Serveur Apache HTTP Version 2.2
Serveur Apache HTTP Version 2.2
L'authentification est un processus qui vous permet de v�rifier qu'une personne est bien celle qu'elle pr�tend �tre. L'autorisation est un processus qui permet � une personne d'aller l� o� elle veut aller, ou d'obtenir les informations qu'elle d�sire.
Pour le contrôle d'accès en général, voir le document Tutoriel du contrôle d'accès.
Trois groupes de modules sont concern�s par le processus d'authentification et d'autorisation. Vous devrez utiliser au moins un module de chaque groupe.
AuthType)
AuthBasicProvider et AuthDigestProvider)
Require)
Le module mod_authnz_ldap est un fournisseur
d'authentification et d'autorisation. Le module
mod_authn_alias n'est pas un fournisseur
d'authentification lui-m�me, mais permet une configuration plus souple
des autres fournisseurs d'authentification.
Le module mod_authz_host fournit une autorisation
et un contr�le d'acc�s bas�s sur le nom du serveur, l'adresse IP ou
certaines caract�ristiques de la requ�te, mais ne fait pas partie du
syst�me fournisseur d'authentification.
Vous devriez aussi jeter un coup d'oeil au manuel de recettes Contr�le d'acc�s, qui d�crit les diff�rentes m�thodes de contr�le d'acc�s � votre serveur.
Si votre site web contient des informations sensibles ou destin�es seulement � un groupe de personnes restreint, les techniques expos�es dans cet article vont vous aider � vous assurer que les personnes qui ont acc�s � ces pages sont bien celles auxquelles vous avez donn� l'autorisation d'acc�s.
Cet article d�crit les m�thodes "standards" de protection de parties de votre site web que la plupart d'entre vous sont appel�s � utiliser.
Si vos donn�es ont un r�el besoin de s�curisation, pr�voyez
l'utilisation de mod_ssl en plus de toute m�thode
d'authentification.
Les directives d�crites dans cet article devront �tre ins�r�es
soit au niveau de la configuration de votre serveur principal (en
g�n�ral dans une section <Directory>), soit au niveau de la
configuration des r�pertoires (fichiers .htaccess)
Si vous envisagez l'utilisation de fichiers
.htaccess, la configuration de votre serveur devra
permettre l'ajout de directives d'authentification dans ces
fichiers. Pour ce faire, on utilise la directive AllowOverride, qui sp�cifie quelles
directives pourront �ventuellement contenir les fichiers de
configuration de niveau r�pertoire.
Comme il est ici question d'authentification, vous aurez besoin
d'une directive AllowOverride
du style :
AllowOverride AuthConfig
Or, si vous avez l'intention d'ajouter les directives directement dans le fichier de configuration principal, vous devrez bien entendu poss�der les droits en �criture sur ce fichier.
Vous devrez aussi conna�tre un tant soit peu la structure des r�pertoires de votre serveur, ne serait-ce que pour savoir o� se trouvent certains fichiers. Cela ne devrait pas pr�senter de grandes difficult�s, et j'essaierai de clarifier tout �a lorsque le besoin s'en fera sentir.
Nous d�crivons ici les bases de la protection par mot de passe d'un r�pertoire de votre serveur.
Vous devez en premier lieu cr�er un fichier de mots de passe. La m�thode exacte selon laquelle vous allez cr�er ce fichier va varier en fonction du fournisseur d'authentification choisi. Mais nous entrerons dans les d�tails plus loin, et pour le moment, nous nous contenterons d'un fichier de mots de passe en mode texte.
Ce fichier doit �tre enregistr� � un endroit non accessible
depuis le web, de fa�on � ce que les clients ne puissent pas le
t�l�charger. Par exemple, si vos documents sont servis � partir de
/usr/local/apache/htdocs, vous pouvez enregistrer le
fichier des mots de passe dans
/usr/local/apache/passwd.
L'utilitaire htpasswd fourni avec Apache
permet de cr�er ce fichier. Vous le trouverez dans le r�pertoire
bin de votre installation d'Apache. Si vous avez
install� Apache � partir d'un paquetage tiers, il sera probablement
dans le chemin par d�faut de vos ex�cutables.
Pour cr�er le fichier, tapez :
htpasswd -c /usr/local/apache/passwd/passwords rbowen
htpasswd vous demandera d'entrer le mot de
passe, et de le retaper pour confirmation :
# htpasswd -c /usr/local/apache/passwd/passwords rbowen
New password: mot-de-passe
Re-type new password: mot-de-passe
Adding password for user rbowen
Si htpasswd n'est pas dans le chemin par
d�faut de vos ex�cutables, vous devrez bien entendu entrer le chemin
complet du fichier. Dans le cas d'une installation par d�faut, il se
trouve � /usr/local/apache2/bin/htpasswd.
Ensuite, vous allez devoir configurer le serveur de fa�on � ce
qu'il demande un mot de passe et lui pr�ciser quels utilisateurs disposent
de droits d'acc�s. Pour ce faire, vous pouvez soit �diter le
fichier httpd.conf, soit utiliser un fichier
.htaccess. Par exemple, si vous voulez prot�ger le
r�pertoire /usr/local/apache/htdocs/secret, vous pouvez
utiliser les directives suivantes, soit dans le fichier
/usr/local/apache/htdocs/secret/.htaccess, soit dans le
fichier httpd.conf � l'int�rieur d'une section <Directory
/usr/local/apache/apache/htdocs/secret> :
AuthType Basic
AuthName "Fichiers r�serv�s"
# (La ligne suivante est facultative)
AuthBasicProvider file
AuthUserFile /usr/local/apache/passwd/passwords
Require user rbowen
Examinons ces directives une � une. La directive AuthType d�finit la m�thode
utilis�e pour authentifier l'utilisateur. La m�thode la plus
courante est Basic, et elle est impl�ment�e par
mod_auth_basic. Il faut cependant garder � l'esprit
que l'authentification Basic transmet le mot de passe en clair depuis le
client vers le serveur. Cette m�thode ne devra donc pas
�tre utilis�e pour la transmission de donn�es hautement sensibles si
elle n'est pas associ�e au module mod_ssl. Apache
supporte une autre m�thode d'authentification : AuthType
Digest. Cette m�thode est impl�ment�e par le module mod_auth_digest et a �t� con�ue pour
am�liorer la s�curit�. Ce but n'a cependant pas �t� atteint et il est pr�f�rable
de chiffrer la connexion avec mod_ssl.
La directive AuthName d�finit
l'Identificateur (Realm) � utiliser avec
l'authentification. L'identificateur poss�de deux fonctions. Tout
d'abord, le client pr�sente en g�n�ral cette information �
l'utilisateur dans le cadre de la bo�te de dialogue de mot de passe.
Ensuite, le client l'utilise pour d�terminer quel mot de passe
envoyer pour une zone authentifi�e donn�e.
Ainsi par exemple, une fois un client authentifi� dans la zone
"Fichiers r�serv�s", il soumettra � nouveau
automatiquement le m�me mot de passe pour toute zone du m�me serveur
marqu�e de l'identificateur "Fichiers r�serv�s". De
cette fa�on, vous pouvez �viter � un utilisateur d'avoir � saisir
plusieurs fois le m�me mot de passe en faisant partager le m�me
identificateur entre plusieurs zones r�serv�es. Bien entendu et pour
des raisons de s�curit�, le client devra redemander le mot
de passe chaque fois que le nom d'h�te du serveur sera modifi�.
La directive AuthBasicProvider est, dans ce
cas, facultative, car file est la valeur par d�faut
pour cette directive. Par contre, cette directive sera obligatoire
si vous utilisez une autre source d'authentification comme
mod_authn_dbm ou
mod_authn_dbd.
La directive AuthUserFile d�finit le chemin
du fichier de mots de passe que nous venons de cr�er avec
htpasswd. Si vous poss�dez un grand nombre
d'utilisateurs, la dur�e de la recherche dans un fichier texte pour
authentifier un utilisateur � chaque requ�te va augmenter
rapidement, et pour pallier cet inconv�nient, Apache peut aussi
stocker les donn�es relatives aux
utilisateurs dans des bases de donn�es rapides. Le module
mod_authn_dbm fournit la directive AuthDBMUserFile. Le programme dbmmanage permet de cr�er et manipuler ces fichiers. Vous
trouverez de nombreuses options d'autres types d'authentification
fournies par des modules tiers dans la Base de donn�es des modules
d'Apache.
Enfin, la directive Require
impl�mente la partie
autorisation du processus en d�finissant l'utilisateur autoris� �
acc�der � cette zone du serveur. Dans la section suivante, nous
d�crirons les diff�rentes m�thodes d'utilisation de la directive
Require directive.
La directive Satisfy permet de
sp�cifier que plusieurs crit�res peuvent �tre consid�r�s pour d�cider si
l'on peut accorder l'acc�s � un utilisateur particulier. Satisfy accepte
comme argument une des deux options - all ou
any. La valeur par d�faut est all, ce qui
signifie que dans le cas o� plusieurs crit�res sont sp�cifi�s,
l'ensemble de ces derniers doit �tre satisfait pour que l'acc�s soit
accord�. Par contre, si la valeur est any, si plusieurs
crit�res sont sp�cifi�s et si l'utilisateur satisfait � au moins un
d'entre eux, l'acc�s lui sera accord�.
Un exemple d'utilisation de cette directive est un contr�le d'acc�s afin de s'assurer que, bien qu'une ressource soit prot�g�e par mot de passe depuis l'ext�rieur de votre r�seau, tous les h�tes de votre r�seau pourront y acc�der sans authentification. Voici comment y parvenir en utilisant la directive Satisfy :
<Directory /usr/local/apache/htdocs/sekrit>
AuthType Basic
AuthName intranet
AuthUserFile /www/passwd/users
AuthGroupFile /www/passwd/groups
Require group customers
Order allow,deny
Allow from internal.com
Satisfy any
</Directory>
Les directives ci-dessus n'autorisent qu'une personne (quelqu'un
poss�dant le nom d'utilisateur rbowen) � acc�der au
r�pertoire. Dans la plupart des cas, vous devrez autoriser
l'acc�s � plusieurs personnes. C'est ici
qu'intervient la directive AuthGroupFile.
Si vous voulez autoriser l'acc�s � plusieurs personnes, vous devez cr�er un fichier de groupes qui associe des noms de groupes avec une liste d'utilisateurs de ce groupe. Le format de ce fichier est tr�s simple, et vous pouvez le cr�er avec votre �diteur de texte favori. Son contenu se pr�sente comme suit :
Nom-de-groupe: rbowen dpitts sungo rshersey
Il s'agit simplement d'une liste des membres du groupe sous la forme d'une ligne s�par�e par des espaces.
Pour ajouter un utilisateur � votre fichier de mots de passe pr�existant, entrez :
htpasswd /usr/local/apache/passwd/passwords dpitts
Vous obtiendrez le m�me effet qu'auparavant, mais le mot de passe
sera ajout� au fichier, plut�t que d'en cr�er un nouveau (C'est le
drapeau -c qui permet de cr�er un nouveau fichier de
mots de passe)..
Maintenant, vous devez modifier votre fichier
.htaccess ou la directive <Directory> comme suit :
AuthType Basic
AuthName "By Invitation Only"
# Ligne facultative :
AuthBasicProvider file
AuthUserFile /usr/local/apache/passwd/passwords
AuthGroupFile /usr/local/apache/passwd/groups
Require group Nom-de-groupe
Maintenant, quiconque appartient au groupe
Nom-de-groupe, et poss�de une entr�e dans le fichier
password pourra acc�der au r�pertoire s'il tape le bon
mot de passe.
Il existe une autre m�thode moins contraignante pour autoriser l'acc�s � plusieurs personnes. Plut�t que de cr�er un fichier de groupes, il vous suffit d'ajouter la directive suivante :
Require valid-user
Le remplacement de la ligne Require user rbowen par
la ligne Require valid-user autorisera l'acc�s �
quiconque poss�dant une entr�e dans le fichier password, et ayant
tap� le bon mot de passe.
L'authentification Basic est sp�cifi�e d'une telle mani�re que vos nom d'utilisateur et mot de passe doivent �tre v�rifi�s chaque fois que vous demandez un document au serveur, et ceci m�me si vous rechargez la m�me page, et pour chaque image contenue dans la page (si elles sont situ�es dans un r�pertoire prot�g�). Comme vous pouvez l'imaginer, ceci ralentit un peu le fonctionnement. La mesure dans laquelle le fonctionnement est ralenti est proportionnelle � la taille du fichier des mots de passe, car ce dernier doit �tre ouvert et la liste des utilisateurs parcourue jusqu'� ce que votre nom soit trouv�, et ceci chaque fois qu'une page est charg�e.
En cons�quence, ce ralentissement impose une limite pratique au nombre d'utilisateurs que vous pouvez enregistrer dans un fichier de mots de passe. Cette limite va varier en fonction des performances de votre serveur, mais vous commencerez � remarquer un ralentissement lorsque vous atteindrez quelques centaines d'utilisateurs, et serez alors appel� � utiliser une m�thode d'authentification diff�rente.
Suite au probl�me �voqu� pr�c�demment et induit par le stockage des mots de passe dans un fichier texte, vous pouvez �tre appel� � stocker vos mots de passe d'une autre mani�re, par exemple dans une base de donn�es.
Pour y parvenir, on peut utiliser les modules
mod_authn_dbm ou mod_authn_dbd.
Vous pouvez choisir comme format de stockage dbm ou
dbd � la place de file pour la directive
AuthBasicProvider.
Par exemple, pour s�lectionner un fichier dbm � la place d'un fichier texte :
<Directory /www/docs/private>
AuthName "Private"
AuthType Basic
AuthBasicProvider dbm
AuthDBMUserFile /www/passwords/passwd.dbm
Require valid-user
</Directory>
D'autres options sont disponibles. Consultez la documentation de
mod_authn_dbm pour plus de d�tails.
Vous pouvez aussi lire la documentation de
mod_auth_basic et mod_authz_host
qui contient des informations suppl�mentaires � propos du
fonctionnement de tout ceci.
Certaines configurations d'authentification peuvent aussi �tre
simplifi�es � l'aide du module mod_authn_alias.
Les diff�rents algorithmes de chiffrement support�s par Apache pour authentifier les donn�es sont expliqu�s dans PasswordEncryptions.
Enfin vous pouvez consulter la recette Access Control, qui d�crit un certain nombre de situations en relation avec le sujet.