例:

mod_authz_groupfile プレーンテキストファイルを用いたグループ承認 Base mod_authz_groupfile.c authz_groupfile_module Apache 2.1 以降

このモジュールは認証されたユーザがグループのメンバーか否かによってウェブサイトの一部へのアクセスを許可するか拒否するかの承認機能を提供します。同様の機能は mod_authz_dbm によっても提供されています。

Require Satisfy AuthGroupFile 証認に使用するユーザグループの一覧が格納されている、テキストファイルの名前を設定する AuthGroupFile file-path directory.htaccess AuthConfig

AuthGroupFile ディレクティブは、証認に使用するユーザグループの一覧が格納されている、テキストファイルの名前を設定します。 file-path はグループファイルへのパスです。絶対パスでなければ、 ServerRoot からの相対パスとして扱われます。

グループファイル各行は、グループ名、コロン、そしてスペース区切りでそのメンバーのユーザ名を記述します。

例: mygroup: bob joe anne

大きなファイルを探索するのは、非常に効率が悪いという点に注意してください。そのような場合は、 AuthDBMGroupFile の方がずっと良い性能を発揮します。

セキュリティ

AuthGroupFile は、ウェブサーバのドキュメントツリーの外側に保管するようにしてください。保護しようとしているディレクトリ以下には、置かないで下さい。そうしないとクライアントが AuthGroupFile をダウンロードできてしまう可能性があります。

AuthzGroupFileAuthoritative 承認が下位のモジュールに渡されるかどうかを設定する AuthzGroupFileAuthoritative On|Off AuthzGroupFileAuthoritative On directory.htaccess AuthConfig

AuthzGroupFileAuthoritative ディレクティブを明示的に Off に設定すると userID に対応する グループがない場合に、 (module.c で定義されている) 下位のモジュールにグループ承認を渡すことを許可します。

デフォルトでは制御は渡されず、未知のグループの場合は Authentication Required 応答が返されます。ですから、これを設定しないとシステムを安全に保つことができ、NCSA 互換の振る舞いをさせることになります。

セキュリティ

ユーザの .htaccess ファイルで他の承認手段への委譲ができるようにすることの意味するところは十分に考慮しておいてください。そしてそれが、本当に望む挙動であることを確かめてください。通常は一つの .htpasswd ファイルを安全にする方がより多くのアクセスインタフェースを持つかもしれないデータベースを安全にするよりも簡単です。