Serveur Apache HTTP Version 2.4
Serveur Apache HTTP Version 2.4
| Description: | Authentification utilisateur utilisant les condens�s MD5 |
|---|---|
| Statut: | Extension |
| Identificateur�de�Module: | auth_digest_module |
| Fichier�Source: | mod_auth_digest.c |
Ce module impl�mente l'authentification HTTP bas�e sur les
condens�s MD5 (RFC2617), et
fournit une alternative � mod_auth_basic en
ne transmettant plus le mot de passe en clair. Cependant, cela ne
suffit pas pour am�liorer la s�curit� de mani�re significative par
rapport � l'authentification basique. En outre, le stockage du mot
de passe sur le serveur est encore moins s�r dans le cas
d'une authentification � base de condens� que dans le cas d'une
authentification basique. C'est pourquoi l'utilisation de
l'authentification basique associ�e � un chiffrement de la connexion
via mod_ssl constitue une bien meilleure
alternative.
AuthDigestAlgorithm AuthDigestDomain AuthDigestNonceLifetime AuthDigestProvider AuthDigestQop AuthDigestShmemSize
Pour utiliser l'authentification � base de condens�s MD5, vous
devez simplement remplacer AuthType Basic et AuthBasicProvider respectivement
par AuthType Digest et AuthDigestProvider lorsque vous
configurez l'authentification, puis ajouter une directive AuthDigestDomain contenant au
moins la(les) URI(s) racine(s) de la zone � prot�ger.
On peut cr�er les fichiers utilisateur appropri�s (au format
texte) � l'aide de l'outil htdigest.
<Location /private/>
AuthType Digest
AuthName "private area"
AuthDigestDomain /private/ http://mirror.my.dom/private2/
AuthDigestProvider file
AuthUserFile /web/auth/.digest_pw
Require valid-user
</Location>
L'authentification � base de condens� a �t� con�ue pour am�liorer
la s�curit� par rapport � l'authentification basique, mais il
s'av�re que ce but n'a pas �t� atteint. Un attaquant de type
"man-in-the-middle" peut facilement forcer le navigateur � revenir �
une authentification basique. M�me une oreille indiscr�te passive
peut retrouver le mot de passe par force brute avec les moyens
modernes, car l'algorithme de hashage utilis� par l'authentification
� base de condens� est trop rapide. Autre probl�me, le stockage des
mots de passe sur le serveur n'est pas s�r. Le contenu d'un fichier
htdigest vol� peut �tre utilis� directement pour l'authentification
� base de condens�. Il est donc fortement recommand� d'utiliser
mod_ssl pour chiffrer la connexion.
mod_auth_digest ne fonctionne correctement que
sur les plates-formes o� APR supporte la m�moire partag�e.
| Description: | S�lectionne l'algorithme utilis� pour calculer les condens�s du d�fit et de sa r�ponse |
|---|---|
| Syntaxe: | AuthDigestAlgorithm MD5|MD5-sess |
| D�faut: | AuthDigestAlgorithm MD5 |
| Contexte: | r�pertoire, .htaccess |
| AllowOverride: | AuthConfig |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestAlgorithm permet de
s�lectionner l'algorithme utilis� pour calculer les condens�s du
d�fit et de sa r�ponse.
MD5-sess n'est pas encore correctement impl�ment�.
| Description: | Les URIs qui se trouvent dans le m�me espace de protection concernant l'authentification � base de condens�s |
|---|---|
| Syntaxe: | AuthDigestDomain URI [URI] ... |
| Contexte: | r�pertoire, .htaccess |
| AllowOverride: | AuthConfig |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestDomain vous permet
de sp�cifier un ou plusieurs URIs se trouvant dans le m�me
espace de protection (c'est � dire utilisant le m�me utilisateur/mot
de passe et se trouvant dans le m�me domaine). Les URIs sp�cifi�s
sont des pr�fixes ; le client doit savoir que tous les URIs situ�s
sous ces pr�fixes seront prot�g�s par le m�me utilisateur/mot de
passe. Les URIs peuvent �tre soit des URIs absolus (c'est � dire
avec protocole, nom serveur, port, etc...), soit des URIs
relatifs.
Cette directive doit toujours �tre pr�sente et contenir au moins le(s) URI(s) racine(s) pour cet espace. Dans le cas contraire, le client va envoyer un en-t�te d'autorisation avec chaque requ�te � destination de ce serveur.
Les URIs sp�cifi�s peuvent aussi r�f�rencer diff�rents serveurs, auquel cas les clients (qui sont � m�me de le comprendre) vont partager l'utilisateur/mot de passe entre plusieurs serveurs sans le demander � l'utilisateur � chaque fois.
| Description: | Dur�e de validit� du nombre � valeur unique du serveur (nonce) |
|---|---|
| Syntaxe: | AuthDigestNonceLifetime secondes |
| D�faut: | AuthDigestNonceLifetime 300 |
| Contexte: | r�pertoire, .htaccess |
| AllowOverride: | AuthConfig |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestNonceLifetime
permet de contr�ler la dur�e de validit� du nombre � valeur unique
du serveur (nonce). Lorsque le client contacte le serveur en
utilisant un nonce dont la validit� a expir�, le serveur renvoie un
code d'erreur 401 avec stale=true. Si
secondes est sup�rieur � 0, il sp�cifie la dur�e de
validit� du nonce ; il est en g�n�ral d�conseill� d'affecter � cet
argument une valeur inf�rieure � 10 secondes. Si
secondes est inf�rieur � 0, le nonce n'expire jamais.
| Description: | D�finit le(s) fournisseurs(s) d'authentification pour la zone du site web concern�e |
|---|---|
| Syntaxe: | AuthDigestProvider nom fournisseur
[nom fournisseur] ... |
| D�faut: | AuthDigestProvider file |
| Contexte: | r�pertoire, .htaccess |
| AllowOverride: | AuthConfig |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestProvider permet de
d�finir quel fournisseur d'authentification sera utilis� pour
authentifier les utilisateurs pour la zone du site web concern�e.
Assurez-vous que le module impl�mentant le fournisseur
d'authentification choisi soit bien pr�sent dans le serveur. Le
fournisseur par d�faut file est impl�ment� par le
module mod_authn_file.
Voir mod_authn_dbm,
mod_authn_file, mod_authn_dbd et
mod_authn_socache
pour la liste des fournisseurs disponibles.
| Description: | D�termine le niveau de protection fourni par l'authentification � base de condens� |
|---|---|
| Syntaxe: | AuthDigestQop none|auth|auth-int [auth|auth-int] |
| D�faut: | AuthDigestQop auth |
| Contexte: | r�pertoire, .htaccess |
| AllowOverride: | AuthConfig |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestQop permet de
d�finir le niveau de protection fourni. auth
ne fournit que l'authentification (nom utilisateur/mot de passe) ;
auth-int fournit l'authentification plus un contr�le
d'int�grit� (un condens� MD5 de l'entit� est aussi calcul� et
v�rifi�) ; avec none, le module va utiliser l'ancien
algorithme de condens�s RFC-2069 (qui n'effectue pas de contr�le
d'int�grit�). On peut sp�cifier � la fois auth et
auth-int, auquel cas c'est le navigateur qui va choisir
lequel des deux utiliser. none ne doit �tre utilis� que
dans le cas o� le navigateur ne serait pas � m�me (pour une raison
ou pour une autre) de relever le d�fit qu'il recevrait si un autre
niveau de protection �tait d�fini.
auth-int n'est pas encore impl�ment�.
| Description: | La quantit� de m�moire partag�e � allouer afin de conserver les informations � propos des clients |
|---|---|
| Syntaxe: | AuthDigestShmemSize taille |
| D�faut: | AuthDigestShmemSize 1000 |
| Contexte: | configuration du serveur |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestShmemSize permet de
d�finir la quantit� de m�moire partag�e � allouer au d�marrage du
serveur afin de conserver les informations � propos des clients.
Notez que le segment de m�moire partag�e ne peut pas �tre d�fini �
une taille inf�rieure � l'espace n�cessaire pour conserver les
informations � propos d'un client. Cette valeur d�pend de
votre syst�me. Si vous voulez en d�terminer la valeur exacte, vous
pouvez simplement d�finir AuthDigestShmemSize
� 0 et consulter le message d'erreur que renverra le
serveur lorsqu'on essaiera de le d�marrer.
L'argument size s'exprime par d�faut en octets, mais
vous pouvez suffixer le nombre par un K ou un
M pour sp�cifier respectivement des KiloOctets ou des
M�gaOctets. Par exemple, les directives qui suivent sont toutes
�quivalentes :
AuthDigestShmemSize 1048576 AuthDigestShmemSize 1024K AuthDigestShmemSize 1M