Serveur Apache HTTP Version 2.2
Serveur Apache HTTP Version 2.2
| Description: | Authentification utilisateur utilisant les condens�s MD5. |
|---|---|
| Statut: | Extension |
| Identificateur�de�Module: | auth_digest_module |
| Fichier�Source: | mod_auth_digest.c |
Ce module impl�mente l'authentification HTTP bas�e sur les
condens�s MD5 (RFC2617), et
fournit une alternative � mod_auth_basic plus
s�curis�e.
AuthDigestAlgorithm AuthDigestDomain AuthDigestNcCheck AuthDigestNonceFormat AuthDigestNonceLifetime AuthDigestProvider AuthDigestQop AuthDigestShmemSize
L'utilisation de l'authentification � base de condens�s MD5 est
tr�s simple. Configurez l'authentification normalement, en utilisant
AuthType Digest et AuthDigestProvider � la place
de AuthType Basic et AuthBasicProvider. Ajoutez
ensuite une directive AuthDigestDomain contenant au
moins la(les) URI(s) racine(s) de la zone � prot�ger.
On peut cr�er les fichiers utilisateur appropri�s (au format
texte) � l'aide de l'outil htdigest.
<Location /private/>
AuthType Digest
AuthName "private area"
AuthDigestDomain /private/ http://mirror.my.dom/private2/
AuthDigestProvider file
AuthUserFile /web/auth/.digest_pw
Require valid-user
</Location>
L'authentification � base de condens�s MD5 est plus s�curis�e que l'authentification Basic, mais ne fonctionne qu'avec les navigateurs qui la supportent. En septembre 2004, les principaux navigateurs supportant l'authentification � base de condens�s MD5 incluaient Amaya, Konqueror, MS Internet Explorer pour Mac OS X et Windows (bien que la version Windows �choue lorsque la requ�te comporte une cha�ne d'arguments -- voir plus loin "Travailler avec MS Internet Explorer" pour contourner ce probl�me), Mozilla, Netscape 7, Opera, et Safari. lynx ne supporte pas l'authentification � base de condens�s MD5. Comme l'authentification � base de condens�s MD5 est moins r�pandue que l'authentification Basic, vous ne devez l'utiliser que dans des environnements o� tous les utilisateurs disposeront d'un navigateur la supportant.
L'impl�mentation de l'authentification � base de condens� dans
les versions anciennes d'Internet Explorer pour Windows (5 et 6)
posait probl�me, car les requ�tes de type GET
comportant une cha�ne d'arguments ne respectaient pas les RFC. Il y
a plusieurs mani�res de contourner ce probl�me.
La premi�re m�thode consiste � utiliser des requ�tes de type
POST plut�t que GET pour transmettre les
donn�es � votre programme. Cette m�thode constitue l'approche la
plus simple dans le cas o� votre application peut fonctionner avec
cette limitation.
Depuis la version 2.0.51, Apache propose aussi de contourner le
probl�me � l'aide de la variable d'environnement
AuthDigestEnableQueryStringHack. Si
AuthDigestEnableQueryStringHack est d�finie pour la
requ�te, Apache va prendre des mesures pour contourner la bogue MSIE
et en particulier va exclure la cha�ne d'arguments de la comparaison
des condens�s. L'utilisation de cette m�thode peut se traduire par
ceci :
BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
Cette correction n'est pas n�cessaire avec MSIE 7, bien que son activation ne pose pas de probl�me de compatibilit� ou de surcharge significative.
Voir la directive BrowserMatch pour plus de d�tails
� propos de la d�finition conditionnelle des variables
d'environnement.
| Description: | S�lectionne l'algorithme utilis� pour calculer les condens�s du d�fit et de sa r�ponse |
|---|---|
| Syntaxe: | AuthDigestAlgorithm MD5|MD5-sess |
| D�faut: | AuthDigestAlgorithm MD5 |
| Contexte: | r�pertoire, .htaccess |
| AllowOverride: | AuthConfig |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestAlgorithm permet de
s�lectionner l'algorithme utilis� pour calculer les condens�s du
d�fit et de sa r�ponse.
MD5-sess n'est pas encore correctement impl�ment�.
| Description: | Les URIs qui se trouvent dans le m�me espace de protection concernant l'authentification � base de condens�s |
|---|---|
| Syntaxe: | AuthDigestDomain URI [URI] ... |
| Contexte: | r�pertoire, .htaccess |
| AllowOverride: | AuthConfig |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestDomain vous permet
de sp�cifier un ou plusieurs URIs se trouvant dans le m�me
espace de protection (c'est � dire utilisant le m�me utilisateur/mot
de passe et se trouvant dans le m�me domaine). Les URIs sp�cifi�s
sont des pr�fixes ; le client doit savoir que tous les URIs situ�s
sous ces pr�fixes seront prot�g�s par le m�me utilisateur/mot de
passe. Les URIs peuvent �tre soit des URIs absolus (c'est � dire
avec protocole, nom serveur, port, etc...), soit des URIs
relatifs.
Cette directive doit toujours �tre pr�sente et contenir au moins
le(s) URI(s) racine(s) pour cet espace. Dans le cas contraire, le
client va envoyer un en-t�te d'autorisation avec chaque
requ�te � destination de ce serveur. Outre une augmentation de
la taille de la requ�te, les performances vont s'en trouver
affect�es si la directive AuthDigestNcCheck est d�finie �
On.
Les URIs sp�cifi�s peuvent aussi r�f�rencer diff�rents serveurs, auquel cas les clients (pour ceux qui sont � m�me de le comprendre) vont partager l'utilisateur/mot de passe entre plusieurs serveurs sans le demander � l'utilisateur � chaque fois.
| Description: | Active ou d�sactive la v�rification du nombre d'envois du nombre � valeur unique (nonce) par le serveur |
|---|---|
| Syntaxe: | AuthDigestNcCheck On|Off |
| D�faut: | AuthDigestNcCheck Off |
| Contexte: | configuration du serveur |
| Statut: | Extension |
| Module: | mod_auth_digest |
| Description: | D�termine la mani�re dont le nombre � valeur unique du serveur (nonce) est g�n�r� |
|---|---|
| Syntaxe: | AuthDigestNonceFormat format |
| Contexte: | r�pertoire, .htaccess |
| AllowOverride: | AuthConfig |
| Statut: | Extension |
| Module: | mod_auth_digest |
| Description: | Dur�e de validit� du nombre � valeur unique du serveur (nonce) |
|---|---|
| Syntaxe: | AuthDigestNonceLifetime secondes |
| D�faut: | AuthDigestNonceLifetime 300 |
| Contexte: | r�pertoire, .htaccess |
| AllowOverride: | AuthConfig |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestNonceLifetime
permet de contr�ler la dur�e de validit� du nombre � valeur unique
du serveur (nonce). Lorsque le client contacte le serveur en
utilisant un nonce dont la validit� a expir�, le serveur renvoie un
code d'erreur 401 avec stale=true. Si
secondes est sup�rieur � 0, il sp�cifie la dur�e de
validit� du nonce ; il est en g�n�ral d�conseill� d'affecter � cet
argument une valeur inf�rieure � 10 secondes. Si
secondes est inf�rieur � 0, le nonce n'expire jamais.
| Description: | D�finit le(s) fournisseurs(s) d'authentification pour la zone du site web concern�e |
|---|---|
| Syntaxe: | AuthDigestProvider nom fournisseur
[nom fournisseur] ... |
| D�faut: | AuthDigestProvider file |
| Contexte: | r�pertoire, .htaccess |
| AllowOverride: | AuthConfig |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestProvider permet de
d�finir quel fournisseur d'authentification sera utilis� pour
authentifier les utilisateurs pour la zone du site web concern�e.
Assurez-vous que le module impl�mentant le fournisseur
d'authentification choisi soit bien pr�sent dans le serveur. Le
fournisseur par d�faut file est impl�ment� par le
module mod_authn_file.
Voir mod_authn_dbm,
mod_authn_file, et mod_authn_dbd
pour la liste des fournisseurs disponibles.
| Description: | D�termine le niveau de protection fourni par l'authentification � base de condens� |
|---|---|
| Syntaxe: | AuthDigestQop none|auth|auth-int [auth|auth-int] |
| D�faut: | AuthDigestQop auth |
| Contexte: | r�pertoire, .htaccess |
| AllowOverride: | AuthConfig |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestQop permet de
d�finir le niveau de protection fourni. auth
ne fournit que l'authentification (nom utilisateur/mot de passe) ;
auth-int fournit l'authentification plus un contr�le
d'int�grit� (un condens� MD5 de l'entit� est aussi calcul� et
v�rifi�) ; avec none, le module va utiliser l'ancien
algorithme de condens�s RFC-2069 (qui n'effectue pas de contr�le
d'int�grit�). On peut sp�cifier � la fois auth et
auth-int, auquel cas c'est le navigateur qui va choisir
lequel des deux utiliser. none ne doit �tre utilis� que
dans le cas o� le navigateur ne serait pas � m�me (pour une raison
ou pour une autre) de relever le d�fit qu'il recevrait si un autre
niveau de protection �tait d�fini.
auth-int n'est pas encore impl�ment�.
| Description: | La quantit� de m�moire partag�e � allouer afin de conserver les informations � propos des clients |
|---|---|
| Syntaxe: | AuthDigestShmemSize taille |
| D�faut: | AuthDigestShmemSize 1000 |
| Contexte: | configuration du serveur |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestShmemSize permet de
d�finir la quantit� de m�moire partag�e � allouer au d�marrage du
serveur afin de conserver les informations � propos des clients.
Notez que le segment de m�moire partag�e ne peut pas �tre d�fini �
une taille inf�rieure � l'espace n�cessaire pour conserver les
informations � propos d'un client. Cette valeur d�pend de
votre syst�me. Si vous voulez en d�terminer la valeur exacte, vous
pouvez simplement d�finir AuthDigestShmemSize
� 0 et consulter le message d'erreur que renverra le
serveur lorsqu'on essaiera de le d�marrer.
L'argument size s'exprime par d�faut en octets, mais
vous pouvez faire suivre le nombre par un K ou un
M pour sp�cifier respectivement des KiloOctets ou des
M�gaOctets. Par exemple, les directives qui suivent sont toutes
�quivalentes :
AuthDigestShmemSize 1048576
AuthDigestShmemSize 1024K
AuthDigestShmemSize 1M