| <?xml version="1.0" encoding="ISO-8859-1"?> |
| <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> |
| <html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr"><head> |
| <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" /> |
| <!-- |
| XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX |
| This file is generated from xml source: DO NOT EDIT |
| XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX |
| --> |
| <title>mod_authz_core - Serveur Apache HTTP Version 2.4</title> |
| <link href="../style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" /> |
| <link href="../style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" /> |
| <link href="../style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" /><link rel="stylesheet" type="text/css" href="../style/css/prettify.css" /> |
| <script src="../style/scripts/prettify.min.js" type="text/javascript"> |
| </script> |
| |
| <link href="../images/favicon.ico" rel="shortcut icon" /></head> |
| <body> |
| <div id="page-header"> |
| <p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/directives.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p> |
| <p class="apache">Serveur Apache HTTP Version 2.4</p> |
| <img alt="" src="../images/feather.png" /></div> |
| <div class="up"><a href="./"><img title="<-" alt="<-" src="../images/left.gif" /></a></div> |
| <div id="path"> |
| <a href="http://www.apache.org/">Apache</a> > <a href="http://httpd.apache.org/">Serveur HTTP</a> > <a href="http://httpd.apache.org/docs/">Documentation</a> > <a href="../">Version 2.4</a> > <a href="./">Modules</a></div> |
| <div id="page-content"> |
| <div id="preamble"><h1>Module Apache mod_authz_core</h1> |
| <div class="toplang"> |
| <p><span>Langues Disponibles: </span><a href="../en/mod/mod_authz_core.html" hreflang="en" rel="alternate" title="English"> en </a> | |
| <a href="../fr/mod/mod_authz_core.html" title="Français"> fr </a></p> |
| </div> |
| <table class="module"><tr><th><a href="module-dict.html#Description">Description:</a></th><td>Autorisation basique</td></tr> |
| <tr><th><a href="module-dict.html#Status">Statut:</a></th><td>Base</td></tr> |
| <tr><th><a href="module-dict.html#ModuleIdentifier">Identificateur de Module:</a></th><td>authz_core_module</td></tr> |
| <tr><th><a href="module-dict.html#SourceFile">Fichier Source:</a></th><td>mod_authz_core.c</td></tr> |
| <tr><th><a href="module-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible depuis la version 2.3 |
| d'Apache HTTPD</td></tr></table> |
| <h3>Sommaire</h3> |
| |
| <p>Ce module fournit des fonctionnalités d'autorisation basiques |
| permettant d'accorder ou refuser l'accès à certaines zones du site |
| web aux utilisateurs authentifiés. <code class="module"><a href="../mod/mod_authz_core.html">mod_authz_core</a></code> |
| donne la possibilité d'enregistrer divers fournisseurs |
| d'autorisation. Il est en général utilisé avec un module fournisseur |
| d'authentification comme <code class="module"><a href="../mod/mod_authn_file.html">mod_authn_file</a></code>, et un |
| module d'autorisation comme <code class="module"><a href="../mod/mod_authz_user.html">mod_authz_user</a></code>. Il |
| permet aussi l'application d'une logique élaborée au déroulement du |
| processus d'autorisation.</p> |
| </div> |
| <div id="quickview"><h3>Sujets</h3> |
| <ul id="topics"> |
| <li><img alt="" src="../images/down.gif" /> <a href="#authzalias">Création des alias du fournisseur |
| d'autorisation</a></li> |
| <li><img alt="" src="../images/down.gif" /> <a href="#logic">Conteneurs d'autorisation</a></li> |
| <li><img alt="" src="../images/down.gif" /> <a href="#requiredirectives">Les directives Require</a></li> |
| </ul><h3 class="directives">Directives</h3> |
| <ul id="toc"> |
| <li><img alt="" src="../images/down.gif" /> <a href="#authmerging">AuthMerging</a></li> |
| <li><img alt="" src="../images/down.gif" /> <a href="#authzprovideralias"><AuthzProviderAlias></a></li> |
| <li><img alt="" src="../images/down.gif" /> <a href="#authzsendforbiddenonfailure">AuthzSendForbiddenOnFailure</a></li> |
| <li><img alt="" src="../images/down.gif" /> <a href="#require">Require</a></li> |
| <li><img alt="" src="../images/down.gif" /> <a href="#requireall"><RequireAll></a></li> |
| <li><img alt="" src="../images/down.gif" /> <a href="#requireany"><RequireAny></a></li> |
| <li><img alt="" src="../images/down.gif" /> <a href="#requirenone"><RequireNone></a></li> |
| </ul> |
| <h3>Traitement des bugs</h3><ul class="seealso"><li><a href="https://www.apache.org/dist/httpd/CHANGES_2.4">Journal des modifications de httpd</a></li><li><a href="https://bz.apache.org/bugzilla/buglist.cgi?bug_status=__open__&list_id=144532&product=Apache%20httpd-2&query_format=specific&order=changeddate%20DESC%2Cpriority%2Cbug_severity&component=mod_authz_core">Problèmes connus</a></li><li><a href="https://bz.apache.org/bugzilla/enter_bug.cgi?product=Apache%20httpd-2&component=mod_authz_core">Signaler un bug</a></li></ul><h3>Voir aussi</h3> |
| <ul class="seealso"> |
| <li><a href="#comments_section">Commentaires</a></li></ul></div> |
| <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> |
| <div class="section"> |
| <h2><a name="authzalias" id="authzalias">Création des alias du fournisseur |
| d'autorisation</a></h2> |
| |
| <p>Il est possible de créer des fournisseurs d'autorisation étendus |
| dans le fichier de configuration et de leur assigner un nom d'alias. |
| On peut ensuite utiliser ces fournisseurs aliasés dans une |
| directive <code class="directive"><a href="#require">Require</a></code> de |
| la même manière qu'on le ferait pour des fournisseurs d'autorisation |
| de base. En plus de la possibilité de créer et d'aliaser un |
| fournisseur étendu, le même fournisseur d'autorisation étendu peut |
| être référencé par plusieurs localisations. |
| </p> |
| |
| <h3><a name="example" id="example">Exemple</a></h3> |
| <p>Dans l'exemple suivant, on crée deux alias de fournisseur |
| d'autorisation ldap différents basés sur le fournisseur |
| d'autorisation ldap-group. Il est ainsi possible pour un seul |
| répertoire de vérifier l'appartenance à un groupe dans plusieurs |
| serveurs ldap : |
| </p> |
| |
| <pre class="prettyprint lang-config"><AuthzProviderAlias ldap-group ldap-group-alias1 cn=my-group,o=ctx> |
| AuthLDAPBindDN cn=youruser,o=ctx |
| AuthLDAPBindPassword yourpassword |
| AuthLDAPURL ldap://ldap.host/o=ctx |
| </AuthzProviderAlias> |
| |
| <AuthzProviderAlias ldap-group ldap-group-alias2 cn=my-other-group,o=dev> |
| AuthLDAPBindDN cn=yourotheruser,o=dev |
| AuthLDAPBindPassword yourotherpassword |
| AuthLDAPURL ldap://other.ldap.host/o=dev?cn |
| </AuthzProviderAlias> |
| |
| Alias "/secure" "/webpages/secure" |
| <Directory "/webpages/secure"> |
| Require all granted |
| |
| AuthBasicProvider file |
| |
| AuthType Basic |
| AuthName LDAP_Protected_Place |
| |
| #implied OR operation |
| Require ldap-group-alias1 |
| Require ldap-group-alias2 |
| </Directory></pre> |
| |
| |
| |
| </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> |
| <div class="section"> |
| <h2><a name="logic" id="logic">Conteneurs d'autorisation</a></h2> |
| |
| <p>Les directives de conteneur d'autorisation <code class="directive"><a href="#requireall"><RequireAll></a></code>, |
| <code class="directive"><a href="#requireany"><RequireAny></a></code> et <code class="directive"><a href="#requirenone"><RequireNone></a></code> |
| peuvent être combinées entre elles et avec la directive <code class="directive"><a href="#require">Require</a></code> pour confectionner une |
| logique d'autorisation complexe.</p> |
| |
| <p>L'exemple ci-dessous illustre la logique d'autorisation suivante. |
| Pour pouvoir accéder à la ressource, l'utilisateur doit être |
| l'utilisateur <code>superadmin</code>, ou appartenir aux deux |
| groupes LDAP <code>admins</code> et <code>Administrateurs</code> et |
| soit appartenir au groupe <code>ventes</code> ou avoir |
| <code>ventes</code> comme valeur de l'attribut LDAP |
| <code>dept</code>. De plus, pour pouvoir accéder à la ressource, |
| l'utilisateur ne doit appartenir ni au groupe <code>temps</code>, ni |
| au groupe LDAP <code>Employés temporaires</code>.</p> |
| |
| <pre class="prettyprint lang-config"><Directory "/www/mydocs"> |
| <RequireAll> |
| <RequireAny> |
| Require user superadmin |
| <RequireAll> |
| Require group admins |
| Require ldap-group cn=Administrators,o=Airius |
| <RequireAny> |
| Require group sales |
| Require ldap-attribute dept="sales" |
| </RequireAny> |
| </RequireAll> |
| </RequireAny> |
| <RequireNone> |
| Require group temps |
| Require ldap-group cn=Temporary Employees,o=Airius |
| </RequireNone> |
| </RequireAll> |
| </Directory></pre> |
| |
| </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> |
| <div class="section"> |
| <h2><a name="requiredirectives" id="requiredirectives">Les directives Require</a></h2> |
| |
| <p>Le module <code class="module"><a href="../mod/mod_authz_core.html">mod_authz_core</a></code> met à disposition des |
| fournisseurs d'autorisation génériques utilisables avec la directive |
| <code class="directive"><a href="#require">Require</a></code>.</p> |
| |
| <h3><a name="reqenv" id="reqenv">Require env</a></h3> |
| |
| <p>Le fournisseur <code>env</code> permet de contrôler l'accès au |
| serveur en fonction de l'existence d'une <a href="../env.html">variable d'environnement</a>. Lorsque <code>Require |
| env <var>env-variable</var></code> est spécifié, la requête se voit |
| autoriser l'accès si la variable d'environnement |
| <var>env-variable</var> existe. Le serveur permet de définir |
| facilement des variables d'environnement en fonction des |
| caractéristiques de la requête du client via les directives fournies |
| par le module <code class="module"><a href="../mod/mod_setenvif.html">mod_setenvif</a></code>. Cette directive Require |
| env permet donc de contrôler l'accès en fonction des |
| valeurs des en-têtes de la requête HTTP tels que |
| <code>User-Agent</code> (type de navigateur), <code>Referer</code>, |
| entre autres.</p> |
| |
| <pre class="prettyprint lang-config">SetEnvIf User-Agent ^KnockKnock/2\.0 let_me_in |
| <Directory "/docroot"> |
| Require env let_me_in |
| </Directory></pre> |
| |
| |
| <p>Avec cet exemple, les navigateurs dont la chaîne user-agent |
| commence par <code>KnockKnock/2.0</code> se verront autoriser |
| l'accès, alors que tous les autres seront rejetés.</p> |
| |
| <p>Lorsque le serveur cherche un chemin via une <a class="glossarylink" href="../glossary.html#subrequest" title="voir glossaire">sous-requête</a> interne (par exemple la |
| recherche d'un <code class="directive"><a href="../mod/mod_dir.html#directoryindex">DirectoryIndex</a></code>), ou lorsqu'il génère un |
| listing du contenu d'un répertoire via le module |
| <code class="module"><a href="../mod/mod_autoindex.html">mod_autoindex</a></code>, la sous-requête n'hérite pas des |
| variables d'environnement spécifiques à la requête. En outre, à cause |
| des phases de l'API auxquelles <code class="module"><a href="../mod/mod_setenvif.html">mod_setenvif</a></code> prend |
| part, les directives <code class="directive"><a href="../mod/mod_setenvif.html#setenvif">SetEnvIf</a></code> ne sont pas évaluées |
| séparément dans la sous-requête.</p> |
| |
| |
| |
| <h3><a name="reqall" id="reqall">Require all</a></h3> |
| |
| <p>Le fournisseur <code>all</code> reproduit la fonctionnalité |
| précédemment fournie par les directives 'Allow from all' et 'Deny |
| from all'. Il accepte un argument dont les deux valeurs possibles |
| sont : 'granted' ou 'denied'. Les exemples suivants autorisent ou |
| interdisent l'accès à toutes les requêtes.</p> |
| |
| <pre class="prettyprint lang-config">Require all granted</pre> |
| |
| |
| <pre class="prettyprint lang-config">Require all denied</pre> |
| |
| |
| |
| |
| <h3><a name="reqmethod" id="reqmethod">Require method</a></h3> |
| |
| <p>Le fournisseur <code>method</code> permet d'utiliser la méthode |
| HTTP dans le processus d'autorisation. Les méthodes GET et HEAD sont |
| ici considérées comme équivalentes. La méthode TRACE n'est pas |
| supportée par ce fournisseur ; utilisez à la place la directive |
| <code class="directive"><a href="../mod/core.html#traceenable">TraceEnable</a></code>.</p> |
| |
| <p>Dans l'exemple suivant, seules les méthodes GET, HEAD, POST, et |
| OPTIONS sont autorisées :</p> |
| |
| <pre class="prettyprint lang-config">Require method GET POST OPTIONS</pre> |
| |
| |
| <p>Dans l'exemple suivant, les méthodes GET, HEAD, POST, et OPTIONS |
| sont autorisées sans authentification, alors que toutes les autres |
| méthodes nécessitent un utilisateur valide :</p> |
| |
| <pre class="prettyprint lang-config"><RequireAny> |
| Require method GET POST OPTIONS |
| Require valid-user |
| </RequireAny></pre> |
| |
| |
| |
| <h3><a name="reqexpr" id="reqexpr">Require expr</a></h3> |
| |
| <p>Le fournisseur <code>expr</code> permet d'accorder l'autorisation |
| d'accès de base en fonction d'expressions arbitraires.</p> |
| |
| <pre class="prettyprint lang-config">Require expr "%{TIME_HOUR} -ge 9 && %{TIME_HOUR} -le 17"</pre> |
| |
| |
| <pre class="prettyprint lang-config"><RequireAll> |
| Require expr "!(%{QUERY_STRING} =~ /secret/)" |
| Require expr "%{REQUEST_URI} in { '/example.cgi', '/other.cgi' }" |
| </RequireAll></pre> |
| |
| |
| <pre class="prettyprint lang-config">Require expr "!(%{QUERY_STRING} =~ /secret/) && %{REQUEST_URI} in { '/example.cgi', '/other.cgi' }"</pre> |
| |
| |
| <p>La syntaxe de l'expression est décrite dans la documentation de <a href="../expr.html">ap_expr</a>.</p> |
| |
| <p>Normalement, l'expression est évaluée avant l'authentification. |
| Cependant, si l'expression renvoie false et se réfère à la variable |
| <code>%{REMOTE_USER}</code>, le processus d'authentification sera |
| engagé et l'expression réévaluée.</p> |
| |
| |
| |
| </div> |
| <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> |
| <div class="directive-section"><h2><a name="authmerging" id="authmerging">Directive</a> <a name="AuthMerging" id="AuthMerging">AuthMerging</a></h2> |
| <table class="directive"> |
| <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit la manière dont chaque logique d'autorisation des |
| sections de configuration se combine avec celles des sections de |
| configuration précédentes.</td></tr> |
| <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>AuthMerging Off | And | Or</code></td></tr> |
| <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>AuthMerging Off</code></td></tr> |
| <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>répertoire, .htaccess</td></tr> |
| <tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr> |
| <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Base</td></tr> |
| <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_authz_core</td></tr> |
| </table> |
| <p>Lorsque l'autorisation est activée, elle est normalement héritée |
| par chaque <a href="../sections.html#merging">section de |
| configuration</a> suivante, à moins qu'un jeu de directives |
| d'autorisations différent ne soit spécifié. Il s'agit du |
| comportement par défaut, qui correspond à la définition explicite |
| <code>AuthMerging Off</code>.</p> |
| |
| <p>Dans certaines situations cependant, il peut être souhaitable de |
| combiner la logique d'autorisation d'une section de configuration |
| avec celle de la section précédente lorsque les sections de |
| configuration se combinent entre elles. Dans ce cas, deux options |
| sont disponibles, <code>And</code> et <code>Or</code>.</p> |
| |
| <p>Lorsqu'une section de configuration contient <code>AuthMerging |
| And</code> ou <code>AuthMerging Or</code>, sa logique d'autorisation |
| se combine avec celle de la section de configuration qui la précède |
| (selon l'ordre général des sections de configuration), et qui |
| contient aussi une logique d'autorisation, comme si les deux |
| sections étaient concaténées respectivement dans une directive |
| <code class="directive"><a href="#requireall"><RequireAll></a></code> ou <code class="directive"><a href="#requireany"><RequireAny></a></code>.</p> |
| |
| <div class="note">La définition de la directive |
| <code class="directive">AuthMerging</code> ne concerne que la section de |
| configuration dans laquelle elle apparaît. Dans l'exemple suivant, |
| seuls les utilisateurs appartenant au groupe <code>alpha</code> sont |
| autorisés à accéder à <code>/www/docs</code>. Les utilisateurs |
| appartenant au groupe <code>alpha</code> ou au groupe |
| <code>beta</code> sont autorisés à accéder à |
| <code>/www/docs/ab</code>. Cependant, la définition implicite à |
| <code>Off</code> de la directive <code class="directive">AuthMerging</code> |
| s'applique à la section de configuration <code class="directive"><a href="../mod/core.html#directory"><Directory></a></code> concernant le répertoire |
| <code>/www/docs/ab/gamma</code>, ce qui implique que les directives |
| d'autorisation de cette section l'emportent sur celles des sections |
| précédentes. Par voie de conséquence, seuls les utilisateurs |
| appartenant au groupe <code>gamma</code> sont autorisés à accéder à |
| <code>/www/docs/ab/gamma</code>.</div> |
| |
| <pre class="prettyprint lang-config"><Directory "/www/docs"> |
| AuthType Basic |
| AuthName Documents |
| AuthBasicProvider file |
| AuthUserFile "/usr/local/apache/passwd/passwords" |
| Require group alpha |
| </Directory> |
| |
| <Directory "/www/docs/ab"> |
| AuthMerging Or |
| Require group beta |
| </Directory> |
| |
| <Directory "/www/docs/ab/gamma"> |
| Require group gamma |
| </Directory></pre> |
| |
| |
| </div> |
| <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> |
| <div class="directive-section"><h2><a name="authzprovideralias" id="authzprovideralias">Directive</a> <a name="AuthzProviderAlias" id="AuthzProviderAlias"><AuthzProviderAlias></a></h2> |
| <table class="directive"> |
| <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Regroupe des directives représentant une extension d'un |
| fournisseur d'autorisation de base qui pourra être référencée à l'aide |
| de l'alias spécifié</td></tr> |
| <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code><AuthzProviderAlias <var>fournisseur-de-base Alias |
| Paramètres-Require</var>> |
| ... </AuthzProviderAlias> |
| </code></td></tr> |
| <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr> |
| <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Base</td></tr> |
| <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_authz_core</td></tr> |
| </table> |
| <p>Les balises <code class="directive"><AuthzProviderAlias></code> et |
| <code></AuthzProviderAlias></code> permettent de regrouper des |
| directives d'autorisation auxquelles on pourra faire référence à |
| l'aide de l'alias spécifié dans une directive <code class="directive"><a href="#require">Require</a></code>.</p> |
| |
| |
| </div> |
| <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> |
| <div class="directive-section"><h2><a name="authzsendforbiddenonfailure" id="authzsendforbiddenonfailure">Directive</a> <a name="AuthzSendForbiddenOnFailure" id="AuthzSendForbiddenOnFailure">AuthzSendForbiddenOnFailure</a></h2> |
| <table class="directive"> |
| <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Envoie '403 FORBIDDEN' au lieu de '401 UNAUTHORIZED' si |
| l'authentification réussit et si l'autorisation a été refusée. |
| </td></tr> |
| <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>AuthzSendForbiddenOnFailure On|Off</code></td></tr> |
| <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>AuthzSendForbiddenOnFailure Off</code></td></tr> |
| <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>répertoire, .htaccess</td></tr> |
| <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Base</td></tr> |
| <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_authz_core</td></tr> |
| <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible depuis la version 2.3.11 d'Apache HTTPD</td></tr> |
| </table> |
| <p>Par défaut, si l'authentification réussit, alors que |
| l'autorisation est refusée, Apache HTTPD renvoie un code de réponse |
| HTTP '401 UNAUTHORIZED'. En général, les navigateurs proposent alors |
| une nouvelle fois à l'utilisateur la boîte de dialogue de saisie du |
| mot de passe, ce qui n'est pas toujours souhaitable. La directive |
| <code class="directive">AuthzSendForbiddenOnFailure</code> permet de changer |
| le code de réponse en '403 FORBIDDEN'.</p> |
| |
| <div class="warning"><h3>Avertissement de sécurité</h3> |
| <p>La modification de la réponse en cas de refus d'autorisation |
| diminue la sécurité du mot de passe, car elle indique à un éventuel |
| attaquant que le mot de passe qu'il a saisi était correct.</p> |
| </div> |
| |
| </div> |
| <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> |
| <div class="directive-section"><h2><a name="require" id="require">Directive</a> <a name="Require" id="Require">Require</a></h2> |
| <table class="directive"> |
| <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Vérifie si un utilisateur authentifié a une |
| autorisation d'accès accordée par un fournisseur |
| d'autorisation.</td></tr> |
| <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>Require [not] <var>nom-entité</var> [<var>nom-entité</var>] |
| ...</code></td></tr> |
| <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>répertoire, .htaccess</td></tr> |
| <tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr> |
| <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Base</td></tr> |
| <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_authz_core</td></tr> |
| </table> |
| <p>Cette directive permet de vérifier si un utilisateur authentifié |
| a l'autorisation d'accès accordée pour un certain fournisseur |
| d'autorisation et en tenant compte de certaines restrictions. |
| <code class="module"><a href="../mod/mod_authz_core.html">mod_authz_core</a></code> met à disposition les fournisseurs |
| d'autorisation génériques suivants :</p> |
| |
| <dl> |
| <dt><code>Require all granted</code></dt> |
| <dd>L'accès est autorisé sans restriction.</dd> |
| |
| <dt><code>Require all denied</code></dt> |
| <dd>L'accès est systématiquement refusé.</dd> |
| |
| <dt><code>Require env <var>env-var</var> [<var>env-var</var>] |
| ...</code></dt> |
| <dd>L'accès n'est autorisé que si l'une au moins des variables |
| d'environnement spécifiées est définie.</dd> |
| |
| <dt><code>Require method <var>http-method</var> [<var>http-method</var>] |
| ...</code></dt> |
| <dd>L'accès n'est autorisé que pour les méthodes HTTP spécifiées.</dd> |
| |
| <dt><code>Require expr <var>expression</var> </code></dt> |
| <dd>L'accès est autorisé si <var>expression</var> est évalué à |
| vrai.</dd> |
| </dl> |
| |
| <p>Voici quelques exemples de syntaxes autorisées par |
| <code class="module"><a href="../mod/mod_authz_user.html">mod_authz_user</a></code>, <code class="module"><a href="../mod/mod_authz_host.html">mod_authz_host</a></code> et |
| <code class="module"><a href="../mod/mod_authz_groupfile.html">mod_authz_groupfile</a></code> :</p> |
| |
| <dl> |
| <dt><code>Require user <var>identifiant utilisateur</var> |
| [<var>identifiant utilisateur</var>] |
| ...</code></dt> |
| <dd>Seuls les utilisateurs spécifiés auront accès à la |
| ressource.</dd> |
| |
| <dt><code>Require group <var>nom groupe</var> [<var>nom |
| groupe</var>] |
| ...</code></dt> |
| <dd>Seuls les utilisateurs appartenant aux groupes spécifiés |
| auront accès à la ressource.</dd> |
| |
| <dt><code>Require valid-user</code></dt> |
| <dd>Tous les utilisateurs valides auront accès à la |
| ressource.</dd> |
| |
| <dt><code>Require ip 10 172.20 192.168.2</code></dt> |
| <dd>Les clients dont les adresses IP font partie des tranches |
| spécifiées auront accès à la ressource.</dd> |
| </dl> |
| |
| <p>D'autres modules d'autorisation comme |
| <code class="module"><a href="../mod/mod_authnz_ldap.html">mod_authnz_ldap</a></code>, <code class="module"><a href="../mod/mod_authz_dbm.html">mod_authz_dbm</a></code>, |
| <code class="module"><a href="../mod/mod_authz_dbd.html">mod_authz_dbd</a></code>, |
| <code class="module"><a href="../mod/mod_authz_owner.html">mod_authz_owner</a></code> et <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> |
| implémentent des options de la directive Require.</p> |
| |
| <p>Pour qu'une configuration d'authentification et d'autorisation |
| fonctionne correctement, la directive <code class="directive">Require</code> |
| doit être accompagnée dans la plupart des cas de directives <code class="directive"><a href="../mod/mod_authn_core.html#authname">AuthName</a></code>, <code class="directive"><a href="../mod/mod_authn_core.html#authtype">AuthType</a></code> et <code class="directive"><a href="../mod/mod_auth_basic.html#authbasicprovider">AuthBasicProvider</a></code> ou <code class="directive"><a href="../mod/mod_auth_digest.html#authdigestprovider">AuthDigestProvider</a></code>, ainsi que |
| de directives telles que <code class="directive"><a href="../mod/mod_authn_file.html#authuserfile">AuthUserFile</a></code> et <code class="directive"><a href="../mod/mod_authz_groupfile.html#authgroupfile">AuthGroupFile</a></code> (pour la |
| définition des utilisateurs et des groupes). Exemple :</p> |
| |
| <pre class="prettyprint lang-config">AuthType Basic |
| AuthName "Restricted Resource" |
| AuthBasicProvider file |
| AuthUserFile "/web/users" |
| AuthGroupFile "/web/groups" |
| Require group admin</pre> |
| |
| |
| <p>Les contrôles d'accès appliqués de cette manière sont effectifs |
| pour <strong>toutes</strong> les méthodes. <strong>C'est d'ailleurs |
| ce que l'on souhaite en général.</strong> Si vous voulez n'appliquer |
| les contrôles d'accès qu'à certaines méthodes, tout en laissant les |
| autres méthodes sans protection, placez la directive |
| <code class="directive">Require</code> dans une section <code class="directive"><a href="../mod/core.html#limit"><Limit></a></code>.</p> |
| |
| <p>Le résultat de la directive <code class="directive">Require</code> peut |
| être inversé en utilisant l'option <code>not</code>. Comme dans le |
| cas de l'autre directive d'autorisation inversée <code class="directive"><RequireNone></code>, si la directive |
| <code class="directive">Require</code> est inversée, elle ne peut qu'échouer |
| ou produire un résultat neutre ; elle ne peut donc alors pas |
| autoriser une requête de manière indépendante.</p> |
| |
| <p>Dans l'exemple suivant, tous les utilisateurs appartenant aux |
| groupes <code>alpha</code> et <code>beta</code> ont l'autorisation |
| d'accès, à l'exception de ceux appartenant au groupe |
| <code>reject</code>.</p> |
| |
| <pre class="prettyprint lang-config"><Directory "/www/docs"> |
| <RequireAll> |
| Require group alpha beta |
| Require not group reject |
| </RequireAll> |
| </Directory></pre> |
| |
| |
| <p>Lorsque plusieurs directives <code class="directive">Require</code> sont |
| placées dans une même <a href="../sections.html#merging">section de |
| configuration</a>, et ne se trouvent pas dans une autre directive |
| d'autorisation comme <code class="directive"><a href="#requireall"><RequireAll></a></code>, elles sont implicitement |
| contenues dans une directive <code class="directive"><a href="#requireany"><RequireAny></a></code>. Ainsi, la première directive |
| <code class="directive">Require</code> qui autorise l'accès à un utilisateur |
| autorise l'accès pour l'ensemble de la requête, et les directives |
| <code class="directive">Require</code> suivantes sont ignorées.</p> |
| |
| <div class="warning"><h3>Avertissement à propos de la sécurité</h3> |
| <p>Prettez une attention particulière aux directives d'autorisation |
| définies |
| au sein des sections <code class="directive"><a href="../mod/core.html#location">Location</a></code> |
| qui se chevauchent avec des contenus servis depuis le système de |
| fichiers. Par défaut, les configurations définies dans ces <a href="../sections.html#merging">sections</a> l'emportent sur les |
| configurations d'autorisations définies au sein des sections |
| <code class="directive"><a href="../mod/core.html#directory">Directory</a></code> et <code class="directive"><a href="../mod/core.html#files">Files</a></code> sections.</p> |
| <p>La directive <code class="directive"><a href="#authmerging">AuthMerging</a></code> permet de contrôler |
| la manière selon laquelle les configurations d'autorisations sont |
| fusionnées au sein des sections précitées.</p> |
| </div> |
| |
| <h3>Voir aussi</h3> |
| <ul> |
| <li><a href="../howto/access.html">Tutoriel du contrôle d'accès</a></li> |
| <li><a href="#logic">Conteneurs d'autorisation</a></li> |
| <li><code class="module"><a href="../mod/mod_authn_core.html">mod_authn_core</a></code></li> |
| <li><code class="module"><a href="../mod/mod_authz_host.html">mod_authz_host</a></code></li> |
| </ul> |
| </div> |
| <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> |
| <div class="directive-section"><h2><a name="requireall" id="requireall">Directive</a> <a name="RequireAll" id="RequireAll"><RequireAll></a></h2> |
| <table class="directive"> |
| <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Regroupe plusieurs directives d'autorisation dont aucune ne |
| doit échouer et dont au moins une doit retourner un résultat positif |
| pour que la directive globale retourne elle-même un résultat |
| positif.</td></tr> |
| <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code><RequireAll> ... </RequireAll></code></td></tr> |
| <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>répertoire, .htaccess</td></tr> |
| <tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr> |
| <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Base</td></tr> |
| <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_authz_core</td></tr> |
| </table> |
| <p>Les balises <code class="directive"><RequireAll></code> et |
| <code></RequireAll></code> permettent de regrouper des |
| directives d'autorisation dont aucune ne doit échouer, et dont au |
| moins une doit retourner un résultat positif pour que la directive |
| <code class="directive"><RequireAll></code> retourne elle-même |
| un résultat positif.</p> |
| |
| <p>Si aucune des directives contenues dans la directive <code class="directive"><RequireAll></code> n'échoue, et si au moins une |
| retourne un résultat positif, alors la directive <code class="directive"><RequireAll></code> retourne elle-même un résultat |
| positif. Si aucune ne retourne un résultat positif, et si aucune |
| n'échoue, la directive globale retourne un résultat neutre. Dans |
| tous les autres cas, elle échoue.</p> |
| |
| <h3>Voir aussi</h3> |
| <ul> |
| <li><a href="#logic">Conteneurs d'autorisation</a></li> |
| <li><a href="../howto/auth.html">Authentification, autorisation et |
| contrôle d'accès</a></li> |
| </ul> |
| </div> |
| <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> |
| <div class="directive-section"><h2><a name="requireany" id="requireany">Directive</a> <a name="RequireAny" id="RequireAny"><RequireAny></a></h2> |
| <table class="directive"> |
| <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Regroupe des directives d'autorisation dont au moins une |
| doit retourner un résultat positif pour que la directive globale |
| retourne elle-même un résultat positif.</td></tr> |
| <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code><RequireAny> ... </RequireAny></code></td></tr> |
| <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>répertoire, .htaccess</td></tr> |
| <tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr> |
| <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Base</td></tr> |
| <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_authz_core</td></tr> |
| </table> |
| <p>Les balises <code class="directive"><RequireAny></code> et |
| <code></RequireAny></code> permettent de regrouper des |
| directives d'autorisation dont au moins une doit retourner un |
| résultat positif pour que la directive <code class="directive"><RequireAny></code> retourne elle-même un résultat |
| positif.</p> |
| |
| <p>Si une ou plusieurs directives contenues dans la directive |
| <code class="directive"><RequireAny></code> retournent un |
| résultat positif, alors la directive <code class="directive"><RequireAny></code> retourne elle-même un résultat |
| positif. Si aucune ne retourne un résultat positif et aucune |
| n'échoue, la directive globale retourne un résultat neutre. Dans |
| tous les autres cas, elle échoue.</p> |
| |
| <div class="note">Comme les directives d'autorisation inversées sont incapables |
| de retourner un résultat positif, elles ne peuvent pas impacter de |
| manière significative le résultat d'une directive <code class="directive"><RequireAny></code> (elles pourraient tout au plus |
| faire échouer la directive dans le cas où elles échoueraient |
| elles-mêmes, et où |
| toutes les autres directives retourneraient un résultat neutre). |
| C'est pourquoi il n'est pas permis d'utiliser les directives |
| d'autorisation inversées dans une directive <code class="directive"><RequireAny></code>.</div> |
| |
| <h3>Voir aussi</h3> |
| <ul> |
| <li><a href="#logic">Conteneurs d'autorisation</a></li> |
| <li><a href="../howto/auth.html">Authentification, autorisation et |
| contrôle d'accès</a></li> |
| </ul> |
| </div> |
| <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> |
| <div class="directive-section"><h2><a name="requirenone" id="requirenone">Directive</a> <a name="RequireNone" id="RequireNone"><RequireNone></a></h2> |
| <table class="directive"> |
| <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Regroupe des directives d'autorisation dont aucune ne doit |
| retourner un résultat positif pour que la directive globale n'échoue |
| pas.</td></tr> |
| <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code><RequireNone> ... </RequireNone></code></td></tr> |
| <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>répertoire, .htaccess</td></tr> |
| <tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr> |
| <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Base</td></tr> |
| <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_authz_core</td></tr> |
| </table> |
| <p>Les balises <code class="directive"><RequireNone></code> et |
| <code></RequireNone></code> permettent de regrouper des |
| directives d'autorisation dont aucune ne doit retourner un résultat |
| positif pour que la directive <code class="directive"><RequireNone></code> n'échoue pas.</p> |
| |
| <p>Si une ou plusieurs directives contenues dans la directive |
| <code class="directive"><RequireNone></code> retournent un |
| résultat positif, la directive <code class="directive"><RequireNone></code> échouera. Dans tous les |
| autres cas, cette dernière retournera un résultat neutre. Ainsi, |
| comme pour la directive d'autorisation inversée <code>Require |
| not</code>, elle ne peut jamais autoriser une requête de manière |
| indépendante car elle ne pourra jamais retourner un résultat |
| positif. Par contre, on peut l'utiliser pour restreindre l'ensemble |
| des utilisateurs autorisés à accéder à une ressource.</p> |
| |
| <div class="note">Comme les directives d'autorisation inversées sont incapables |
| de retourner un résultat positif, elles ne peuvent pas impacter de |
| manière significative le résultat d'une directive <code class="directive"><RequireNone></code>. |
| C'est pourquoi il n'est pas permis d'utiliser les directives |
| d'autorisation inversées dans une directive <code class="directive"><RequireNone></code>.</div> |
| |
| <h3>Voir aussi</h3> |
| <ul> |
| <li><a href="#logic">Conteneurs d'autorisation</a></li> |
| <li><a href="../howto/auth.html">Authentification, autorisation et |
| contrôle d'accès</a></li> |
| </ul> |
| </div> |
| </div> |
| <div class="bottomlang"> |
| <p><span>Langues Disponibles: </span><a href="../en/mod/mod_authz_core.html" hreflang="en" rel="alternate" title="English"> en </a> | |
| <a href="../fr/mod/mod_authz_core.html" title="Français"> fr </a></p> |
| </div><div class="top"><a href="#page-header"><img src="../images/up.gif" alt="top" /></a></div><div class="section"><h2><a id="comments_section" name="comments_section">Commentaires</a></h2><div class="warning"><strong>Notice:</strong><br />This is not a Q&A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our <a href="http://httpd.apache.org/lists.html">mailing lists</a>.</div> |
| <script type="text/javascript"><!--//--><![CDATA[//><!-- |
| var comments_shortname = 'httpd'; |
| var comments_identifier = 'http://httpd.apache.org/docs/2.4/mod/mod_authz_core.html'; |
| (function(w, d) { |
| if (w.location.hostname.toLowerCase() == "httpd.apache.org") { |
| d.write('<div id="comments_thread"><\/div>'); |
| var s = d.createElement('script'); |
| s.type = 'text/javascript'; |
| s.async = true; |
| s.src = 'https://comments.apache.org/show_comments.lua?site=' + comments_shortname + '&page=' + comments_identifier; |
| (d.getElementsByTagName('head')[0] || d.getElementsByTagName('body')[0]).appendChild(s); |
| } |
| else { |
| d.write('<div id="comments_thread">Comments are disabled for this page at the moment.<\/div>'); |
| } |
| })(window, document); |
| //--><!]]></script></div><div id="footer"> |
| <p class="apache">Copyright 2016 The Apache Software Foundation.<br />Autorisé sous <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p> |
| <p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/directives.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p></div><script type="text/javascript"><!--//--><![CDATA[//><!-- |
| if (typeof(prettyPrint) !== 'undefined') { |
| prettyPrint(); |
| } |
| //--><!]]></script> |
| </body></html> |