Serveur Apache HTTP Version 2.2
L'authentification est un processus qui vous permet de vérifier qu'une personne est bien celle qu'elle prétend être. L'autorisation est un processus qui permet à une personne d'aller là où elle veut aller, ou d'obtenir les informations qu'elle désire.
Trois groupes de modules sont concernés par le processus d'authentification et d'autorisation. Vous devrez utiliser au moins un module de chaque groupe.
AuthType
)
Require
)
Le module mod_authnz_ldap
est un fournisseur
d'authentification et d'autorisation. Le module
mod_authn_alias
n'est pas un fournisseur
d'authentification lui-même, mais permet une configuration plus souple
des autres fournisseurs d'authentification.
Le module mod_authz_host
fournit une autorisation
et un contrôle d'accès basés sur le nom du serveur, l'adresse IP ou
certaines caractéristiques de la requête, mais ne fait pas partie du
système fournisseur d'authentification.
Vous devriez aussi jeter un coup d'oeil au manuel de recettes Contrôle d'accès, qui décrit les différentes méthodes de contrôle d'accès à votre serveur.
Si votre site web contient des informations sensibles ou destinées seulement à un groupe de personnes restreint, les techniques exposées dans cet article vont vous aider à vous assurer que les personnes qui ont accès à ces pages sont bien celles auxquelles vous avez donné l'autorisation d'accès.
Cet article décrit les méthodes "standards" de protection de parties de votre site web que la plupart d'entre vous sont appelés à utiliser.
Si vos données ont un réel besoin de sécurisation, prévoyez
l'utilisation de mod_ssl
en plus de toute méthode
d'authentification.
Les directives décrites dans cet article devront être insérées
soit au niveau de la configuration de votre serveur principal (en
général dans une section <Directory>
), soit au niveau de la
configuration des répertoires (fichiers .htaccess
)
Si vous envisagez l'utilisation de fichiers
.htaccess
, la configuration de votre serveur devra
permettre l'ajout de directives d'authentification dans ces
fichiers. Pour ce faire, on utilise la directive AllowOverride
, qui spécifie quelles
directives pourront éventuellement contenir les fichiers de
configuration de niveau répertoire.
Comme il est ici question d'authentification, vous aurez besoin
d'une directive AllowOverride
du style :
AllowOverride AuthConfig
Or, si vous avez l'intention d'ajouter les directives directement dans le fichier de configuration principal, vous devrez bien entendu posséder les droits en écriture sur ce fichier.
Vous devrez aussi connaître un tant soit peu la structure des répertoires de votre serveur, ne serait-ce que pour savoir où se trouvent certains fichiers. Cela ne devrait pas présenter de grandes difficultés, et j'essaierai de clarifier tout ça lorsque le besoin s'en fera sentir.
Nous décrivons ici les bases de la protection par mot de passe d'un répertoire de votre serveur.
Vous devez en premier lieu créer un fichier de mots de passe. La méthode exacte selon laquelle vous allez créer ce fichier va varier en fonction du fournisseur d'authentification choisi. Mais nous entrerons dans les détails plus loin, et pour le moment, nous nous contenterons d'un fichier de mots de passe en mode texte.
Ce fichier doit être enregistré à un endroit non accessible
depuis le web, de façon à ce que les clients ne puissent pas le
télécharger. Par exemple, si vos documents sont servis à partir de
/usr/local/apache/htdocs
, vous pouvez enregistrer le
fichier des mots de passe dans
/usr/local/apache/passwd
.
L'utilitaire htpasswd
fourni avec Apache
permet de créer ce fichier. Vous le trouverez dans le répertoire
bin
de votre installation d'Apache. Si vous avez
installé Apache à partir d'un paquetage tiers, il sera probablement
dans le chemin par défaut de vos exécutables.
Pour créer le fichier, tapez :
htpasswd -c /usr/local/apache/passwd/passwords rbowen
htpasswd
vous demandera d'entrer le mot de
passe, et de le retaper pour confirmation :
# htpasswd -c /usr/local/apache/passwd/passwords rbowen
New password: mot-de-passe
Re-type new password: mot-de-passe
Adding password for user rbowen
Si htpasswd
n'est pas dans le chemin par
défaut de vos exécutables, vous devrez bien entendu entrer le chemin
complet du fichier. Dans le cas d'une installation par défaut, il se
trouve à /usr/local/apache2/bin/htpasswd
.
Ensuite, vous allez devoir configurer le serveur de façon à ce
qu'il demande un mot de passe et lui préciser quels utilisateurs disposent
de droits d'accès. Pour ce faire, vous pouvez soit éditer le
fichier apache2.conf
, soit utiliser un fichier
.htaccess
. Par exemple, si vous voulez protéger le
répertoire /usr/local/apache/htdocs/secret
, vous pouvez
utiliser les directives suivantes, soit dans le fichier
/usr/local/apache/htdocs/secret/.htaccess
, soit dans le
fichier apache2.conf
à l'intérieur d'une section <Directory
/usr/local/apache/apache/htdocs/secret> :
AuthType Basic
AuthName "Fichiers réservés"
# (La ligne suivante est facultative)
AuthBasicProvider file
AuthUserFile /usr/local/apache/passwd/passwords
Require user rbowen
Examinons ces directives une à une. La directive AuthType
définit la méthode
utilisée pour authentifier l'utilisateur. La méthode la plus
courante est Basic
, et elle est implémentée par
mod_auth_basic
. Il faut cependant garder à l'esprit
que l'authentification Basic transmet le mot de passe en clair depuis le
client vers le serveur. Cette méthode ne devra donc pas
être utilisée pour la transmission de données hautement sensibles si
elle n'est pas associée au module mod_ssl
. Apache
supporte une autre méthode d'authentification : AuthType
Digest
. Cette méthode est implémentée par le module mod_auth_digest
et est beaucoup plus sécurisée. La plupart
des navigateurs récents supportent l'authentification Digest.
La directive AuthName
définit
l'Identificateur (Realm) à utiliser avec
l'authentification. L'identificateur possède deux fonctions. Tout
d'abord, le client présente en général cette information à
l'utilisateur dans le cadre de la boîte de dialogue de mot de passe.
Ensuite, le client l'utilise pour déterminer quel mot de passe
envoyer pour une zone authentifiée donnée.
Ainsi par exemple, une fois un client authentifié dans la zone
"Fichiers réservés"
, il soumettra à nouveau
automatiquement le même mot de passe pour toute zone du même serveur
marquée de l'identificateur "Fichiers réservés"
. De
cette façon, vous pouvez éviter à un utilisateur d'avoir à saisir
plusieurs fois le même mot de passe en faisant partager le même
identificateur entre plusieurs zones réservées. Bien entendu et pour
des raisons de sécurité, le client devra redemander le mot
de passe chaque fois que le nom d'hôte du serveur sera modifié.
La directive AuthBasicProvider
est, dans ce
cas, facultative, car file
est la valeur par défaut
pour cette directive. Par contre, cette directive sera obligatoire
si vous utilisez une autre source d'authentification comme
mod_authn_dbm
ou
mod_authn_dbd
.
La directive AuthUserFile
définit le chemin
du fichier de mots de passe que nous venons de créer avec
htpasswd
. Si vous possédez un grand nombre
d'utilisateurs, la durée de la recherche dans un fichier texte pour
authentifier un utilisateur à chaque requête va augmenter
rapidement, et pour pallier cet inconvénient, Apache peut aussi
stocker les données relatives aux
utilisateurs dans des bases de données rapides. Le module
mod_authn_dbm
fournit la directive AuthDBMUserFile
. Le programme dbmmanage
permet de créer et manipuler ces fichiers. Vous
trouverez de nombreuses options d'autres types d'authentification
fournies par des modules tiers dans la Base de données des modules
d'Apache.
Enfin, la directive Require
implémente la partie
autorisation du processus en définissant l'utilisateur autorisé à
accéder à cette zone du serveur. Dans la section suivante, nous
décrirons les différentes méthodes d'utilisation de la directive
Require
directive.
La directive Satisfy
permet de
spécifier que plusieurs critères peuvent être considérés pour décider si
l'on peut accorder l'accès à un utilisateur particulier. Satisfy accepte
comme argument une des deux options - all
ou
any
. La valeur par défaut est all
, ce qui
signifie que dans le cas où plusieurs critères sont spécifiés,
l'ensemble de ces derniers doit être satisfait pour que l'accès soit
accordé. Par contre, si la valeur est any
, si plusieurs
critères sont spécifiés et si l'utilisateur satisfait à au moins un
d'entre eux, l'accès lui sera accordé.
Un exemple d'utilisation de cette directive est un contrôle d'accès afin de s'assurer que, bien qu'une ressource soit protégée par mot de passe depuis l'extérieur de votre réseau, tous les hôtes de votre réseau pourront y accéder sans authentification. Voici comment y parvenir en utilisant la directive Satisfy :
<Directory /usr/local/apache/htdocs/sekrit>
AuthType Basic
AuthName intranet
AuthUserFile /www/passwd/users
AuthGroupFile /www/passwd/groups
Require group customers
Order allow,deny
Allow from internal.com
Satisfy any
</Directory>
Les directives ci-dessus n'autorisent qu'une personne (quelqu'un
possédant le nom d'utilisateur rbowen
) à accéder au
répertoire. Dans la plupart des cas, vous devrez autoriser
l'accès à plusieurs personnes. C'est ici
qu'intervient la directive AuthGroupFile
.
Si vous voulez autoriser l'accès à plusieurs personnes, vous devez créer un fichier de groupes qui associe des noms de groupes avec une liste d'utilisateurs de ce groupe. Le format de ce fichier est très simple, et vous pouvez le créer avec votre éditeur de texte favori. Son contenu se présente comme suit :
Nom-de-groupe: rbowen dpitts sungo rshersey
Il s'agit simplement d'une liste des membres du groupe sous la forme d'une ligne séparée par des espaces.
Pour ajouter un utilisateur à votre fichier de mots de passe préexistant, entrez :
htpasswd /usr/local/apache/passwd/passwords dpitts
Vous obtiendrez le même effet qu'auparavant, mais le mot de passe
sera ajouté au fichier, plutôt que d'en créer un nouveau (C'est le
drapeau -c
qui permet de créer un nouveau fichier de
mots de passe)..
Maintenant, vous devez modifier votre fichier
.htaccess
comme suit :
AuthType Basic
AuthName "By Invitation Only"
# Ligne facultative :
AuthBasicProvider file
AuthUserFile /usr/local/apache/passwd/passwords
AuthGroupFile /usr/local/apache/passwd/groups
Require group Nom-de-groupe
Maintenant, quiconque appartient au groupe
Nom-de-groupe
, et possède une entrée dans le fichier
password
pourra accéder au répertoire s'il tape le bon
mot de passe.
Il existe une autre méthode moins contraignante pour autoriser l'accès à plusieurs personnes. Plutôt que de créer un fichier de groupes, il vous suffit d'ajouter la directive suivante :
Require valid-user
Le remplacement de la ligne Require user rbowen
par
la ligne Require valid-user
autorisera l'accès à
quiconque possédant une entrée dans le fichier password, et ayant
tapé le bon mot de passe. Vous pouvez même simuler le comportement
des groupes en associant un fichier de mots de passe différent pour
chaque groupe. L'avantage de cette approche réside dans le fait
qu'Apache ne doit consulter qu'un fichier au lieu de deux. Par
contre, vous devez maintenir un nombre plus ou moins important de
fichiers de mots de passe, et vous assurer de faire référence au bon
fichier dans la directive AuthUserFile
.
L'authentification Basic est spécifiée d'une telle manière que vos nom d'utilisateur et mot de passe doivent être vérifiés chaque fois que vous demandez un document au serveur, et ceci même si vous rechargez la même page, et pour chaque image contenue dans la page (si elles sont situées dans un répertoire protégé). Comme vous pouvez l'imaginer, ceci ralentit un peu le fonctionnement. La mesure dans laquelle le fonctionnement est ralenti est proportionnelle à la taille du fichier des mots de passe, car ce dernier doit être ouvert et la liste des utilisateurs parcourue jusqu'à ce que votre nom soit trouvé, et ceci chaque fois qu'une page est chargée.
En conséquence, ce ralentissement impose une limite pratique au nombre d'utilisateurs que vous pouvez enregistrer dans un fichier de mots de passe. Cette limite va varier en fonction des performances de votre serveur, mais vous commencerez à remarquer un ralentissement lorsque vous atteindrez quelques centaines d'utilisateurs, et serez alors appelé à utiliser une méthode d'authentification différente.
Suite au problème évoqué précédemment et induit par le stockage des mots de passe dans un fichier texte, vous pouvez être appelé à stocker vos mots de passe d'une autre manière, par exemple dans une base de données.
Pour y parvenir, on peut utiliser les modules
mod_authn_dbm
ou mod_authn_dbd
.
Vous pouvez choisir comme format de stockage dbm
ou
dbd
à la place de file
pour la directive
AuthBasicProvider
.
Par exemple, pour sélectionner un fichier dbm à la place d'un fichier texte :
<Directory /www/docs/private>
AuthName "Private"
AuthType Basic
AuthBasicProvider dbm
AuthDBMUserFile /www/passwords/passwd.dbm
Require valid-user
</Directory>
D'autres options sont disponibles. Consultez la documentation de
mod_authn_dbm
pour plus de détails.
Vous pouvez aussi lire la documentation de
mod_auth_basic
et mod_authz_host
qui contient des informations supplémentaires à propos du
fonctionnement de tout ceci.
Certaines configurations d'authentification peuvent aussi être
simplifiées à l'aide du module mod_authn_alias
.
Les différents algorithmes de chiffrement supportés par Apache pour authentifier les données sont expliqués dans PasswordEncryptions.
Enfin vous pouvez consulter la recette Access Control, qui décrit un certain nombre de situations en relation avec le sujet.