Está en la página 1de 6

Prctica 6.3.c.: Servidores Web con control de acceso y autenticacin.

- Objetivo: Limitar acceso al servidores web virtuales en la misma mquina aplicando mecanismos de control de acceso sobre los servidores Web virtuales. - Procedimiento: Leer el captulo 5 de la "Gua de supervivencia Apache" Leer el captulo "Ms Opciones" del Curso de Vctor Fuster. Aplicar mecanismos de control de acceso sobre alguno de los servidores Web virtuales creados en prcticas anteriores. - Desarrollo: Vamos distinguir dos modos de dar seguridad a nuestros servidores web virtuales: por control de acceso (por IPs) y por autenticacin (por usuario). 1. Distinguir entre control de acceso y la autenticacin. Control de acceso, allow o deny por IP de mquina. Autenticacin: A la hora de conectarnos a la mquina, nos aparecer un cuadro pidindonos usuario y contrasea.

a) Enumera las Directivas para el control de acceso.

Allow Controla qu clientes pueden acceder al recurso protegido. Pueden establecerse controles por IP, subred y nombres de dominios. Deny Controla qu clientes no pueden acceder al recurso protegido. Pueden establecerse controles por IP, subred y nombres de dominios. Order Establece en qu orden se aplican las directivas Allow y Deny. Los valores posibles son Deny, Allow, Deny y MutualFailure. La ltima prevalece.

b) Enumera las Directivas de Autenticacin.

AuthType Establece el tipo de autenticacin de usuario que se utilizar. Los valores posibles son Basic y Digest. AuthName Establece el nombre para el espacio protegido. AuthUserFile Establece el fichero del servidor que guarda la informacin de usuarios y sus contraseas encriptadas (para autenticacin Bsica). AuthDigestFile Establece el fichero del servidor que guarda la informacin de usuarios y sus digests (para autenticacin Digest). AuthGroupFile

Establece el fichero del servidor que guarda la informacin de grupos de usuarios (para autenticacin Bsica). Require Establece qu usuarios podrn acceder al recurso protegido. Los valores posibles son: user, group, valid-user o cualquier combinacin de ellos. Al utilizar user y/o group, debe aadirse una lista separada por espacios con los nombres de los usuarios y/o los grupos autorizados.
2. Indica qu mdulos has necesitado activar. He activado el mdulo auth_digest con: a2enmod auth_digest 3. Realiza la prctica con el servidor web virtual 'cisco' creado en las prcticas anteriores. Indica IP y nombre completo del servidor y del cliente (IP y/o nombre) IP Serv: 192.168.0.254 Nombre Serv: HPG62 IP Client: 192.168.0.204 Nombre Client: clienteUbntu

4. Control de acceso: realiza los cambios pertinentes en la configuracin para denegar acceso por IP de una de tus mquinas clientes. Debes probar que el cliente tenga acceso a la pgina inicial del servidor web cisco pero impedir el acceso a un directorio concreto (ejemplo a un determinado captulo del curso). Segn la documentacin:

Editamos el site al que queramos aplicar la seguridad (/etc/apache2/sitesavaible/CISCO) Debemos aadir las lneas: Allow from 192.168.0.0/255.255.0.0 (para que permita a todos los clientes de la red). Deny from 192.168.0.254 (para denegar el acceso al cliente en particular) Order allow, deny (para ordenar que primero permita, y luego deniegue).

Hay que aadir a <Directory /var/www/CISCO/courses> para que no tenga permiso para acceder a courses Reiniciamos el servidor $sudo /etc/init.d/apache2 restart y probamos que no accede desde el cliente.

5. Autenticacin DIGEST por usuario (mediante un fichero de cuentas de usuario). 5.1. Indica qu ficheros de configuracin has modificado, qu mdulos has activado, qu has creado nuevo (ficheros, usuarios, etc) He activado el mdulo auth_digest: $sudo a2enmod auth: digest

Ordenamos que accedan todos excepto la ip 192.168.0.254. El tipo de autenticacin es Digest Y el archivo donde se guardaran los usuarios, es el /etc/apache2/userdigest Adems, tenemos que aadir la ltima lnea Require valid-user *Es importante poner la lnea de Include, para que nos aada el directorio auth_diges.load.

A continuacin creamos el usuario que queramos con la orden que se muestra en la captura:

Nos pedir una contrasea que tendremos que repetir.

Comprobamos que el sitio userdigest (que es como lo llamamos antes) se ha creado. Hacemos un cat y vemos que contiene el usuario que hemos creado.

5.2. Prueba la autenticacin de un usuario concreto.

Desde el navegador accedemos a la direccin que hayamos bloqueado: www.aulaasi.org/courses, nos pedir usuario y clave:

Si el host tiene la ip que no queremos que acceda, debe salir el error:

6. a) Qu indica el cdigo de estado 401 que devuelve el navegador? Cundo te ha ocurrido? Error, no tienes autorizacin. Es el error de autenticacin. Si accedo con un usuario que no est en el sistema, aparecer este error.

b) Qu indica el cdigo de estado 403 que devuelve el navegador? Cundo te ha ocurrido? No tienes permiso, aparece un FORBIDDEN.