序章
Webサーバーをセットアップするとき、アクセスを制限したいサイトのセクションがしばしばあります。 多くの場合、Webアプリケーションは独自の認証および承認方法を提供しますが、これらが不十分または利用できない場合は、Webサーバー自体を使用してアクセスを制限できます。
このガイドでは、Ubuntu14.04で実行されているApacheWebサーバーでアセットをパスワードで保護する方法を示します。
前提条件
開始するには、Ubuntu14.04サーバー環境にアクセスする必要があります。 管理タスクを実行するには、sudo
権限を持つroot以外のユーザーが必要です。 このようなユーザーを作成する方法については、Ubuntu14.04初期サーバーセットアップガイドに従ってください。
Apacheユーティリティパッケージをインストールします
制限されたコンテンツにアクセスするために必要なパスワードを保存するファイルを作成するために、htpasswd
というユーティリティを使用します。 これは、Ubuntuリポジトリ内のapache2-utils
パッケージにあります。
このコマンドを入力して、ローカルパッケージキャッシュを更新し、パッケージをインストールします。 サーバーにまだインストールされていない場合は、この機会にApache2サーバーも取得します。
- sudo apt-get update
- sudo apt-get install apache2 apache2-utils
パスワードファイルを作成する
これで、htpasswd
コマンドにアクセスできるようになりました。 これを使用して、Apacheがユーザーの認証に使用できるパスワードファイルを作成できます。 この目的のために、/etc/apache2
構成ディレクトリ内に.htpasswd
という隠しファイルを作成します。
このユーティリティを初めて使用するときは、-c
オプションを追加して、指定したファイルを作成する必要があります。 コマンドの最後にユーザー名(この例ではsammy
)を指定して、ファイル内に新しいエントリを作成します。
- sudo htpasswd -c /etc/apache2/.htpasswd sammy
ユーザーのパスワードを入力して確認するように求められます。
追加する追加ユーザーの-c
引数は省略してください。
- sudo htpasswd /etc/apache2/.htpasswd another_user
ファイルの内容を表示すると、各レコードのユーザー名と暗号化されたパスワードを確認できます。
- cat /etc/apache2/.htpasswd
Outputsammy:$apr1$lzxsIfXG$tmCvCfb49vpPFwKGVsuYz.
another_user:$apr1$p1E9MeAf$kiAhneUwr.MhAE2kKGYHK.
Apacheパスワード認証を設定する
ユーザーとパスワードがApacheで読み取れる形式のファイルができたので、保護されたコンテンツを提供する前に、このファイルをチェックするようにApacheを構成する必要があります。 これは2つの異なる方法で行うことができます。
最初のオプションは、Apache構成を編集し、仮想ホストファイルにパスワード保護を追加することです。 これにより、分散構成ファイルを読み取る費用が回避されるため、通常、パフォーマンスが向上します。 このオプションがある場合は、この方法をお勧めします。
仮想ホストファイルを変更する機能がない場合(または、.htaccess files for other purposes), you can restrict access using an
.htaccess file. Apache uses
.htaccess`ファイルを使用して、特定の構成アイテムをコンテンツディレクトリ内のファイル。 欠点は、Apacheがディレクトリを含むすべての要求でこれらのファイルを再読み取りする必要があることです。これは、パフォーマンスに影響を与える可能性があります。
以下のニーズに最適なオプションを選択してください。
仮想ホスト定義内でのアクセス制御の構成
制限を追加する仮想ホストファイルを開くことから始めます。 この例では、Ubuntuのapacheパッケージを介してインストールされたデフォルトの仮想ホストを保持する000-default.conf
ファイルを使用します。
- sudo nano /etc/apache2/sites-enabled/000-default.conf
内部では、コメントが削除され、ファイルは次のようになります。
<VirtualHost *:80>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
認証はディレクトリごとに行われます。 認証を設定するには、制限するディレクトリを<Directory ___>
ブロックでターゲットにする必要があります。 この例では、ドキュメントルート全体を制限しますが、このリストを変更して、Webスペース内の特定のディレクトリのみをターゲットにすることができます。
<VirtualHost *:80>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
<Directory "/var/www/html">
</Directory>
</VirtualHost>
このディレクトリブロック内で、Basic
認証を設定することを指定します。 AuthName
には、資格情報の入力を求めるときにユーザーに表示されるレルム名を選択します。 AuthUserFile
ディレクティブを使用して、作成したパスワードファイルをApacheにポイントします。 最後に、このリソースにアクセスするにはvalid-user
が必要です。つまり、パスワードで身元を確認できる人は誰でも次の場所で許可されます。
<VirtualHost *:80>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
<Directory "/var/www/html">
AuthType Basic
AuthName "Restricted Content"
AuthUserFile /etc/apache2/.htpasswd
Require valid-user
</Directory>
</VirtualHost>
終了したら、ファイルを保存して閉じます。 Apacheを再起動して、パスワードポリシーを実装します。
- sudo service apache2 restart
これで、指定したディレクトリがパスワードで保護されているはずです。
.htaccessファイルを使用したアクセス制御の構成
代わりに.htaccess
ファイルを使用してパスワード保護を設定する場合は、.htaccess
ファイルを許可するようにメインのApache構成ファイルを編集することから始める必要があります。
- sudo nano /etc/apache2/apache2.conf
ドキュメントルートを保持する/var/www
ディレクトリの<Directory>
ブロックを見つけます。 そのブロック内のAllowOverride
ディレクティブを「なし」から「すべて」に変更して、.htaccess
処理をオンにします。
. . .
<Directory /var/www/>
Options Indexes FollowSymLinks
AllowOverride All
Require all granted
</Directory>
. . .
終了したら、ファイルを保存して閉じます。
次に、制限したいディレクトリに.htaccess
ファイルを追加する必要があります。 このデモでは、/var/www/html
に基づくドキュメントルート全体(Webサイト全体)を制限しますが、このファイルは、アクセスを制限する任意のディレクトリに配置できます。
- sudo nano /var/www/html/.htaccess
このファイル内で、Basic
認証を設定することを指定します。 AuthName
には、資格情報の入力を求めるときにユーザーに表示されるレルム名を選択します。 AuthUserFile
ディレクティブを使用して、作成したパスワードファイルをApacheにポイントします。 最後に、このリソースにアクセスするにはvalid-user
が必要です。つまり、パスワードで身元を確認できる人は誰でも次の場所で許可されます。
AuthType Basic
AuthName "Restricted Content"
AuthUserFile /etc/apache2/.htpasswd
Require valid-user
ファイルを保存して閉じます。 Webサーバーを再起動して、.htaccess
ファイルを使用してディレクトリ内またはその下のすべてのコンテンツをパスワードで保護します。
- sudo service apache2 restart
パスワード認証を確認する
コンテンツが保護されていることを確認するには、Webブラウザで制限されたコンテンツにアクセスしてみてください。 次のようなユーザー名とパスワードのプロンプトが表示されます。
正しいクレデンシャルを入力すると、コンテンツにアクセスできるようになります。 間違ったクレデンシャルを入力するか、「キャンセル」をクリックすると、「未承認」エラーページが表示されます。
結論
これで、サイトの基本認証を設定するために必要なものがすべて揃ったはずです。 クレデンシャルがプレーンテキストでサーバーに送信されないように、パスワード保護をSSL暗号化と組み合わせる必要があることに注意してください。 Apacheで使用する自己署名SSL証明書を作成する方法については、このガイドに従ってください。 商用証明書のインストール方法については、このガイドに従ってください。