このモジュールはリクエストされたファイルのファイルシステムの
所有者やグループを HTTP 認証に使われたユーザ ID (ウェブユーザ ID) と
比較することでアクセスを承認します。提供されたユーザ名とパスワードは
file-owner
と
file-group
という二つの引数を認識します:
file-owner
jones
により所有されている
と言ったときは、ウェブからのアクセスに使われるユーザ名も
jones
でなければなりません。file-group
accounts
により所有されていると言ったときは、
accounts
がグループデータベースに存在して、
リクエストに使用されたウェブユーザ名がそのグループに属している
必要があります。ファイルシステムに実際には存在しないリソース
(つまり バーチャルなリソース) の承認に
特に、コンテント ネゴシエーションされた"MultiViews" のリソースは 決して承認しません。
複数ユーザのシステムで Apache ウェブサーバが実行されていて、
~/public_html/private
に各ユーザがファイルを置いているとします。
/home/smith/public_html/private
の中のファイルは、所有者が
smith
の代わりに jones
になっていない限り、
jones
にはアクセスは許可されません。
上記のようなシステムで、数人のユーザがプロジェクトのファイルを
~/public_html/project-foo
で共有しているとします。
ファイルはシステムのグループ foo
に所有されていて、
foo
というグループに属している、とします。
jones
とsmith
の二人共がグループ
foo
のメンバである場合、どちらの人も両方の
project-foo
にアクセスが許可されます。
Off
に設定すると、以下の場合に認証が
(modules.c
で定義されている) 下位のモジュールに
渡されるようにします:
file-owner
の場合は、提供されたウェブユーザ名に
ファイルシステムの所有者が一致しないか、所有者がわからない場合。file-group
の場合は、提供されたウェブユーザ名が
ファイルシステムグループに存在しないか、わからない場合。値を Off
に設定すると、file-owner
と
file-group
を組み合わせることもできるようになり、
その場合はどちらか (両方でも) にマッチした場合にアクセスを許可されます。
デフォルトでは制御は渡されず、未知のグループの場合は Authentication
Required 応答が返されます。ですから、Off
に設定しないことで
システムを安全に保つことができ、NCSA 互換の振る舞いをさせることになります。