AUTHORIZER parameter* == AUTHORIZER=authServList[@realmValue][:connMap] authServList == [authForw,]authServ[,authServ]* | & | * authForw == -map{inPat}{localPat}{fwdPat} | -strip | -fwd authServ == authHost[/portNum][(reprUser)] authHost == hostName | hostAddr realmValue == word | {words separated with space} connMap == ProtoList:dstHostList:srcHostList -- default: none -- 制限: Telnet, FTP, NNTP, SMTP, IMAP, Socks, SockMux および、HTTP に、適用可能
注記: auth-server により認証されたクライアントは、そのクライアントホストが、 他のアクセス制御 (RELIABLE と PERMIT) を通過しない場合、許可されません。 認証された全クライアントを、そのホストを無視して許可したい場合、 RELIABLE="-a/*" のように指定します。 この用途で、RELIABLE="*" も動作しますが、DeleGate と設定変更で使うのは危険です。
connMap に追加するとき、認証サーバーは、 対象プロトコル、サーバーホスト、クライアントホストの組合わせで、条件付で選択できます。 authServList は、認証サーバー名、または、認証サーバーのホスト名リストです。 authServList の後ろに、"@realmValue" が付く場合、 その値は、HTTP-DeleGate における、保護空間の領域指定に使えます。 それは、それぞれの MOUNT ポイントに対して、マウントオプション "realm=realmValue" で上書き可能です。
現在、リモート認証/権限付与サーバーのプロトコルは、 FTP プロトコルの USER/PASS コマンドです。 このように、DeleGate の認証/権限付与サーバーには、 任意の実在の FTP サーバーを使用できます。 他の方法として、DeleGate 自らが持つ 認証/権限付与のためのリストは、 -Fauth 機能により管理できます。
次のように、組み込み auth-server を authServ として使用します:
例)
例)
コマンドによる認証の結果は、その出力文字列か、終了コードで表されます。
コマンドはその標準出力に結果を FTP プロトコルでのステータス応答形式で表し、
成功時 "230"、失敗時 "530" です。
他の場合、プロセスの終了コードが使われ、0 が成功、0 以外が失敗です。
例) ユーザー名を引数で渡し、パスワードを環境変数で渡す。
[myauth コマンドの内容]
//ダイジェスト認証をクライアントと行う HTTP プロキシー、または、サーバー
SERVER=http AUTHORIZER=-dgauth
// クライアントと、APOP 認証を行う、POP プロキシー
SERVER=pop MOUNT="* pop://server/*" AUTHORIZER=-dgauth
注記: ほとんどの PAM 認証の実行には、Unix 上のスーパーユーザー特権
(OWNER="root" オプション付加) が必要です。
しかし、DGROOT/subin/ に
外部プログラム "dgpam" をインストールすることで、
スーパーユーザー特権をともなう DeleGate を実行することを避けられます。
PAM 認証は、リモート PAM サーバーに委任することもできます。
AUTHORIZER="-list{u1:p1,u2:p2}(local),-pam,-none(anonymous)"
// ユーザーは、"local" または PAM でのユーザー、またはその他の "anonymous"
// として認証されます。
AUTHORIZER="-cmd{myauth %U}{MYPASS=%P}"
#!/bin/sh
if [ "$1" = "user1" -a "$MYPASS" = "pass1" ]; then
echo "230 SUCCESS"
else
echo "530 FAILURE"
fi
"-map" プリフィックスは、入ってくる USER と PASS の認証情報 (inPat パターンで)
を分離し、一対の認証(1つは authServList (localPat 内の) によりローカルで使われ、
他は (fwdPat 内の) サーバーに転送されます) にします。
一致または生成される各認証情報は、"username:password" として一対の
ユーザー名とパスワード文字列であらわされます。
fwdPat により生成されるユーザー名文字列が "@Host" で終わる場合、
それは取り除かれ、Host は対象サーバーとして使われます。
文字列は共通仕様フォーマットパターン (MOUNT でのマッチングパターンで使われる) に一致した形式で生成されます。
(例) -strip
(例) -fwd
u1 または PAM によるローカル認証 <-- USER user1 + PASS pass1
サーバー h2 に送られる <-- USER user2 + PASS pass2
(例)
上記例1で見せたのは、"-strip" が、USER "u1@u2@u3@h3@h2@h1" と PASS "p1@p2@p3"
として、ユーザー名とパスワードの多重化に使うということ。
USER と PASS の '@' より前の最初の部分を取り除きローカル認証に使い、
USER 内の '@' 以降の最後の部分は対象サーバーとして、残りの文字列は対象サーバーに転送されます。
"-fwd" 指定は、同じ USER と PASS をローカル認証と、サーバーとの認証の両方に使います。
認証されたユーザーに権限を与えない必要があるときのみ、 authServList として、以下の特別な名前が便利でしょう。
例)