2、内网OA服务器地址:172.16.0.6 ,OA类型B/S;
3、WEB服务器类型:Win2003 操作系统,Apache服务器 ;
目标:1、将内部OA服务器发布到互联网络,实现出差人员和分公司人员的访问;
2、因OA系统自身安全性不高,各用户密码复杂性达不到要求,避免黑客通过Apache和OA系统自身的漏洞攻击内部OA服务器;
3、实现公司内部访问不经过Apache密码验证,只要OA自身验证,外网访问必须首先通过Apache密码验证;
本人查阅大量资料,,,哈哈,,,,经过一周多的实验,终于成功,心中的那种兴奋啊。。。。大家是想像不到的。
修改的关键地方:
Apache访问网站需要密码网上资料如下:
第一步:设置httpd.conf文件,主要是Directory部分;
第二步:建立.htaccess文件,将这个文件放到需要实现验证的目录下;
第三步:通过Apache自带的命令htpasswd产生.htpasswd密码存放文件 ,并将这个文件放到你需要实现验证的目录下。
这种方式有一个不好的地方,客户端每次访问网站,服务器都会在当前目录及下级目录中查找.htaccess文件,如果下级目录比较多和访问量比较大的情况下会会影响服务器性能。
我经过研究实现的方法:
1、httpd.conf 文件中修改如下:
#
<Directory "d:/oa/webroot/"> (#目录一定要用绝对目录,并且用半角的引号)
Options Indexes followsymlinks
AllowOverride AuthConfig (#以上两行的意思是打开APACHE服务器的验证功能)
Order deny,allow
allow from 172.16. (#允许172.16.0.0网段的访问,即允许LAN内的用户不需要密码访问)
deny from all (#拒绝其他)
</Directory>
#
<Location>
AuthName "为保障OA系统安全,请输入你的用户名和密码,任何问题请联系资讯部!"
AuthType Basic (#认证类型,一般选择BASIC)
AuthUserFile d:/oa/webroot/.htpasswd (#指定密码存放文件的目录,用绝对目录)
Require valid-user (#验证类型,是有效用户访问,还是特定用户访问)
satisfy any (别忘了最后一句)
</Location>
#
** <Location>项的东西其实就是.htaccess文件的内容。
修改注意事项,(1)、httpd.conf文件中不能有任何全角的内容,包括引号;
(2)、httpd.conf文件中网段用172.16. 标识,不能用172.16.0.0,或者172.16.0.0 255.255.0.0;
2、.htpasswd文件的生成和建立
其实如果不用.htpasswd文件也是可以的,可以建立一个.TXT的文件,格式如下:
user:password
但.htpasswd的文件经过md5加密,就是下载下来也没法识别,并且APACHE默认将.ht开头的文件只能本地访问。
命令格式:htpasswd -c d:/oa/webroot/.htpasswd nd
第一次要用到-c参数,因为要新生成文件,会自动提示输入密码的。
htpasswd -m .htpasswd nd 修改密码
一切都OK后,重启APACHE服务器,访问网址,就要求输入用户名和密码了。
如果密码错误或者不输入密码:
Authorization RequiredThis server could not verify that you are authorized to access the document requested. Either you supplied the wrong credentials (e.g., bad password), or your browser doesn't understand how to supply the credentials required.
以下部分转自网友chenjx的文章,与我的方案大同小异,供大家学习参考:
启用APACHE认证,防止通达后门(2008-2-3已更新)现在很多网友都害怕通达的后门,为了解决这个问题,可以采用二种方法:
一,通过VPN连到内网进行操作,操作较复杂,(下次再写);
二,在通达OA登陆前再设置一道认证。建议所有在外网使用通达OA的用户应用。具体操作方法如下:
2008-2-3更新
www.icixi.com还有更简单的方法。直接修改http.conf达到认证的方法。
在http.conf中最下面添加下面的代码,重启apache即可。
www.icixi.com复制内容到剪贴板 代码:<Directory />
AuthUserFile d:/myoa/webroot/.htpasswd
AuthName "OA系统登陆"
AuthType Basic
require valid-user
Satisfy any
Order Deny,Allow
Deny from all
Allow from 220.136.65.41 192.168.0
#Allow from 代表指定IP允许访问,192.168.0代表IP段,代表192.168.0.1~254的所有IP地址
</Directory>
再操作下面的第三步,创建.htpasswd文件
不用修改AllowOverride指令,而且性能会更好。(官方推荐)
www.icixi.com只要设置允许IP地址段,OA精灵无法访问的问题也就解决了。
www.icixi.com
以前的方法:TONGDA--OA非官方论坛www.icixi.com
www.icixi.com一,修改d:\myoa\conf\httpd.conf,修改如下 复制内容到剪贴板 代码:<Directory />
Options FollowSymLinks
AllowOverride ALL
</Directory>
# 将AllowOverride None 改成 AllowOverride ALL
改成AllowOverride AuthConfig 更好TONGDA--OA非官方论坛www.icixi.com
修改完成后,重启一下APACHE,才生效。
二,创建.htaccess文件
打开记录本,写入以下文件,保存成.htaccess文件(路径:d:/myoa/webroot/) 复制内容到剪贴板 代码:AuthUserFile d:/myoa/webroot/.htpasswd
AuthName "OA系统登陆"
AuthType Basic
<Limit GET>
require valid-user
</Limit>
保存的注意事项:先(设置文件夹选项》查看》隐藏已知文件的扩展名 的勾去掉),在保存类型上选择“所有文件“,也可以在DOS中 用
edit .htaccess 的方法编辑保存。
www.icixi.com三,创建.htpasswd文件,用户名及密码保存在这个文件中。附件提供htpasswd.exe文件,用来生成密码文件
(路径:d:/myoa/webroot/)
www.icixi.comhtpasswd -c d:\myoa\webroot\.htpasswd chenTONGDA--OA非官方论坛www.icixi.com
(增加用户 htpasswd d:\myoa\webroot\.htpasswd chen)
现在已经启用apache目录访问身份验证,可以测试一下你的OA系统了,是否出现登陆对话框。
www.icixi.com本贴地址:http://www.icixi.com/thread-2107203-1-1.html (转贴请附上本地址)
附件webroot.rar中是.htaccess及.htpasswd文件,解压到webroot目录即可。其中的用户名是chen密码是888888,用第三步可以生成自己的用户名及密码。
附:如何删除用户,很简单,用文本编辑软件直接删除用户名及密码,如果修改,可以先删除,后增加。文本编辑软件建议用ultraedit32
TONGDA--OA非官方论坛www.icixi.com 引用:Directory作用
<Directory />
www.icixi.comOptions FollowSymLinks
AllowOverride None
www.icixi.com</Directory>
#设置/目录的指令。具体地说明:
Option:定义在目录内所能执行的操作。
None:表示只能浏览, TONGDA--OA非官方论坛www.icixi.com
FollowSymLinks:允许页面连接到别处,
ExecCGI:允许执行CGI, TONGDA--OA非官方论坛www.icixi.com
MultiViews:允许看动画或是听音乐之类的操作,
Indexes:允许服务器返回目录的格式化列表,
www.icixi.com Includes:允许使用SSI。这些设置可以复选。
All:则可以做任何事,但不包括MultiViews。
AllowOverride:加None参数表示任何人都可以浏览该目录下的文件。
www.icixi.com 另外的参数有:FileInfo、AuthConfig、Limit。
apache认证和OA精灵的问题
今天经过测试,启用认证后,OA精灵无法使用。
解决方法是
TONGDA--OA非官方论坛www.icixi.com
那么这个文件夹将不需要密码。同理,别的文件夹不需要密码的话,将这个.htaccess文件复制到该目录中。
允许内网访问,外网指定IP访问。
Satisfy any
www.icixi.comOrder Deny,Allow
www.icixi.comDeny from all
Allow from 220.136.65.41 192.168.1
TONGDA--OA非官方论坛www.icixi.com
在不需要认证的目录放一个.htaccess文件,内容是
www.icixi.comSatisfy any
www.icixi.com该目录不会出现认证,直接访问。
最新评论