同的虛擬Web主機，確認能夠看到不同的網頁內容。如圖所示：

l 基于IP地址的虛擬主機

配置基于IP地址的虛擬Web主機時，不再使用NameVirtualHost配置項來指定監聽服務的IP地址，而只要在每個虛擬Web主機的VirtualHost配置中指定各自域名所對應的IP地址。

具體步驟：

1. 為虛擬主機準備網頁文檔

2. 編輯配置文件

l 基于端口的虛擬主機

配置基于端口的虛擬主機Web主機時，也不再需要使用NameVirtualHost配置項。而是通過多個Listen配置項來指定要監聽的TCP端口號，每個虛擬Web主機的VirtualHost配置中應同時指定IP地址和端口號。

具體步驟：

在客戶機上訪問，在域名后加上端口號。如圖所示：