Apache mod_auth_tkt et Python AuthTkt

Fraîcheur des informations

• À partir du 08/01/2014
• Debian GNU/Linux 7.3 (wheezy)
• Python 2.7 (via apt-get)
• AuthTkt 0.3.2 (via pip)
• mod_auth_tkt 2.1.0-6 (via apt-get)
• django 1. quelque chose

Contexte

• Il y avait un site Web fait avec django
• Chaque page de django est correctement authentifiée et autorisée.
• Les fichiers statiques sont gérés par Apache, pas sous le contrôle de django
• Les fichiers statiques étaient du thé boueux avec une authentification BASIC indépendante
• J'ai essayé d'utiliser l'authentification de django directement, mais ... je ne suis pas sûr :-(
• Si vous ne passez pas l'authentification django lors de l'accès à un fichier statique, redirigez vers django, J'aurais aimé pouvoir le faire, mais je ne l'ai pas trouvé.
• J'ai entendu parler de l'existence d'un système d'authentification "par ticket"
• Je pensais l'utiliser

À propos des documents associés

Tout d'abord, c'est un document de pêche pour avoir un aperçu de "l'authentification par ticket" fourni par mod_auth_tkt. Cependant, il n'y a pas beaucoup de documentation sur les deux modules.

Cependant, les informations contenues dans le cookie sont simples, donc cela ne semble pas trop compliqué.

C'est la principale source d'information ...

• mod_auth_tkt est man mod_auth_tkt, et vous pouvez obtenir la plupart des informations nécessaires pour le paramétrage.
• Ou quelque chose comme ça http://linux.die.net/man/3/mod_auth_tkt
• Je n'ai pas vu la source de mod_auth_tkt
• AuthTkt est une boucle et moins informative, donc soit référez-vous à l'implémentation originale de Perl (AuthTkt est un port), soit regardez les commentaires dans le code source.
• Vous pouvez lire la source d'AuthTkt, ou vous pouvez faire de l'aide (authtkt.AuthTicket) dans un environnement interactif.
• Cependant, l'implémentation n'étant pas terminée, il devrait être plus difficile d'avoir un aperçu de la source | д ﾟ)

Dans cet article, je n'écrirai qu'un aperçu.

mod_auth_tkt / AuthTkt est bon!

L'émetteur du ticket (cette fois le site django) et le consommateur du ticket (cette fois un répertoire spécifique dans Apache) Partagez ce qui suit:

• Secret commun (TKTAuthSecret)
• Générez-le de manière appropriée. Un au total (cela peut être un gros problème selon le modèle d'utilisation)
• Algorithme de hachage (TKTAuthDigestType)
• La valeur par défaut est MD5
• AuthTkt prend uniquement en charge MD5
• Nom du cookie (n'a pas besoin d'être changé avec "auth_tkt" par défaut)
• Domaine du cookie (si vous le souhaitez)

Tout en partageant ces deux, l'émetteur du billet

• Secret commun
• Algorithme de hachage
• Nom d'utilisateur
• Adresse IP
• Jeton (0 ou plusieurs chaînes de caractères, décrites plus loin)
• Tel

Enregistrez le ticket en tant que cookie basé sur. Ils sont alignés, mais pour bien l'expliquer, "secret commun" et "algorithme de hachage" sont nécessaires lors de la création d'un ticket. Par contre, "nom d'utilisateur" et "adresse IP" sont les informations contenues dans le ticket (cookie).

Apache utilise le nom du cookie et un secret commun pour vérifier le ticket et

• Est-ce le nom d'utilisateur que vous souhaitez?
• L'adresse IP a-t-elle été modifiée?
• Le jeton est-il ce à quoi vous vous attendiez?

Confirmez par exemple et effectuez l'authentification / l'autorisation.

Vous pouvez spécifier plusieurs jetons des deux côtés (ce n'est pas nécessaire). Si le consommateur du jeton "admin" attend L'émetteur doit avoir le jeton «admin» intégré dans le ticket. Je pense que nous pouvons réaliser un certain contrôle d'accès. (Cependant, comme je ne peux avoir qu'un seul secret commun, j'ai l'impression que quelque chose est fou même si je fais une ACL Gatchigachi avec ça.)

Il semble que vous puissiez spécifier en détail la plage de validité et la date d'expiration du ticket, Ce n'est pas la portée de cet article.

Préparer l'environnement

# apt-get install mod_auth_tkt
# pip install -U AuthTkt

Exemple de configuration côté Apache

Il y a pas mal d'exemples sur la page de manuel de mod_auth_tkt, donc Je pense qu'il vaut mieux le voir ...

TKTAuthSecret "Ukaga"

<Directory /opt/griflet/data/result/>
    AuthType None
    TKTAuthLoginURL http://example.com/django/issue_ticket
    TKTAuthDomain example.com
    TKTAuthDebug 3
</Directory>

Pour Debian, il y a une section dans /etc/apache2/mods-enabled/auth_tkt.conf qui devrait écrire un TKTAuthSecret.

Si TKTAuthDebug est attaché, une erreur apparaîtra dans error.log. Toutes les explications sont jetées sur la page de manuel.

exemple d'implémentation côté django

En particulier, il est fort possible que les paramètres des cookies soient plutôt bâclés, mais pour le moment. (urls.py ou tout le reste est omis)

@login_required
def issue_ticket(request):
    user = request.user
    # http://stackoverflow.com/questions/4581789/how-do-i-get-user-ip-address-in-django
    ip = utils.get_client_ip(request)
    token = authtkt.AuthTicket(TKT_AUTH_SECRET,
                               user.username,
                               ip,
                               tokens=['user'])
    # TODO:Redirigeons
    response = render(request, '{}/hello.html'.format(NAMESPACE), {})
    response.set_cookie('auth_tkt', token.cookie_value(),
                        domain=TKT_AUTH_DOMAIN)
    return response

Bien qu'il soit écrit en TODO, lorsque vous accédez à "TKTAuthLoginURL" sans ticket, vous serez redirigé vers cette page avec l'URL de retour "back" définie dans la requête. Redirigeons pour l'utilisateur

référence

Il y a beaucoup de modules déroutants, en particulier du côté de l'implémentation Python

• django-authtkt Non lié à ce module
• mod_auth_pubtkt Non lié à ce module
• Vous pouvez le trouver avec auth_tkt pip, mais cela n'est pas non plus pertinent
• AuthTkt C'est le module utilisé dans cet article

Veuillez décider lequel est le meilleur. Cependant, si les spécifications côté consommateur (Apache) n'ont pas changé, il ne devrait y avoir pratiquement aucune différence dans ce qu'il faut faire.

Les défis que j'ai ressentis

• mod_auth_tkt: Récemment nginx, non?
• AuthTkt: MD5 uniquement ...
• En premier lieu, il y a un secret commun dans le serveur Web ...

Il semble qu'il y ait beaucoup de gens qui pensent que la petite échelle à laquelle nous pensons cette fois est acceptable, mais que c'est une grande échelle.

Résumé

Il sera plus facile de savoir si vous vous souvenez que vous pouvez également le faire.

Post-scriptum (10/01/2014)

À la suite d'un peu plus de recherche, je signale également que cela ne correspondait pas à mon objectif.

Par exemple, supposons que vous construisiez un site Web django qui crée et disparaît dynamiquement plusieurs projets (par exemple, la gestion de projet). À ce moment-là, je souhaite émettre différents types de tickets pour chaque projet et modifier les fichiers téléchargeables en fonction du type de ticket.

Cela ne peut pas être fait avec le mod_auth_tkt d'Apache seul.

Plus précisément, l'implémentation actuelle de mod_auth_tkt n'autorise en aucune façon les variables dans TKTAuthToken. Même si vous définissez la variable d'environnement Apache avec SetEnvIf, il semble que vous ne puissiez pas l'obtenir au moins dans la version vérifiée. J'ai regardé le code source, mais encore une fois, il n'y a pas de logique pour le gérer.

J'ai entendu parler de X-SendFile, alors je vais l'essayer.