-<?xml version="1.0" encoding="ISO-8859-1"?>
-<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
-<html xmlns="http://www.w3.org/1999/xhtml" lang="es" xml:lang="es"><head>
-<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
+<?xml version="1.0" encoding="ISO-8859-1"?>\r
+<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">\r
+<html xmlns="http://www.w3.org/1999/xhtml" lang="es" xml:lang="es"><head>\r
+<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />\r
<!--
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
This file is generated from xml source: DO NOT EDIT
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
- -->
-<title>Autenticación y Autorización - Servidor HTTP Apache Versión 2.5</title>
-<link href="../style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" />
-<link href="../style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" />
-<link href="../style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" /><link rel="stylesheet" type="text/css" href="../style/css/prettify.css" />
-<script src="../style/scripts/prettify.min.js" type="text/javascript">
-</script>
-
-<link href="../images/favicon.ico" rel="shortcut icon" /></head>
-<body id="manual-page"><div id="page-header">
-<p class="menu"><a href="../mod/">Módulos</a> | <a href="../mod/quickreference.html">Directivas</a> | <a href="http://wiki.apache.org/httpd/FAQ">Preguntas Frecuentes</a> | <a href="../glossary.html">Glosario</a> | <a href="../sitemap.html">Mapa del sitio web</a></p>
-<p class="apache">Versión 2.5 del Servidor HTTP Apache</p>
-<img alt="" src="../images/feather.png" /></div>
-<div class="up"><a href="./"><img title="<-" alt="<-" src="../images/left.gif" /></a></div>
-<div id="path">
-<a href="http://www.apache.org/">Apache</a> > <a href="http://httpd.apache.org/">Servidor HTTP</a> > <a href="http://httpd.apache.org/docs/">Documentación</a> > <a href="../">Versión 2.5</a> > <a href="./">How-To / Tutoriales</a></div><div id="page-content"><div id="preamble"><h1>Autenticación y Autorización</h1>
-<div class="toplang">
-<p><span>Idiomas disponibles: </span><a href="../en/howto/auth.html" hreflang="en" rel="alternate" title="English"> en </a> |
-<a href="../es/howto/auth.html" title="Español"> es </a> |
-<a href="../fr/howto/auth.html" hreflang="fr" rel="alternate" title="Français"> fr </a> |
-<a href="../ja/howto/auth.html" hreflang="ja" rel="alternate" title="Japanese"> ja </a> |
-<a href="../ko/howto/auth.html" hreflang="ko" rel="alternate" title="Korean"> ko </a> |
-<a href="../tr/howto/auth.html" hreflang="tr" rel="alternate" title="Türkçe"> tr </a></p>
-</div>
-
- <p>Autenticación es cualquier proceso por el cuál se verifica que uno es
- quien dice ser. Autorización es cualquier proceso en el cuál cualquiera
- está permitido a estar donde se quiera, o tener información la cuál se
- quiera tener.
- </p>
-
- <p>Para información de control de acceso de forma genérica visite<a href="access.html">How to de Control de Acceso</a>.</p>
-</div>
-<div id="quickview"><ul id="toc"><li><img alt="" src="../images/down.gif" /> <a href="#related">Módulos y Directivas Relacionados</a></li>
-<li><img alt="" src="../images/down.gif" /> <a href="#introduction">Introducción</a></li>
-<li><img alt="" src="../images/down.gif" /> <a href="#theprerequisites">Los Prerequisitos</a></li>
-<li><img alt="" src="../images/down.gif" /> <a href="#gettingitworking">Conseguir que funcione</a></li>
-<li><img alt="" src="../images/down.gif" /> <a href="#lettingmorethanonepersonin">Letting more than one
-person in</a></li>
-<li><img alt="" src="../images/down.gif" /> <a href="#possibleproblems">Possible problems</a></li>
-<li><img alt="" src="../images/down.gif" /> <a href="#dbmdbd">Alternate password storage</a></li>
-<li><img alt="" src="../images/down.gif" /> <a href="#multprovider">Using multiple providers</a></li>
-<li><img alt="" src="../images/down.gif" /> <a href="#beyond">Beyond just authorization</a></li>
-<li><img alt="" src="../images/down.gif" /> <a href="#socache">Authentication Caching</a></li>
-<li><img alt="" src="../images/down.gif" /> <a href="#moreinformation">More information</a></li>
-</ul><h3>Consulte también</h3><ul class="seealso"><li><a href="#comments_section">Comentarios</a></li></ul></div>
-<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="section">
-<h2><a name="related" id="related">Módulos y Directivas Relacionados</a></h2>
-
-<p>Hay tres tipos de módulos involucrados en los procesos de la autenticación
- y autorización. Normalmente deberás escoger al menos un módulo de cada grupo.</p>
-
-<ul>
- <li>Modos de Autenticación (consulte la directiva
- <code class="directive"><a href="../mod/mod_authn_core.html#authtype">AuthType</a></code> )
- <ul>
- <li><code class="module"><a href="../mod/mod_auth_basic.html">mod_auth_basic</a></code></li>
- <li><code class="module"><a href="../mod/mod_auth_digest.html">mod_auth_digest</a></code></li>
- </ul>
- </li>
- <li>Proveedor de Autenticación (consulte la directiva
- <code class="directive"><a href="../mod/mod_auth_basic.html#authbasicprovider">AuthBasicProvider</a></code> y
- <code class="directive"><a href="../mod/mod_auth_digest.html#authdigestprovider">AuthDigestProvider</a></code>)
-
- <ul>
- <li><code class="module"><a href="../mod/mod_authn_anon.html">mod_authn_anon</a></code></li>
- <li><code class="module"><a href="../mod/mod_authn_dbd.html">mod_authn_dbd</a></code></li>
- <li><code class="module"><a href="../mod/mod_authn_dbm.html">mod_authn_dbm</a></code></li>
- <li><code class="module"><a href="../mod/mod_authn_file.html">mod_authn_file</a></code></li>
- <li><code class="module"><a href="../mod/mod_authnz_ldap.html">mod_authnz_ldap</a></code></li>
- <li><code class="module"><a href="../mod/mod_authn_socache.html">mod_authn_socache</a></code></li>
- </ul>
- </li>
- <li>Autorización (consulte la directiva
- <code class="directive"><a href="../mod/mod_authz_core.html#require">Require</a></code>)
- <ul>
- <li><code class="module"><a href="../mod/mod_authnz_ldap.html">mod_authnz_ldap</a></code></li>
- <li><code class="module"><a href="../mod/mod_authz_dbd.html">mod_authz_dbd</a></code></li>
- <li><code class="module"><a href="../mod/mod_authz_dbm.html">mod_authz_dbm</a></code></li>
- <li><code class="module"><a href="../mod/mod_authz_groupfile.html">mod_authz_groupfile</a></code></li>
- <li><code class="module"><a href="../mod/mod_authz_host.html">mod_authz_host</a></code></li>
- <li><code class="module"><a href="../mod/mod_authz_owner.html">mod_authz_owner</a></code></li>
- <li><code class="module"><a href="../mod/mod_authz_user.html">mod_authz_user</a></code></li>
- </ul>
- </li>
-</ul>
-
- <p>A parte de éstos módulos, también están
- <code class="module"><a href="../mod/mod_authn_core.html">mod_authn_core</a></code> y
- <code class="module"><a href="../mod/mod_authz_core.html">mod_authz_core</a></code>. Éstos módulos implementan las directivas
- esenciales que son el centro de todos los módulos de autenticación.</p>
-
- <p>El módulo <code class="module"><a href="../mod/mod_authnz_ldap.html">mod_authnz_ldap</a></code> es tanto un proveedor de
- autenticación como de autorización. El módulo
- <code class="module"><a href="../mod/mod_authz_host.html">mod_authz_host</a></code> proporciona autorización y control de acceso
- basado en el nombre del Host, la dirección IP o características de la propia
- petición, pero no es parte del sistema proveedor de
- autenticación. Para tener compatibilidad inversa con el mod_access,
- hay un nuevo modulo llamado <code class="module"><a href="../mod/mod_access_compat.html">mod_access_compat</a></code>.</p>
-
- <p>También puedes mirar el how-to de <a href="access.html">Control de Acceso </a>, donde se plantean varias formas del control de acceso al servidor.</p>
-
-</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="section">
-<h2><a name="introduction" id="introduction">Introducción</a></h2>
- <p>Si se tiene información en nuestra página web que sea información
- sensible o pensada para un grupo reducido de usuarios/personas,
- las técnicas que se describen en este manual, le servirán
- de ayuda para asegurarse de que las personas que ven esas páginas sean
- las personas que uno quiere.</p>
-
- <p>Este artículo cubre la parte "estándar" de cómo proteger partes de un
- sitio web que muchos usarán.</p>
-
- <div class="note"><h3>Nota:</h3>
- <p>Si de verdad es necesario que tus datos estén en un sitio seguro,
- considera usar <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> como método de autenticación adicional a cualquier forma de autenticación.</p>
- </div>
-</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="section">
-<h2><a name="theprerequisites" id="theprerequisites">Los Prerequisitos</a></h2>
- <p>Las directivas que se usan en este artículo necesitaran ponerse ya sea
- en el fichero de configuración principal del servidor ( típicamente en
- la sección
- <code class="directive"><a href="../mod/core.html#directory"><Directory></a></code> de httpd.conf ), o
- en cada uno de los ficheros de configuraciones del propio directorio
- (los archivos <code>.htaccess</code>).</p>
-
- <p>Si planea usar los ficheros <code>.htaccess</code> , necesitarás
- tener en la configuración global del servidor, una configuración que permita
- poner directivas de autenticación en estos ficheros. Esto se hace con la
- directiva <code class="directive"><a href="../mod/core.html#allowoverride">AllowOverride</a></code>, la cual especifica
- que directivas, en su caso, pueden ser puestas en cada fichero de configuración
- por directorio.</p>
-
- <p>Ya que estamos hablando aquí de autenticación, necesitarás una directiva
- <code class="directive"><a href="../mod/core.html#allowoverride">AllowOverride</a></code> como la siguiente:
- </p>
-
- <pre class="prettyprint lang-config">AllowOverride AuthConfig</pre>
-
-
- <p>O, si solo se van a poner las directivas directamente en la configuración
- principal del servidor, deberás tener, claro está, permisos de escritura
- en el archivo. </p>
-
- <p>Y necesitarás saber un poco de como está estructurado el árbol de
- directorios de tu servidor, para poder saber donde se encuentran algunos
- archivos. Esto no debería ser una tarea difícil, aún así intentaremos
- dejarlo claro llegado el momento de comentar dicho aspecto.</p>
-
- <p>También deberás de asegurarte de que los módulos
- <code class="module"><a href="../mod/mod_authn_core.html">mod_authn_core</a></code> y <code class="module"><a href="../mod/mod_authz_core.html">mod_authz_core</a></code>
- han sido incorporados, o añadidos a la hora de compilar en tu binario httpd o
- cargados mediante el archivo de configuración <code>httpd.conf</code>. Estos
- dos módulos proporcionan directivas básicas y funcionalidades que son críticas
- para la configuración y uso de autenticación y autorización en el servidor web.</p>
-</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="section">
-<h2><a name="gettingitworking" id="gettingitworking">Conseguir que funcione</a></h2>
- <p>Aquí está lo básico de cómo proteger con contraseña un directorio en tu
- servidor.</p>
-
- <p>Primero, necesitarás crear un fichero de contraseña. Dependiendo de que
- proveedor de autenticación se haya elegido, se hará de una forma u otra. Para empezar,
- usaremos un fichero de contraseña de tipo texto.</p>
-
- <p>Este fichero deberá estar en un sitio que no se pueda tener acceso desde
- la web. Esto también implica que nadie pueda descargarse el fichero de
- contraseñas. Por ejemplo, si tus documentos están guardados fuera de
- <code>/usr/local/apache/htdocs</code>, querrás poner tu archivo de contraseñas en
- <code>/usr/local/apache/passwd</code>.</p>
-
- <p>Para crear el fichero de contraseñas, usa la utilidad
- <code class="program"><a href="../programs/htpasswd.html">htpasswd</a></code> que viene con Apache. Esta herramienta se
- encuentra en el directorio <code>/bin</code> en donde sea que se ha
- instalado el Apache. Si ha instalado Apache desde un paquete de terceros,
- puede ser que se encuentre en su ruta de ejecución.</p>
-
- <p>Para crear el fichero, escribiremos:</p>
-
- <div class="example"><p><code>
- htpasswd -c /usr/local/apache/passwd/passwords rbowen
- </code></p></div>
-
- <p><code class="program"><a href="../programs/htpasswd.html">htpasswd</a></code> te preguntará por una contraseña, y después
- te pedirá que la vuelvas a escribir para confirmarla:</p>
-
- <div class="example"><p><code>
- $ htpasswd -c /usr/local/apache/passwd/passwords rbowen<br />
- New password: mypassword<br />
- Re-type new password: mypassword<br />
- Adding password for user rbowen
- </code></p></div>
-
- <p>Si <code class="program"><a href="../programs/htpasswd.html">htpasswd</a></code> no está en tu variable de entorno "path" del
- sistema, por supuesto deberás escribir la ruta absoluta del ejecutable para
- poder hacer que se ejecute. En una instalación por defecto, está en:
- <code>/usr/local/apache2/bin/htpasswd</code></p>
-
- <p>Lo próximo que necesitas, será configurar el servidor para que pida una
- contraseña y así decirle al servidor que usuarios están autorizados a acceder.
- Puedes hacer esto ya sea editando el fichero <code>httpd.conf</code>
- de configuración o usando in fichero <code>.htaccess</code>. Por ejemplo,
- si quieres proteger el directorio
- <code>/usr/local/apache/htdocs/secret</code>, puedes usar las siguientes
- directivas, ya sea en el fichero <code>.htaccess</code> localizado en
- following directives, either placed in the file
- <code>/usr/local/apache/htdocs/secret/.htaccess</code>, o
- en la configuración global del servidor <code>httpd.conf</code> dentro de la
- sección <Directory
- "/usr/local/apache/htdocs/secret"> section. como se muesta a continuacion:</p>
-
- <pre class="prettyprint lang-config"><Directory "/usr/local/apache/htdocs/secret">
-AuthType Basic
-AuthName "Restricted Files"
-# (Following line optional)
-AuthBasicProvider file
-AuthUserFile "/usr/local/apache/passwd/passwords"
-Require user rbowen
-</Directory></pre>
-
-
- <p>Let's examine each of those directives individually. The <code class="directive"><a href="../mod/mod_authn_core.html#authtype">AuthType</a></code> directive selects
- that method that is used to authenticate the user. The most
- common method is <code>Basic</code>, and this is the method
- implemented by <code class="module"><a href="../mod/mod_auth_basic.html">mod_auth_basic</a></code>. It is important to be aware,
- however, that Basic authentication sends the password from the client to
- the server unencrypted. This method should therefore not be used for
- highly sensitive data, unless accompanied by <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code>.
- Apache supports one other authentication method:
- <code>AuthType Digest</code>. This method is implemented by <code class="module"><a href="../mod/mod_auth_digest.html">mod_auth_digest</a></code> and was intended to be more secure. This is no
- longer the case and the connection should be encrypted with <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> instead.</p>
-
- <p>The <code class="directive"><a href="../mod/mod_authn_core.html#authname">AuthName</a></code> directive sets
- the <dfn>Realm</dfn> to be used in the authentication. The realm serves
- two major functions. First, the client often presents this information to
- the user as part of the password dialog box. Second, it is used by the
- client to determine what password to send for a given authenticated
- area.</p>
-
- <p>So, for example, once a client has authenticated in the
- <code>"Restricted Files"</code> area, it will automatically
- retry the same password for any area on the same server that is
- marked with the <code>"Restricted Files"</code> Realm.
- Therefore, you can prevent a user from being prompted more than
- once for a password by letting multiple restricted areas share
- the same realm. Of course, for security reasons, the client
- will always need to ask again for the password whenever the
- hostname of the server changes.</p>
-
- <p>The <code class="directive"><a href="../mod/mod_auth_basic.html#authbasicprovider">AuthBasicProvider</a></code> is,
- in this case, optional, since <code>file</code> is the default value
- for this directive. You'll need to use this directive if you are
- choosing a different source for authentication, such as
- <code class="module"><a href="../mod/mod_authn_dbm.html">mod_authn_dbm</a></code> or <code class="module"><a href="../mod/mod_authn_dbd.html">mod_authn_dbd</a></code>.</p>
-
- <p>The <code class="directive"><a href="../mod/mod_authn_file.html#authuserfile">AuthUserFile</a></code>
- directive sets the path to the password file that we just
- created with <code class="program"><a href="../programs/htpasswd.html">htpasswd</a></code>. If you have a large number
- of users, it can be quite slow to search through a plain text
- file to authenticate the user on each request. Apache also has
- the ability to store user information in fast database files.
- The <code class="module"><a href="../mod/mod_authn_dbm.html">mod_authn_dbm</a></code> module provides the <code class="directive"><a href="../mod/mod_authn_dbm.html#authdbmuserfile">AuthDBMUserFile</a></code> directive. These
- files can be created and manipulated with the <code class="program"><a href="../programs/dbmmanage.html">dbmmanage</a></code> and <code class="program"><a href="../programs/htdbm.html">htdbm</a></code> programs. Many
- other types of authentication options are available from third
- party modules in the <a href="http://modules.apache.org/">Apache Modules
- Database</a>.</p>
-
- <p>Finally, the <code class="directive"><a href="../mod/mod_authz_core.html#require">Require</a></code>
- directive provides the authorization part of the process by
- setting the user that is allowed to access this region of the
- server. In the next section, we discuss various ways to use the
- <code class="directive"><a href="../mod/mod_authz_core.html#require">Require</a></code> directive.</p>
-</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="section">
-<h2><a name="lettingmorethanonepersonin" id="lettingmorethanonepersonin">Letting more than one
-person in</a></h2>
- <p>The directives above only let one person (specifically
- someone with a username of <code>rbowen</code>) into the
- directory. In most cases, you'll want to let more than one
- person in. This is where the <code class="directive"><a href="../mod/mod_authz_groupfile.html#authgroupfile">AuthGroupFile</a></code> comes in.</p>
-
- <p>If you want to let more than one person in, you'll need to
- create a group file that associates group names with a list of
- users in that group. The format of this file is pretty simple,
- and you can create it with your favorite editor. The contents
- of the file will look like this:</p>
-
- <div class="example"><p><code>
- GroupName: rbowen dpitts sungo rshersey
- </code></p></div>
-
- <p>That's just a list of the members of the group in a long
- line separated by spaces.</p>
-
- <p>To add a user to your already existing password file,
- type:</p>
-
- <div class="example"><p><code>
- htpasswd /usr/local/apache/passwd/passwords dpitts
- </code></p></div>
-
- <p>You'll get the same response as before, but it will be
- appended to the existing file, rather than creating a new file.
- (It's the <code>-c</code> that makes it create a new password
- file).</p>
-
- <p>Now, you need to modify your <code>.htaccess</code> file to
- look like the following:</p>
-
- <pre class="prettyprint lang-config">AuthType Basic
-AuthName "By Invitation Only"
-# Optional line:
-AuthBasicProvider file
-AuthUserFile "/usr/local/apache/passwd/passwords"
-AuthGroupFile "/usr/local/apache/passwd/groups"
-Require group GroupName</pre>
-
-
- <p>Now, anyone that is listed in the group <code>GroupName</code>,
- and has an entry in the <code>password</code> file, will be let in, if
- they type the correct password.</p>
-
- <p>There's another way to let multiple users in that is less
- specific. Rather than creating a group file, you can just use
- the following directive:</p>
-
- <pre class="prettyprint lang-config">Require valid-user</pre>
-
-
- <p>Using that rather than the <code>Require user rbowen</code>
- line will allow anyone in that is listed in the password file,
- and who correctly enters their password. You can even emulate
- the group behavior here, by just keeping a separate password
- file for each group. The advantage of this approach is that
- Apache only has to check one file, rather than two. The
- disadvantage is that you have to maintain a bunch of password
- files, and remember to reference the right one in the
- <code class="directive"><a href="../mod/mod_authn_file.html#authuserfile">AuthUserFile</a></code> directive.</p>
-</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="section">
-<h2><a name="possibleproblems" id="possibleproblems">Possible problems</a></h2>
- <p>Because of the way that Basic authentication is specified,
- your username and password must be verified every time you
- request a document from the server. This is even if you're
- reloading the same page, and for every image on the page (if
- they come from a protected directory). As you can imagine, this
- slows things down a little. The amount that it slows things
- down is proportional to the size of the password file, because
- it has to open up that file, and go down the list of users
- until it gets to your name. And it has to do this every time a
- page is loaded.</p>
-
- <p>A consequence of this is that there's a practical limit to
- how many users you can put in one password file. This limit
- will vary depending on the performance of your particular
- server machine, but you can expect to see slowdowns once you
- get above a few hundred entries, and may wish to consider a
- different authentication method at that time.</p>
-</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="section">
-<h2><a name="dbmdbd" id="dbmdbd">Alternate password storage</a></h2>
-
- <p>Because storing passwords in plain text files has the above
- problems, you may wish to store your passwords somewhere else, such
- as in a database.</p>
-
- <p><code class="module"><a href="../mod/mod_authn_dbm.html">mod_authn_dbm</a></code> and <code class="module"><a href="../mod/mod_authn_dbd.html">mod_authn_dbd</a></code> are two
- modules which make this possible. Rather than selecting <code><code class="directive"><a href="../mod/mod_auth_basic.html#authbasicprovider">AuthBasicProvider</a></code> file</code>, instead
- you can choose <code>dbm</code> or <code>dbd</code> as your storage
- format.</p>
-
- <p>To select a dbm file rather than a text file, for example:</p>
-
- <pre class="prettyprint lang-config"><Directory "/www/docs/private">
- AuthName "Private"
- AuthType Basic
- AuthBasicProvider dbm
- AuthDBMUserFile "/www/passwords/passwd.dbm"
- Require valid-user
-</Directory></pre>
-
-
- <p>Other options are available. Consult the
- <code class="module"><a href="../mod/mod_authn_dbm.html">mod_authn_dbm</a></code> documentation for more details.</p>
-</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="section">
-<h2><a name="multprovider" id="multprovider">Using multiple providers</a></h2>
-
- <p>With the introduction of the new provider based authentication and
- authorization architecture, you are no longer locked into a single
- authentication or authorization method. In fact any number of the
- providers can be mixed and matched to provide you with exactly the
- scheme that meets your needs. In the following example, both the
- file and LDAP based authentication providers are being used.</p>
-
- <pre class="prettyprint lang-config"><Directory "/www/docs/private">
- AuthName "Private"
- AuthType Basic
- AuthBasicProvider file ldap
- AuthUserFile "/usr/local/apache/passwd/passwords"
- AuthLDAPURL ldap://ldaphost/o=yourorg
- Require valid-user
-</Directory></pre>
-
-
- <p>In this example the file provider will attempt to authenticate
- the user first. If it is unable to authenticate the user, the LDAP
- provider will be called. This allows the scope of authentication
- to be broadened if your organization implements more than
- one type of authentication store. Other authentication and authorization
- scenarios may include mixing one type of authentication with a
- different type of authorization. For example, authenticating against
- a password file yet authorizing against an LDAP directory.</p>
-
- <p>Just as multiple authentication providers can be implemented, multiple
- authorization methods can also be used. In this example both file group
- authorization as well as LDAP group authorization is being used.</p>
-
- <pre class="prettyprint lang-config"><Directory "/www/docs/private">
- AuthName "Private"
- AuthType Basic
- AuthBasicProvider file
- AuthUserFile "/usr/local/apache/passwd/passwords"
- AuthLDAPURL ldap://ldaphost/o=yourorg
- AuthGroupFile "/usr/local/apache/passwd/groups"
- Require group GroupName
- Require ldap-group cn=mygroup,o=yourorg
-</Directory></pre>
-
-
- <p>To take authorization a little further, authorization container
- directives such as
- <code class="directive"><a href="../mod/mod_authz_core.html#requireall"><RequireAll></a></code>
- and
- <code class="directive"><a href="../mod/mod_authz_core.html#requireany"><RequireAny></a></code>
- allow logic to be applied so that the order in which authorization
- is handled can be completely controlled through the configuration.
- See <a href="../mod/mod_authz_core.html#logic">Authorization
- Containers</a> for an example of how they may be applied.</p>
-
-</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="section">
-<h2><a name="beyond" id="beyond">Beyond just authorization</a></h2>
-
- <p>The way that authorization can be applied is now much more flexible
- than just a single check against a single data store. Ordering, logic
- and choosing how authorization will be done is now possible.</p>
-
- <h3><a name="authandororder" id="authandororder">Applying logic and ordering</a></h3>
- <p>Controlling how and in what order authorization will be applied
- has been a bit of a mystery in the past. In Apache 2.2 a provider-based
- authentication mechanism was introduced to decouple the actual
- authentication process from authorization and supporting functionality.
- One of the side benefits was that authentication providers could be
- configured and called in a specific order which didn't depend on the
- load order of the auth module itself. This same provider based mechanism
- has been brought forward into authorization as well. What this means is
- that the <code class="directive"><a href="../mod/mod_authz_core.html#require">Require</a></code> directive
- not only specifies which authorization methods should be used, it also
- specifies the order in which they are called. Multiple authorization
- methods are called in the same order in which the
- <code class="directive"><a href="../mod/mod_authz_core.html#require">Require</a></code> directives
- appear in the configuration.</p>
-
- <p>With the introduction of authorization container directives
- such as
- <code class="directive"><a href="../mod/mod_authz_core.html#requireall"><RequireAll></a></code>
- and
- <code class="directive"><a href="../mod/mod_authz_core.html#requireany"><RequireAny></a></code>,
- the configuration also has control over when the
- authorization methods are called and what criteria determines when
- access is granted. See
- <a href="../mod/mod_authz_core.html#logic">Authorization Containers</a>
- for an example of how they may be used to express complex
- authorization logic.</p>
-
- <p>By default all
- <code class="directive"><a href="../mod/mod_authz_core.html#require">Require</a></code>
- directives are handled as though contained within a
- <code class="directive"><a href="../mod/mod_authz_core.html#requireany"><RequireAny></a></code>
- container directive. In other words, if
- any of the specified authorization methods succeed, then authorization
- is granted.</p>
-
-
-
- <h3><a name="reqaccessctrl" id="reqaccessctrl">Using authorization providers for access control</a></h3>
- <p>Authentication by username and password is only part of the
- story. Frequently you want to let people in based on something
- other than who they are. Something such as where they are
- coming from.</p>
-
- <p>The authorization providers <code>all</code>,
- <code>env</code>, <code>host</code> and <code>ip</code> let you
- allow or deny access based on other host based criteria such as
- host name or ip address of the machine requesting a
- document.</p>
-
- <p>The usage of these providers is specified through the
- <code class="directive"><a href="../mod/mod_authz_core.html#require">Require</a></code> directive.
- This directive registers the authorization providers
- that will be called during the authorization stage of the request
- processing. For example:</p>
-
- <pre class="prettyprint lang-config">Require ip <var>address</var>
- </pre>
-
-
- <p>where <var>address</var> is an IP address (or a partial IP
- address) or:</p>
-
- <pre class="prettyprint lang-config">Require host <var>domain_name</var>
- </pre>
-
-
- <p>where <var>domain_name</var> is a fully qualified domain name
- (or a partial domain name); you may provide multiple addresses or
- domain names, if desired.</p>
-
- <p>For example, if you have someone spamming your message
- board, and you want to keep them out, you could do the
- following:</p>
-
- <pre class="prettyprint lang-config"><RequireAll>
- Require all granted
- Require not ip 10.252.46.165
-</RequireAll></pre>
-
-
- <p>Visitors coming from that address will not be able to see
- the content covered by this directive. If, instead, you have a
- machine name, rather than an IP address, you can use that.</p>
-
- <pre class="prettyprint lang-config"><RequireAll>
- Require all granted
- Require not host host.example.com
-</RequireAll></pre>
-
-
- <p>And, if you'd like to block access from an entire domain,
- you can specify just part of an address or domain name:</p>
-
- <pre class="prettyprint lang-config"><RequireAll>
- Require all granted
- Require not ip 192.168.205
- Require not host phishers.example.com moreidiots.example
- Require not host ke
-</RequireAll></pre>
-
-
- <p>Using <code class="directive"><a href="../mod/mod_authz_core.html#requireall"><RequireAll></a></code>
- with multiple <code class="directive"><a href="../mod/mod_authz_core.html#require"><Require></a></code> directives, each negated with <code>not</code>,
- will only allow access, if all of negated conditions are true. In other words,
- access will be blocked, if any of the negated conditions fails.</p>
-
-
-
- <h3><a name="filesystem" id="filesystem">Access Control backwards compatibility</a></h3>
- <p>One of the side effects of adopting a provider based mechanism for
- authentication is that the previous access control directives
- <code class="directive"><a href="../mod/mod_access_compat.html#order">Order</a></code>,
- <code class="directive"><a href="../mod/mod_access_compat.html#allow">Allow</a></code>,
- <code class="directive"><a href="../mod/mod_access_compat.html#deny">Deny</a></code> and
- <code class="directive"><a href="../mod/mod_access_compat.html#satisfy">Satisfy</a></code> are no longer needed.
- However to provide backwards compatibility for older configurations, these
- directives have been moved to the <code class="module"><a href="../mod/mod_access_compat.html">mod_access_compat</a></code> module.</p>
-
- <div class="warning"><h3>Note</h3>
- <p>The directives provided by <code class="module"><a href="../mod/mod_access_compat.html">mod_access_compat</a></code> have
- been deprecated by <code class="module"><a href="../mod/mod_authz_host.html">mod_authz_host</a></code>.
- Mixing old directives like <code class="directive"><a href="../mod/mod_access_compat.html#order">Order</a></code>, <code class="directive"><a href="../mod/mod_access_compat.html#allow">Allow</a></code> or <code class="directive"><a href="../mod/mod_access_compat.html#deny">Deny</a></code> with new ones like
- <code class="directive"><a href="../mod/mod_authz_core.html#require">Require</a></code> is technically possible
- but discouraged. The <code class="module"><a href="../mod/mod_access_compat.html">mod_access_compat</a></code> module was created to support
- configurations containing only old directives to facilitate the 2.4 upgrade.
- Please check the <a href="../upgrading.html">upgrading</a> guide for more
- information.
- </p>
- </div>
-
-
-</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="section">
-<h2><a name="socache" id="socache">Authentication Caching</a></h2>
- <p>There may be times when authentication puts an unacceptable load
- on a provider or on your network. This is most likely to affect users
- of <code class="module"><a href="../mod/mod_authn_dbd.html">mod_authn_dbd</a></code> (or third-party/custom providers).
- To deal with this, HTTPD 2.3/2.4 introduces a new caching provider
- <code class="module"><a href="../mod/mod_authn_socache.html">mod_authn_socache</a></code> to cache credentials and reduce
- the load on the origin provider(s).</p>
- <p>This may offer a substantial performance boost to some users.</p>
-</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="section">
-<h2><a name="moreinformation" id="moreinformation">More information</a></h2>
- <p>You should also read the documentation for
- <code class="module"><a href="../mod/mod_auth_basic.html">mod_auth_basic</a></code> and <code class="module"><a href="../mod/mod_authz_host.html">mod_authz_host</a></code>
- which contain some more information about how this all works. The
- directive <code class="directive"><a href="../mod/mod_authn_core.html#authnprovideralias"><AuthnProviderAlias></a></code> can also help
- in simplifying certain authentication configurations.</p>
-
- <p>The various ciphers supported by Apache for authentication data are
- explained in <a href="../misc/password_encryptions.html">Password
- Encryptions</a>.</p>
-
- <p>And you may want to look at the <a href="access.html">Access
- Control</a> howto, which discusses a number of related topics.</p>
-
-</div></div>
-<div class="bottomlang">
-<p><span>Idiomas disponibles: </span><a href="../en/howto/auth.html" hreflang="en" rel="alternate" title="English"> en </a> |
-<a href="../es/howto/auth.html" title="Español"> es </a> |
-<a href="../fr/howto/auth.html" hreflang="fr" rel="alternate" title="Français"> fr </a> |
-<a href="../ja/howto/auth.html" hreflang="ja" rel="alternate" title="Japanese"> ja </a> |
-<a href="../ko/howto/auth.html" hreflang="ko" rel="alternate" title="Korean"> ko </a> |
-<a href="../tr/howto/auth.html" hreflang="tr" rel="alternate" title="Türkçe"> tr </a></p>
-</div><div class="top"><a href="#page-header"><img src="../images/up.gif" alt="top" /></a></div><div class="section"><h2><a id="comments_section" name="comments_section">Comentarios</a></h2><div class="warning"><strong>Notice:</strong><br />This is not a Q&A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our <a href="http://httpd.apache.org/lists.html">mailing lists</a>.</div>
+ -->\r
+<title>Autenticación y Autorización - Servidor HTTP Apache Versión 2.5</title>\r
+<link href="../style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" />\r
+<link href="../style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" />\r
+<link href="../style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" /><link rel="stylesheet" type="text/css" href="../style/css/prettify.css" />\r
+<script src="../style/scripts/prettify.min.js" type="text/javascript">\r
+</script>\r
+\r
+<link href="../images/favicon.ico" rel="shortcut icon" /></head>\r
+<body id="manual-page"><div id="page-header">\r
+<p class="menu"><a href="../mod/">Módulos</a> | <a href="../mod/quickreference.html">Directivas</a> | <a href="http://wiki.apache.org/httpd/FAQ">Preguntas Frecuentes</a> | <a href="../glossary.html">Glosario</a> | <a href="../sitemap.html">Mapa del sitio web</a></p>\r
+<p class="apache">Versión 2.5 del Servidor HTTP Apache</p>\r
+<img alt="" src="../images/feather.png" /></div>\r
+<div class="up"><a href="./"><img title="<-" alt="<-" src="../images/left.gif" /></a></div>\r
+<div id="path">\r
+<a href="http://www.apache.org/">Apache</a> > <a href="http://httpd.apache.org/">Servidor HTTP</a> > <a href="http://httpd.apache.org/docs/">Documentación</a> > <a href="../">Versión 2.5</a> > <a href="./">How-To / Tutoriales</a></div><div id="page-content"><div id="preamble"><h1>Autenticación y Autorización</h1>\r
+<div class="toplang">\r
+<p><span>Idiomas disponibles: </span><a href="../en/howto/auth.html" hreflang="en" rel="alternate" title="English"> en </a> |\r
+<a href="../es/howto/auth.html" title="Español"> es </a> |\r
+<a href="../fr/howto/auth.html" hreflang="fr" rel="alternate" title="Français"> fr </a> |\r
+<a href="../ja/howto/auth.html" hreflang="ja" rel="alternate" title="Japanese"> ja </a> |\r
+<a href="../ko/howto/auth.html" hreflang="ko" rel="alternate" title="Korean"> ko </a> |\r
+<a href="../tr/howto/auth.html" hreflang="tr" rel="alternate" title="Türkçe"> tr </a></p>\r
+</div>\r
+\r
+ <p>Autenticación es cualquier proceso por el cuál se verifica que uno es \r
+ quien dice ser. Autorización es cualquier proceso en el cuál cualquiera\r
+ está permitido a estar donde se quiera, o tener información la cuál se\r
+ quiera tener.\r
+ </p>\r
+\r
+ <p>Para información de control de acceso de forma genérica visite<a href="access.html">How to de Control de Acceso</a>.</p>\r
+</div>\r
+<div id="quickview"><ul id="toc"><li><img alt="" src="../images/down.gif" /> <a href="#related">Módulos y Directivas Relacionados</a></li>\r
+<li><img alt="" src="../images/down.gif" /> <a href="#introduction">Introducción</a></li>\r
+<li><img alt="" src="../images/down.gif" /> <a href="#theprerequisites">Los Prerequisitos</a></li>\r
+<li><img alt="" src="../images/down.gif" /> <a href="#gettingitworking">Conseguir que funcione</a></li>\r
+<li><img alt="" src="../images/down.gif" /> <a href="#lettingmorethanonepersonin">Dejar que más de una persona \r
+ entre</a></li>\r
+<li><img alt="" src="../images/down.gif" /> <a href="#possibleproblems">Posibles Problemas</a></li>\r
+<li><img alt="" src="../images/down.gif" /> <a href="#dbmdbd">Método alternativo de almacenamiento de las \r
+ contraseñas</a></li>\r
+<li><img alt="" src="../images/down.gif" /> <a href="#multprovider">Uso de múltiples proveedores</a></li>\r
+<li><img alt="" src="../images/down.gif" /> <a href="#beyond">Más allá de la Autorización</a></li>\r
+<li><img alt="" src="../images/down.gif" /> <a href="#socache">Authentication Caching</a></li>\r
+<li><img alt="" src="../images/down.gif" /> <a href="#moreinformation">More information</a></li>\r
+</ul><h3>Consulte también</h3><ul class="seealso"><li><a href="#comments_section">Comentarios</a></li></ul></div>\r
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>\r
+<div class="section">\r
+<h2><a name="related" id="related">Módulos y Directivas Relacionados</a></h2>\r
+\r
+<p>Hay tres tipos de módulos involucrados en los procesos de la autenticación \r
+ y autorización. Normalmente deberás escoger al menos un módulo de cada grupo.</p>\r
+\r
+<ul>\r
+ <li>Modos de Autenticación (consulte la directiva\r
+ <code class="directive"><a href="../mod/mod_authn_core.html#authtype">AuthType</a></code> )\r
+ <ul>\r
+ <li><code class="module"><a href="../mod/mod_auth_basic.html">mod_auth_basic</a></code></li>\r
+ <li><code class="module"><a href="../mod/mod_auth_digest.html">mod_auth_digest</a></code></li>\r
+ </ul>\r
+ </li>\r
+ <li>Proveedor de Autenticación (consulte la directiva\r
+ <code class="directive"><a href="../mod/mod_auth_basic.html#authbasicprovider">AuthBasicProvider</a></code> y\r
+ <code class="directive"><a href="../mod/mod_auth_digest.html#authdigestprovider">AuthDigestProvider</a></code>)\r
+\r
+ <ul>\r
+ <li><code class="module"><a href="../mod/mod_authn_anon.html">mod_authn_anon</a></code></li>\r
+ <li><code class="module"><a href="../mod/mod_authn_dbd.html">mod_authn_dbd</a></code></li>\r
+ <li><code class="module"><a href="../mod/mod_authn_dbm.html">mod_authn_dbm</a></code></li>\r
+ <li><code class="module"><a href="../mod/mod_authn_file.html">mod_authn_file</a></code></li>\r
+ <li><code class="module"><a href="../mod/mod_authnz_ldap.html">mod_authnz_ldap</a></code></li>\r
+ <li><code class="module"><a href="../mod/mod_authn_socache.html">mod_authn_socache</a></code></li>\r
+ </ul>\r
+ </li>\r
+ <li>Autorización (consulte la directiva\r
+ <code class="directive"><a href="../mod/mod_authz_core.html#require">Require</a></code>)\r
+ <ul>\r
+ <li><code class="module"><a href="../mod/mod_authnz_ldap.html">mod_authnz_ldap</a></code></li>\r
+ <li><code class="module"><a href="../mod/mod_authz_dbd.html">mod_authz_dbd</a></code></li>\r
+ <li><code class="module"><a href="../mod/mod_authz_dbm.html">mod_authz_dbm</a></code></li>\r
+ <li><code class="module"><a href="../mod/mod_authz_groupfile.html">mod_authz_groupfile</a></code></li>\r
+ <li><code class="module"><a href="../mod/mod_authz_host.html">mod_authz_host</a></code></li>\r
+ <li><code class="module"><a href="../mod/mod_authz_owner.html">mod_authz_owner</a></code></li>\r
+ <li><code class="module"><a href="../mod/mod_authz_user.html">mod_authz_user</a></code></li>\r
+ </ul>\r
+ </li>\r
+</ul>\r
+\r
+ <p>A parte de éstos módulos, también están\r
+ <code class="module"><a href="../mod/mod_authn_core.html">mod_authn_core</a></code> y\r
+ <code class="module"><a href="../mod/mod_authz_core.html">mod_authz_core</a></code>. Éstos módulos implementan las directivas \r
+ esenciales que son el centro de todos los módulos de autenticación.</p>\r
+\r
+ <p>El módulo <code class="module"><a href="../mod/mod_authnz_ldap.html">mod_authnz_ldap</a></code> es tanto un proveedor de \r
+ autenticación como de autorización. El módulo\r
+ <code class="module"><a href="../mod/mod_authz_host.html">mod_authz_host</a></code> proporciona autorización y control de acceso\r
+ basado en el nombre del Host, la dirección IP o características de la propia\r
+ petición, pero no es parte del sistema proveedor de \r
+ autenticación. Para tener compatibilidad inversa con el mod_access, \r
+ hay un nuevo modulo llamado <code class="module"><a href="../mod/mod_access_compat.html">mod_access_compat</a></code>.</p>\r
+\r
+ <p>También puedes mirar el how-to de <a href="access.html">Control de Acceso </a>, donde se plantean varias formas del control de acceso al servidor.</p>\r
+\r
+</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>\r
+<div class="section">\r
+<h2><a name="introduction" id="introduction">Introducción</a></h2>\r
+ <p>Si se tiene información en nuestra página web que sea información \r
+ sensible o pensada para un grupo reducido de usuarios/personas,\r
+ las técnicas que se describen en este manual, le servirán \r
+ de ayuda para asegurarse de que las personas que ven esas páginas sean \r
+ las personas que uno quiere.</p>\r
+\r
+ <p>Este artículo cubre la parte "estándar" de cómo proteger partes de un \r
+ sitio web que muchos usarán.</p>\r
+\r
+ <div class="note"><h3>Nota:</h3>\r
+ <p>Si de verdad es necesario que tus datos estén en un sitio seguro, \r
+ considera usar <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> como método de autenticación adicional a cualquier forma de autenticación.</p>\r
+ </div>\r
+</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>\r
+<div class="section">\r
+<h2><a name="theprerequisites" id="theprerequisites">Los Prerequisitos</a></h2>\r
+ <p>Las directivas que se usan en este artículo necesitaran ponerse ya sea \r
+ en el fichero de configuración principal del servidor ( típicamente en \r
+ la sección \r
+ <code class="directive"><a href="../mod/core.html#directory"><Directory></a></code> de httpd.conf ), o\r
+ en cada uno de los ficheros de configuraciones del propio directorio\r
+ (los archivos <code>.htaccess</code>).</p>\r
+\r
+ <p>Si planea usar los ficheros <code>.htaccess</code> , necesitarás\r
+ tener en la configuración global del servidor, una configuración que permita\r
+ poner directivas de autenticación en estos ficheros. Esto se hace con la\r
+ directiva <code class="directive"><a href="../mod/core.html#allowoverride">AllowOverride</a></code>, la cual especifica\r
+ que directivas, en su caso, pueden ser puestas en cada fichero de configuración\r
+ por directorio.</p>\r
+\r
+ <p>Ya que estamos hablando aquí de autenticación, necesitarás una directiva \r
+ <code class="directive"><a href="../mod/core.html#allowoverride">AllowOverride</a></code> como la siguiente:\r
+ </p>\r
+\r
+ <pre class="prettyprint lang-config">AllowOverride AuthConfig</pre>\r
+\r
+\r
+ <p>O, si solo se van a poner las directivas directamente en la configuración\r
+ principal del servidor, deberás tener, claro está, permisos de escritura\r
+ en el archivo. </p>\r
+\r
+ <p>Y necesitarás saber un poco de como está estructurado el árbol de \r
+ directorios de tu servidor, para poder saber donde se encuentran algunos \r
+ archivos. Esto no debería ser una tarea difícil, aún así intentaremos \r
+ dejarlo claro llegado el momento de comentar dicho aspecto.</p>\r
+\r
+ <p>También deberás de asegurarte de que los módulos \r
+ <code class="module"><a href="../mod/mod_authn_core.html">mod_authn_core</a></code> y <code class="module"><a href="../mod/mod_authz_core.html">mod_authz_core</a></code>\r
+ han sido incorporados, o añadidos a la hora de compilar en tu binario httpd o\r
+ cargados mediante el archivo de configuración <code>httpd.conf</code>. Estos \r
+ dos módulos proporcionan directivas básicas y funcionalidades que son críticas\r
+ para la configuración y uso de autenticación y autorización en el servidor web.</p>\r
+</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>\r
+<div class="section">\r
+<h2><a name="gettingitworking" id="gettingitworking">Conseguir que funcione</a></h2>\r
+ <p>Aquí está lo básico de cómo proteger con contraseña un directorio en tu\r
+ servidor.</p>\r
+\r
+ <p>Primero, necesitarás crear un fichero de contraseña. Dependiendo de que \r
+ proveedor de autenticación se haya elegido, se hará de una forma u otra. Para empezar, \r
+ usaremos un fichero de contraseña de tipo texto.</p>\r
+\r
+ <p>Este fichero deberá estar en un sitio que no se pueda tener acceso desde\r
+ la web. Esto también implica que nadie pueda descargarse el fichero de \r
+ contraseñas. Por ejemplo, si tus documentos están guardados fuera de\r
+ <code>/usr/local/apache/htdocs</code>, querrás poner tu archivo de contraseñas en \r
+ <code>/usr/local/apache/passwd</code>.</p>\r
+\r
+ <p>Para crear el fichero de contraseñas, usa la utilidad \r
+ <code class="program"><a href="../programs/htpasswd.html">htpasswd</a></code> que viene con Apache. Esta herramienta se \r
+ encuentra en el directorio <code>/bin</code> en donde sea que se ha \r
+ instalado el Apache. Si ha instalado Apache desde un paquete de terceros, \r
+ puede ser que se encuentre en su ruta de ejecución.</p>\r
+\r
+ <p>Para crear el fichero, escribiremos:</p>\r
+\r
+ <div class="example"><p><code>\r
+ htpasswd -c /usr/local/apache/passwd/passwords rbowen\r
+ </code></p></div>\r
+\r
+ <p><code class="program"><a href="../programs/htpasswd.html">htpasswd</a></code> te preguntará por una contraseña, y después \r
+ te pedirá que la vuelvas a escribir para confirmarla:</p>\r
+\r
+ <div class="example"><p><code>\r
+ $ htpasswd -c /usr/local/apache/passwd/passwords rbowen<br />\r
+ New password: mypassword<br />\r
+ Re-type new password: mypassword<br />\r
+ Adding password for user rbowen\r
+ </code></p></div>\r
+\r
+ <p>Si <code class="program"><a href="../programs/htpasswd.html">htpasswd</a></code> no está en tu variable de entorno "path" del \r
+ sistema, por supuesto deberás escribir la ruta absoluta del ejecutable para \r
+ poder hacer que se ejecute. En una instalación por defecto, está en:\r
+ <code>/usr/local/apache2/bin/htpasswd</code></p>\r
+\r
+ <p>Lo próximo que necesitas, será configurar el servidor para que pida una \r
+ contraseña y así decirle al servidor que usuarios están autorizados a acceder.\r
+ Puedes hacer esto ya sea editando el fichero <code>httpd.conf</code>\r
+ de configuración o usando in fichero <code>.htaccess</code>. Por ejemplo, \r
+ si quieres proteger el directorio\r
+ <code>/usr/local/apache/htdocs/secret</code>, puedes usar las siguientes \r
+ directivas, ya sea en el fichero <code>.htaccess</code> localizado en\r
+ following directives, either placed in the file\r
+ <code>/usr/local/apache/htdocs/secret/.htaccess</code>, o\r
+ en la configuración global del servidor <code>httpd.conf</code> dentro de la\r
+ sección <Directory \r
+ "/usr/local/apache/htdocs/secret"> , como se muestra a continuación:</p>\r
+\r
+ <pre class="prettyprint lang-config"><Directory "/usr/local/apache/htdocs/secret">\r
+AuthType Basic\r
+AuthName "Restricted Files"\r
+# (Following line optional)\r
+AuthBasicProvider file\r
+AuthUserFile "/usr/local/apache/passwd/passwords"\r
+Require user rbowen\r
+</Directory></pre>\r
+\r
+\r
+ <p>Vamos a explicar cada una de las directivas individualmente.\r
+ La directiva <code class="directive"><a href="../mod/mod_authn_core.html#authtype">AuthType</a></code> selecciona el método\r
+ que se usa para autenticar al usuario. El método más común es \r
+ <code>Basic</code>, y éste es el método que implementa \r
+ <code class="module"><a href="../mod/mod_auth_basic.html">mod_auth_basic</a></code>. Es muy importante ser consciente,\r
+ de que la autenticación básica, envía las contraseñas desde el cliente \r
+ al servidor sin cifrar.\r
+ Este método por tanto, no debe ser utilizado para proteger datos muy sensibles,\r
+ a no ser que, este método de autenticación básica, sea acompañado del módulo\r
+ <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code>.\r
+ Apache soporta otro método más de autenticación que es del tipo \r
+ <code>AuthType Digest</code>. Este método, es implementado por el módulo <code class="module"><a href="../mod/mod_auth_digest.html">mod_auth_digest</a></code> y con el se pretendía crear una autenticación más\r
+ segura. Este ya no es el caso, ya que la conexión deberá realizarse con <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> en su lugar.\r
+ </p>\r
+\r
+ <p>La directiva <code class="directive"><a href="../mod/mod_authn_core.html#authname">AuthName</a></code> \r
+ establece el <dfn>Realm</dfn> para ser usado en la autenticación. El \r
+ <dfn>Realm</dfn> tiene dos funciones principales.\r
+ La primera, el cliente presenta a menudo esta información al usuario como \r
+ parte del cuadro de diálogo de contraseña. La segunda, que es utilizado por \r
+ el cliente para determinar qué contraseña enviar a para una determinada zona \r
+ de autenticación.</p>\r
+\r
+ <p>Así que, por ejemple, una vez que el cliente se ha autenticado en el área de\r
+ los <code>"Ficheros Restringidos"</code>, entonces re-intentará automáticamente\r
+ la misma contraseña para cualquier área en el mismo servidor que es marcado \r
+ con el Realm de <code>"Ficheros Restringidos"</code>\r
+ Por lo tanto, puedes prevenir que a un usuario se le pida mas de una vez por su\r
+ contraseña, compartiendo así varias áreas restringidas el mismo Realm\r
+ Por supuesto, por razones de seguridad, el cliente pedirá siempre por una contraseña, \r
+ siempre y cuando el nombre del servidor cambie.\r
+ </p>\r
+\r
+ <p>La directiva <code class="directive"><a href="../mod/mod_auth_basic.html#authbasicprovider">AuthBasicProvider</a></code> es,\r
+ en este caso, opcional, ya que <code>file</code> es el valor por defecto\r
+ para esta directiva. Deberás usar esta directiva si estas usando otro medio\r
+ diferente para la autenticación, como por ejemplo\r
+ <code class="module"><a href="../mod/mod_authn_dbm.html">mod_authn_dbm</a></code> o <code class="module"><a href="../mod/mod_authn_dbd.html">mod_authn_dbd</a></code>.</p>\r
+\r
+ <p>La directiva <code class="directive"><a href="../mod/mod_authn_file.html#authuserfile">AuthUserFile</a></code>\r
+ establece el path al fichero de contraseñas que acabamos de crear con el \r
+ comando <code class="program"><a href="../programs/htpasswd.html">htpasswd</a></code>. Si tiene un número muy grande de usuarios, \r
+ puede ser realmente lento el buscar el usuario en ese fichero de texto plano \r
+ para autenticar a los usuarios en cada petición.\r
+ Apache también tiene la habilidad de almacenar información de usuarios en \r
+ unos ficheros de rápido acceso a modo de base de datos.\r
+ El módulo <code class="module"><a href="../mod/mod_authn_dbm.html">mod_authn_dbm</a></code> proporciona la directiva <code class="directive"><a href="../mod/mod_authn_dbm.html#authdbmuserfile">AuthDBMUserFile</a></code>. Estos ficheros pueden ser creados y\r
+ manipulados con el programa <code class="program"><a href="../programs/dbmmanage.html">dbmmanage</a></code> y <code class="program"><a href="../programs/htdbm.html">htdbm</a></code>. \r
+ Muchos otros métodos de autenticación así como otras opciones, están disponibles en \r
+ módulos de terceros \r
+ <a href="http://modules.apache.org/">Base de datos de Módulos disponibles</a>.</p>\r
+\r
+ <p>Finalmente, la directiva <code class="directive"><a href="../mod/mod_authz_core.html#require">Require</a></code>\r
+ proporciona la parte del proceso de autorización estableciendo el o los\r
+ usuarios que se les está permitido acceder a una región del servidor.\r
+ En la próxima sección, discutiremos las diferentes vías de utilizar la \r
+ directiva <code class="directive"><a href="../mod/mod_authz_core.html#require">Require</a></code>.</p>\r
+</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>\r
+<div class="section">\r
+<h2><a name="lettingmorethanonepersonin" id="lettingmorethanonepersonin">Dejar que más de una persona \r
+ entre</a></h2>\r
+ <p>Las directivas mencionadas arriba sólo permiten a una persona \r
+ (especialmente con un usuario que en ej ejemplo es <code>rbowen</code>) \r
+ en el directorio. En la mayoría de los casos, se querrá permitir el acceso\r
+ a más de una persona. Aquí es donde la directiva \r
+ <code class="directive"><a href="../mod/mod_authz_groupfile.html#authgroupfile">AuthGroupFile</a></code> entra en juego.</p>\r
+\r
+ <p>Si lo que se desea es permitir a más de una persona el acceso, necesitarás\r
+ crear un archivo de grupo que asocie los nombres de grupos con el de personas\r
+ para permitirles el acceso. El formato de este fichero es bastante sencillo, \r
+ y puedes crearlo con tu editor de texto favorito. El contenido del fichero \r
+ se parecerá a:</p>\r
+\r
+ <div class="example"><p><code>\r
+ GroupName: rbowen dpitts sungo rshersey\r
+ </code></p></div>\r
+\r
+ <p>Básicamente eso es la lista de miembros los cuales están en un mismo fichero\r
+ de grupo en una sola linea separados por espacios.</p>\r
+\r
+ <p>Para añadir un usuario a tu fichero de contraseñas existente teclee:</p>\r
+\r
+ <div class="example"><p><code>\r
+ htpasswd /usr/local/apache/passwd/passwords dpitts\r
+ </code></p></div>\r
+\r
+ <p>Te responderá lo mismo que anteriormente, pero se añadirá al fichero \r
+ existente en vez de crear uno nuevo. (Es decir el flag <code>-c</code> será \r
+ el que haga que se genere un nuevo \r
+ fichero de contraseñas).</p>\r
+\r
+ <p>Ahora, tendrá que modificar su fichero <code>.htaccess</code> para que sea \r
+ parecido a lo siguiente:</p>\r
+\r
+ <pre class="prettyprint lang-config">AuthType Basic\r
+AuthName "By Invitation Only"\r
+# Optional line:\r
+AuthBasicProvider file\r
+AuthUserFile "/usr/local/apache/passwd/passwords"\r
+AuthGroupFile "/usr/local/apache/passwd/groups"\r
+Require group GroupName</pre>\r
+\r
+\r
+ <p>Ahora, cualquiera que esté listado en el grupo <code>GroupName</code>,\r
+ y tiene una entrada en el fichero de <code>contraseñas</code>, se les \r
+ permitirá el acceso, si introducen su contraseña correctamente.</p>\r
+\r
+ <p>Hay otra manera de dejar entrar a varios usuarios, que es menos específica.\r
+ En lugar de crear un archivo de grupo, sólo puede utilizar la siguiente \r
+ directiva:</p>\r
+\r
+ <pre class="prettyprint lang-config">Require valid-user</pre>\r
+\r
+\r
+ <p>Usando ésto en vez de la línea <code>Require user rbowen</code>\r
+ permitirá a cualquier persona acceder, la cuál aparece en el archivo de \r
+ contraseñas, y que introduzca correctamente su contraseña. Incluso puede \r
+ emular el comportamiento del grupo aquí, sólo manteniendo un fichero de \r
+ contraseñas independiente para cada grupo. La ventaja de este enfoque es \r
+ que Apache sólo tiene que comprobar un archivo, en lugar de dos. La desventaja \r
+ es que se tiene que mantener un montón de ficheros de contraseña de grupo, y \r
+ recuerde hacer referencia al fichero correcto en la directiva\r
+ <code class="directive"><a href="../mod/mod_authn_file.html#authuserfile">AuthUserFile</a></code>.</p>\r
+</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>\r
+<div class="section">\r
+<h2><a name="possibleproblems" id="possibleproblems">Posibles Problemas</a></h2>\r
+ <p>Debido a la forma en que se especifica la autenticación básica,\r
+ su nombre de usuario y la contraseña deben ser verificados cada vez \r
+ que se solicita un documento desde el servidor. Esto es, incluso si \r
+ se vuelve a cargar la misma página, y para cada imagen de la página (si\r
+ provienen de un directorio protegido). Como se puede imaginar, esto\r
+ ralentiza las cosas un poco. La cantidad que ralentiza las cosas es \r
+ proporcional al tamaño del archivo de contraseñas, porque tiene que \r
+ abrir ese archivo, recorrer lista de usuarios hasta que llega a su nombre.\r
+ Y tiene que hacer esto cada vez que se carga una página.</p>\r
+\r
+ <p>Una consecuencia de esto, es que hay un limite práctico de cuantos \r
+ usuarios puedes introducir en el fichero de contraseñas. Este límite\r
+ variará dependiendo de la máquina en la que tengas el servidor,\r
+ pero puedes notar ralentizaciones en cuanto se metan cientos de entradas,\r
+ y por lo tanto consideraremos entonces otro método de autenticación\r
+ en ese momento.\r
+ </p>\r
+</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>\r
+<div class="section">\r
+<h2><a name="dbmdbd" id="dbmdbd">Método alternativo de almacenamiento de las \r
+ contraseñas</a></h2>\r
+\r
+ <p>Debido a que el almacenamiento de las contraseñas en texto plano tiene \r
+ el problema mencionado anteriormente, puede que se prefiera guardar \r
+ las contraseñas en otro lugar como por ejemplo una base de datos.\r
+ </p>\r
+\r
+ <p>Los módulos <code class="module"><a href="../mod/mod_authn_dbm.html">mod_authn_dbm</a></code> y <code class="module"><a href="../mod/mod_authn_dbd.html">mod_authn_dbd</a></code> son\r
+ dos módulos que hacen esto posible. En vez de seleccionar la directiva de fichero\r
+ <code><code class="directive"><a href="../mod/mod_auth_basic.html#authbasicprovider">AuthBasicProvider</a></code> </code>, en su lugar\r
+ se puede elegir <code>dbm</code> o <code>dbd</code> como formato de almacenamiento.</p>\r
+\r
+ <p>Para seleccionar los ficheros de tipo dbm en vez de texto plano, podremos hacer algo parecido a lo siguiente:</p>\r
+\r
+ <pre class="prettyprint lang-config"><Directory "/www/docs/private">\r
+ AuthName "Private"\r
+ AuthType Basic\r
+ AuthBasicProvider dbm\r
+ AuthDBMUserFile "/www/passwords/passwd.dbm"\r
+ Require valid-user\r
+</Directory></pre>\r
+\r
+\r
+ <p>Hay otras opciones disponibles. Consulta la documentación de\r
+ <code class="module"><a href="../mod/mod_authn_dbm.html">mod_authn_dbm</a></code> para más detalles.</p>\r
+</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>\r
+<div class="section">\r
+<h2><a name="multprovider" id="multprovider">Uso de múltiples proveedores</a></h2>\r
+\r
+ <p>Con la introducción de la nueva autenticación basada en un proveedor y\r
+ una arquitectura de autorización, ya no estaremos restringidos a un único\r
+ método de autenticación o autorización. De hecho, cualquier número de \r
+ los proveedores pueden ser mezclados y emparejados para ofrecerle \r
+ exactamente el esquema que se adapte a sus necesidades. \r
+ En el siguiente ejemplo, veremos como ambos proveedores tanto el fichero \r
+ como el LDAP son usados en la autenticación:\r
+ </p>\r
+\r
+ <pre class="prettyprint lang-config"><Directory "/www/docs/private">\r
+ AuthName "Private"\r
+ AuthType Basic\r
+ AuthBasicProvider file ldap\r
+ AuthUserFile "/usr/local/apache/passwd/passwords"\r
+ AuthLDAPURL ldap://ldaphost/o=yourorg\r
+ Require valid-user\r
+</Directory></pre>\r
+\r
+\r
+ <p>En este ejemplo el fichero, que actúa como proveedor, intentará autenticar \r
+ primero al usuario. Si no puede autenticar al usuario, el proveedor del LDAP\r
+ será llamado para que realice la autenticación.\r
+ Esto permite al ámbito de autenticación ser amplio, si su organización \r
+ implementa más de un tipo de almacén de autenticación. \r
+ Otros escenarios de autenticación y autorización pueden incluir la \r
+ mezcla de un tipo de autenticación con un tipo diferente de autorización.\r
+ Por ejemplo, autenticar contra un fichero de contraseñas pero autorizando\r
+ dicho acceso mediante el directorio del LDAP.</p>\r
+\r
+ <p>Así como múltiples métodos y proveedores de autenticación pueden \r
+ ser implementados, también pueden usarse múltiples formas de \r
+ autorización.\r
+ En este ejemplo ambos ficheros de autorización de grupo así como \r
+ autorización de grupo mediante LDAP va a ser usado:\r
+ </p>\r
+\r
+ <pre class="prettyprint lang-config"><Directory "/www/docs/private">\r
+ AuthName "Private"\r
+ AuthType Basic\r
+ AuthBasicProvider file\r
+ AuthUserFile "/usr/local/apache/passwd/passwords"\r
+ AuthLDAPURL ldap://ldaphost/o=yourorg\r
+ AuthGroupFile "/usr/local/apache/passwd/groups"\r
+ Require group GroupName\r
+ Require ldap-group cn=mygroup,o=yourorg\r
+</Directory></pre>\r
+\r
+\r
+ <p>Para llevar la autorización un poco más lejos, las directivas \r
+ de autorización de contenedores tales como\r
+ <code class="directive"><a href="../mod/mod_authz_core.html#requireall"><RequireAll></a></code>\r
+ and\r
+ <code class="directive"><a href="../mod/mod_authz_core.html#requireany"><RequireAny></a></code>\r
+ nos permiten aplicar una lógica de en qué orden se manejará la autorización dependiendo\r
+ de la configuración y controlada a través de ella.\r
+ Mire también <a href="../mod/mod_authz_core.html#logic">Contenedores de\r
+ Autorización</a> para ejemplos de cómo pueden ser aplicados.</p>\r
+\r
+</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>\r
+<div class="section">\r
+<h2><a name="beyond" id="beyond">Más allá de la Autorización</a></h2>\r
+\r
+ <p>El modo en que la autorización puede ser aplicada es ahora mucho más flexible\r
+ que us solo chequeo contra un almacén de datos (contraseñas). Ordenando la \r
+ lógica y escoger la forma en que la autorización es realizada, ahora es posible \r
+ </p>\r
+\r
+ <h3><a name="authandororder" id="authandororder">Aplicando la lógica y ordenación</a></h3>\r
+ <p>Controlar el cómo y en qué orden se va a aplicar la autorización ha \r
+ sido un misterio en el pasado. En Apache 2.2 un proveedior de autenticación\r
+ C\r
+\r
+ In Apache 2.2 a provider-based\r
+ authentication mechanism was introduced to decouple the actual\r
+ authentication process from authorization and supporting functionality.\r
+ One of the side benefits was that authentication providers could be\r
+ configured and called in a specific order which didn't depend on the\r
+ load order of the auth module itself. This same provider based mechanism\r
+ has been brought forward into authorization as well. What this means is\r
+ that the <code class="directive"><a href="../mod/mod_authz_core.html#require">Require</a></code> directive\r
+ not only specifies which authorization methods should be used, it also\r
+ specifies the order in which they are called. Multiple authorization\r
+ methods are called in the same order in which the\r
+ <code class="directive"><a href="../mod/mod_authz_core.html#require">Require</a></code> directives\r
+ appear in the configuration.</p>\r
+\r
+ <p>With the introduction of authorization container directives\r
+ such as\r
+ <code class="directive"><a href="../mod/mod_authz_core.html#requireall"><RequireAll></a></code>\r
+ and\r
+ <code class="directive"><a href="../mod/mod_authz_core.html#requireany"><RequireAny></a></code>,\r
+ the configuration also has control over when the\r
+ authorization methods are called and what criteria determines when\r
+ access is granted. See\r
+ <a href="../mod/mod_authz_core.html#logic">Authorization Containers</a>\r
+ for an example of how they may be used to express complex\r
+ authorization logic.</p>\r
+\r
+ <p>By default all\r
+ <code class="directive"><a href="../mod/mod_authz_core.html#require">Require</a></code>\r
+ directives are handled as though contained within a\r
+ <code class="directive"><a href="../mod/mod_authz_core.html#requireany"><RequireAny></a></code>\r
+ container directive. In other words, if\r
+ any of the specified authorization methods succeed, then authorization\r
+ is granted.</p>\r
+\r
+ \r
+\r
+ <h3><a name="reqaccessctrl" id="reqaccessctrl">Using authorization providers for access control</a></h3>\r
+ <p>Authentication by username and password is only part of the\r
+ story. Frequently you want to let people in based on something\r
+ other than who they are. Something such as where they are\r
+ coming from.</p>\r
+\r
+ <p>The authorization providers <code>all</code>,\r
+ <code>env</code>, <code>host</code> and <code>ip</code> let you\r
+ allow or deny access based on other host based criteria such as\r
+ host name or ip address of the machine requesting a\r
+ document.</p>\r
+\r
+ <p>The usage of these providers is specified through the\r
+ <code class="directive"><a href="../mod/mod_authz_core.html#require">Require</a></code> directive.\r
+ This directive registers the authorization providers\r
+ that will be called during the authorization stage of the request\r
+ processing. For example:</p>\r
+\r
+ <pre class="prettyprint lang-config">Require ip <var>address</var>\r
+ </pre>\r
+\r
+\r
+ <p>where <var>address</var> is an IP address (or a partial IP\r
+ address) or:</p>\r
+\r
+ <pre class="prettyprint lang-config">Require host <var>domain_name</var>\r
+ </pre>\r
+\r
+\r
+ <p>where <var>domain_name</var> is a fully qualified domain name\r
+ (or a partial domain name); you may provide multiple addresses or\r
+ domain names, if desired.</p>\r
+\r
+ <p>For example, if you have someone spamming your message\r
+ board, and you want to keep them out, you could do the\r
+ following:</p>\r
+\r
+ <pre class="prettyprint lang-config"><RequireAll>\r
+ Require all granted\r
+ Require not ip 10.252.46.165\r
+</RequireAll></pre>\r
+\r
+\r
+ <p>Visitors coming from that address will not be able to see\r
+ the content covered by this directive. If, instead, you have a\r
+ machine name, rather than an IP address, you can use that.</p>\r
+\r
+ <pre class="prettyprint lang-config"><RequireAll>\r
+ Require all granted\r
+ Require not host host.example.com\r
+</RequireAll></pre>\r
+\r
+\r
+ <p>And, if you'd like to block access from an entire domain,\r
+ you can specify just part of an address or domain name:</p>\r
+\r
+ <pre class="prettyprint lang-config"><RequireAll>\r
+ Require all granted\r
+ Require not ip 192.168.205\r
+ Require not host phishers.example.com moreidiots.example\r
+ Require not host ke\r
+</RequireAll></pre>\r
+\r
+\r
+ <p>Using <code class="directive"><a href="../mod/mod_authz_core.html#requireall"><RequireAll></a></code>\r
+ with multiple <code class="directive"><a href="../mod/mod_authz_core.html#require"><Require></a></code> directives, each negated with <code>not</code>,\r
+ will only allow access, if all of negated conditions are true. In other words,\r
+ access will be blocked, if any of the negated conditions fails.</p>\r
+\r
+ \r
+\r
+ <h3><a name="filesystem" id="filesystem">Access Control backwards compatibility</a></h3>\r
+ <p>One of the side effects of adopting a provider based mechanism for\r
+ authentication is that the previous access control directives\r
+ <code class="directive"><a href="../mod/mod_access_compat.html#order">Order</a></code>,\r
+ <code class="directive"><a href="../mod/mod_access_compat.html#allow">Allow</a></code>,\r
+ <code class="directive"><a href="../mod/mod_access_compat.html#deny">Deny</a></code> and\r
+ <code class="directive"><a href="../mod/mod_access_compat.html#satisfy">Satisfy</a></code> are no longer needed.\r
+ However to provide backwards compatibility for older configurations, these\r
+ directives have been moved to the <code class="module"><a href="../mod/mod_access_compat.html">mod_access_compat</a></code> module.</p>\r
+\r
+ <div class="warning"><h3>Note</h3>\r
+ <p>The directives provided by <code class="module"><a href="../mod/mod_access_compat.html">mod_access_compat</a></code> have\r
+ been deprecated by <code class="module"><a href="../mod/mod_authz_host.html">mod_authz_host</a></code>.\r
+ Mixing old directives like <code class="directive"><a href="../mod/mod_access_compat.html#order">Order</a></code>, <code class="directive"><a href="../mod/mod_access_compat.html#allow">Allow</a></code> or <code class="directive"><a href="../mod/mod_access_compat.html#deny">Deny</a></code> with new ones like\r
+ <code class="directive"><a href="../mod/mod_authz_core.html#require">Require</a></code> is technically possible\r
+ but discouraged. The <code class="module"><a href="../mod/mod_access_compat.html">mod_access_compat</a></code> module was created to support\r
+ configurations containing only old directives to facilitate the 2.4 upgrade.\r
+ Please check the <a href="../upgrading.html">upgrading</a> guide for more\r
+ information.\r
+ </p>\r
+ </div>\r
+ \r
+\r
+</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>\r
+<div class="section">\r
+<h2><a name="socache" id="socache">Authentication Caching</a></h2>\r
+ <p>There may be times when authentication puts an unacceptable load\r
+ on a provider or on your network. This is most likely to affect users\r
+ of <code class="module"><a href="../mod/mod_authn_dbd.html">mod_authn_dbd</a></code> (or third-party/custom providers).\r
+ To deal with this, HTTPD 2.3/2.4 introduces a new caching provider\r
+ <code class="module"><a href="../mod/mod_authn_socache.html">mod_authn_socache</a></code> to cache credentials and reduce\r
+ the load on the origin provider(s).</p>\r
+ <p>This may offer a substantial performance boost to some users.</p>\r
+</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>\r
+<div class="section">\r
+<h2><a name="moreinformation" id="moreinformation">More information</a></h2>\r
+ <p>You should also read the documentation for\r
+ <code class="module"><a href="../mod/mod_auth_basic.html">mod_auth_basic</a></code> and <code class="module"><a href="../mod/mod_authz_host.html">mod_authz_host</a></code>\r
+ which contain some more information about how this all works. The\r
+ directive <code class="directive"><a href="../mod/mod_authn_core.html#authnprovideralias"><AuthnProviderAlias></a></code> can also help\r
+ in simplifying certain authentication configurations.</p>\r
+\r
+ <p>The various ciphers supported by Apache for authentication data are\r
+ explained in <a href="../misc/password_encryptions.html">Password\r
+ Encryptions</a>.</p>\r
+\r
+ <p>And you may want to look at the <a href="access.html">Access\r
+ Control</a> howto, which discusses a number of related topics.</p>\r
+\r
+</div></div>\r
+<div class="bottomlang">\r
+<p><span>Idiomas disponibles: </span><a href="../en/howto/auth.html" hreflang="en" rel="alternate" title="English"> en </a> |\r
+<a href="../es/howto/auth.html" title="Español"> es </a> |\r
+<a href="../fr/howto/auth.html" hreflang="fr" rel="alternate" title="Français"> fr </a> |\r
+<a href="../ja/howto/auth.html" hreflang="ja" rel="alternate" title="Japanese"> ja </a> |\r
+<a href="../ko/howto/auth.html" hreflang="ko" rel="alternate" title="Korean"> ko </a> |\r
+<a href="../tr/howto/auth.html" hreflang="tr" rel="alternate" title="Türkçe"> tr </a></p>\r
+</div><div class="top"><a href="#page-header"><img src="../images/up.gif" alt="top" /></a></div><div class="section"><h2><a id="comments_section" name="comments_section">Comentarios</a></h2><div class="warning"><strong>Notice:</strong><br />This is not a Q&A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our <a href="http://httpd.apache.org/lists.html">mailing lists</a>.</div>\r
<script type="text/javascript"><!--//--><![CDATA[//><!--
var comments_shortname = 'httpd';
var comments_identifier = 'http://httpd.apache.org/docs/trunk/howto/auth.html';
d.write('<div id="comments_thread">Comments are disabled for this page at the moment.<\/div>');
}
})(window, document);
-//--><!]]></script></div><div id="footer">
-<p class="apache">Copyright 2016 The Apache Software Foundation.<br />Licencia bajo los términos de la <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p>
+//--><!]]></script></div><div id="footer">\r
+<p class="apache">Copyright 2016 The Apache Software Foundation.<br />Licencia bajo los términos de la <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p>\r
<p class="menu"><a href="../mod/">Módulos</a> | <a href="../mod/quickreference.html">Directivas</a> | <a href="http://wiki.apache.org/httpd/FAQ">Preguntas Frecuentes</a> | <a href="../glossary.html">Glosario</a> | <a href="../sitemap.html">Mapa del sitio web</a></p></div><script type="text/javascript"><!--//--><![CDATA[//><!--
if (typeof(prettyPrint) !== 'undefined') {
prettyPrint();
}
-//--><!]]></script>
+//--><!]]></script>\r
</body></html>
\ No newline at end of file
<?xml version='1.0' encoding='UTF-8' ?>
<!DOCTYPE manualpage SYSTEM "../style/manualpage.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.es.xsl"?>
-<!-- $LastChangedRevision: 1738333 $ -->
+<!-- English Revision: 1738333 $ -->
<!-- Translated by: Luis Gil de Bernabé Pfeiffer lgilbernabe [AT] apache.org-->
<!-- Reviewed by: Sergio Ramos -->
<!--
<code>/usr/local/apache/htdocs/secret/.htaccess</code>, o
en la configuración global del servidor <code>httpd.conf</code> dentro de la
sección <Directory
- "/usr/local/apache/htdocs/secret"> section. como se muesta a continuacion:</p>
+ "/usr/local/apache/htdocs/secret"> , como se muestra a continuación:</p>
<highlight language="config">
<Directory "/usr/local/apache/htdocs/secret">
</Directory>
</highlight>
- <p>Let's examine each of those directives individually. The <directive
- module="mod_authn_core">AuthType</directive> directive selects
- that method that is used to authenticate the user. The most
- common method is <code>Basic</code>, and this is the method
- implemented by <module>mod_auth_basic</module>. It is important to be aware,
- however, that Basic authentication sends the password from the client to
- the server unencrypted. This method should therefore not be used for
- highly sensitive data, unless accompanied by <module>mod_ssl</module>.
- Apache supports one other authentication method:
- <code>AuthType Digest</code>. This method is implemented by <module
- >mod_auth_digest</module> and was intended to be more secure. This is no
- longer the case and the connection should be encrypted with <module
- >mod_ssl</module> instead.</p>
-
- <p>The <directive module="mod_authn_core">AuthName</directive> directive sets
- the <dfn>Realm</dfn> to be used in the authentication. The realm serves
- two major functions. First, the client often presents this information to
- the user as part of the password dialog box. Second, it is used by the
- client to determine what password to send for a given authenticated
- area.</p>
-
- <p>So, for example, once a client has authenticated in the
- <code>"Restricted Files"</code> area, it will automatically
- retry the same password for any area on the same server that is
- marked with the <code>"Restricted Files"</code> Realm.
- Therefore, you can prevent a user from being prompted more than
- once for a password by letting multiple restricted areas share
- the same realm. Of course, for security reasons, the client
- will always need to ask again for the password whenever the
- hostname of the server changes.</p>
-
- <p>The <directive
- module="mod_auth_basic">AuthBasicProvider</directive> is,
- in this case, optional, since <code>file</code> is the default value
- for this directive. You'll need to use this directive if you are
- choosing a different source for authentication, such as
- <module>mod_authn_dbm</module> or <module>mod_authn_dbd</module>.</p>
-
- <p>The <directive module="mod_authn_file">AuthUserFile</directive>
- directive sets the path to the password file that we just
- created with <program>htpasswd</program>. If you have a large number
- of users, it can be quite slow to search through a plain text
- file to authenticate the user on each request. Apache also has
- the ability to store user information in fast database files.
- The <module>mod_authn_dbm</module> module provides the <directive
- module="mod_authn_dbm">AuthDBMUserFile</directive> directive. These
- files can be created and manipulated with the <program>
- dbmmanage</program> and <program>htdbm</program> programs. Many
- other types of authentication options are available from third
- party modules in the <a
- href="http://modules.apache.org/">Apache Modules
- Database</a>.</p>
-
- <p>Finally, the <directive module="mod_authz_core">Require</directive>
- directive provides the authorization part of the process by
- setting the user that is allowed to access this region of the
- server. In the next section, we discuss various ways to use the
- <directive module="mod_authz_core">Require</directive> directive.</p>
+ <p>Vamos a explicar cada una de las directivas individualmente.
+ La directiva <directive
+ module="mod_authn_core">AuthType</directive> selecciona el método
+ que se usa para autenticar al usuario. El método más común es
+ <code>Basic</code>, y éste es el método que implementa
+ <module>mod_auth_basic</module>. Es muy importante ser consciente,
+ de que la autenticación básica, envía las contraseñas desde el cliente
+ al servidor sin cifrar.
+ Este método por tanto, no debe ser utilizado para proteger datos muy sensibles,
+ a no ser que, este método de autenticación básica, sea acompañado del módulo
+ <module>mod_ssl</module>.
+ Apache soporta otro método más de autenticación que es del tipo
+ <code>AuthType Digest</code>. Este método, es implementado por el módulo <module
+ >mod_auth_digest</module> y con el se pretendía crear una autenticación más
+ segura. Este ya no es el caso, ya que la conexión deberá realizarse con <module
+ >mod_ssl</module> en su lugar.
+ </p>
+
+ <p>La directiva <directive module="mod_authn_core">AuthName</directive>
+ establece el <dfn>Realm</dfn> para ser usado en la autenticación. El
+ <dfn>Realm</dfn> tiene dos funciones principales.
+ La primera, el cliente presenta a menudo esta información al usuario como
+ parte del cuadro de diálogo de contraseña. La segunda, que es utilizado por
+ el cliente para determinar qué contraseña enviar a para una determinada zona
+ de autenticación.</p>
+
+ <p>Así que, por ejemple, una vez que el cliente se ha autenticado en el área de
+ los <code>"Ficheros Restringidos"</code>, entonces re-intentará automáticamente
+ la misma contraseña para cualquier área en el mismo servidor que es marcado
+ con el Realm de <code>"Ficheros Restringidos"</code>
+ Por lo tanto, puedes prevenir que a un usuario se le pida mas de una vez por su
+ contraseña, compartiendo así varias áreas restringidas el mismo Realm
+ Por supuesto, por razones de seguridad, el cliente pedirá siempre por una contraseña,
+ siempre y cuando el nombre del servidor cambie.
+ </p>
+
+ <p>La directiva <directive
+ module="mod_auth_basic">AuthBasicProvider</directive> es,
+ en este caso, opcional, ya que <code>file</code> es el valor por defecto
+ para esta directiva. Deberás usar esta directiva si estas usando otro medio
+ diferente para la autenticación, como por ejemplo
+ <module>mod_authn_dbm</module> o <module>mod_authn_dbd</module>.</p>
+
+ <p>La directiva <directive module="mod_authn_file">AuthUserFile</directive>
+ establece el path al fichero de contraseñas que acabamos de crear con el
+ comando <program>htpasswd</program>. Si tiene un número muy grande de usuarios,
+ puede ser realmente lento el buscar el usuario en ese fichero de texto plano
+ para autenticar a los usuarios en cada petición.
+ Apache también tiene la habilidad de almacenar información de usuarios en
+ unos ficheros de rápido acceso a modo de base de datos.
+ El módulo <module>mod_authn_dbm</module> proporciona la directiva <directive
+ module="mod_authn_dbm">AuthDBMUserFile</directive>. Estos ficheros pueden ser creados y
+ manipulados con el programa <program>dbmmanage</program> y <program>htdbm</program>.
+ Muchos otros métodos de autenticación así como otras opciones, están disponibles en
+ módulos de terceros
+ <a href="http://modules.apache.org/">Base de datos de Módulos disponibles</a>.</p>
+
+ <p>Finalmente, la directiva <directive module="mod_authz_core">Require</directive>
+ proporciona la parte del proceso de autorización estableciendo el o los
+ usuarios que se les está permitido acceder a una región del servidor.
+ En la próxima sección, discutiremos las diferentes vías de utilizar la
+ directiva <directive module="mod_authz_core">Require</directive>.</p>
</section>
-<section id="lettingmorethanonepersonin"><title>Letting more than one
-person in</title>
- <p>The directives above only let one person (specifically
- someone with a username of <code>rbowen</code>) into the
- directory. In most cases, you'll want to let more than one
- person in. This is where the <directive module="mod_authz_groupfile"
- >AuthGroupFile</directive> comes in.</p>
+<section id="lettingmorethanonepersonin"><title>Dejar que más de una persona
+ entre</title>
+ <p>Las directivas mencionadas arriba sólo permiten a una persona
+ (especialmente con un usuario que en ej ejemplo es <code>rbowen</code>)
+ en el directorio. En la mayoría de los casos, se querrá permitir el acceso
+ a más de una persona. Aquí es donde la directiva
+ <directive module="mod_authz_groupfile">AuthGroupFile</directive> entra en juego.</p>
- <p>If you want to let more than one person in, you'll need to
- create a group file that associates group names with a list of
- users in that group. The format of this file is pretty simple,
- and you can create it with your favorite editor. The contents
- of the file will look like this:</p>
+ <p>Si lo que se desea es permitir a más de una persona el acceso, necesitarás
+ crear un archivo de grupo que asocie los nombres de grupos con el de personas
+ para permitirles el acceso. El formato de este fichero es bastante sencillo,
+ y puedes crearlo con tu editor de texto favorito. El contenido del fichero
+ se parecerá a:</p>
<example>
GroupName: rbowen dpitts sungo rshersey
</example>
- <p>That's just a list of the members of the group in a long
- line separated by spaces.</p>
+ <p>Básicamente eso es la lista de miembros los cuales están en un mismo fichero
+ de grupo en una sola linea separados por espacios.</p>
- <p>To add a user to your already existing password file,
- type:</p>
+ <p>Para añadir un usuario a tu fichero de contraseñas existente teclee:</p>
<example>
htpasswd /usr/local/apache/passwd/passwords dpitts
</example>
- <p>You'll get the same response as before, but it will be
- appended to the existing file, rather than creating a new file.
- (It's the <code>-c</code> that makes it create a new password
- file).</p>
+ <p>Te responderá lo mismo que anteriormente, pero se añadirá al fichero
+ existente en vez de crear uno nuevo. (Es decir el flag <code>-c</code> será
+ el que haga que se genere un nuevo
+ fichero de contraseñas).</p>
- <p>Now, you need to modify your <code>.htaccess</code> file to
- look like the following:</p>
+ <p>Ahora, tendrá que modificar su fichero <code>.htaccess</code> para que sea
+ parecido a lo siguiente:</p>
<highlight language="config">
AuthType Basic
Require group GroupName
</highlight>
- <p>Now, anyone that is listed in the group <code>GroupName</code>,
- and has an entry in the <code>password</code> file, will be let in, if
- they type the correct password.</p>
+ <p>Ahora, cualquiera que esté listado en el grupo <code>GroupName</code>,
+ y tiene una entrada en el fichero de <code>contraseñas</code>, se les
+ permitirá el acceso, si introducen su contraseña correctamente.</p>
- <p>There's another way to let multiple users in that is less
- specific. Rather than creating a group file, you can just use
- the following directive:</p>
+ <p>Hay otra manera de dejar entrar a varios usuarios, que es menos específica.
+ En lugar de crear un archivo de grupo, sólo puede utilizar la siguiente
+ directiva:</p>
<highlight language="config">
Require valid-user
</highlight>
- <p>Using that rather than the <code>Require user rbowen</code>
- line will allow anyone in that is listed in the password file,
- and who correctly enters their password. You can even emulate
- the group behavior here, by just keeping a separate password
- file for each group. The advantage of this approach is that
- Apache only has to check one file, rather than two. The
- disadvantage is that you have to maintain a bunch of password
- files, and remember to reference the right one in the
- <directive module="mod_authn_file">AuthUserFile</directive> directive.</p>
+ <p>Usando ésto en vez de la línea <code>Require user rbowen</code>
+ permitirá a cualquier persona acceder, la cuál aparece en el archivo de
+ contraseñas, y que introduzca correctamente su contraseña. Incluso puede
+ emular el comportamiento del grupo aquí, sólo manteniendo un fichero de
+ contraseñas independiente para cada grupo. La ventaja de este enfoque es
+ que Apache sólo tiene que comprobar un archivo, en lugar de dos. La desventaja
+ es que se tiene que mantener un montón de ficheros de contraseña de grupo, y
+ recuerde hacer referencia al fichero correcto en la directiva
+ <directive module="mod_authn_file">AuthUserFile</directive>.</p>
</section>
-<section id="possibleproblems"><title>Possible problems</title>
- <p>Because of the way that Basic authentication is specified,
- your username and password must be verified every time you
- request a document from the server. This is even if you're
- reloading the same page, and for every image on the page (if
- they come from a protected directory). As you can imagine, this
- slows things down a little. The amount that it slows things
- down is proportional to the size of the password file, because
- it has to open up that file, and go down the list of users
- until it gets to your name. And it has to do this every time a
- page is loaded.</p>
-
- <p>A consequence of this is that there's a practical limit to
- how many users you can put in one password file. This limit
- will vary depending on the performance of your particular
- server machine, but you can expect to see slowdowns once you
- get above a few hundred entries, and may wish to consider a
- different authentication method at that time.</p>
+<section id="possibleproblems"><title>Posibles Problemas</title>
+ <p>Debido a la forma en que se especifica la autenticación básica,
+ su nombre de usuario y la contraseña deben ser verificados cada vez
+ que se solicita un documento desde el servidor. Esto es, incluso si
+ se vuelve a cargar la misma página, y para cada imagen de la página (si
+ provienen de un directorio protegido). Como se puede imaginar, esto
+ ralentiza las cosas un poco. La cantidad que ralentiza las cosas es
+ proporcional al tamaño del archivo de contraseñas, porque tiene que
+ abrir ese archivo, recorrer lista de usuarios hasta que llega a su nombre.
+ Y tiene que hacer esto cada vez que se carga una página.</p>
+
+ <p>Una consecuencia de esto, es que hay un limite práctico de cuantos
+ usuarios puedes introducir en el fichero de contraseñas. Este límite
+ variará dependiendo de la máquina en la que tengas el servidor,
+ pero puedes notar ralentizaciones en cuanto se metan cientos de entradas,
+ y por lo tanto consideraremos entonces otro método de autenticación
+ en ese momento.
+ </p>
</section>
-<section id="dbmdbd"><title>Alternate password storage</title>
+<section id="dbmdbd"><title>Método alternativo de almacenamiento de las
+ contraseñas</title>
- <p>Because storing passwords in plain text files has the above
- problems, you may wish to store your passwords somewhere else, such
- as in a database.</p>
+ <p>Debido a que el almacenamiento de las contraseñas en texto plano tiene
+ el problema mencionado anteriormente, puede que se prefiera guardar
+ las contraseñas en otro lugar como por ejemplo una base de datos.
+ </p>
- <p><module>mod_authn_dbm</module> and <module>mod_authn_dbd</module> are two
- modules which make this possible. Rather than selecting <code><directive
- module="mod_auth_basic">AuthBasicProvider</directive> file</code>, instead
- you can choose <code>dbm</code> or <code>dbd</code> as your storage
- format.</p>
+ <p>Los módulos <module>mod_authn_dbm</module> y <module>mod_authn_dbd</module> son
+ dos módulos que hacen esto posible. En vez de seleccionar la directiva de fichero
+ <code><directive module="mod_auth_basic">AuthBasicProvider</directive> </code>, en su lugar
+ se puede elegir <code>dbm</code> o <code>dbd</code> como formato de almacenamiento.</p>
- <p>To select a dbm file rather than a text file, for example:</p>
+ <p>Para seleccionar los ficheros de tipo dbm en vez de texto plano, podremos hacer algo parecido a lo siguiente:</p>
<highlight language="config">
<Directory "/www/docs/private">
</Directory>
</highlight>
- <p>Other options are available. Consult the
- <module>mod_authn_dbm</module> documentation for more details.</p>
+ <p>Hay otras opciones disponibles. Consulta la documentación de
+ <module>mod_authn_dbm</module> para más detalles.</p>
</section>
-<section id="multprovider"><title>Using multiple providers</title>
+<section id="multprovider"><title>Uso de múltiples proveedores</title>
- <p>With the introduction of the new provider based authentication and
- authorization architecture, you are no longer locked into a single
- authentication or authorization method. In fact any number of the
- providers can be mixed and matched to provide you with exactly the
- scheme that meets your needs. In the following example, both the
- file and LDAP based authentication providers are being used.</p>
+ <p>Con la introducción de la nueva autenticación basada en un proveedor y
+ una arquitectura de autorización, ya no estaremos restringidos a un único
+ método de autenticación o autorización. De hecho, cualquier número de
+ los proveedores pueden ser mezclados y emparejados para ofrecerle
+ exactamente el esquema que se adapte a sus necesidades.
+ En el siguiente ejemplo, veremos como ambos proveedores tanto el fichero
+ como el LDAP son usados en la autenticación:
+ </p>
<highlight language="config">
<Directory "/www/docs/private">
</Directory>
</highlight>
- <p>In this example the file provider will attempt to authenticate
- the user first. If it is unable to authenticate the user, the LDAP
- provider will be called. This allows the scope of authentication
- to be broadened if your organization implements more than
- one type of authentication store. Other authentication and authorization
- scenarios may include mixing one type of authentication with a
- different type of authorization. For example, authenticating against
- a password file yet authorizing against an LDAP directory.</p>
-
- <p>Just as multiple authentication providers can be implemented, multiple
- authorization methods can also be used. In this example both file group
- authorization as well as LDAP group authorization is being used.</p>
+ <p>En este ejemplo el fichero, que actúa como proveedor, intentará autenticar
+ primero al usuario. Si no puede autenticar al usuario, el proveedor del LDAP
+ será llamado para que realice la autenticación.
+ Esto permite al ámbito de autenticación ser amplio, si su organización
+ implementa más de un tipo de almacén de autenticación.
+ Otros escenarios de autenticación y autorización pueden incluir la
+ mezcla de un tipo de autenticación con un tipo diferente de autorización.
+ Por ejemplo, autenticar contra un fichero de contraseñas pero autorizando
+ dicho acceso mediante el directorio del LDAP.</p>
+
+ <p>Así como múltiples métodos y proveedores de autenticación pueden
+ ser implementados, también pueden usarse múltiples formas de
+ autorización.
+ En este ejemplo ambos ficheros de autorización de grupo así como
+ autorización de grupo mediante LDAP va a ser usado:
+ </p>
<highlight language="config">
<Directory "/www/docs/private">
</Directory>
</highlight>
- <p>To take authorization a little further, authorization container
- directives such as
+ <p>Para llevar la autorización un poco más lejos, las directivas
+ de autorización de contenedores tales como
<directive module="mod_authz_core" type="section">RequireAll</directive>
and
<directive module="mod_authz_core" type="section">RequireAny</directive>
- allow logic to be applied so that the order in which authorization
- is handled can be completely controlled through the configuration.
- See <a href="../mod/mod_authz_core.html#logic">Authorization
- Containers</a> for an example of how they may be applied.</p>
+ nos permiten aplicar una lógica de en qué orden se manejará la autorización dependiendo
+ de la configuración y controlada a través de ella.
+ Mire también <a href="../mod/mod_authz_core.html#logic">Contenedores de
+ Autorización</a> para ejemplos de cómo pueden ser aplicados.</p>
</section>
-<section id="beyond"><title>Beyond just authorization</title>
+<section id="beyond"><title>Más allá de la Autorización</title>
+
+ <p>El modo en que la autorización puede ser aplicada es ahora mucho más flexible
+ que us solo chequeo contra un almacén de datos (contraseñas). Ordenando la
+ lógica y escoger la forma en que la autorización es realizada, ahora es posible
+ </p>
- <p>The way that authorization can be applied is now much more flexible
- than just a single check against a single data store. Ordering, logic
- and choosing how authorization will be done is now possible.</p>
+ <section id="authandororder"><title>Aplicando la lógica y ordenación</title>
+ <p>Controlar el cómo y en qué orden se va a aplicar la autorización ha
+ sido un misterio en el pasado. En Apache 2.2 un proveedior de autenticación
+ C
- <section id="authandororder"><title>Applying logic and ordering</title>
- <p>Controlling how and in what order authorization will be applied
- has been a bit of a mystery in the past. In Apache 2.2 a provider-based
+ In Apache 2.2 a provider-based
authentication mechanism was introduced to decouple the actual
authentication process from authorization and supporting functionality.
One of the side benefits was that authentication providers could be
projects / apache / commitdiff