Apache mod_auth_tkt und Python AuthTkt

Informationsfrische

• Stand 08.01.2014
• Debian GNU/Linux 7.3 (wheezy)
• Python 2.7 (über apt-get)
• AuthTkt 0.3.2 (via pip)
• mod_auth_tkt 2.1.0-6 (über apt-get)
• Django 1. etwas

Hintergrund

• Es gab eine Website mit Django
• Jede Seite von Django ist ordnungsgemäß authentifiziert / autorisiert
• Statische Dateien werden von Apache verwaltet und nicht von Django kontrolliert
• Statische Dateien waren schlammiger Tee mit unabhängiger BASIC-Authentifizierung
• Ich habe versucht, die Authentifizierung von Django direkt zu verwenden, aber ... ich bin nicht sicher :-(
• Wenn Sie beim Zugriff auf eine statische Datei die Django-Authentifizierung nicht bestehen, leiten Sie zu Django um. Ich wünschte, ich könnte es tun, aber ich könnte es nicht finden.
• Ich habe von der Existenz eines "Ticket-basierten" Authentifizierungssystems gehört
• Ich dachte, ich würde es benutzen

Über verwandte Dokumente

Zunächst ist es ein Dokumentenfischen, um einen Überblick über die von mod_auth_tkt bereitgestellte "Ticketauthentifizierung" zu erhalten. Zu beiden Modulen gibt es jedoch nicht viel Dokumentation.

Die im Cookie enthaltenen Informationen sind jedoch einfach, sodass es nicht allzu schwierig zu sein schien.

Es ist die Hauptinformationsquelle ...

• mod_auth_tkt ist man mod_auth_tkt, und Sie können die meisten notwendigen Informationen für die Einstellung erhalten.
• Oder so ähnlich http://linux.die.net/man/3/mod_auth_tkt
• Ich habe die Quelle von mod_auth_tkt nicht gesehen
• AuthTkt ist eine kleine Information in einem Kreis. Lesen Sie daher die ursprüngliche Implementierung von Perl (AuthTkt ist ein Port) oder lesen Sie die Kommentare zum Quellcode.
• Sie können die Quelle von AuthTkt lesen oder in einer interaktiven Umgebung Hilfe leisten (authtkt.AuthTicket).
• Die Implementierung ist jedoch noch nicht abgeschlossen, daher sollte es schwieriger sein, einen Blick auf die Quelle zu werfen | д ﾟ)

In diesem Artikel werde ich nur eine Übersicht schreiben.

mod_auth_tkt / AuthTkt ist gut!

Der Ticketaussteller (diesmal die Django-Site) und der Ticket-Konsument (diesmal ein bestimmtes Verzeichnis in Apache) Teilen Sie Folgendes:

• Gemeinsames Geheimnis (TKTAuthSecret)
• Generieren Sie es entsprechend. Eine insgesamt (dies kann je nach Verwendungsmuster ein großes Problem sein)
• Hash-Algorithmus (TKTAuthDigestType)
• Der Standardwert ist MD5
• AuthTkt unterstützt nur MD5
• Cookie-Name (muss nicht standardmäßig mit "auth_tkt" geändert werden)
• Cookie-Domain (wenn Sie möchten)

Während der Freigabe dieser beiden, der Ticketaussteller

• Gemeinsames Geheimnis
• Hash-Algorithmus
• Nutzername
• IP Adresse
• Token (0 oder mehr Zeichenfolgen, später beschrieben)
• Eine solche

Speichern Sie das Ticket als Cookie basierend auf. Sie werden nebeneinander aufgelistet, aber um es richtig zu erklären, sind das "Common Secret" und der "Hash-Algorithmus" erforderlich, wenn Sie ein Ticket erstellen. Andererseits sind "Benutzername" und "IP-Adresse" die im Ticket (Cookie) enthaltenen Informationen.

Apache verwendet den Namen des Cookies und ein gemeinsames Geheimnis, um das Ticket und zu überprüfen

• Ist es der gewünschte Benutzername?
• Wird die IP-Adresse geändert?
• Ist das Token das, was Sie erwartet haben?

Bestätigen Sie beispielsweise und führen Sie die Authentifizierung / Autorisierung durch.

Sie können auf beiden Seiten mehrere Token angeben (dies ist nicht erforderlich). Wenn der Verbraucher des "admin" -Tokens erwartet Der Aussteller muss das "admin" -Token in das Ticket eingebettet haben. Ich denke, wir können eine gewisse Zugangskontrolle erreichen. (Da ich jedoch nur ein gemeinsames Geheimnis haben kann, fühlt es sich so an, als wäre etwas verrückt, selbst wenn ich damit eine Gatchigachi-ACL mache.)

Es scheint, dass Sie den Gültigkeitsbereich und das Ablaufdatum des Tickets detailliert angeben können. Es ist nicht der Umfang dieses Artikels.

Vorbereitung der Umwelt

# apt-get install mod_auth_tkt
# pip install -U AuthTkt

Beispiel für eine Apache-Seiteneinstellung

Es gibt also einige Beispiele auf der Manpage von mod_auth_tkt Ich denke, es ist besser, es zu sehen ...

TKTAuthSecret "Ukaga"

<Directory /opt/griflet/data/result/>
    AuthType None
    TKTAuthLoginURL http://example.com/django/issue_ticket
    TKTAuthDomain example.com
    TKTAuthDebug 3
</Directory>

Für Debian gibt es in /etc/apache2/mods-enabled/auth_tkt.conf einen Abschnitt, in dem ein TKTAuthSecret geschrieben werden soll.

Wenn TKTAuthDebug angehängt ist, wird in error.log ein Fehler angezeigt. Alle Erklärungen werden auf der Manpage angezeigt.

Beispiel für die Implementierung auf der Django-Seite

Insbesondere besteht eine hohe Wahrscheinlichkeit, dass die Cookie-Einstellungen vorerst eher schlampig sind. (urls.py oder alles andere weggelassen)

@login_required
def issue_ticket(request):
    user = request.user
    # http://stackoverflow.com/questions/4581789/how-do-i-get-user-ip-address-in-django
    ip = utils.get_client_ip(request)
    token = authtkt.AuthTicket(TKT_AUTH_SECRET,
                               user.username,
                               ip,
                               tokens=['user'])
    # TODO:Lassen Sie uns umleiten
    response = render(request, '{}/hello.html'.format(NAMESPACE), {})
    response.set_cookie('auth_tkt', token.cookie_value(),
                        domain=TKT_AUTH_DOMAIN)
    return response

Obwohl es in TODO geschrieben ist, werden Sie beim Zugriff auf "TKTAuthLoginURL" ohne Ticket auf diese Seite weitergeleitet, wobei die Rückgabe-URL "back" in der Abfrage festgelegt ist. Lassen Sie uns für den Benutzer umleiten

Referenz

Es gibt viele verwirrende Module, insbesondere auf der Seite der Python-Implementierung

• django-authtkt Nicht mit diesem Modul verbunden
• mod_auth_pubtkt Nicht mit diesem Modul verbunden
• Sie können es mit auth_tkt pip finden, aber das ist auch irrelevant
• AuthTkt Dies ist das in diesem Artikel verwendete Modul

Bitte entscheiden Sie, welches besser ist. Wenn sich die Spezifikationen auf der Verbraucherseite (Apache) jedoch nicht geändert haben, sollte es praktisch keinen Unterschied geben, was zu tun ist.

Herausforderungen, die ich fühlte

• mod_auth_tkt: Kürzlich nginx, richtig?
• AuthTkt: Nur MD5 ...
• Erstens gibt es ein gemeinsames Geheimnis im Webserver ...

Es scheint, dass es viele Leute gibt, die denken, dass der kleine Maßstab, über den wir diesmal nachdenken, in Ordnung ist, aber dass es ein großer Maßstab ist.

Zusammenfassung

Es wird einfacher sein herauszufinden, ob Sie sich daran erinnern, dass Sie das auch können.

Nachtrag (10.01.2014)

Aufgrund etwas mehr Nachforschungen berichte ich auch, dass dies nicht meinem Zweck entsprach.

Angenommen, Sie erstellen eine Django-Website, auf der mehrere Projekte dynamisch erstellt und ausgeblendet werden (z. B. Projektmanagement). Zu diesem Zeitpunkt möchte ich für jedes Projekt verschiedene Arten von Tickets ausstellen und die herunterladbaren Dateien entsprechend der Art des Tickets ändern.

Dies kann nicht allein mit Apaches mod_auth_tkt durchgeführt werden.

Insbesondere erlaubt die aktuelle Implementierung von mod_auth_tkt in keiner Weise Variablen in TKTAuthToken. Selbst wenn Sie die Apache-Umgebungsvariable mit SetEnvIf festlegen, können Sie sie anscheinend zumindest in der verifizierten Version nicht abrufen. Ich habe mir den Quellcode angesehen, aber es gibt wieder keine Logik, um damit umzugehen.

Ich habe von X-SendFile gehört, also werde ich es versuchen.