Serveur Apache HTTP Version 2.2
Serveur Apache HTTP Version 2.2
| Description: | Authentification utilisateur utilisant les condens�s MD5. |
|---|---|
| Statut: | Extension |
| Identificateur�de�Module: | auth_digest_module |
| Fichier�Source: | mod_auth_digest.c |
Ce module impl�mente l'authentification HTTP bas�e sur les
condens�s MD5 (RFC2617), et
fournit une alternative � mod_auth_basic en
ne transmettant plus le mot de passe en clair. Cependant, cela ne
suffit pas pour am�liorer la s�curit� de mani�re significative par
rapport � l'authentification basique. En outre, le stockage du mot
de passe sur le serveur est encore moins s�r dans le cas
d'une authentification � base de condens� que dans le cas d'une
authentification basique. C'est pourquoi l'utilisation de
l'authentification basique associ�e � un chiffrement de la connexion
via mod_ssl constitue une bien meilleure
alternative.
AuthDigestAlgorithm AuthDigestDomain AuthDigestNcCheck AuthDigestNonceFormat AuthDigestNonceLifetime AuthDigestProvider AuthDigestQop AuthDigestShmemSize
L'utilisation de l'authentification � base de condens�s MD5 est
tr�s simple. Configurez l'authentification normalement, en utilisant
AuthType Digest et AuthDigestProvider � la place
de AuthType Basic et AuthBasicProvider. Ajoutez
ensuite une directive AuthDigestDomain contenant au
moins la(les) URI(s) racine(s) de la zone � prot�ger.
On peut cr�er les fichiers utilisateur appropri�s (au format
texte) � l'aide de l'outil htdigest.
<Location /private/>
AuthType Digest
AuthName "private area"
AuthDigestDomain /private/ http://mirror.my.dom/private2/
AuthDigestProvider file
AuthUserFile /web/auth/.digest_pw
Require valid-user
</Location>
L'authentification � base de condens� a �t� con�ue pour am�liorer
la s�curit� par rapport � l'authentification basique, mais il
s'av�re que ce but n'a pas �t� atteint. Un attaquant de type
"man-in-the-middle" peut facilement forcer le navigateur � revenir �
une authentification basique. M�me une oreille indiscr�te passive
peut retrouver le mot de passe par force brute avec les moyens
modernes, car l'algorithme de hashage utilis� par l'authentification
� base de condens� est trop rapide. Autre probl�me, le stockage des
mots de passe sur le serveur n'est pas s�r. Le contenu d'un fichier
htdigest vol� peut �tre utilis� directement pour l'authentification
� base de condens�. Il est donc fortement recommand� d'utiliser
mod_ssl pour chiffrer la connexion.
| Description: | S�lectionne l'algorithme utilis� pour calculer les condens�s du d�fit et de sa r�ponse |
|---|---|
| Syntaxe: | AuthDigestAlgorithm MD5|MD5-sess |
| D�faut: | AuthDigestAlgorithm MD5 |
| Contexte: | r�pertoire, .htaccess |
| AllowOverride: | AuthConfig |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestAlgorithm permet de
s�lectionner l'algorithme utilis� pour calculer les condens�s du
d�fit et de sa r�ponse.
MD5-sess n'est pas encore correctement impl�ment�.
| Description: | Les URIs qui se trouvent dans le m�me espace de protection concernant l'authentification � base de condens�s |
|---|---|
| Syntaxe: | AuthDigestDomain URI [URI] ... |
| Contexte: | r�pertoire, .htaccess |
| AllowOverride: | AuthConfig |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestDomain vous permet
de sp�cifier un ou plusieurs URIs se trouvant dans le m�me
espace de protection (c'est � dire utilisant le m�me utilisateur/mot
de passe et se trouvant dans le m�me domaine). Les URIs sp�cifi�s
sont des pr�fixes ; le client doit savoir que tous les URIs situ�s
sous ces pr�fixes seront prot�g�s par le m�me utilisateur/mot de
passe. Les URIs peuvent �tre soit des URIs absolus (c'est � dire
avec protocole, nom serveur, port, etc...), soit des URIs
relatifs.
Cette directive doit toujours �tre pr�sente et contenir au moins
le(s) URI(s) racine(s) pour cet espace. Dans le cas contraire, le
client va envoyer un en-t�te d'autorisation avec chaque
requ�te � destination de ce serveur. Outre une augmentation de
la taille de la requ�te, les performances vont s'en trouver
affect�es si la directive AuthDigestNcCheck est d�finie �
On.
Les URIs sp�cifi�s peuvent aussi r�f�rencer diff�rents serveurs, auquel cas les clients (pour ceux qui sont � m�me de le comprendre) vont partager l'utilisateur/mot de passe entre plusieurs serveurs sans le demander � l'utilisateur � chaque fois.
| Description: | Active ou d�sactive la v�rification du nombre d'envois du nombre � valeur unique (nonce) par le serveur |
|---|---|
| Syntaxe: | AuthDigestNcCheck On|Off |
| D�faut: | AuthDigestNcCheck Off |
| Contexte: | configuration du serveur |
| Statut: | Extension |
| Module: | mod_auth_digest |
| Description: | D�termine la mani�re dont le nombre � valeur unique du serveur (nonce) est g�n�r� |
|---|---|
| Syntaxe: | AuthDigestNonceFormat format |
| Contexte: | r�pertoire, .htaccess |
| AllowOverride: | AuthConfig |
| Statut: | Extension |
| Module: | mod_auth_digest |
| Description: | Dur�e de validit� du nombre � valeur unique du serveur (nonce) |
|---|---|
| Syntaxe: | AuthDigestNonceLifetime secondes |
| D�faut: | AuthDigestNonceLifetime 300 |
| Contexte: | r�pertoire, .htaccess |
| AllowOverride: | AuthConfig |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestNonceLifetime
permet de contr�ler la dur�e de validit� du nombre � valeur unique
du serveur (nonce). Lorsque le client contacte le serveur en
utilisant un nonce dont la validit� a expir�, le serveur renvoie un
code d'erreur 401 avec stale=true. Si
secondes est sup�rieur � 0, il sp�cifie la dur�e de
validit� du nonce ; il est en g�n�ral d�conseill� d'affecter � cet
argument une valeur inf�rieure � 10 secondes. Si
secondes est inf�rieur � 0, le nonce n'expire jamais.
| Description: | D�finit le(s) fournisseurs(s) d'authentification pour la zone du site web concern�e |
|---|---|
| Syntaxe: | AuthDigestProvider nom fournisseur
[nom fournisseur] ... |
| D�faut: | AuthDigestProvider file |
| Contexte: | r�pertoire, .htaccess |
| AllowOverride: | AuthConfig |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestProvider permet de
d�finir quel fournisseur d'authentification sera utilis� pour
authentifier les utilisateurs pour la zone du site web concern�e.
Assurez-vous que le module impl�mentant le fournisseur
d'authentification choisi soit bien pr�sent dans le serveur. Le
fournisseur par d�faut file est impl�ment� par le
module mod_authn_file.
Voir mod_authn_dbm,
mod_authn_file, et mod_authn_dbd
pour la liste des fournisseurs disponibles.
| Description: | D�termine le niveau de protection fourni par l'authentification � base de condens� |
|---|---|
| Syntaxe: | AuthDigestQop none|auth|auth-int [auth|auth-int] |
| D�faut: | AuthDigestQop auth |
| Contexte: | r�pertoire, .htaccess |
| AllowOverride: | AuthConfig |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestQop permet de
d�finir le niveau de protection fourni. auth
ne fournit que l'authentification (nom utilisateur/mot de passe) ;
auth-int fournit l'authentification plus un contr�le
d'int�grit� (un condens� MD5 de l'entit� est aussi calcul� et
v�rifi�) ; avec none, le module va utiliser l'ancien
algorithme de condens�s RFC-2069 (qui n'effectue pas de contr�le
d'int�grit�). On peut sp�cifier � la fois auth et
auth-int, auquel cas c'est le navigateur qui va choisir
lequel des deux utiliser. none ne doit �tre utilis� que
dans le cas o� le navigateur ne serait pas � m�me (pour une raison
ou pour une autre) de relever le d�fit qu'il recevrait si un autre
niveau de protection �tait d�fini.
auth-int n'est pas encore impl�ment�.
| Description: | La quantit� de m�moire partag�e � allouer afin de conserver les informations � propos des clients |
|---|---|
| Syntaxe: | AuthDigestShmemSize taille |
| D�faut: | AuthDigestShmemSize 1000 |
| Contexte: | configuration du serveur |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestShmemSize permet de
d�finir la quantit� de m�moire partag�e � allouer au d�marrage du
serveur afin de conserver les informations � propos des clients.
Notez que le segment de m�moire partag�e ne peut pas �tre d�fini �
une taille inf�rieure � l'espace n�cessaire pour conserver les
informations � propos d'un client. Cette valeur d�pend de
votre syst�me. Si vous voulez en d�terminer la valeur exacte, vous
pouvez simplement d�finir AuthDigestShmemSize
� 0 et consulter le message d'erreur que renverra le
serveur lorsqu'on essaiera de le d�marrer.
L'argument size s'exprime par d�faut en octets, mais
vous pouvez faire suivre le nombre par un K ou un
M pour sp�cifier respectivement des KiloOctets ou des
M�gaOctets. Par exemple, les directives qui suivent sont toutes
�quivalentes :
AuthDigestShmemSize 1048576
AuthDigestShmemSize 1024K
AuthDigestShmemSize 1M