[APACHE DOCUMENTATION]

Apache HTTP Server Version 1.3

Module mod_auth

Ce module est implémenté dans le fichier mod_auth.c, et est compilé par défaut. Il permet une authentification des utilisateurs sur la base de fichiers texte.
  • AuthGroupFile
  • AuthUserFile
  • AuthAuthoritative

    • AuthGroupFile

    Syntaxe : AuthGroupFile nomFichier
    Contexte : répertoire, .htaccess
    Surcharge : AuthConfig
    Statut : Base
    Module : mod_auth

    La directive AuthGroupFile définit le nom du fichier texte contenant la liste des groupes d'utilisateurs destinée à servir de base à l'authentification d'accès. nomFichier est le chemin d'accès absolu du fichier de groupes.

    Chaque ligne du fichier de groupes d'utilisateurs contient le nom d'un groupe suivi par un deux-points, puis par la liste des noms d'utilisateurs assignés à ce groupe, lesquels sont séparés par des espaces. Exemple :

    mongroupe: bob jacques anne
    Notez que dès que le fichier de groupes est de grande taille, cette méthode se révèle très peu performante ; on préfèrera utiliser AuthDBMGroupFile à la place.

    Sécurité : assurez-vous que le fichier défini par AuthGroupFile est bien enregistré en dehors de l'espace documentaire accessible via le serveur Web ; ne le placez pas non plus dans un répertoire qu'il protège lui-même. Dans les deux cas, vous autoriseriez des clients à télécharger ce fichier.

    Voir aussi AuthName, AuthType et AuthUserFile.

    AuthUserFile

    Syntaxe : AuthUserFile nomFichier
    Contexte : répertoire, .htaccess
    Surcharge : AuthConfig
    Statut : Base
    Module : mod_auth

    La directive AuthUserFile définit le nom du fichier texte dans lequel est enregistrée une liste de noms d'utilisateurs et des mots de passe qui leur sont associés dans le but d'une authentification d'accès. nomFichier est le chemin d'accès absolu au fichier d'utilisateurs.

    Chaque ligne de ce fichier spécifie un nom d'utilisateur suivi d'un deux-points, puis du mot de passe sous sa forme encryptée par la fonction crypt(). Le comportement en cas de multiples occurrences du même nom d'utilisateur reste indéterminé.

    Notez que dès que le fichier utilisateurs est de grande taille, cette méthode se révèle très peu performante ; on préfèrera utiliser AuthDBMUserFile à la place.

    Sécurité : assurez-vous que le fichier défini par AuthUserFile est bien enregistré en dehors de l'espace documentaire accessible via le serveur Web ; ne le placez pas non plus dans un répertoire qu'il protège lui-même. Dans les deux cas, vous autoriseriez des clients à télécharger ce fichier.

    Voir aussi AuthName, AuthType et AuthGroupFile.

    AuthAuthoritative

    Syntaxe : AuthAuthoritative < on(default) | off >
    Contexte : répertoire, .htaccess
    Surcharge : AuthConfig
    Statut : Base
    Module : mod_auth

    Marquer explicitement la directive AuthAuthoritative à off permet de reporter l'action d'identification et d'authentification au niveau d'un module de plus bas niveau (défini dans le fichier de Configuration de compilation et dans le fichier modules.c) lorsqu'aucune définition de userID ni de règle ne correspond à ceux du requérant. Si un userID et/ou une règle correspondent, la vérification usuelle de mot de passe ou de droit d'accès sera appliquée, et tout echec de cette procédure renverra une réponse "Authorization Required".

    Par déduction, si une définition de userID correspond dans la base de données pour un ou plusieurs modules, ou si une directive de requête d'informations d'authentification valide s'applique dans un module ou plus, alors c'est le premier module exécuté qui vérifiera les droits, et refusera l'accès au besoin, quelque soit la définition pour la directive AuthAuthoritative.

    Une utilisation commune de cette directive se fait en conjonction avec l'un des modules de bases de données, tels que mod_auth_db.c, mod_auth_dbm.c, mod_auth_msql.c et mod_auth_anon.c. Ces modules fournissent les données de base pour la vérification d'authentification, mais quelques accès tomberont au niveau inférieur (en général des accès administrateur qui descendront jusqu'à la protection par .htaccess).

    Défaut : Par défaut, le contrôle d'accès n'est pas délégué à une étape inférieure, et un userID ou une règle inconnue provoquera toujours une réponse "Authorization Required". C'est certainement l'option la plus sûre, et qui force un comportement conforme à la spécification NSCA.

    Sécurité : Considérez les conséquences lorsque vous permettez a un utilisateur d'accéder jusqu'au niveau de son fichier .htaccess, et vérifiez que cette situation est bien voulue. En général, il est plus facile de verrouiller un simple fichier .htpasswd, que de sécuriser une base de données comme mSQL. Assurez-vous que le fichier AuthUserFile est bien enregistré à l'extérieur de l'espace accessible par le serveur Web. Ne le placez même pas dans un répertoire qu'il protège. Faute de quoi vous pourriez permettre par mégarde à certains clients de télécharger ce fichier AuthUserFile.

    Voir aussi AuthName, AuthType et AuthGroupFile.

    Apache HTTP Server Version 1.3

    Index Home

    Adaptation française © Valery Fremaux / EISTI 1998