Serveur HTTP Apache Version 2.4
Serveur HTTP Apache Version 2.4
Langues Disponibles: fr
| Description: | Authentification à l'aide d'un formulaire |
|---|---|
| Statut: | Base |
| Identificateur de Module: | auth_form_module |
| Fichier Source: | mod_auth_form.c |
| Compatibilité: | Disponible à partir d'Apache 2.3 |
L'authentification à base de formulaire dépend des modules mod_session qui utilisent les cookies HTTP, et en tant que tels s'exposent à des attaques de type Cross Site Scripting, ou risquent de divulguer des informations à caractère privé aux clients. Assurez-vous que ces risques ont bien été pris en compte avant d'activer les sessions sur votre serveur.
Ce module permet de restreindre l'accès en recherchant les utilisateurs dans les fournisseurs spécifiés à l'aide d'un formulaire de connexion HTML. Les formulaires HTML requièrent davantage de configuration que les méthodes d'authentification alternatives, mais ils peuvent s'avérer beaucoup plus conviviaux pour les utilisateurs.
L'authentification HTTP de base est fournie par le module mod_authz_.
Lorsque l'utilisateur a été authentifié avec succès, ses informations de connexion sont stockés dans une session fournie par le module mod_session.
Configuration de base Page de connexion dédiée Connexion à la volée Connexion à la volée avec conservation du contenu Déconnexion Noms d'utilisateurs et mots de e AuthFormAuthoritative AuthFormBody AuthFormDisableNoStore AuthFormFakeBasicAuth AuthFormLocation AuthFormRequiredLocation AuthFormSuccessLocation AuthFormLocation AuthFormMethod AuthFormMimetype AuthForm AuthFormProvider AuthFormSitephrase AuthFormSize AuthFormname
Pour protéger une URL particulière avec le module mod_authn_file. Si l'authentification échoue, l'utilisateur dera redirigé vers la page du formulaire de connexion.
<Location "/">
AuthFormProvider file
AuthFile "conf/wd"
AuthType form
AuthName "/"
AuthFormRequiredLocation "http://example.com/.html"
Session On
SessionCookieName session path=/
Require valid-
</Location>
L'authentification AuthFile spécifient que les noms d'utilisateurs et mots de e seront vérifiés en utilisant le fichier choisi.
Les directives mod_session.
Vous pouvez éventuellement ajouter une directive mod_session_crypto doit avoir été préalablement chargé.
Dans l'exemple simple ci-dessus, une URL a été protégée par mod_auth_form, mais on doit maintenant fournir à l'utilisateur un moyen d'entrer un nom et un mot de e. À cet effet, on peut soit écrire une page de connexion indépendante dédiée, soit inclure le formulaire de connexion dans la page courante.
Le formulaire de connexion peut être contenu dans une page indépendante, ou être inclus dans la page courante.
Lorsque la connexion s'effectue à partir d'une page indépendante et si la tentative d'authentification échoue, l'utilisateur doit être redirigé vers un formulaire de connexion, créé à cet effet sur le site web, en utilisant la directive AuthFormRequiredLocation. En général, la page de connexion contiendra un formulaire HTML demandant à l'utilisateur de fournir un nom et un mot de e.
<form method="POST" action="/do.html"> name: <input type="text" name="httpd_name" value="" /> : <input type="" name="httpd_" value="" /> <input type="submit" name="" value="" /> </form>
La partie où s'effectue la connexion proprement dite est traitée par le gestionnaire form--handler. L'action de ce formulaire doit pointer vers ce gestionnaire, ce que l'on configure dans Apache httpd comme suit :
<Location "/do.html">
SetHandler form--handler
AuthFormRequiredLocation "http://example.com/.html"
AuthFormSuccessLocation "http://example.com//index.html"
AuthFormProvider file
AuthFile "conf/wd"
AuthType form
AuthName /
Session On
SessionCookieName session path=/
SessionCryptophrase secret
</Location>
L'URL spécifiée par la directive AuthFormSuccessLocation spécifie l'URL vers laquelle l'utilisateur doit être redirigé s'il s'est authentifié avec succès.
Alternativement, l'URL vers laquelle doit être redirigé l'utilisateur s'il s'est authentifié avec succès peut être intégrée dans le formulaire de connexion, comme dans l'exemple ci-dessous. Il en découle que le même gestionnaire form--handler pourra être utilisé pour différentes zones du site web.
<form method="POST" action="/do.html"> name: <input type="text" name="httpd_name" value="" /> : <input type="" name="httpd_" value="" /> <input type="submit" name="" value="" /> <input type="hidden" name="httpd_location" value="http://example.com/success.html" /> </form>
Il existe un risque, dans certaines circonstances, que le formulaire de connexion configuré pour une connexion à la volée soit soumis plusieurs fois, révélant de ce fait les paramètres de connexion à l'application sous-jacente. L'istrateur doit s'assurer que cette dernière est correctement sécurisée afin d'éviter les éventuels abus. En cas de doute, utilisez une page de connexion indépendante dédiée.
Comme alternative à la page de connexion dédiée pour un site web, il est possible de configurer mod_auth_form pour authentifier les utilisateurs à la volée, sans les rediriger vers une autre page, ce qui permet de conserver l'état de la page courante au cours de la tentative de connexion. Ceci peut s'avérer utile dans le cas d'une session limitée dans le temps, si le délai de la session a expiré pendant la requête de l'utilisateur. Ce dernier peut alors se réauthentifier à la même place, et poursuivre son activité à partir du point où il en était resté.
Si un utilisateur non authentifié tente d'accéder à une page protégée par AuthFormRequiredLocation, un code de statut HTTP_UNAUTHORIZED est renvoyé vers le navigateur, indiquant à l'utilisateur qu'il n'est pas autorisé à accéder à cette page.
Pour configurer l'authentification à la volée, l'istrateur remplace le message d'erreur renvoyé par le code de statut HTTP_UNAUTHORIZED par un message d'erreur personnalisé contenant le formulaire de connexion comme suit :
AuthFormProvider file ErrorDocument 401 "/.shtml" AuthFile "conf/wd" AuthType form AuthName realm AuthFormRequiredLocation "http://example.com/.html" Session On SessionCookieName session path=/
La page du message d'erreur doit contenir un formulaire de connexion dont la propriété action est vide, comme dans l'exemple ci-dessous. Ceci a pour effet de soumettre le formulaire à l'URL protégée originale, cette dernière n'ayant pas besoin d'être connue de la page en cours.
<form method="POST" action=""> name: <input type="text" name="httpd_name" value="" /> : <input type="" name="httpd_" value="" /> <input type="submit" name="" value="" /> </form>
Lorsque l'utilisateur final a entré ses informations de connexion, le formulaire effectue une requête HTTP POST pour l'URL originale protégée par mot de e. mod_auth_form va alors intercepter cette requête POST, et dans le cas où des champs HTML Utilisateur et Mot de e corrects sont présents, l'utilisateur sera connecté, et l'URL originale protégée par mot de e lui sera retournée en tant que requête GET.
Il existe une limite à la technique de connexion à la volée décrite ci-dessus ; si un formulaire HTML POST entraîne une demande d'authentification ou de réauthentification, le contenu du formulaire original envoyé par le navigateur sera perdu. Cela peut s'avérer plus ou moins gênant pour l'utilisateur final selon la fonction du site web.
Comme solution à ce problème, mod_auth_form permet d'intégrer la méthode et le contenu de la requête originale dans le formulaire de connexion. Si l'authentification réussit, Apache httpd pourra refaire une tentative avec la méthode et le contenu originaux, tout en conservant l'état de la requête originale.
Pour mettre en oeuvre la conservation du contenu, vous devez ajouter trois champs supplémentaires au formulaire de connexion comme dans l'exemple suivant :
<form method="POST" action=""> name: <input type="text" name="httpd_name" value="" /> : <input type="" name="httpd_" value="" /> <input type="submit" name="" value="" />
<input type="hidden" name="httpd_method" value="POST" /> <input type="hidden" name="httpd_mimetype" value="application/x-www-form-urlencoded" /> <input type="hidden" name="httpd_body" value="name1=value1&name2=value2" />
</form>
La manière dont la méthode, le type MIME et le contenu de la requête originale seront intégrés dans le formulaire de connexion vont dépendre de la plate-forme et de la technologie utilisées au sein du site web.
Une option consiste à utiliser le module KeptBodySize, ainsi qu'un script CGI adapté pour intégrer les variables dans le formulaire.
Une autre option consiste à présenter le formulaire de connexion en utilisant un script CGI ou une autre technologie dynamique.
AuthFormProvider file
ErrorDocument 401 "/cgi-bin/.cgi"
...
Pour permettre à un utilisateur de se déconnecter d'une session particulière, vous devez configurer une page pour qu'elle soit traitée par le gestionnaire form--handler. Tout accès à cette URL va entraîner la suppression de l'Utilisateur et du Mot de e de la session courante, ce qui aura pour effet de déconnecter l'utilisateur.
Vous pouvez spécifier une URL vers laquelle le navigateur sera redirigé en cas de déconnection réussie, en définissant la directive AuthFormLocation. Cette URL devra expliquer à l'utilisateur qu'il a été déconnecté, et lui donner la possibilité de se connecter à nouveau.
SetHandler form--handler AuthName realm AuthFormLocation "http://example.com/loggedout.html" Session On SessionCookieName session path=/
Notez que la déconnexion d'un utilisateur ne supprime pas la session ; elle supprime seulement l'utilisateur et le mot de e de la session. Si la session qui en résulte est vide, elle sera probablement supprimée, mais ce n'est pas garanti. Si vous voulez être sûr que la session sera supprimée, affectez une valeur faible à la directive SessionMaxAge, par exemple 1 (affecter à cette directive la valeur zéro signifie une session sans limite d'âge).
SetHandler form--handler AuthFormLocation "http://example.com/loggedout.html" Session On SessionMaxAge 1 SessionCookieName session path=/
Notez que la soumission d'un formulaire implique l'encodage URL (URLEncoding) des données du formulaire, ici le nom d'utilisateur et le mot de e. Vous devez donc choisir des noms d'utilisateurs et mots de e qui ne contiennent pas de caractères susceptibles d'être encodés URL lors de la soumission du formulaire, sous peine d'obtenir des résultats inattendus.
| Description: | Détermine si l'autorisation et l'authentification sont confiés à des modules de plus bas niveau |
|---|---|
| Syntaxe: | AuthFormAuthoritative On|Off |
| Défaut: | AuthFormAuthoritative On |
| Contexte: | répertoire, .htaccess |
| Surcharges autorisées: | AuthConfig |
| Statut: | Base |
| Module: | mod_auth_form |
Normalement, chacun des modules d'autorisation spécifiés par la directive AuthFormProvider. Lorsqu'on utilise de tels modules, la chronologie du processus est déterminée dans leur code source, et n'est pas configurable.
| Description: | Le nom du champ de formulaire contenant le corps de la requête à effectuer en cas de connexion réussie |
|---|---|
| Syntaxe: | AuthFormBody nom du champ |
| Défaut: | AuthFormBody httpd_body |
| Contexte: | répertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilité: | Disponible depuis la version 2.3.0 du serveur HTTP Apache |
La directive AuthFormBody spécifie le nom du champ HTML qui, s'il existe, contiendra le corps de la requête à effectuer en cas de connexion réussie.
En ajoutant au formulaire les champs décrits dans AuthFormBody, un site web sera en mesure de relancer une requête qui a été éventuellement interrompue par l'écran de connexion, ou par l'expiration d'un délai de session.
| Description: | Désactive l'en-tête CacheControl no-store sur la page de connexion |
|---|---|
| Syntaxe: | AuthFormDisableNoStore On|Off |
| Défaut: | AuthFormDisableNoStore Off |
| Contexte: | répertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilité: | Disponible depuis la version 2.3.0 du serveur HTTP Apache |
Le drapeau AuthFormDisableNoStore supprime l'envoi d'un en-tête Cache-Control no-store lorsqu'une page avec code d'erreur 401 est renvoyée, si l'utilisateur n'est pas encore connecté. Avec cette en-tête, il est plus difficile pour une application ecmascript de resoumettre un formulaire de connexion, et ainsi révéler le nom d'utilisateur et le mot de e à l'application sous-jacente. Vous devez être conscient des risques encourus si vous le désactivez.
| Description: | Simule une en-tête d'authentification de base |
|---|---|
| Syntaxe: | AuthFormFakeBasicAuth On|Off |
| Défaut: | AuthFormFakeBasicAuth Off |
| Contexte: | répertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilité: | Disponible depuis la version 2.3.0 du serveur HTTP Apache |
Le drapeau AuthFormFakeBasicAuth détermine si une en-tête d'Authentification de base sera ajoutée aux en-têtes de la requête. On peut utiliser cette méthode pour présenter le nom d'utilisateur et le mot de e à l'application sous-jacente, sans que cette dernière ait besoin de connaître la manière dont le processus de connexion a été mené à bien.
| Description: | Le nom du champ de formulaire qui contiendra l'URL vers laquelle l'utilisateur sera redirigé en cas de connexion réussie |
|---|---|
| Syntaxe: | AuthFormLocation nom du champ |
| Défaut: | AuthFormLocation httpd_location |
| Contexte: | répertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilité: | Disponible depuis la version 2.3.0 du serveur HTTP Apache |
La directive AuthFormLocation spécifie le nom du champ HTML qui, s'il existe, contiendra l'URL vers laquelle rediriger le navigateur en cas de connexion réussie.
| Description: | L'URL de la page vers laquelle on doit être redirigé si une authentification est requise |
|---|---|
| Syntaxe: | AuthFormRequiredLocation url |
| Défaut: | none |
| Contexte: | répertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilité: | Disponible depuis la version 2.3.0 du serveur HTTP Apache. L'interprétation des expressions rationnelles est ée depuis la version 2.4.4. |
La directive AuthFormRequiredLocation permet de remplacer cette valeur par défaut.
Vous pouvez utiliser cette directive si vous voulez présenter une page de connexion personnalisée à vos utilisateurs.
| Description: | L'URL de la page vers laquelle on doit être redirigé en cas de connexion réussie |
|---|---|
| Syntaxe: | AuthFormSuccessLocation url |
| Défaut: | none |
| Contexte: | répertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilité: | Disponible depuis la version 2.3.0 du serveur HTTP Apache. L'interprétation des expressions rationnelles est ée depuis la version 2.4.4. |
La directive AuthFormLocation.
Vous pouvez utiliser cette directive si vous possédez une URL de connexion personnalisée, et si vous n'avez pas intégré la page de destination dans le formulaire de connexion.
| Description: | L'URL vers laquelle un utilisateur devra être redirigé après s'être déconnecté |
|---|---|
| Syntaxe: | AuthFormLocation uri |
| Défaut: | none |
| Contexte: | répertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilité: | Disponible depuis la version 2.3.0 du serveur HTTP Apache. L'interprétation des expressions rationnelles est ée depuis la version 2.4.4. |
La directive ap_expr avant d'être envoyée au client.
Lorsqu'un accès est tenté sur un URI traité par le gestionnaire form--handler, la page spécifiée par cette directive sera présentée à l'utilisateur final. Par exemple :
<Location "/">
SetHandler form--handler
AuthFormLocation "http://example.com/loggedout.html"
Session on
#...
</Location>
Si un utilisateur tente d'accéder à l'URI //, il sera déconnecté, et la page /loggedout.html lui sera présentée. Assurez-vous que la page loggedout.html n'est pas protégée par mot de e, car dans le cas contraire, elle ne serait pas affichée.
| Description: | Le nom du champ de formulaire contenant la méthode de la requête à effectuer en cas de connexion réussie |
|---|---|
| Syntaxe: | AuthFormMethod nom du champ |
| Défaut: | AuthFormMethod httpd_method |
| Contexte: | répertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilité: | Disponible depuis la version 2.3.0 du serveur HTTP Apache |
La directive AuthFormMethod spécifie le nom du champ HTML qui, s'il existe, contiendra le type MIME de la requête à effectuer en cas de connexion réussie.
En ajoutant au formulaire les champs décrits dans AuthFormBody, un site web sera en mesure de relancer une requête qui a été éventuellement interrompue par l'écran de connexion, ou par l'expiration d'un délai de session.
| Description: | Le nom du champ de formulaire contenant le type MIME du corps de la requête à effectuer en cas de connexion réussie |
|---|---|
| Syntaxe: | AuthFormMimetype nom du champ |
| Défaut: | AuthFormMimetype httpd_mimetype |
| Contexte: | répertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilité: | Disponible depuis la version 2.3.0 du serveur HTTP Apache |
La directive AuthFormMimetype spécifie le nom du champ HTML qui, s'il existe, contiendra le type MIME de la requête à effectuer en cas de connexion réussie.
En ajoutant au formulaire les champs décrits dans AuthFormBody, un site web sera en mesure de relancer une requête qui a été éventuellement interrompue par l'écran de connexion, ou par l'expiration d'un délai de session.
| Description: | Le nom du champ de formulaire qui contient le mot de e de connexion |
|---|---|
| Syntaxe: | AuthForm nom du champ |
| Défaut: | AuthForm httpd_ |
| Contexte: | répertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilité: | Disponible depuis la version 2.3.0 du serveur HTTP Apache |
La directive AuthForm permet de spécifier le nom du champ HTML qui, s'il existe, contiendra le mot de e qui sera utilisé pour la connexion.
| Description: | Définit le(s) fournisseur(s) d'authentification pour la zone concernée |
|---|---|
| Syntaxe: | AuthFormProvider nom fournisseur [nom fournisseur] ... |
| Défaut: | AuthFormProvider file |
| Contexte: | répertoire, .htaccess |
| Surcharges autorisées: | AuthConfig |
| Statut: | Base |
| Module: | mod_auth_form |
La directive AuthFormProvider permet de définir quel fournisseur sera utilisé pour authentifier les utilisateurs pour la zone concernée. Le fournisseur par défaut file est implémenté par le module mod_authn_file. Assurez-vous que le fournisseur choisi soit bien présent dans le serveur.
<Location "/secure">
AuthType form
AuthName "private area"
AuthFormProvider dbm
AuthDBMType SDBM
AuthDBMFile "/www/etc/dbmwd"
Require valid-
#...
</Location>
Les différents fournisseurs sont implémentés par les modules mod_authnz_ldap.
| Description: | Court-circuite l'authentification pour les sites à fort trafic |
|---|---|
| Syntaxe: | AuthFormSitephrase secret |
| Défaut: | none |
| Contexte: | répertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilité: | Disponible depuis la version 2.3.0 du serveur HTTP Apache |
La directive AuthFormSitephrase spécifie un mot de e qui, s'il est présent dans la session utilisateur, indique à Apache httpd de court-circuiter l'authentification pour l'URL considérée. On peut l'utiliser dans le cas de sites web à fort trafic afin de réduire la charge induite sur l'infrastructure d'authentification.
On peut insérer le mot de e dans une session utilisateur en ajoutant cette directive à la configuration concernant le gestionnaire form--handler. Le gestionnaire form--handler, quant à lui, effectuera toujours les vérifications d'authentification, qu'un mot de e soit spécifié ou non.
Si la session est présentée à l'utilisateur à l'aide du module mod_session_crypto, le mot de e peut faire l'objet d'une attaque de type dictionnaire. Quelle que soit la configuration de la session, assurez-vous que cette directive n'est pas utilisée dans un espace d'URLs contenant des données privées, ou à partir desquelles des transactions sensibles pourraient être menées. En tout état de cause, vous devez être conscient des risques encourus avant de l'utiliser.
| Description: | La taille maximale en octets du formulaire dont seront extraites les informations de connexion |
|---|---|
| Syntaxe: | AuthFormSize taille |
| Défaut: | AuthFormSize 8192 |
| Contexte: | répertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilité: | Disponible depuis la version 2.3.0 du serveur HTTP Apache |
La directive AuthFormSize spécifie la taille maximale du corps de la requête qui sera utilisée pour trouver le formulaire de connexion.
Si une requête de connexion entrante possède une taille supérieure à cette valeur, elle sera rejetée avec le code de réponse HTTP HTTP_REQUEST_TOO_LARGE.
Si vous avez ajouté au formulaire des champs décrits dans KeptBodySize.
| Description: | Le nom du champ de formulaire qui contient le nom de connexion |
|---|---|
| Syntaxe: | AuthFormname nom du champ |
| Défaut: | AuthFormname httpd_name |
| Contexte: | répertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilité: | Disponible depuis la version 2.3.3 du serveur HTTP Apache |
La directive AuthFormname permet de spécifier le nom du champ HTML qui, s'il existe, contiendra le nom d'utilisateur qui sera utilisé pour la connexion.
Langues Disponibles: fr