Hello!

On Tue, Apr 14, 2015 at 03:38:11PM -0400, itcod wrote:

> "Реальнее - использовать средства контроля доступа, см. выше."
>
> Максим спасибо.
> Из всех перечисленных вами средств похоже только limit_except по описанию
> может раздельно влиять
> на методы применяемые в WEBDAV (DELETE, MKCOL, COPY, MOVE, OPTIONS,
> PROPFIND)

Вам кажется. Контроль доступа в зависимости от метода можно
делать, помимо limit_except, ещё как минимум с помощью директив
модуля rewrite:

if ($request_method = POST) {
return 403;
}

Не говоря уже о выгрузке логики доступа в скриптовые языки (perl,
тот же lua) или вообще на бекенды с помощью auth_request.

> Задача тривиальна при изменении переменной (она изменяется из программы lua)
> разрешить или блокировать метод GET. Создал для проверки конструкцию
>
> set $limit_get all;
> limit_except GET {
> deny $limit_get all;
> }
> Получил ошибку:
> nginx: [emerg] invalid parameter "limit_get" ....
>
> Вывод1. Средство контроля не знает переменных и не может в зависимости от
> внешних условий (прав пользователя) заблокировать/разблокировать метод.

Ваша проблема в том, что вы упорно пытаетесь использовать
переменные там, где они не поддерживаются. Повторю: переменные
поддерживают только некоторые директивы nginx'а. BTW, если в
какой-либо директиве можно использовать переменные - это явно
указано в документации.

> Вывод2. Перечисленные вами средства контроля не решают задачи динамической
> установки доступных пользователю(имя:пароль) методов (прав доступа).

См. выше, вам кажется.

> Я пока не вижу способа запретить ему создавать каталоги или стирать файлы
> если он зашёл в папку.... и это приводит нас к однопользовательской системе
> алядос... может я чего то не вижу ? может где то есть эта возможность
> динамически управлять методами(правами). Всё таки хочется сделать
> простенькую полноценную систему управления доступом к файлам в webdav...

Если данные о том, можно что-то пользователю или нет - из
скриптового языка, то проще всего вашу задачу решить с помощью
скриптового языка же, вернув ошибку непосредственно из него.

Тривиальный авторизатор на auth_basic, требующий от всех
пользователей ввода логина/пароля, и разрешающий некоторым из них
методы, отличные от GET, делается как-то так:

server {
listen 80;
server_name dav.example.com;

location / {
auth_basic "restricted site";
auth_basic_user_file /path/to/users;

dav_methods PUT DELETE;

limit_except GET {
auth_basic "restricted site";
auth_basic_user_file /path/to/admins;
}

...
}
}

--
Maxim Dounin
http://nginx.org/

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru