Linux高级管理——web网站服务（二）

vi一、httpd服务的控制访问：

为了更好地控制对网站资源的访问，可以为特定的网站目录添加访问授权。本节将分别介绍客户机地址限制、用户授权限制，这两种访问控制方式都应用于httpd ,conf配置文件中的目录区域范围内。

1.1 客户机地址限制：

通过Require配置项，可以根据主机的主机名或IP地址来决定是否允许客户端访问。在httpd服务器的主配置文件的<Location>，<Directory>、<Files>、<Limit>配置段中均可以使用Require配置项来控制客户端的访问。使用Require配置项时．需要设置客户机地址以构成完整的限制策略，地址的形式可以是Р地址．网络地址、主机名或域名．使用名称“all”时表示任意地址。 

Require all granted:表示允许所有主机访问。

Require all denied;表示拒绝所有主机访问。

Require local;表示仅允许本地主机访问。

Require [not] host<主机名或域名列表>:表示允许或拒绝指定主机或域访问。

Require [not] ip<ip地址或网段列表>:表示允许或拒绝指定『地址或网段访问。
 

1.2 用户授权限制：

 基于用户的访问控制包含认证（Authentication)和授权（Authorization)两个过程，定Apache 允许指定用户使用用户名和密码访问特定资源的一种方式。认证是指识别用户身份的过程，授权是指允许特定用户访问特定目录区域的过程.
httpd服务器支持使用摘要认证（Digest〉和基本认证(Basic）两种方式．使用摘要认证需要在编译httpd 之前添加“—-enable—auth-digest”选项，但并不是所有的浏览器都支持摘要认证，而基本认证是httpd服务的基本功能,不需要预先配置特别的选项.

AuthName:定义受保护的领域名称，该内容将在浏览器弹出的认证对话框中显示。

AuthType:设置认证的类型，Basic表示基本认证。

AuthUserFile:设置用于保存用户账号．密码的认证文件路径.

Require valid-user:要求只有认证文件中的合法用户才能访问。其中,valid-user表示所有合法用户．若只授权给单个用户，可改为指定的用户名（如webadmin) .

二、构建虚拟web主机： 

 虚拟Web主机指的是在同一台服务器中运行多个Web站点,其中的每个站点实际上并不独立占用整个服务器，因此被称为“虚拟”Web主机。通过虚拟Web主机服务可以充分利用服务器的硬件资源,从而大大降低网站构建及运行成本.

基于域名:为每个虚拟主机使用不同的域名，但是其对应的Р地址是相同的。例如，www , bdqn1 , com 和 www , bdqn2 .com站点的P地址都是173.17.17.11。这是使用最为普遍的虚拟Web主机类型。
基于P地址:为每个虚拟主机使用不同的域名，且各自对应的IP地址也不相同。这种方式需要为服务器配备多个网络接口，因此应用并不是非常广泛。
基于端口:这种方式并不使用域名.P地址来区分不同的站点内容，而是使用了不同的TCP端口号，因此用户在浏览不同的虚拟站点时需要同时指定端口号才能访问。

2.1 基于域名的虚拟主机：
为虚拟主机提供域名解析
首先需要向DNS服务提供商注册各虚拟Web站点的域名．以便当访问其中任何一个虚拟Web站点时，最终访问的都是同一个P地址——实际支撑所有虚拟Web站点的服务器的IP地址。 

为主配置文件named.conf添加区域 ：

[root@dnssvr ~]# vi /etc/named.conf

zone "bdqn.com" IN {
    type master;
    file "bdqn.com.zone";
};


zone "jbit.com" IN {
    type master;
    file "jbit.com.zone";
};

 为虚拟主机准备网页文档：

[root@xiao ~]# mkdir -p /var/www/html/bdqncom
[root@xiao ~]# mkdir -p /var/www/html/jbitcom
[root@xiao ~]# echo "<h1>www.bdqn.com</h1>"> /var/www/html/bdqncom/index.html
[root@xiao ~]# echo "<h1>www.jbit.com</h1>"> /var/www/html/jbitcom/index.html

2.2 基于IP地址、基于端口的虚拟主机：

基于IP地址的虚拟主机
对于基于Р地址的虚拟主机.每个虚拟Web主机各自使用不同的Р地址，但是都通过同一-台httpd 服务器对外提供Web浏览服务。正因为如此．用来支撑这些虚拟Web主机的服务器也就需要有大量的网络接口，这在实际应用中往往不太方便．所以基于Р地址的虚拟主机并不像基于域名的虚拟主机那样应用广泛。

基于端口的虚拟主机
基于端口的虚拟主机通常只用于同-个Web站点．其针对的网站名称.Р地址往往是相同的，但通过不同的TCP端口来提供访问不同网页内容的服务入口。在浏览器中访问非80端口的 Web服务器时．需要明确指出服务器的端口号．

三、实验案例：（基于域名的虚拟 Web主机）

3.1 实验需求：

 某公司的网站服务器使用的公网Р地址为210.188,201,72，并使用该Р地址注册了两个域名www ,bdan.com和www , jbit , com。服务器中已经安装好了CentOS 7操作系统，并通过源码编译的方式安装了Web服务器软件 httpd—2.4.25，现需要对 httpd服务进行配置，以支持同时运行这两个Web站点。

站点www , bdqn . com的网页文档存放在服务器的/var / www/html/bdancom目录下。

[root@xiao ~]# echo "<h1>www.bdqn.com</h1>"> /var/www/html/bdqncom/index.html

站点www . jbit . com 的网页文档存放在服务器的/var / www /html / jbitcom目录下。

[root@xiao ~]# echo "<h1>www.jbit.com</h1>"> /var/www/html/jbitcom/index.html

构建基于域名的虚拟主机服务器．用于支撑以上两个Web 站点。

其中 www . jbit , com站点只对公司内部员工开放alan、agou，访问时需进行用户认证。