<-
Apache > Serveur HTTP > Documentation > Version 2.4 > Modules

Module Apache mod_auth_digest

Langues Disponibles:  en  |  fr  |  ko 

Description:Authentification utilisateur utilisant les condens´┐Żs MD5
Statut:Extension
Identificateur´┐Żde´┐ŻModule:auth_digest_module
Fichier´┐ŻSource:mod_auth_digest.c

Sommaire

Ce module impl´┐Żmente l'authentification HTTP bas´┐Że sur les condens´┐Żs MD5 (RFC2617), et fournit une alternative ´┐Ż mod_auth_basic en ne transmettant plus le mot de passe en clair. Cependant, cela ne suffit pas pour am´┐Żliorer la s´┐Żcurit´┐Ż de mani´┐Żre significative par rapport ´┐Ż l'authentification basique. En outre, le stockage du mot de passe sur le serveur est encore moins s´┐Żr dans le cas d'une authentification ´┐Ż base de condens´┐Ż que dans le cas d'une authentification basique. C'est pourquoi l'utilisation de l'authentification basique associ´┐Że ´┐Ż un chiffrement de la connexion via mod_ssl constitue une bien meilleure alternative.

Directives

Sujets

Voir aussi

top

Utilisation de l'authentification ´┐Ż base de condens´┐Żs

Pour utiliser l'authentification ´┐Ż base de condens´┐Żs MD5, vous devez simplement remplacer AuthType Basic et AuthBasicProvider respectivement par AuthType Digest et AuthDigestProvider lorsque vous configurez l'authentification, puis ajouter une directive AuthDigestDomain contenant au moins la(les) URI(s) racine(s) de la zone ´┐Ż prot´┐Żger.

On peut cr´┐Żer les fichiers utilisateur appropri´┐Żs (au format texte) ´┐Ż l'aide de l'outil htdigest.

Exemple :

<Location /private/>
    AuthType Digest
    AuthName "private area"
    AuthDigestDomain /private/ http://mirror.my.dom/private2/
    
    AuthDigestProvider file
    AuthUserFile /web/auth/.digest_pw
    Require valid-user
</Location>

Note

L'authentification ´┐Ż base de condens´┐Ż a ´┐Żt´┐Ż con´┐Żue pour am´┐Żliorer la s´┐Żcurit´┐Ż par rapport ´┐Ż l'authentification basique, mais il s'av´┐Żre que ce but n'a pas ´┐Żt´┐Ż atteint. Un attaquant de type "man-in-the-middle" peut facilement forcer le navigateur ´┐Ż revenir ´┐Ż une authentification basique. M´┐Żme une oreille indiscr´┐Żte passive peut retrouver le mot de passe par force brute avec les moyens modernes, car l'algorithme de hashage utilis´┐Ż par l'authentification ´┐Ż base de condens´┐Ż est trop rapide. Autre probl´┐Żme, le stockage des mots de passe sur le serveur n'est pas s´┐Żr. Le contenu d'un fichier htdigest vol´┐Ż peut ´┐Żtre utilis´┐Ż directement pour l'authentification ´┐Ż base de condens´┐Ż. Il est donc fortement recommand´┐Ż d'utiliser mod_ssl pour chiffrer la connexion.

mod_auth_digest ne fonctionne correctement que sur les plates-formes o´┐Ż APR supporte la m´┐Żmoire partag´┐Że.

top

AuthDigestAlgorithm Directive

Description:S´┐Żlectionne l'algorithme utilis´┐Ż pour calculer les condens´┐Żs du d´┐Żfit et de sa r´┐Żponse
Syntaxe:AuthDigestAlgorithm MD5|MD5-sess
D´┐Żfaut:AuthDigestAlgorithm MD5
Contexte:r´┐Żpertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_auth_digest

La directive AuthDigestAlgorithm permet de s´┐Żlectionner l'algorithme utilis´┐Ż pour calculer les condens´┐Żs du d´┐Żfit et de sa r´┐Żponse.

MD5-sess n'est pas encore correctement impl´┐Żment´┐Ż.
top

AuthDigestDomain Directive

Description:Les URIs qui se trouvent dans le m´┐Żme espace de protection concernant l'authentification ´┐Ż base de condens´┐Żs
Syntaxe:AuthDigestDomain URI [URI] ...
Contexte:r´┐Żpertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_auth_digest

La directive AuthDigestDomain vous permet de sp´┐Żcifier un ou plusieurs URIs se trouvant dans le m´┐Żme espace de protection (c'est ´┐Ż dire utilisant le m´┐Żme utilisateur/mot de passe et se trouvant dans le m´┐Żme domaine). Les URIs sp´┐Żcifi´┐Żs sont des pr´┐Żfixes ; le client doit savoir que tous les URIs situ´┐Żs sous ces pr´┐Żfixes seront prot´┐Żg´┐Żs par le m´┐Żme utilisateur/mot de passe. Les URIs peuvent ´┐Żtre soit des URIs absolus (c'est ´┐Ż dire avec protocole, nom serveur, port, etc...), soit des URIs relatifs.

Cette directive doit toujours ´┐Żtre pr´┐Żsente et contenir au moins le(s) URI(s) racine(s) pour cet espace. Dans le cas contraire, le client va envoyer un en-t´┐Żte d'autorisation avec chaque requ´┐Żte ´┐Ż destination de ce serveur.

Les URIs sp´┐Żcifi´┐Żs peuvent aussi r´┐Żf´┐Żrencer diff´┐Żrents serveurs, auquel cas les clients (qui sont ´┐Ż m´┐Żme de le comprendre) vont partager l'utilisateur/mot de passe entre plusieurs serveurs sans le demander ´┐Ż l'utilisateur ´┐Ż chaque fois.

top

AuthDigestNonceLifetime Directive

Description:Dur´┐Że de validit´┐Ż du nombre ´┐Ż valeur unique du serveur (nonce)
Syntaxe:AuthDigestNonceLifetime secondes
D´┐Żfaut:AuthDigestNonceLifetime 300
Contexte:r´┐Żpertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_auth_digest

La directive AuthDigestNonceLifetime permet de contr´┐Żler la dur´┐Że de validit´┐Ż du nombre ´┐Ż valeur unique du serveur (nonce). Lorsque le client contacte le serveur en utilisant un nonce dont la validit´┐Ż a expir´┐Ż, le serveur renvoie un code d'erreur 401 avec stale=true. Si secondes est sup´┐Żrieur ´┐Ż 0, il sp´┐Żcifie la dur´┐Że de validit´┐Ż du nonce ; il est en g´┐Żn´┐Żral d´┐Żconseill´┐Ż d'affecter ´┐Ż cet argument une valeur inf´┐Żrieure ´┐Ż 10 secondes. Si secondes est inf´┐Żrieur ´┐Ż 0, le nonce n'expire jamais.

top

AuthDigestProvider Directive

Description:D´┐Żfinit le(s) fournisseurs(s) d'authentification pour la zone du site web concern´┐Że
Syntaxe:AuthDigestProvider nom fournisseur [nom fournisseur] ...
D´┐Żfaut:AuthDigestProvider file
Contexte:r´┐Żpertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_auth_digest

La directive AuthDigestProvider permet de d´┐Żfinir quel fournisseur d'authentification sera utilis´┐Ż pour authentifier les utilisateurs pour la zone du site web concern´┐Że. Assurez-vous que le module impl´┐Żmentant le fournisseur d'authentification choisi soit bien pr´┐Żsent dans le serveur. Le fournisseur par d´┐Żfaut file est impl´┐Żment´┐Ż par le module mod_authn_file.

Voir mod_authn_dbm, mod_authn_file, mod_authn_dbd et mod_authn_socache pour la liste des fournisseurs disponibles.

top

AuthDigestQop Directive

Description:D´┐Żtermine le niveau de protection fourni par l'authentification ´┐Ż base de condens´┐Ż
Syntaxe:AuthDigestQop none|auth|auth-int [auth|auth-int]
D´┐Żfaut:AuthDigestQop auth
Contexte:r´┐Żpertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_auth_digest

La directive AuthDigestQop permet de d´┐Żfinir le niveau de protection fourni. auth ne fournit que l'authentification (nom utilisateur/mot de passe) ; auth-int fournit l'authentification plus un contr´┐Żle d'int´┐Żgrit´┐Ż (un condens´┐Ż MD5 de l'entit´┐Ż est aussi calcul´┐Ż et v´┐Żrifi´┐Ż) ; avec none, le module va utiliser l'ancien algorithme de condens´┐Żs RFC-2069 (qui n'effectue pas de contr´┐Żle d'int´┐Żgrit´┐Ż). On peut sp´┐Żcifier ´┐Ż la fois auth et auth-int, auquel cas c'est le navigateur qui va choisir lequel des deux utiliser. none ne doit ´┐Żtre utilis´┐Ż que dans le cas o´┐Ż le navigateur ne serait pas ´┐Ż m´┐Żme (pour une raison ou pour une autre) de relever le d´┐Żfit qu'il recevrait si un autre niveau de protection ´┐Żtait d´┐Żfini.

auth-int n'est pas encore impl´┐Żment´┐Ż.
top

AuthDigestShmemSize Directive

Description:La quantit´┐Ż de m´┐Żmoire partag´┐Że ´┐Ż allouer afin de conserver les informations ´┐Ż propos des clients
Syntaxe:AuthDigestShmemSize taille
D´┐Żfaut:AuthDigestShmemSize 1000
Contexte:configuration du serveur
Statut:Extension
Module:mod_auth_digest

La directive AuthDigestShmemSize permet de d´┐Żfinir la quantit´┐Ż de m´┐Żmoire partag´┐Że ´┐Ż allouer au d´┐Żmarrage du serveur afin de conserver les informations ´┐Ż propos des clients. Notez que le segment de m´┐Żmoire partag´┐Że ne peut pas ´┐Żtre d´┐Żfini ´┐Ż une taille inf´┐Żrieure ´┐Ż l'espace n´┐Żcessaire pour conserver les informations ´┐Ż propos d'un client. Cette valeur d´┐Żpend de votre syst´┐Żme. Si vous voulez en d´┐Żterminer la valeur exacte, vous pouvez simplement d´┐Żfinir AuthDigestShmemSize ´┐Ż 0 et consulter le message d'erreur que renverra le serveur lorsqu'on essaiera de le d´┐Żmarrer.

L'argument size s'exprime par d´┐Żfaut en octets, mais vous pouvez suffixer le nombre par un K ou un M pour sp´┐Żcifier respectivement des KiloOctets ou des M´┐ŻgaOctets. Par exemple, les directives qui suivent sont toutes ´┐Żquivalentes :

AuthDigestShmemSize 1048576
AuthDigestShmemSize 1024K
AuthDigestShmemSize 1M

Langues Disponibles:  en  |  fr  |  ko 

top

Commentaires

Notice:
This is not a Q&A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our mailing lists.