#ApacheでIP制限とクライアント認証をor条件で運用する
あるIPから来たリクエストは無条件に許可し、それ以外のIPから来たリクエストについてはクライアント認証で許可不許可を判断したい。クライアント認証についての説明はよく見るが、上記のように併用する方法がなかなか見つからなかったのでメモ。
初めはsatisfy anyにすれば良いと思っていたが効かなかった。
##httpd.confにて下記設定をする。
尚、DirectoryディレクティブやLocationディレクティブでも使用できる。
許可するクライアント認証のコモンネームは複数指定する事が可能。
SSLVerifyClientをoptionalで、SSLRequireをorで運用する事が肝。
SSLVerifyClientについて
| 値 | 意味 |
|---|---|
| none | クライアント証明書の検証を行わない。 |
| optional | クライアント証明書の提示があった場合は検証を行う。無い場合は処理を続行する |
| require | かならずクライアント証明書の検証を行う。 |
| optional_no_ca | クライアント証明書の提示があった場合は検証を行う。また、クライアント証明書はCAに登録されていなくてもよい。 |
httpd.conf
SSLCACertificateFile /etc/pki/CAフォルダ名/cacert.pem
SSLCARevocationFile /etc/pki/CAフォルダ名/crl.pem
SSLVerifyClient optional
Order allow,deny
allow from all
SSLUserName SSL_CLIENT_S_DN_CN
SSLRequire (%{SSL_CLIENT_S_DN_CN} in {"コモンネーム1", "コモンネーム2", "コモンネーム3"}) ¥
or ¥
(%{REMOTE_ADDR} =‾ m/^xxx¥.xxx¥.xxx¥.xxx$/)
##クライアント認証について
クライアント認証については下記が参考になりました。
http://www.webtech.co.jp/blog/optpix_labs/server/1780/