www/apache
1
0
Fork 0
mirror of https://github.com/apache/httpd.git synced 2025-11-09 15:21:02 +03:00
Code Activity
Files
ed20a1c1fc1499bebf0ce1052bf1b25d41e76e17
apache/docs/manual/mod/mod_authz_core.html.fr

692 lines
42 KiB
Plaintext
Raw Blame History

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr"><head>
<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
<!--
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
This file is generated from xml source: DO NOT EDIT
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-->
<title>mod_authz_core - Serveur Apache HTTP Version 2.5</title>
<link href="../style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" />
<link href="../style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" />
<link href="../style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" /><link rel="stylesheet" type="text/css" href="../style/css/prettify.css" />
<script src="../style/scripts/prettify.min.js" type="text/javascript">
</script>
<link href="../images/favicon.ico" rel="shortcut icon" /></head>
<body>
<div id="page-header">
<p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/quickreference.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p>
<p class="apache">Serveur Apache HTTP Version 2.5</p>
<img alt="" src="../images/feather.png" /></div>
<div class="up"><a href="./"><img title="&lt;-" alt="&lt;-" src="../images/left.gif" /></a></div>
<div id="path">
<a href="http://www.apache.org/">Apache</a> &gt; <a href="http://httpd.apache.org/">Serveur HTTP</a> &gt; <a href="http://httpd.apache.org/docs/">Documentation</a> &gt; <a href="../">Version 2.5</a> &gt; <a href="./">Modules</a></div>
<div id="page-content">
<div id="preamble"><h1>Module Apache mod_authz_core</h1>
<div class="toplang">
<p><span>Langues Disponibles: </span><a href="../en/mod/mod_authz_core.html" hreflang="en" rel="alternate" title="English">&nbsp;en&nbsp;</a> |
<a href="../fr/mod/mod_authz_core.html" title="Fran&#231;ais">&nbsp;fr&nbsp;</a></p>
</div>
<table class="module"><tr><th><a href="module-dict.html#Description">Description:</a></th><td>Socle d'autorisation</td></tr>
<tr><th><a href="module-dict.html#Status">Statut:</a></th><td>Base</td></tr>
<tr><th><a href="module-dict.html#ModuleIdentifier">Identificateur&#160;de&#160;Module:</a></th><td>authz_core_module</td></tr>
<tr><th><a href="module-dict.html#SourceFile">Fichier&#160;Source:</a></th><td>mod_authz_core.c</td></tr>
<tr><th><a href="module-dict.html#Compatibility">Compatibilit&#233;:</a></th><td>Disponible depuis la version 2.3
d'Apache HTTPD</td></tr></table>
<h3>Sommaire</h3>
<p>Ce module fournit un socle de fonctionnalit&#233;s d'autorisation
permettant d'accorder ou refuser l'acc&#232;s &#224; certaines zones du site
web aux utilisateurs authentifi&#233;s. <code class="module"><a href="../mod/mod_authz_core.html">mod_authz_core</a></code>
donne la possibilit&#233; d'enregistrer divers fournisseurs
d'autorisation. Il est en g&#233;n&#233;ral utilis&#233; avec un module fournisseur
d'authentification comme <code class="module"><a href="../mod/mod_authn_file.html">mod_authn_file</a></code>, et un
module d'autorisation comme <code class="module"><a href="../mod/mod_authz_user.html">mod_authz_user</a></code>. Il
permet aussi l'application d'une logique &#233;labor&#233;e au d&#233;roulement du
processus d'autorisation.</p>
</div>
<div id="quickview"><h3>Sujets</h3>
<ul id="topics">
<li><img alt="" src="../images/down.gif" /> <a href="#logic">Conteneurs d'autorisation</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#requiredirectives">Les directives Require</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#authzalias">Cr&#233;ation des alias du fournisseur
d'autorisation</a></li>
</ul><h3 class="directives">Directives</h3>
<ul id="toc">
<li><img alt="" src="../images/down.gif" /> <a href="#authmerging">AuthMerging</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#authzprovideralias">&lt;AuthzProviderAlias&gt;</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#authzsendforbiddenonfailure">AuthzSendForbiddenOnFailure</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#require">Require</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#requireall">&lt;RequireAll&gt;</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#requireany">&lt;RequireAny&gt;</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#requirenone">&lt;RequireNone&gt;</a></li>
</ul>
<h3>Traitement des bugs</h3><ul class="seealso"><li><a href="https://www.apache.org/dist/httpd/CHANGES_2.4">Journal des modifications de httpd</a></li><li><a href="https://bz.apache.org/bugzilla/buglist.cgi?bug_status=__open__&amp;list_id=144532&amp;product=Apache%20httpd-2&amp;query_format=specific&amp;order=changeddate%20DESC%2Cpriority%2Cbug_severity&amp;component=mod_authz_core">Probl&#232;mes connus</a></li><li><a href="https://bz.apache.org/bugzilla/enter_bug.cgi?product=Apache%20httpd-2&amp;component=mod_authz_core">Signaler un bug</a></li></ul><h3>Voir aussi</h3>
<ul class="seealso">
<li><a href="#comments_section">Commentaires</a></li></ul></div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="logic" id="logic">Conteneurs d'autorisation</a><a title="Lien permanent" href="#logic" class="permalink">&para;</a></h2>
<p>Les directives de conteneur d'autorisation <code class="directive"><a href="#requireall">&lt;RequireAll&gt;</a></code>,
<code class="directive"><a href="#requireany">&lt;RequireAny&gt;</a></code> et <code class="directive"><a href="#requirenone">&lt;RequireNone&gt;</a></code>
peuvent &#234;tre combin&#233;es entre elles et avec la directive <code class="directive"><a href="#require">Require</a></code> pour construire une
logique d'autorisation complexe.</p>
<p>L'exemple ci-dessous illustre la logique d'autorisation suivante.
Pour pouvoir acc&#233;der &#224; la ressource, l'utilisateur doit &#234;tre
l'utilisateur <code>superadmin</code>, ou appartenir aux deux
groupes LDAP <code>admins</code> et <code>Administrateurs</code> et
soit appartenir au groupe <code>ventes</code>, soit avoir
<code>ventes</code> comme valeur de l'attribut LDAP
<code>dept</code>. De plus, pour pouvoir acc&#233;der &#224; la ressource,
l'utilisateur ne doit appartenir ni au groupe <code>temps</code>, ni
au groupe LDAP <code>Employ&#233;s temporaires</code>.</p>
<pre class="prettyprint lang-config">&lt;Directory "/www/mydocs"&gt;
&lt;RequireAll&gt;
&lt;RequireAny&gt;
Require user superadmin
&lt;RequireAll&gt;
Require group admins
Require ldap-group "cn=Administrateurs,o=Airius"
&lt;RequireAny&gt;
Require group ventes
Require ldap-attribute dept="ventes"
&lt;/RequireAny&gt;
&lt;/RequireAll&gt;
&lt;/RequireAny&gt;
&lt;RequireNone&gt;
Require group temps
Require ldap-group "cn=Employ&#233;s temporaires,o=Airius"
&lt;/RequireNone&gt;
&lt;/RequireAll&gt;
&lt;/Directory&gt;</pre>
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="requiredirectives" id="requiredirectives">Les directives Require</a><a title="Lien permanent" href="#requiredirectives" class="permalink">&para;</a></h2>
<p>Le module <code class="module"><a href="../mod/mod_authz_core.html">mod_authz_core</a></code> met &#224; disposition des
fournisseurs d'autorisation g&#233;n&#233;riques utilisables avec la directive
<code class="directive"><a href="#require">Require</a></code>.</p>
<h3><a name="reqenv" id="reqenv">Require env</a></h3>
<p>Le fournisseur <code>env</code> permet de contr&#244;ler l'acc&#232;s au
serveur en fonction de l'existence d'une <a href="../env.html">variable d'environnement</a>. Lorsque <code>Require
env <var>env-variable</var></code> est sp&#233;cifi&#233;, la requ&#234;te se voit
autoriser l'acc&#232;s si la variable d'environnement
<var>env-variable</var> existe. Le serveur permet de d&#233;finir
facilement des variables d'environnement en fonction des
caract&#233;ristiques de la requ&#234;te du client via les directives fournies
par le module <code class="module"><a href="../mod/mod_setenvif.html">mod_setenvif</a></code>. Cette directive Require
env permet donc de contr&#244;ler l'acc&#232;s en fonction des
valeurs des en-t&#234;tes de la requ&#234;te HTTP tels que
<code>User-Agent</code> (type de navigateur), <code>Referer</code>,
entre autres.</p>
<pre class="prettyprint lang-config">SetEnvIf User-Agent "^KnockKnock/2\.0" let_me_in
&lt;Directory "/docroot"&gt;
Require env let_me_in
&lt;/Directory&gt;</pre>
<p>Avec cet exemple, les navigateurs dont la cha&#238;ne user-agent
commence par <code>KnockKnock/2.0</code> se verront autoriser
l'acc&#232;s, alors que tous les autres seront rejet&#233;s.</p>
<p>Lorsque le serveur cherche un chemin via une <a class="glossarylink" href="../glossary.html#subrequest" title="voir glossaire">sous-requ&#234;te</a> interne (par exemple la
recherche d'un <code class="directive"><a href="../mod/mod_dir.html#directoryindex">DirectoryIndex</a></code>), ou lorsqu'il g&#233;n&#232;re un
listing du contenu d'un r&#233;pertoire via le module
<code class="module"><a href="../mod/mod_autoindex.html">mod_autoindex</a></code>, la sous-requ&#234;te n'h&#233;rite pas des
variables d'environnement sp&#233;cifiques &#224; la requ&#234;te. En outre, &#224; cause
des phases de l'API auxquelles <code class="module"><a href="../mod/mod_setenvif.html">mod_setenvif</a></code> prend
part, les directives <code class="directive"><a href="../mod/mod_setenvif.html#setenvif">SetEnvIf</a></code> ne sont pas &#233;valu&#233;es
s&#233;par&#233;ment dans la sous-requ&#234;te.</p>
<h3><a name="reqall" id="reqall">Require all</a></h3>
<p>Le fournisseur <code>all</code> reproduit la fonctionnalit&#233;
pr&#233;c&#233;demment fournie par les directives 'Allow from all' et 'Deny
from all'. Il accepte un argument dont les deux valeurs possibles
sont : 'granted' ou 'denied'. Les exemples suivants autorisent ou
interdisent l'acc&#232;s &#224; toutes les requ&#234;tes.</p>
<pre class="prettyprint lang-config">Require all granted</pre>
<pre class="prettyprint lang-config">Require all denied</pre>
<h3><a name="reqmethod" id="reqmethod">Require method</a></h3>
<p>Le fournisseur <code>method</code> permet d'utiliser la m&#233;thode
HTTP dans le processus d'autorisation. Les m&#233;thodes GET et HEAD sont
ici consid&#233;r&#233;es comme &#233;quivalentes. La m&#233;thode TRACE n'est pas
support&#233;e par ce fournisseur ; utilisez &#224; la place la directive
<code class="directive"><a href="../mod/core.html#traceenable">TraceEnable</a></code>.</p>
<p>Dans l'exemple suivant, seules les m&#233;thodes GET, HEAD, POST, et
OPTIONS sont autoris&#233;es :</p>
<pre class="prettyprint lang-config">Require method GET POST OPTIONS</pre>
<p>Dans l'exemple suivant, les m&#233;thodes GET, HEAD, POST, et OPTIONS
sont autoris&#233;es sans authentification, alors que toutes les autres
m&#233;thodes n&#233;cessitent un utilisateur valide :</p>
<pre class="prettyprint lang-config">&lt;RequireAny&gt;
&#160;Require method GET POST OPTIONS
&#160;Require valid-user
&lt;/RequireAny&gt;</pre>
<h3><a name="reqexpr" id="reqexpr">Require expr</a></h3>
<p>Le fournisseur <code>expr</code> permet d'accorder l'autorisation
d'acc&#232;s en fonction d'expressions arbitraires.</p>
<pre class="prettyprint lang-config">Require expr "%{TIME_HOUR} -ge 9 &amp;&amp; %{TIME_HOUR} -le 17"</pre>
<pre class="prettyprint lang-config">&lt;RequireAll&gt;
Require expr "!(%{QUERY_STRING} =~ /secret/)"
Require expr "%{REQUEST_URI} in { '/example.cgi', '/other.cgi' }"
&lt;/RequireAll&gt;</pre>
<pre class="prettyprint lang-config">Require expr "!(%{QUERY_STRING} =~ /secret/) &amp;&amp; %{REQUEST_URI} in { '/example.cgi', '/other.cgi' }"</pre>
<p>La syntaxe de l'expression est d&#233;crite dans la documentation de <a href="../expr.html">ap_expr</a>. Avant la version 2.4.16, les doubles-quotes
&#233;taient prohib&#233;es.</p>
<p>Normalement, l'expression est &#233;valu&#233;e avant l'authentification.
Cependant, si l'expression renvoie false et se r&#233;f&#232;re &#224; la variable
<code>%{REMOTE_USER}</code>, le processus d'authentification sera
engag&#233; et l'expression r&#233;&#233;valu&#233;e.</p>
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="authzalias" id="authzalias">Cr&#233;ation des alias du fournisseur
d'autorisation</a><a title="Lien permanent" href="#authzalias" class="permalink">&para;</a></h2>
<p>Il est possible de cr&#233;er des fournisseurs d'autorisation &#233;tendus
dans le fichier de configuration et de leur assigner un nom d'alias.
On peut ensuite utiliser ces fournisseurs alias&#233;s dans une
directive <code class="directive"><a href="#require">Require</a></code> de
la m&#234;me mani&#232;re qu'on le ferait pour des fournisseurs d'autorisation
de base. En plus de la possibilit&#233; de cr&#233;er et d'aliaser un
fournisseur &#233;tendu, le m&#234;me fournisseur d'autorisation &#233;tendu peut
&#234;tre r&#233;f&#233;renc&#233; par diverses localisations.
</p>
<h3><a name="example" id="example">Exemple</a></h3>
<p>Dans l'exemple suivant, on cr&#233;e deux alias de fournisseur
d'autorisation ldap diff&#233;rents bas&#233;s sur le fournisseur
d'autorisation ldap-group. Il est ainsi possible pour un seul
r&#233;pertoire de v&#233;rifier l'appartenance &#224; un groupe dans plusieurs
serveurs ldap :
</p>
<pre class="prettyprint lang-config">&lt;AuthzProviderAlias ldap-group ldap-group-alias1 "cn=my-group,o=ctx"&gt;
AuthLDAPBindDN "cn=youruser,o=ctx"
AuthLDAPBindPassword yourpassword
AuthLDAPUrl "ldap://ldap.host/o=ctx"
&lt;/AuthzProviderAlias&gt;
&lt;AuthzProviderAlias ldap-group ldap-group-alias2 "cn=my-other-group,o=dev"&gt;
AuthLDAPBindDN "cn=yourotheruser,o=dev"
AuthLDAPBindPassword yourotherpassword
AuthLDAPUrl "ldap://other.ldap.host/o=dev?cn"
&lt;/AuthzProviderAlias&gt;
Alias "/secure" "/webpages/secure"
&lt;Directory "/webpages/secure"&gt;
Require all granted
AuthBasicProvider file
AuthType Basic
AuthName LDAP_Protected_Place
#Op&#233;ration logique implicite : OU inclusif
Require ldap-group-alias1
Require ldap-group-alias2
&lt;/Directory&gt;</pre>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="authmerging" id="authmerging">Directive</a> <a name="AuthMerging" id="AuthMerging">AuthMerging</a><a title="Lien permanent" href="#authmerging" class="permalink">&para;</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>D&#233;finit la mani&#232;re dont chaque logique d'autorisation des
sections de configuration se combine avec celles des sections de
configuration pr&#233;c&#233;dentes.</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>AuthMerging Off | And | Or</code></td></tr>
<tr><th><a href="directive-dict.html#Default">D&#233;faut:</a></th><td><code>AuthMerging Off</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>r&#233;pertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Base</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_authz_core</td></tr>
</table>
<p>Lorsque l'autorisation est activ&#233;e, elle est normalement h&#233;rit&#233;e
par chaque <a href="../sections.html#merging">section de
configuration</a> suivante, &#224; moins qu'un jeu de directives
d'autorisations diff&#233;rent ne soit sp&#233;cifi&#233;. Il s'agit du
comportement par d&#233;faut, qui correspond &#224; la d&#233;finition explicite
<code>AuthMerging Off</code>.</p>
<p>Dans certaines situations cependant, il peut &#234;tre souhaitable de
combiner la logique d'autorisation d'une section de configuration
avec celle de la section pr&#233;c&#233;dente lorsque les sections de
configuration se combinent entre elles. Dans ce cas, deux options
sont disponibles, <code>And</code> et <code>Or</code>.</p>
<p>Lorsqu'une section de configuration contient <code>AuthMerging
And</code> ou <code>AuthMerging Or</code>, sa logique d'autorisation
se combine avec celle de la section de configuration qui la pr&#233;c&#232;de
(selon l'ordre g&#233;n&#233;ral des sections de configuration), et qui
contient aussi une logique d'autorisation, comme si les deux
sections &#233;taient concat&#233;n&#233;es, respectivement, dans une directive
<code class="directive"><a href="#requireall">&lt;RequireAll&gt;</a></code> ou <code class="directive"><a href="#requireany">&lt;RequireAny&gt;</a></code>.</p>
<div class="note">La d&#233;finition de la directive
<code class="directive">AuthMerging</code> ne concerne que la section de
configuration dans laquelle elle appara&#238;t. Dans l'exemple suivant,
seuls les utilisateurs appartenant au groupe <code>alpha</code> sont
autoris&#233;s &#224; acc&#233;der &#224; <code>/www/docs</code>. Les utilisateurs
appartenant au groupe <code>alpha</code> ou au groupe
<code>beta</code> sont autoris&#233;s &#224; acc&#233;der &#224;
<code>/www/docs/ab</code>. Cependant, la d&#233;finition implicite &#224;
<code>Off</code> de la directive <code class="directive">AuthMerging</code>
s'applique &#224; la section de configuration <code class="directive"><a href="../mod/core.html#directory">&lt;Directory&gt;</a></code> concernant le r&#233;pertoire
<code>/www/docs/ab/gamma</code>, ce qui implique que les directives
d'autorisation de cette section l'emportent sur celles des sections
pr&#233;c&#233;dentes. Par voie de cons&#233;quence, seuls les utilisateurs
appartenant au groupe <code>gamma</code> sont autoris&#233;s &#224; acc&#233;der &#224;
<code>/www/docs/ab/gamma</code>.</div>
<pre class="prettyprint lang-config">&lt;Directory "/www/docs"&gt;
AuthType Basic
AuthName Documents
AuthBasicProvider file
AuthUserFile "/usr/local/apache/passwd/passwords"
Require group alpha
&lt;/Directory&gt;
&lt;Directory "/www/docs/ab"&gt;
AuthMerging Or
Require group beta
&lt;/Directory&gt;
&lt;Directory "/www/docs/ab/gamma"&gt;
Require group gamma
&lt;/Directory&gt;</pre>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="authzprovideralias" id="authzprovideralias">Directive</a> <a name="AuthzProviderAlias" id="AuthzProviderAlias">&lt;AuthzProviderAlias&gt;</a><a title="Lien permanent" href="#authzprovideralias" class="permalink">&para;</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Regroupe des directives repr&#233;sentant une extension d'un
fournisseur d'autorisation de base qui pourra &#234;tre r&#233;f&#233;renc&#233;e &#224; l'aide
de l'alias sp&#233;cifi&#233;</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>&lt;AuthzProviderAlias <var>baseProvider Alias Require-Parameters</var>&gt;
... &lt;/AuthzProviderAlias&gt;
</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Base</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_authz_core</td></tr>
</table>
<p>Les balises <code class="directive">&lt;AuthzProviderAlias&gt;</code> et
<code>&lt;/AuthzProviderAlias&gt;</code> permettent de regrouper des
directives d'autorisation auxquelles on pourra faire r&#233;f&#233;rence &#224;
l'aide de l'alias sp&#233;cifi&#233; dans une directive <code class="directive"><a href="#require">Require</a></code>.</p>
<p>Si <var>Require-Parameters</var> comporte plusieurs param&#232;tres, la liste
de ces derniers doit &#234;tre entour&#233;e de guillemets. Dans le cas contraire,
seul le premier param&#232;tre de la liste sera pris en compte.</p>
<pre class="prettyprint lang-config"># Dans cet exemple, pour que les deux adresses IP soient prises en compte, elles
# DOIVENT &#234;tre entour&#233;es de guillemets
&lt;AuthzProviderAlias ip blacklisted-ips "XXX.XXX.XXX.XXX YYY.YYY.YYY.YYY"&gt;
&lt;/AuthzProviderAlias&gt;
&lt;Directory "/path/to/dir"&gt;
&lt;RequireAll&gt;
Require not blacklisted-ips
Require all granted
&lt;/RequireAll&gt;
&lt;/Directory&gt;</pre>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="authzsendforbiddenonfailure" id="authzsendforbiddenonfailure">Directive</a> <a name="AuthzSendForbiddenOnFailure" id="AuthzSendForbiddenOnFailure">AuthzSendForbiddenOnFailure</a><a title="Lien permanent" href="#authzsendforbiddenonfailure" class="permalink">&para;</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Envoie '403 FORBIDDEN' au lieu de '401 UNAUTHORIZED' si
l'authentification r&#233;ussit et si l'autorisation a &#233;t&#233; refus&#233;e.
</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>AuthzSendForbiddenOnFailure On|Off</code></td></tr>
<tr><th><a href="directive-dict.html#Default">D&#233;faut:</a></th><td><code>AuthzSendForbiddenOnFailure Off</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>r&#233;pertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Base</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_authz_core</td></tr>
<tr><th><a href="directive-dict.html#Compatibility">Compatibilit&#233;:</a></th><td>Disponible depuis la version 2.3.11 d'Apache HTTPD</td></tr>
</table>
<p>Par d&#233;faut, si l'authentification r&#233;ussit, alors que
l'autorisation est refus&#233;e, Apache HTTPD renvoie un code de r&#233;ponse
HTTP '401 UNAUTHORIZED'. En g&#233;n&#233;ral, les navigateurs proposent alors
une nouvelle fois &#224; l'utilisateur la bo&#238;te de dialogue de saisie du
mot de passe, ce qui n'est pas toujours souhaitable. La directive
<code class="directive">AuthzSendForbiddenOnFailure</code> permet de changer
le code de r&#233;ponse en '403 FORBIDDEN'.</p>
<div class="warning"><h3>Avertissement de s&#233;curit&#233;</h3>
<p>La modification de la r&#233;ponse en cas de refus d'autorisation
diminue la s&#233;curit&#233; du mot de passe, car elle indique &#224; un &#233;ventuel
attaquant que le mot de passe qu'il a saisi &#233;tait correct.</p>
</div>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="require" id="require">Directive</a> <a name="Require" id="Require">Require</a><a title="Lien permanent" href="#require" class="permalink">&para;</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>V&#233;rifie si un utilisateur authentifi&#233; a une
autorisation d'acc&#232;s accord&#233;e par un fournisseur
d'autorisation.</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>Require [not] <var>nom-entit&#233;</var> [<var>nom-entit&#233;</var>]
...</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>r&#233;pertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Base</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_authz_core</td></tr>
</table>
<p>Cette directive permet de v&#233;rifier si un utilisateur authentifi&#233;
a l'autorisation d'acc&#232;s accord&#233;e pour un certain fournisseur
d'autorisation et en tenant compte de certaines restrictions.
<code class="module"><a href="../mod/mod_authz_core.html">mod_authz_core</a></code> met &#224; disposition les fournisseurs
d'autorisation g&#233;n&#233;riques suivants :</p>
<dl>
<dt><code>Require all granted</code></dt>
<dd>L'acc&#232;s est autoris&#233; sans restriction.</dd>
<dt><code>Require all denied</code></dt>
<dd>L'acc&#232;s est syst&#233;matiquement refus&#233;.</dd>
<dt><code>Require env <var>env-var</var> [<var>env-var</var>]
...</code></dt>
<dd>L'acc&#232;s n'est autoris&#233; que si l'une au moins des variables
d'environnement sp&#233;cifi&#233;es est d&#233;finie.</dd>
<dt><code>Require method <var>http-method</var> [<var>http-method</var>]
...</code></dt>
<dd>L'acc&#232;s n'est autoris&#233; que pour les m&#233;thodes HTTP sp&#233;cifi&#233;es.</dd>
<dt><code>Require expr <var>expression</var> </code></dt>
<dd>L'acc&#232;s est autoris&#233; si <var>expression</var> est &#233;valu&#233; &#224;
vrai.</dd>
</dl>
<p>Voici quelques exemples de syntaxes autoris&#233;es par
<code class="module"><a href="../mod/mod_authz_user.html">mod_authz_user</a></code>, <code class="module"><a href="../mod/mod_authz_host.html">mod_authz_host</a></code> et
<code class="module"><a href="../mod/mod_authz_groupfile.html">mod_authz_groupfile</a></code> :</p>
<dl>
<dt><code>Require user <var>identifiant utilisateur</var>
[<var>identifiant utilisateur</var>]
...</code></dt>
<dd>Seuls les utilisateurs sp&#233;cifi&#233;s auront acc&#232;s &#224; la
ressource.</dd>
<dt><code>Require group <var>nom groupe</var> [<var>nom
groupe</var>]
...</code></dt>
<dd>Seuls les utilisateurs appartenant aux groupes sp&#233;cifi&#233;s
auront acc&#232;s &#224; la ressource.</dd>
<dt><code>Require valid-user</code></dt>
<dd>Tous les utilisateurs valides auront acc&#232;s &#224; la
ressource.</dd>
<dt><code>Require ip 10 172.20 192.168.2</code></dt>
<dd>Les clients dont les adresses IP font partie des tranches
sp&#233;cifi&#233;es auront acc&#232;s &#224; la ressource.</dd>
</dl>
<p>D'autres modules d'autorisation comme
<code class="module"><a href="../mod/mod_authnz_ldap.html">mod_authnz_ldap</a></code>, <code class="module"><a href="../mod/mod_authz_dbm.html">mod_authz_dbm</a></code>,
<code class="module"><a href="../mod/mod_authz_dbd.html">mod_authz_dbd</a></code>,
<code class="module"><a href="../mod/mod_authz_owner.html">mod_authz_owner</a></code> et <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code>
impl&#233;mentent des options de la directive Require.</p>
<p>Pour qu'une configuration d'authentification et d'autorisation
fonctionne correctement, la directive <code class="directive">Require</code>
doit &#234;tre accompagn&#233;e dans la plupart des cas de directives <code class="directive"><a href="../mod/mod_authn_core.html#authname">AuthName</a></code>, <code class="directive"><a href="../mod/mod_authn_core.html#authtype">AuthType</a></code> et <code class="directive"><a href="../mod/mod_auth_basic.html#authbasicprovider">AuthBasicProvider</a></code> ou <code class="directive"><a href="../mod/mod_auth_digest.html#authdigestprovider">AuthDigestProvider</a></code>, ainsi que
de directives telles que <code class="directive"><a href="../mod/mod_authn_file.html#authuserfile">AuthUserFile</a></code> et <code class="directive"><a href="../mod/mod_authz_groupfile.html#authgroupfile">AuthGroupFile</a></code> (pour la
d&#233;finition des utilisateurs et des groupes). Exemple :</p>
<pre class="prettyprint lang-config">AuthType Basic
AuthName "Restricted Resource"
AuthBasicProvider file
AuthUserFile "/web/users"
AuthGroupFile "/web/groups"
Require group admin</pre>
<p>Les contr&#244;les d'acc&#232;s appliqu&#233;s de cette mani&#232;re sont effectifs
pour <strong>toutes</strong> les m&#233;thodes. <strong>C'est d'ailleurs
ce que l'on souhaite en g&#233;n&#233;ral.</strong> Si vous voulez n'appliquer
les contr&#244;les d'acc&#232;s qu'&#224; certaines m&#233;thodes, tout en laissant les
autres m&#233;thodes sans protection, placez la directive
<code class="directive">Require</code> dans une section <code class="directive"><a href="../mod/core.html#limit">&lt;Limit&gt;</a></code>.</p>
<p>Le r&#233;sultat de la directive <code class="directive">Require</code> peut
&#234;tre invers&#233; en utilisant l'option <code>not</code>. Comme dans le
cas de l'autre directive d'autorisation invers&#233;e <code class="directive">&lt;RequireNone&gt;</code>, si la directive
<code class="directive">Require</code> est invers&#233;e, elle ne peut qu'&#233;chouer
ou produire un r&#233;sultat neutre ; elle ne peut donc alors pas
en soi autoriser une requ&#234;te.</p>
<p>Dans l'exemple suivant, tous les utilisateurs appartenant aux
groupes <code>alpha</code> et <code>beta</code> ont l'autorisation
d'acc&#232;s, &#224; l'exception de ceux appartenant au groupe
<code>reject</code>.</p>
<pre class="prettyprint lang-config">&lt;Directory "/www/docs"&gt;
&lt;RequireAll&gt;
Require group alpha beta
Require not group reject
&lt;/RequireAll&gt;
&lt;/Directory&gt;</pre>
<p>Lorsque plusieurs directives <code class="directive">Require</code> sont
plac&#233;es dans une m&#234;me <a href="../sections.html#merging">section de
configuration</a>, et ne se trouvent pas dans une autre directive
d'autorisation comme <code class="directive"><a href="#requireall">&lt;RequireAll&gt;</a></code>, elles sont implicitement
contenues dans une directive <code class="directive"><a href="#requireany">&lt;RequireAny&gt;</a></code>. Ainsi, la premi&#232;re directive
<code class="directive">Require</code> qui autorise l'acc&#232;s &#224; un utilisateur
autorise l'acc&#232;s pour l'ensemble de la requ&#234;te, et les directives
<code class="directive">Require</code> suivantes sont ignor&#233;es.</p>
<div class="warning"><h3>Avertissement &#224; propos de la s&#233;curit&#233;</h3>
<p>Prettez une attention particuli&#232;re aux directives d'autorisation
d&#233;finies
au sein des sections <code class="directive"><a href="../mod/core.html#location">Location</a></code>
qui se chevauchent avec des contenus servis depuis le syst&#232;me de
fichiers. Par d&#233;faut, les configurations d&#233;finies dans ces <a href="../sections.html#merging">sections</a> l'emportent sur les
configurations d'autorisations d&#233;finies au sein des sections
<code class="directive"><a href="../mod/core.html#directory">Directory</a></code> et <code class="directive"><a href="../mod/core.html#files">Files</a></code> sections.</p>
<p>La directive <code class="directive"><a href="#authmerging">AuthMerging</a></code> permet de contr&#244;ler
la mani&#232;re selon laquelle les configurations d'autorisations sont
fusionn&#233;es au sein des sections pr&#233;cit&#233;es.</p>
</div>
<h3>Voir aussi</h3>
<ul>
<li><a href="../howto/access.html">Tutoriel du contr&#244;le d'acc&#232;s</a></li>
<li><a href="#logic">Conteneurs d'autorisation</a></li>
<li><code class="module"><a href="../mod/mod_authn_core.html">mod_authn_core</a></code></li>
<li><code class="module"><a href="../mod/mod_authz_host.html">mod_authz_host</a></code></li>
</ul>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="requireall" id="requireall">Directive</a> <a name="RequireAll" id="RequireAll">&lt;RequireAll&gt;</a><a title="Lien permanent" href="#requireall" class="permalink">&para;</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Regroupe plusieurs directives d'autorisation dont aucune ne
doit &#233;chouer et dont au moins une doit retourner un r&#233;sultat positif
pour que la directive globale retourne elle-m&#234;me un r&#233;sultat
positif.</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>&lt;RequireAll&gt; ... &lt;/RequireAll&gt;</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>r&#233;pertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Base</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_authz_core</td></tr>
</table>
<p>Les balises <code class="directive">&lt;RequireAll&gt;</code> et
<code>&lt;/RequireAll&gt;</code> permettent de regrouper des
directives d'autorisation dont aucune ne doit &#233;chouer, et dont au
moins une doit retourner un r&#233;sultat positif pour que la directive
<code class="directive">&lt;RequireAll&gt;</code> retourne elle-m&#234;me
un r&#233;sultat positif.</p>
<p>Si aucune des directives contenues dans la directive <code class="directive">&lt;RequireAll&gt;</code> n'&#233;choue, et si au moins une
retourne un r&#233;sultat positif, alors la directive <code class="directive">&lt;RequireAll&gt;</code> retourne elle-m&#234;me un r&#233;sultat
positif. Si aucune ne retourne un r&#233;sultat positif, et si aucune
n'&#233;choue, la directive globale retourne un r&#233;sultat neutre. Dans
tous les autres cas, elle &#233;choue.</p>
<h3>Voir aussi</h3>
<ul>
<li><a href="#logic">Conteneurs d'autorisation</a></li>
<li><a href="../howto/auth.html">Authentification, autorisation et
contr&#244;le d'acc&#232;s</a></li>
</ul>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="requireany" id="requireany">Directive</a> <a name="RequireAny" id="RequireAny">&lt;RequireAny&gt;</a><a title="Lien permanent" href="#requireany" class="permalink">&para;</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Regroupe des directives d'autorisation dont au moins une
doit retourner un r&#233;sultat positif pour que la directive globale
retourne elle-m&#234;me un r&#233;sultat positif.</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>&lt;RequireAny&gt; ... &lt;/RequireAny&gt;</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>r&#233;pertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Base</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_authz_core</td></tr>
</table>
<p>Les balises <code class="directive">&lt;RequireAny&gt;</code> et
<code>&lt;/RequireAny&gt;</code> permettent de regrouper des
directives d'autorisation dont au moins une doit retourner un
r&#233;sultat positif pour que la directive <code class="directive">&lt;RequireAny&gt;</code> retourne elle-m&#234;me un r&#233;sultat
positif.</p>
<p>Si une ou plusieurs directives contenues dans la directive
<code class="directive">&lt;RequireAny&gt;</code> retournent un
r&#233;sultat positif, alors la directive <code class="directive">&lt;RequireAny&gt;</code> retourne elle-m&#234;me un r&#233;sultat
positif. Si aucune ne retourne un r&#233;sultat positif et aucune
n'&#233;choue, la directive globale retourne un r&#233;sultat neutre. Dans
tous les autres cas, elle &#233;choue.</p>
<div class="note">Comme les directives d'autorisation invers&#233;es sont incapables
de retourner un r&#233;sultat positif, elles ne peuvent pas impacter de
mani&#232;re significative le r&#233;sultat d'une directive <code class="directive">&lt;RequireAny&gt;</code> (elles pourraient tout au plus
faire &#233;chouer la directive dans le cas o&#249; elles &#233;choueraient
elles-m&#234;mes, et o&#249;
toutes les autres directives retourneraient un r&#233;sultat neutre).
C'est pourquoi il n'est pas permis d'utiliser les directives
d'autorisation invers&#233;es dans une directive <code class="directive">&lt;RequireAny&gt;</code>.</div>
<h3>Voir aussi</h3>
<ul>
<li><a href="#logic">Conteneurs d'autorisation</a></li>
<li><a href="../howto/auth.html">Authentification, autorisation et
contr&#244;le d'acc&#232;s</a></li>
</ul>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="requirenone" id="requirenone">Directive</a> <a name="RequireNone" id="RequireNone">&lt;RequireNone&gt;</a><a title="Lien permanent" href="#requirenone" class="permalink">&para;</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Regroupe des directives d'autorisation dont aucune ne doit
retourner un r&#233;sultat positif pour que la directive globale n'&#233;choue
pas.</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>&lt;RequireNone&gt; ... &lt;/RequireNone&gt;</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>r&#233;pertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Base</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_authz_core</td></tr>
</table>
<p>Les balises <code class="directive">&lt;RequireNone&gt;</code> et
<code>&lt;/RequireNone&gt;</code> permettent de regrouper des
directives d'autorisation dont aucune ne doit retourner un r&#233;sultat
positif pour que la directive <code class="directive">&lt;RequireNone&gt;</code> n'&#233;choue pas.</p>
<p>Si une ou plusieurs directives contenues dans la directive
<code class="directive">&lt;RequireNone&gt;</code> retournent un
r&#233;sultat positif, la directive <code class="directive">&lt;RequireNone&gt;</code> &#233;chouera. Dans tous les
autres cas, cette derni&#232;re retournera un r&#233;sultat neutre. Ainsi,
comme pour la directive d'autorisation invers&#233;e <code>Require
not</code>, elle ne peut jamais en soi autoriser une requ&#234;te
car elle ne pourra jamais retourner un r&#233;sultat
positif. Par contre, on peut l'utiliser pour restreindre l'ensemble
des utilisateurs autoris&#233;s &#224; acc&#233;der &#224; une ressource.</p>
<div class="note">Comme les directives d'autorisation invers&#233;es sont incapables
de retourner un r&#233;sultat positif, elles ne peuvent pas impacter de
mani&#232;re significative le r&#233;sultat d'une directive <code class="directive">&lt;RequireNone&gt;</code>.
C'est pourquoi il n'est pas permis d'utiliser les directives
d'autorisation invers&#233;es dans une directive <code class="directive">&lt;RequireNone&gt;</code>.</div>
<h3>Voir aussi</h3>
<ul>
<li><a href="#logic">Conteneurs d'autorisation</a></li>
<li><a href="../howto/auth.html">Authentification, autorisation et
contr&#244;le d'acc&#232;s</a></li>
</ul>
</div>
</div>
<div class="bottomlang">
<p><span>Langues Disponibles: </span><a href="../en/mod/mod_authz_core.html" hreflang="en" rel="alternate" title="English">&nbsp;en&nbsp;</a> |
<a href="../fr/mod/mod_authz_core.html" title="Fran&#231;ais">&nbsp;fr&nbsp;</a></p>
</div><div class="top"><a href="#page-header"><img src="../images/up.gif" alt="top" /></a></div><div class="section"><h2><a id="comments_section" name="comments_section">Commentaires</a></h2><div class="warning"><strong>Notice:</strong><br />This is not a Q&amp;A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our <a href="http://httpd.apache.org/lists.html">mailing lists</a>.</div>
<script type="text/javascript"><!--//--><![CDATA[//><!--
var comments_shortname = 'httpd';
var comments_identifier = 'http://httpd.apache.org/docs/trunk/mod/mod_authz_core.html';
(function(w, d) {
if (w.location.hostname.toLowerCase() == "httpd.apache.org") {
d.write('<div id="comments_thread"><\/div>');
var s = d.createElement('script');
s.type = 'text/javascript';
s.async = true;
s.src = 'https://comments.apache.org/show_comments.lua?site=' + comments_shortname + '&page=' + comments_identifier;
(d.getElementsByTagName('head')[0] || d.getElementsByTagName('body')[0]).appendChild(s);
}
else {
d.write('<div id="comments_thread">Comments are disabled for this page at the moment.<\/div>');
}
})(window, document);
//--><!]]></script></div><div id="footer">
<p class="apache">Copyright 2018 The Apache Software Foundation.<br />Autoris&#233; sous <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p>
<p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/quickreference.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p></div><script type="text/javascript"><!--//--><![CDATA[//><!--
if (typeof(prettyPrint) !== 'undefined') {
prettyPrint();
}
//--><!]]></script>
</body></html>
View Git Blame Copy Permalink