Serveur HTTP Apache Version 2.4
Serveur HTTP Apache Version 2.4
Langues Disponibles: fr
| Description: | Autorisation basique |
|---|---|
| Statut: | Base |
| Identificateur de Module: | authz_core_module |
| Fichier Source: | mod_authz_core.c |
| Compatibilité: | Disponible depuis la version 2.3 d'Apache HTTPD |
Ce module fournit des fonctionnalités d'autorisation basiques permettant d'accorder ou ref l'accès à certaines zones du site web aux utilisateurs authentifiés. mod_authz_. Il permet aussi l'application d'une logique élaborée au déroulement du processus d'autorisation.
AuthMerging <AuthzProviderAlias> AuthzSendForbiddenOnFailure Require <RequireAll> <RequireAny> <RequireNone>
Les directives de conteneur d'autorisation Require pour confectionner une logique d'autorisation complexe.
L'exemple ci-dessous illustre la logique d'autorisation suivante. Pour pouvoir accéder à la ressource, l'utilisateur doit être l'utilisateur super, ou appartenir aux deux groupes LDAP s et istrateurs et soit appartenir au groupe ventes ou avoir ventes comme valeur de l'attribut LDAP dept. De plus, pour pouvoir accéder à la ressource, l'utilisateur ne doit appartenir ni au groupe temps, ni au groupe LDAP Employés temporaires.
<Directory "/www/mydocs">
<RequireAll>
<RequireAny>
Require super
<RequireAll>
Require group s
Require ldap-group "cn=s,o=Airius"
<RequireAny>
Require group sales
Require ldap-attribute dept="sales"
</RequireAny>
</RequireAll>
</RequireAny>
<RequireNone>
Require group temps
Require ldap-group "cn=Temporary Employees,o=Airius"
</RequireNone>
</RequireAll>
</Directory>
Le module Require.
Le fournisseur env permet de contrôler l'accès au serveur en fonction de l'existence d'une mod_setenvif. Cette directive Require env permet donc de contrôler l'accès en fonction des valeurs des en-têtes de la requête HTTP tels que -Agent (type de navigateur), Referer, entre autres.
SetEnvIf -Agent "^KnockKnock/2\.0" let_me_in
<Directory "/docroot">
Require env let_me_in
</Directory>
Avec cet exemple, les navigateurs dont la chaîne -agent commence par KnockKnock/2.0 se verront autoriser l'accès, alors que tous les autres seront rejetés.
Lorsque le serveur cherche un chemin via une SetEnvIf ne sont pas évaluées séparément dans la sous-requête.
Le fournisseur all reproduit la fonctionnalité précédemment fournie par les directives 'Allow from all' et 'Deny from all'. Il accepte un argument dont les deux valeurs possibles sont : 'granted' ou 'denied'. Les exemples suivants autorisent ou interdisent l'accès à toutes les requêtes.
Require all granted
Require all denied
Le fournisseur method permet d'utiliser la méthode HTTP dans le processus d'autorisation. Les méthodes GET et HEAD sont ici considérées comme équivalentes. La méthode TRACE n'est pas ée par ce fournisseur ; utilisez à la place la directive TraceEnable.
Dans l'exemple suivant, seules les méthodes GET, HEAD, POST, et OPTIONS sont autorisées :
Require method GET POST OPTIONS
Dans l'exemple suivant, les méthodes GET, HEAD, POST, et OPTIONS sont autorisées sans authentification, alors que toutes les autres méthodes nécessitent un utilisateur valide :
<RequireAny>
Require method GET POST OPTIONS
Require valid-
</RequireAny>
Le fournisseur expr permet d'accorder l'autorisation d'accès de base en fonction d'expressions arbitraires.
Require expr "%{TIME_HOUR} -ge 9 && %{TIME_HOUR} -le 17"
<RequireAll>
Require expr "!(%{QUERY_STRING} =~ /secret/)"
Require expr "%{REQUEST_URI} in { '/example.cgi', '/other.cgi' }"
</RequireAll>
Require expr "!(%{QUERY_STRING} =~ /secret/) && %{REQUEST_URI} in { '/example.cgi', '/other.cgi' }"
La syntaxe de l'expression est décrite dans la documentation de ap_expr. Avant la version 2.4.16, les doubles-quotes étaient prohibées
Normalement, l'expression est évaluée avant l'authentification. Cependant, si l'expression renvoie false et se réfère à la variable %{REMOTE_}, le processus d'authentification sera engagé et l'expression réévaluée.
Il est possible de créer des fournisseurs d'autorisation étendus dans le fichier de configuration et de leur assigner un nom d'alias. On peut ensuite utiliser ces fournisseurs aliasés dans une directive Require de la même manière qu'on le ferait pour des fournisseurs d'autorisation de base. En plus de la possibilité de créer et d'aliaser un fournisseur étendu, le même fournisseur d'autorisation étendu peut être référencé par plusieurs localisations.
Dans l'exemple suivant, on crée deux alias de fournisseur d'autorisation ldap différents basés sur le fournisseur d'autorisation ldap-group. Il est ainsi possible pour un seul répertoire de vérifier l'appartenance à un groupe dans plusieurs serveurs ldap :
<AuthzProviderAlias ldap-group ldap-group-alias1 "cn=my-group,o=ctx">
AuthLDAPBindDN "cn=your,o=ctx"
AuthLDAPBind your
AuthLDAPURL "ldap://ldap.host/o=ctx"
</AuthzProviderAlias>
<AuthzProviderAlias ldap-group ldap-group-alias2 "cn=my-other-group,o=dev">
AuthLDAPBindDN "cn=yourother,o=dev"
AuthLDAPBind yourother
AuthLDAPURL "ldap://other.ldap.host/o=dev?cn"
</AuthzProviderAlias>
Alias "/secure" "/webpages/secure"
<Directory "/webpages/secure">
Require all granted
AuthBasirovider file
AuthType Basic
AuthName LDAP_Protected_Place
#implied OR operation
Require ldap-group-alias1
Require ldap-group-alias2
</Directory>
| Description: | Définit la manière dont chaque logique d'autorisation des sections de configuration se combine avec celles des sections de configuration précédentes. |
|---|---|
| Syntaxe: | AuthMerging Off | And | Or |
| Défaut: | AuthMerging Off |
| Contexte: | répertoire, .htaccess |
| Surcharges autorisées: | AuthConfig |
| Statut: | Base |
| Module: | mod_authz_core |
Lorsque l'autorisation est activée, elle est normalement héritée par chaque section de configuration suivante, à moins qu'un jeu de directives d'autorisations différent ne soit spécifié. Il s'agit du comportement par défaut, qui correspond à la définition explicite AuthMerging Off.
Dans certaines situations cependant, il peut être souhaitable de combiner la logique d'autorisation d'une section de configuration avec celle de la section précédente lorsque les sections de configuration se combinent entre elles. Dans ce cas, deux options sont disponibles, And et Or.
Lorsqu'une section de configuration contient AuthMerging And ou AuthMerging Or, sa logique d'autorisation se combine avec celle de la section de configuration qui la précède (selon l'ordre général des sections de configuration), et qui contient aussi une logique d'autorisation, comme si les deux sections étaient concaténées respectivement dans une directive <RequireAny>.
AuthMerging ne concerne que la section de configuration dans laquelle elle apparaît. Dans l'exemple suivant, seuls les utilisateurs appartenant au groupe alpha sont autorisés à accéder à /www/docs. Les utilisateurs appartenant au groupe alpha ou au groupe beta sont autorisés à accéder à /www/docs/ab. Cependant, la définition implicite à Off de la directive AuthMerging s'applique à la section de configuration <Directory> concernant le répertoire /www/docs/ab/gamma, ce qui implique que les directives d'autorisation de cette section l'emportent sur celles des sections précédentes. Par voie de conséquence, seuls les utilisateurs appartenant au groupe gamma sont autorisés à accéder à /www/docs/ab/gamma.
<Directory "/www/docs">
AuthType Basic
AuthName Documents
AuthBasirovider file
AuthFile "/usr/local/apache/wd/s"
Require group alpha
</Directory>
<Directory "/www/docs/ab">
AuthMerging Or
Require group beta
</Directory>
<Directory "/www/docs/ab/gamma">
Require group gamma
</Directory>
| Description: | Regroupe des directives représentant une extension d'un fournisseur d'autorisation de base qui pourra être référencée à l'aide de l'alias spécifié |
|---|---|
| Syntaxe: | <AuthzProviderAlias fournisseur-de-base Alias Paramètres-Require> ... </AuthzProviderAlias> |
| Contexte: | configuration globale |
| Statut: | Base |
| Module: | mod_authz_core |
Les balises <AuthzProviderAlias> et </AuthzProviderAlias> permettent de regrouper des directives d'autorisation auxquelles on pourra faire référence à l'aide de l'alias spécifié dans une directive Require.
Si Require-Parameters comporte plusieurs paramètres, la liste de ces derniers doit être entourée de guillemets. Dans le cas contraire, seul le premier paramètre de la liste sera pris en compte.
# Dans cet exemple, pour que les deux adresses IP soient prises en compte, elles
# DOIVENT être entourées de guillemets
<AuthzProviderAlias ip reject-ips "XXX.XXX.XXX.XXX YYY.YYY.YYY.YYY">
</AuthzProviderAlias>
<Directory "/path/to/dir">
<RequireAll>
Require not reject-ips
Require all granted
</RequireAll>
</Directory>
| Description: | Envoie '403 FORBIDDEN' au lieu de '401 UNAUTHORIZED' si l'authentification réussit et si l'autorisation a été refusée. |
|---|---|
| Syntaxe: | AuthzSendForbiddenOnFailure On|Off |
| Défaut: | AuthzSendForbiddenOnFailure Off |
| Contexte: | répertoire, .htaccess |
| Statut: | Base |
| Module: | mod_authz_core |
| Compatibilité: | Disponible depuis la version 2.3.11 d'Apache HTTPD |
Par défaut, si l'authentification réussit, alors que l'autorisation est refusée, Apache HTTPD renvoie un code de réponse HTTP '401 UNAUTHORIZED'. En général, les navigateurs proposent alors une nouvelle fois à l'utilisateur la boîte de dialogue de saisie du mot de e, ce qui n'est pas toujours souhaitable. La directive AuthzSendForbiddenOnFailure permet de changer le code de réponse en '403 FORBIDDEN'.
La modification de la réponse en cas de refus d'autorisation diminue la sécurité du mot de e, car elle indique à un éventuel attaquant que le mot de e qu'il a saisi était correct.
| Description: | Vérifie si un utilisateur authentifié a une autorisation d'accès accordée par un fournisseur d'autorisation. |
|---|---|
| Syntaxe: | Require [not] nom-entité [nom-entité] ... |
| Contexte: | répertoire, .htaccess |
| Surcharges autorisées: | AuthConfig |
| Statut: | Base |
| Module: | mod_authz_core |
Cette directive permet de vérifier si un utilisateur authentifié a l'autorisation d'accès accordée pour un certain fournisseur d'autorisation et en tenant compte de certaines restrictions. mod_authz_core met à disposition les fournisseurs d'autorisation génériques suivants :
Require all granted
Require all denied
Require env env-var [env-var] ...
Require method http-method [http-method] ...
Require expr expression
Voici quelques exemples de syntaxes autorisées par mod_authz_groupfile :
Require identifiant utilisateur [identifiant utilisateur] ...
Require group nom groupe [nom groupe] ...
Require valid-
Require ip 10 172.20 192.168.2
Require forward-dns dynamic.example.org
D'autres modules d'autorisation comme mod_ssl implémentent des options de la directive Require.
Pour qu'une configuration d'authentification et d'autorisation fonctionne correctement, la directive Require doit être accompagnée dans la plupart des cas de directives AuthGroupFile (pour la définition des utilisateurs et des groupes). Exemple :
AuthType Basic AuthName "Restricted Resource" AuthBasirovider file AuthFile "/web/s" AuthGroupFile "/web/groups" Require group
Les contrôles d'accès appliqués de cette manière sont effectifs pour toutes les méthodes. C'est d'ailleurs ce que l'on souhaite en général. Si vous voulez n'appliquer les contrôles d'accès qu'à certaines méthodes, tout en laissant les autres méthodes sans protection, placez la directive Require dans une section <Limit>.
Le résultat de la directive Require peut être inversé en utilisant l'option not. Comme dans le cas de l'autre directive d'autorisation inversée <RequireNone>, si la directive Require est inversée, elle ne peut qu'échouer ou produire un résultat neutre ; elle ne peut donc alors pas autoriser une requête de manière indépendante.
Dans l'exemple suivant, tous les utilisateurs appartenant aux groupes alpha et beta ont l'autorisation d'accès, à l'exception de ceux appartenant au groupe reject.
<Directory "/www/docs">
<RequireAll>
Require group alpha beta
Require not group reject
</RequireAll>
</Directory>
Lorsque plusieurs directives Require sont placées dans une même <RequireAny>. Ainsi, la première directive Require qui autorise l'accès à un utilisateur autorise l'accès pour l'ensemble de la requête, et les directives Require suivantes sont ignorées.
Prettez une attention particulière aux directives d'autorisation définies au sein des sections Files sections.
La directive AuthMerging permet de contrôler la manière selon laquelle les configurations d'autorisations sont fusionnées au sein des sections précitées.
| Description: | Regroupe plusieurs directives d'autorisation dont aucune ne doit échouer et dont au moins une doit retourner un résultat positif pour que la directive globale retourne elle-même un résultat positif. |
|---|---|
| Syntaxe: | <RequireAll> ... </RequireAll> |
| Contexte: | répertoire, .htaccess |
| Surcharges autorisées: | AuthConfig |
| Statut: | Base |
| Module: | mod_authz_core |
Les balises <RequireAll> et </RequireAll> permettent de regrouper des directives d'autorisation dont aucune ne doit échouer, et dont au moins une doit retourner un résultat positif pour que la directive <RequireAll> retourne elle-même un résultat positif.
Si aucune des directives contenues dans la directive <RequireAll> n'échoue, et si au moins une retourne un résultat positif, alors la directive <RequireAll> retourne elle-même un résultat positif. Si aucune ne retourne un résultat positif, et si aucune n'échoue, la directive globale retourne un résultat neutre. Dans tous les autres cas, elle échoue.
| Description: | Regroupe des directives d'autorisation dont au moins une doit retourner un résultat positif pour que la directive globale retourne elle-même un résultat positif. |
|---|---|
| Syntaxe: | <RequireAny> ... </RequireAny> |
| Contexte: | répertoire, .htaccess |
| Surcharges autorisées: | AuthConfig |
| Statut: | Base |
| Module: | mod_authz_core |
Les balises <RequireAny> et </RequireAny> permettent de regrouper des directives d'autorisation dont au moins une doit retourner un résultat positif pour que la directive <RequireAny> retourne elle-même un résultat positif.
Si une ou plusieurs directives contenues dans la directive <RequireAny> retournent un résultat positif, alors la directive <RequireAny> retourne elle-même un résultat positif. Si aucune ne retourne un résultat positif et aucune n'échoue, la directive globale retourne un résultat neutre. Dans tous les autres cas, elle échoue.
<RequireAny> (elles pourraient tout au plus faire échouer la directive dans le cas où elles échoueraient elles-mêmes, et où toutes les autres directives retourneraient un résultat neutre). C'est pourquoi il n'est pas permis d'utiliser les directives d'autorisation inversées dans une directive <RequireAny>.
| Description: | Regroupe des directives d'autorisation dont aucune ne doit retourner un résultat positif pour que la directive globale n'échoue pas. |
|---|---|
| Syntaxe: | <RequireNone> ... </RequireNone> |
| Contexte: | répertoire, .htaccess |
| Surcharges autorisées: | AuthConfig |
| Statut: | Base |
| Module: | mod_authz_core |
Les balises <RequireNone> et </RequireNone> permettent de regrouper des directives d'autorisation dont aucune ne doit retourner un résultat positif pour que la directive <RequireNone> n'échoue pas.
Si une ou plusieurs directives contenues dans la directive <RequireNone> retournent un résultat positif, la directive <RequireNone> échouera. Dans tous les autres cas, cette dernière retournera un résultat neutre. Ainsi, comme pour la directive d'autorisation inversée Require not, elle ne peut jamais autoriser une requête de manière indépendante car elle ne pourra jamais retourner un résultat positif. Par contre, on peut l'utiliser pour restreindre l'ensemble des utilisateurs autorisés à accéder à une ressource.
<RequireNone>. C'est pourquoi il n'est pas permis d'utiliser les directives d'autorisation inversées dans une directive <RequireNone>.
Langues Disponibles: fr