访问控制仅适用于 <Location> 指令，Apache/2.4.6 (CentOS)

Question

有一台运行着多个 Apache 实例的服务器。一个实例需要从任何地方访问，但仅限于授权用户。实例由 systemctl 脚本启动，其中 -f 选项指向 /opt/ 中的配置文件。

Config 包括来自 /opt/ 下同一文件夹中的另一个文件的指令。所包含指令的相关部分目前如下所示：

“

[...]

  <Location "/subfolder">
      <RequireAll>
        Require all granted
        Require valid-user
      </RequireAll>
   LimitRequestBody <someNumber>
  </Location>

[...]

  DavLockDB /somepath/webdav/DavLock

  Alias /subfolder /mainfolder/subfolder
  <Directory /mainfolder/subfolder>
      Dav on
      AuthType Basic
      AuthName "Restricted Files"
      AuthUserFile /somepath/webdav/.htpasswd
      <RequireAll>
        Require all granted
        Require valid-user
      </RequireAll>
      AllowOverride All
      SSLRequireSSL
      Options FollowSymLinks Indexes
  </Directory>

[...]

“

这到目前为止有效，如果您输入用户名和密码，它只允许访问文件夹。

问题是，如果我注释掉 <Location 指令以符合安全建议，那么访问将被完全拒绝。没有办法输入用户名和密码，如果我在命令行上提供它们，它们将被忽略，而它们以前使用 <Location 块完好无损。

<Directory> 指令中的 <RequireAll> 块完全无效。事实上，如果我在那里评论它，它不会改变 httpd 实例的行为。只有当它被放置在 <Location 块中时它才有效。另一方面，<Directory> 块的其余部分似乎在工作。

有人对我在这里可能遗漏的东西有任何提示吗？提前致谢！

Answer 1

H/T 至Apache Basic Auth not working in .htaccess or Directory blocks; works fine in Location blocks

问题在于启动 Apache 实例的配置文件包含 /etc/ 中的系统范围配置之一，其中包含默认位置块，类似于以下内容：

<Location />
  Require all denied
  [...]
</Location>

当我从此处注释掉行 Require all denied 时，<Directory> 块中的访问控制指令开始按预期工作。

上面的解释是，与“完全在文件系统之外运行”的“普通”<Location> 指令不同，<Location /> 指的是整个服务器（参见 Apache 文档：https://httpd.apache.org/docs/2.4/mod/core.html#location），所以它的意思差不多与 <Directory /> 相同（至少在其范围内），除了它只能被另一个 <Location> 指令覆盖。