Module Apache mod_auth_basic 6w263m

Langues Disponibles: ko

Description:	Authentification HTTP de base
Statut:	Base
Identificateur de Module:	auth_basic_module
Fichier Source:	mod_auth_basic.c
Compatibilité:	Disponible depuis la version 2.1 d'Apache

Sommaire 2j3d6p

Ce module permet d'utiliser l'authentification basique HTTP pour restreindre l'accès en recherchant les utilisateurs dans les fournisseurs d'authentification spécifiés. Il est en général combiné avec au moins un module d'authentification comme mod_auth_digest.

Directives 1a4l6m

Traitement des bugs 42h5l

Voir aussi 1m6745

Directive AuthBasicAuthoritative 1e464e

Description:	Définit si les processus d'autorisation et d'authentification peuvent être confiés à des modules de plus bas niveau
Syntaxe:	`AuthBasicAuthoritative On\|Off`
Défaut:	`AuthBasicAuthoritative On`
Contexte:	répertoire, .htaccess
Surcharges autorisées:	AuthConfig
Statut:	Base
Module:	mod_auth_basic

Normalement, chaque module d'autorisation énuméré dans la directive AuthBasirovider. Lorsqu'on utilise de tels modules, l'ordre dans lequel s'effectue le traitement est défini dans le code source des modules et n'est pas configurable.

Directive AuthBasicFake 142g43

Description:	Authentification de base simulée à l'aide des nom d'utilisateur et mot de e fournis
Syntaxe:	`AuthBasicFake off\|name []`
Défaut:	`none`
Contexte:	répertoire, .htaccess
Surcharges autorisées:	AuthConfig
Statut:	Base
Module:	mod_auth_basic
Compatibilité:	Disponible à partir de la version 2.4.5 du serveur HTTP Apache

Les nom d'utilisateur et mot de e spécifiés sont rassemblés dans un en-tête d'autorisation qui est transmis au serveur ou au service sous-jacent au serveur. Ces nom d'utilisateur et mot de e sont interprétés par l'interpréteur d'expression, ce qui permet de les définir en fonction de paramètres de la requête.

Si aucun mot de e n'est spécifié, la valeur par défaut "" sera utilisée. Pour désactiver l'authentification de base simulée pour un espace d'URL, définissez AuthBasicFake à "off".

Dans l'exemple suivant, un nom d'utilisateur et un mot de e prédéfinis sont transmis à un serveur d'arrière-plan :

Exemple de transmission d'un nom d'utilisateur et d'un mot de e prédéfinis 594x11

<Location "/demo">
    AuthBasicFake demo demo
</Location>

Dans l'exemple suivant, l'adresse email extraite d'un certificat client est transmise au serveur, étendant par là-même la fonctionnalité de l'option FakeBasicAuth de la directive SSLOptions. Comme avec l'option FakeBasicAuth, le mot de e se voit attribué le contenu fixe de la chaîne "".

Exemple d'utilisation avec un certificat 543v3o

<Location "/secure">
    AuthBasicFake "%{SSL_CLIENT_S_DN_Email}"
</Location>

Pour compléter l'exemple précédent, il est possible de générer la valeur du mot de e en procédant à un hashage de l'adresse email à partir d'un mot d'une phrase initial fixée, puis de transmettre le résultat obtenu au serveur d'arrière-plan. Ceci peut s'avérer utile pour donner accès à des serveurs anciens qui ne ent pas les certificats clients.

Exemple de génération de mot de e par hashage de l'adresse email 424k7

<Location "/secure">
    AuthBasicFake "%{SSL_CLIENT_S_DN_Email}" "%{sha1:phrase-%{SSL_CLIENT_S_DN_Email}}"
</Location>

Désactivation de l'authentification simulée 603569

<Location "/public">
    AuthBasicFake off
</Location>

Directive AuthBasirovider 103i40

Description:	Définit le(les) fournisseur(s) d'authentification pour cette zone du site web
Syntaxe:	`AuthBasirovider nom fournisseur [nom fournisseur] ...`
Défaut:	`AuthBasirovider file`
Contexte:	répertoire, .htaccess
Surcharges autorisées:	AuthConfig
Statut:	Base
Module:	mod_auth_basic

La directive AuthBasirovider permet de définir le fournisseur utilisé pour authentifier les utilisateurs pour la zone du site web concernée. Le fournisseur par défaut file est implémenté par le module mod_authn_file. Assurez-vous que le module implémentant le fournisseur choisi soit bien présent dans le serveur.

Exemple 2vr5e

<Location "/secure">
    AuthType basic
    AuthName "private area"
    AuthBasirovider  dbm
    AuthDBMType        SDBM
    AuthDBMFile    "/www/etc/dbmwd"
    Require            valid-
</Location>

Les fournisseurs sont sollicités dans l'ordre jusqu'à ce que l'un d'entre eux trouve une correspondance pour le nom d'utilisateur de la requête ; alors, ce dernier fournisseur sera le seul à vérifier le mot de e. Un échec dans la vérification du mot de e n'entraîne pas le age du contrôle au fournisseur suivant.

Les différents fournisseurs disponibles sont implémentés par les modules mod_authn_socache.

Directive AuthBasicUseDigestAlgorithm 343916

Description:	Vérifie les mots de e auprès des fournisseurs d'authentification à la manière de l'authentification de type Digest.
Syntaxe:	`AuthBasicUseDigestAlgorithm MD5\|Off`
Défaut:	`AuthBasicUseDigestAlgorithm Off`
Contexte:	répertoire, .htaccess
Surcharges autorisées:	AuthConfig
Statut:	Base
Module:	mod_auth_basic
Compatibilité:	Disponible à partir de la version 2.4.7 du serveur HTTP Apache

Normalement, lorsqu'on utilise l'authentification basique, les fournisseurs spécifiés via la directive AuthBasirovider tentent de contrôler l'identité d'un utilisateur en recherchant dans leurs bases de données l'existence d'un couple utilisateur/mot de e correspondant. Les mots de e enregistrés sont en général chiffrés, mais ce n'est pas systématique ; chaque fournisseur peut choisir son propre mode de stockage des mots de e.

Lorsqu'on utilise l'authentification de type Digest, les fournisseurs spécifiés par la directive AuthDigestProvider effectuent une recherche similaire dans leurs bases de données pour trouver un couple utilisateur/mot de e correspondant. Cependant, à la différence de l'authentification basique, les données associées à chaque utilisateur et comportant le nom d'utilisateur, le domaine de protection (realm) et le mot de e doivent être contenues dans une chaîne chiffrée (Voir le document RFC 2617, Section 3.2.2.2 pour plus de détails à propos du type de chiffrement utilisé pour cette chaîne).

A cause de la différence entre les méthodes de stockage des données des authentifications de type basique et digest, le age d'une méthode d'authentification de type digest à une méthode d'authentification de type basique requiert l'attribution de nouveaux mots de e à chaque utilisateur, car leur mots de e existant ne peut pas être extrait à partir du schéma de stockage utilisé par les fournisseurs d'authentification de type digest.

Si la directive AuthBasicUseDigestAlgorithm est définie à la valeur MD5, le mot de e d'un utilisateur dans le cas de l'authentification basique sera vérifié en utilisant le même format de chiffrement que dans le cas de l'authentification de type digest. Tout d'abord, une chaîne comportant le nom d'utilisateur, le domaine de protection (realm) et le mot de e est générée sous forme de condensé (hash) en utilisant l'algorithme MD5 ; puis le nom d'utilisateur et cette chaîne chiffrée sont transmis aux fournisseurs spécifiés via la directive AuthType était définie à Digest et si l'authentification de type Digest était utilisée.

Grâce à cette directive, un site peut basculer d'une authentification de type digest à basique sans devoir changer les mots de e des utilisateurs.

Le processus inverse consistant à er d'une authentification de type basique à digest sans changer les mots de e n'est en général pas possible. Les mots de e enregistrés dans le cas d'une authentification de type basique ne pourront être extraits et chiffrés à nouveau selon le schéma de l'authentification de type digest, que s'ils ont été stockés en clair ou selon un schéma de chiffrement réversible.

Seuls les fournisseurs qui ent l'authentification de type digest pourront authentifier les utilisateurs lorsque la directive AuthBasicUseDigestAlgorithm est définie à MD5. L'utilisation d'un autre fournisseur provoquera un message d'erreur et le client se verra ref l'accès.