<-
Apache > Serveur HTTP > Documentation > Version 2.4 > Modules

Module Apache mod_auth_digest

Langues Disponibles:  en  |  fr  |  ko 

Description:Authentification utilisateur utilisant les condens�s MD5
Statut:Extension
Identificateur�de�Module:auth_digest_module
Fichier�Source:mod_auth_digest.c

Sommaire

Ce module impl�mente l'authentification HTTP bas�e sur les condens�s MD5 (RFC2617), et fournit une alternative � mod_auth_basic en ne transmettant plus le mot de passe en clair. Cependant, cela ne suffit pas pour am�liorer la s�curit� de mani�re significative par rapport � l'authentification basique. En outre, le stockage du mot de passe sur le serveur est encore moins s�r dans le cas d'une authentification � base de condens� que dans le cas d'une authentification basique. C'est pourquoi l'utilisation de l'authentification basique associ�e � un chiffrement de la connexion via mod_ssl constitue une bien meilleure alternative.

Directives

Sujets

Voir aussi

top

Utilisation de l'authentification � base de condens�s

Pour utiliser l'authentification � base de condens�s MD5, vous devez simplement remplacer AuthType Basic et AuthBasicProvider respectivement par AuthType Digest et AuthDigestProvider lorsque vous configurez l'authentification, puis ajouter une directive AuthDigestDomain contenant au moins la(les) URI(s) racine(s) de la zone � prot�ger.

On peut cr�er les fichiers utilisateur appropri�s (au format texte) � l'aide de l'outil htdigest.

Exemple :

<Location /private/>
    AuthType Digest
    AuthName "private area"
    AuthDigestDomain /private/ http://mirror.my.dom/private2/
    
    AuthDigestProvider file
    AuthUserFile /web/auth/.digest_pw
    Require valid-user
</Location>

Note

L'authentification � base de condens� a �t� con�ue pour am�liorer la s�curit� par rapport � l'authentification basique, mais il s'av�re que ce but n'a pas �t� atteint. Un attaquant de type "man-in-the-middle" peut facilement forcer le navigateur � revenir � une authentification basique. M�me une oreille indiscr�te passive peut retrouver le mot de passe par force brute avec les moyens modernes, car l'algorithme de hashage utilis� par l'authentification � base de condens� est trop rapide. Autre probl�me, le stockage des mots de passe sur le serveur n'est pas s�r. Le contenu d'un fichier htdigest vol� peut �tre utilis� directement pour l'authentification � base de condens�. Il est donc fortement recommand� d'utiliser mod_ssl pour chiffrer la connexion.

mod_auth_digest ne fonctionne correctement que sur les plates-formes o� APR supporte la m�moire partag�e.

top

AuthDigestAlgorithm Directive

Description:S�lectionne l'algorithme utilis� pour calculer les condens�s du d�fit et de sa r�ponse
Syntaxe:AuthDigestAlgorithm MD5|MD5-sess
D�faut:AuthDigestAlgorithm MD5
Contexte:r�pertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_auth_digest

La directive AuthDigestAlgorithm permet de s�lectionner l'algorithme utilis� pour calculer les condens�s du d�fit et de sa r�ponse.

MD5-sess n'est pas encore correctement impl�ment�.
top

AuthDigestDomain Directive

Description:Les URIs qui se trouvent dans le m�me espace de protection concernant l'authentification � base de condens�s
Syntaxe:AuthDigestDomain URI [URI] ...
Contexte:r�pertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_auth_digest

La directive AuthDigestDomain vous permet de sp�cifier un ou plusieurs URIs se trouvant dans le m�me espace de protection (c'est � dire utilisant le m�me utilisateur/mot de passe et se trouvant dans le m�me domaine). Les URIs sp�cifi�s sont des pr�fixes ; le client doit savoir que tous les URIs situ�s sous ces pr�fixes seront prot�g�s par le m�me utilisateur/mot de passe. Les URIs peuvent �tre soit des URIs absolus (c'est � dire avec protocole, nom serveur, port, etc...), soit des URIs relatifs.

Cette directive doit toujours �tre pr�sente et contenir au moins le(s) URI(s) racine(s) pour cet espace. Dans le cas contraire, le client va envoyer un en-t�te d'autorisation avec chaque requ�te � destination de ce serveur.

Les URIs sp�cifi�s peuvent aussi r�f�rencer diff�rents serveurs, auquel cas les clients (qui sont � m�me de le comprendre) vont partager l'utilisateur/mot de passe entre plusieurs serveurs sans le demander � l'utilisateur � chaque fois.

top

AuthDigestNonceLifetime Directive

Description:Dur�e de validit� du nombre � valeur unique du serveur (nonce)
Syntaxe:AuthDigestNonceLifetime secondes
D�faut:AuthDigestNonceLifetime 300
Contexte:r�pertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_auth_digest

La directive AuthDigestNonceLifetime permet de contr�ler la dur�e de validit� du nombre � valeur unique du serveur (nonce). Lorsque le client contacte le serveur en utilisant un nonce dont la validit� a expir�, le serveur renvoie un code d'erreur 401 avec stale=true. Si secondes est sup�rieur � 0, il sp�cifie la dur�e de validit� du nonce ; il est en g�n�ral d�conseill� d'affecter � cet argument une valeur inf�rieure � 10 secondes. Si secondes est inf�rieur � 0, le nonce n'expire jamais.

top

AuthDigestProvider Directive

Description:D�finit le(s) fournisseurs(s) d'authentification pour la zone du site web concern�e
Syntaxe:AuthDigestProvider nom fournisseur [nom fournisseur] ...
D�faut:AuthDigestProvider file
Contexte:r�pertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_auth_digest

La directive AuthDigestProvider permet de d�finir quel fournisseur d'authentification sera utilis� pour authentifier les utilisateurs pour la zone du site web concern�e. Assurez-vous que le module impl�mentant le fournisseur d'authentification choisi soit bien pr�sent dans le serveur. Le fournisseur par d�faut file est impl�ment� par le module mod_authn_file.

Voir mod_authn_dbm, mod_authn_file, mod_authn_dbd et mod_authn_socache pour la liste des fournisseurs disponibles.

top

AuthDigestQop Directive

Description:D�termine le niveau de protection fourni par l'authentification � base de condens�
Syntaxe:AuthDigestQop none|auth|auth-int [auth|auth-int]
D�faut:AuthDigestQop auth
Contexte:r�pertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_auth_digest

La directive AuthDigestQop permet de d�finir le niveau de protection fourni. auth ne fournit que l'authentification (nom utilisateur/mot de passe) ; auth-int fournit l'authentification plus un contr�le d'int�grit� (un condens� MD5 de l'entit� est aussi calcul� et v�rifi�) ; avec none, le module va utiliser l'ancien algorithme de condens�s RFC-2069 (qui n'effectue pas de contr�le d'int�grit�). On peut sp�cifier � la fois auth et auth-int, auquel cas c'est le navigateur qui va choisir lequel des deux utiliser. none ne doit �tre utilis� que dans le cas o� le navigateur ne serait pas � m�me (pour une raison ou pour une autre) de relever le d�fit qu'il recevrait si un autre niveau de protection �tait d�fini.

auth-int n'est pas encore impl�ment�.
top

AuthDigestShmemSize Directive

Description:La quantit� de m�moire partag�e � allouer afin de conserver les informations � propos des clients
Syntaxe:AuthDigestShmemSize taille
D�faut:AuthDigestShmemSize 1000
Contexte:configuration du serveur
Statut:Extension
Module:mod_auth_digest

La directive AuthDigestShmemSize permet de d�finir la quantit� de m�moire partag�e � allouer au d�marrage du serveur afin de conserver les informations � propos des clients. Notez que le segment de m�moire partag�e ne peut pas �tre d�fini � une taille inf�rieure � l'espace n�cessaire pour conserver les informations � propos d'un client. Cette valeur d�pend de votre syst�me. Si vous voulez en d�terminer la valeur exacte, vous pouvez simplement d�finir AuthDigestShmemSize � 0 et consulter le message d'erreur que renverra le serveur lorsqu'on essaiera de le d�marrer.

L'argument size s'exprime par d�faut en octets, mais vous pouvez suffixer le nombre par un K ou un M pour sp�cifier respectivement des KiloOctets ou des M�gaOctets. Par exemple, les directives qui suivent sont toutes �quivalentes :

AuthDigestShmemSize 1048576
AuthDigestShmemSize 1024K
AuthDigestShmemSize 1M

Langues Disponibles:  en  |  fr  |  ko 

top

Commentaires

Notice:
This is not a Q&A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our mailing lists.