Serveur HTTP Apache Version 2.4
Serveur HTTP Apache Version 2.4
| Description: | Authentification utilisateur utilisant les condensés MD5 |
|---|---|
| Statut: | Extension |
| Identificateur de Module: | auth_digest_module |
| Fichier Source: | mod_auth_digest.c |
Ce module implémente l'authentification HTTP basée sur les
condensés MD5 (RFC2617), et
fournit une alternative Ă mod_auth_basic en
ne transmettant plus le mot de passe en clair. Cependant, cela ne
suffit pas pour améliorer la sécurité de maniÚre significative par
rapport Ă l'authentification basique. En outre, le stockage du mot
de passe sur le serveur est encore moins sûr dans le cas
d'une authentification à base de condensé que dans le cas d'une
authentification basique. C'est pourquoi l'utilisation de
l'authentification basique associée à un chiffrement de la connexion
via mod_ssl constitue une bien meilleure
alternative.
AuthDigestAlgorithm AuthDigestDomain AuthDigestNonceLifetime AuthDigestProvider AuthDigestQop AuthDigestShmemSize
Pour utiliser l'authentification à base de condensés MD5, vous
devez simplement remplacer AuthType Basic et AuthBasicProvider respectivement
par AuthType Digest et AuthDigestProvider lorsque vous
configurez l'authentification, puis ajouter une directive AuthDigestDomain contenant au
moins la(les) URI(s) racine(s) de la zone à protéger.
On peut créer les fichiers utilisateur appropriés (au format
texte) Ă l'aide de l'outil htdigest.
<Location "/private/">
AuthType Digest
AuthName "private area"
AuthDigestDomain "/private/" "http://mirror.my.dom/private2/"
AuthDigestProvider file
AuthUserFile "/web/auth/.digest_pw"
Require valid-user
</Location>
L'authentification à base de condensé a été conçue pour améliorer
la sécurité par rapport à l'authentification basique, mais il
s'avÚre que ce but n'a pas été atteint. Un attaquant de type
"man-in-the-middle" peut facilement forcer le navigateur Ă revenir Ă
une authentification basique. MĂȘme une oreille indiscrĂšte passive
peut retrouver le mot de passe par force brute avec les moyens
modernes, car l'algorithme de hashage utilisé par l'authentification
à base de condensé est trop rapide. Autre problÚme, le stockage des
mots de passe sur le serveur n'est pas sûr. Le contenu d'un fichier
htdigest volĂ© peut ĂȘtre utilisĂ© directement pour l'authentification
à base de condensé. Il est donc fortement recommandé d'utiliser
mod_ssl pour chiffrer la connexion.
mod_auth_digest ne fonctionne correctement que
sur les plates-formes oĂč APR supporte la mĂ©moire partagĂ©e.
| Description: | Sélectionne l'algorithme utilisé pour calculer les condensés du défit et de sa réponse |
|---|---|
| Syntaxe: | AuthDigestAlgorithm MD5|MD5-sess |
| DĂ©faut: | AuthDigestAlgorithm MD5 |
| Contexte: | répertoire, .htaccess |
| Surcharges autorisées: | AuthConfig |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestAlgorithm permet de
sélectionner l'algorithme utilisé pour calculer les condensés du
défit et de sa réponse.
MD5-sess n'est pas encore correctement implémenté.
| Description: | Les URIs qui se trouvent dans le mĂȘme espace de protection concernant l'authentification Ă base de condensĂ©s |
|---|---|
| Syntaxe: | AuthDigestDomain URI [URI] ... |
| Contexte: | répertoire, .htaccess |
| Surcharges autorisées: | AuthConfig |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestDomain vous permet
de spĂ©cifier un ou plusieurs URIs se trouvant dans le mĂȘme
espace de protection (c'est Ă dire utilisant le mĂȘme utilisateur/mot
de passe et se trouvant dans le mĂȘme domaine). Les URIs spĂ©cifiĂ©s
sont des préfixes ; le client doit savoir que tous les URIs situés
sous ces prĂ©fixes seront protĂ©gĂ©s par le mĂȘme utilisateur/mot de
passe. Les URIs peuvent ĂȘtre soit des URIs absolus (c'est Ă dire
avec protocole, nom serveur, port, etc...), soit des URIs
relatifs.
Cette directive doit toujours ĂȘtre prĂ©sente et contenir au moins le(s) URI(s) racine(s) pour cet espace. Dans le cas contraire, le client va envoyer un en-tĂȘte d'autorisation avec chaque requĂȘte Ă destination de ce serveur.
Les URIs spĂ©cifiĂ©s peuvent aussi rĂ©fĂ©rencer diffĂ©rents serveurs, auquel cas les clients (qui sont Ă mĂȘme de le comprendre) vont partager l'utilisateur/mot de passe entre plusieurs serveurs sans le demander Ă l'utilisateur Ă chaque fois.
| Description: | Durée de validité du nombre à valeur unique du serveur (nonce) |
|---|---|
| Syntaxe: | AuthDigestNonceLifetime secondes |
| DĂ©faut: | AuthDigestNonceLifetime 300 |
| Contexte: | répertoire, .htaccess |
| Surcharges autorisées: | AuthConfig |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestNonceLifetime
permet de contrÎler la durée de validité du nombre à valeur unique
du serveur (nonce). Lorsque le client contacte le serveur en
utilisant un nonce dont la validité a expiré, le serveur renvoie un
code d'erreur 401 avec stale=true. Si
secondes est supérieur à 0, il spécifie la durée de
validité du nonce ; il est en général déconseillé d'affecter à cet
argument une valeur inférieure à 10 secondes. Si
secondes est inférieur à 0, le nonce n'expire jamais.
| Description: | Définit le(s) fournisseurs(s) d'authentification pour la zone du site web concernée |
|---|---|
| Syntaxe: | AuthDigestProvider nom fournisseur
[nom fournisseur] ... |
| DĂ©faut: | AuthDigestProvider file |
| Contexte: | répertoire, .htaccess |
| Surcharges autorisées: | AuthConfig |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestProvider permet de
définir quel fournisseur d'authentification sera utilisé pour
authentifier les utilisateurs pour la zone du site web concernée.
Assurez-vous que le module implémentant le fournisseur
d'authentification choisi soit bien présent dans le serveur. Le
fournisseur par défaut file est implémenté par le
module mod_authn_file.
Voir mod_authn_dbm,
mod_authn_file, mod_authn_dbd et
mod_authn_socache
pour la liste des fournisseurs disponibles.
| Description: | Détermine le niveau de protection fourni par l'authentification à base de condensé |
|---|---|
| Syntaxe: | AuthDigestQop none|auth|auth-int [auth|auth-int] |
| DĂ©faut: | AuthDigestQop auth |
| Contexte: | répertoire, .htaccess |
| Surcharges autorisées: | AuthConfig |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestQop permet de
définir le niveau de protection fourni. auth
ne fournit que l'authentification (nom utilisateur/mot de passe) ;
auth-int fournit l'authentification plus un contrĂŽle
d'intégrité (un condensé MD5 de l'entité est aussi calculé et
vérifié) ; avec none, le module va utiliser l'ancien
algorithme de condensés RFC-2069 (qui n'effectue pas de contrÎle
d'intégrité). On peut spécifier à la fois auth et
auth-int, auquel cas c'est le navigateur qui va choisir
lequel des deux utiliser. none ne doit ĂȘtre utilisĂ© que
dans le cas oĂč le navigateur ne serait pas Ă mĂȘme (pour une raison
ou pour une autre) de relever le défit qu'il recevrait si un autre
niveau de protection était défini.
auth-int n'est pas encore implémenté.
| Description: | La quantité de mémoire partagée à allouer afin de conserver les informations à propos des clients |
|---|---|
| Syntaxe: | AuthDigestShmemSize taille |
| DĂ©faut: | AuthDigestShmemSize 1000 |
| Contexte: | configuration globale |
| Statut: | Extension |
| Module: | mod_auth_digest |
La directive AuthDigestShmemSize permet de
définir la quantité de mémoire partagée à allouer au démarrage du
serveur afin de conserver les informations Ă propos des clients.
Notez que le segment de mĂ©moire partagĂ©e ne peut pas ĂȘtre dĂ©fini Ă
une taille inférieure à l'espace nécessaire pour conserver les
informations à propos d'un client. Cette valeur dépend de
votre systÚme. Si vous voulez en déterminer la valeur exacte, vous
pouvez simplement définir AuthDigestShmemSize
Ă 0 et consulter le message d'erreur que renverra le
serveur lorsqu'on essaiera de le démarrer.
L'argument size s'exprime par défaut en octets, mais
vous pouvez suffixer le nombre par un K ou un
M pour spécifier respectivement des KiloOctets ou des
MĂ©gaOctets. Par exemple, les directives qui suivent sont toutes
Ă©quivalentes :
AuthDigestShmemSize 1048576 AuthDigestShmemSize 1024K AuthDigestShmemSize 1M