TP3 Authentification des utilisateurs

Authentification locale basique

Objectif
On demande ici de protéger l'accès au sous-site privé de l'établissement, supposé situé dans le sous-répertoire /var/www/prive/. Il ne devra être accessible qu'à un ensemble limité de comptes Apache (et non Linux) qui seront à créer La première requête adressée à ce répertoire protégé provoquera l'affichage d'une boite de dialogue par laquelle l'utilisateur devra s'authentifier (nom et mot de passe).
Etapes




Créer le répertoire /var/www/prive, y placer quelques pages HTML.

Tester leur accessibilité pour tous. Si nécessaire ajuster les permissions Linux sur ces fichiers :
chown -R www-data /var/www/prive
chmod -R 700 /var/www/prive


Vous constatez que l'on peut parcourir le contenu de ce nouveau réperoire. Expliquez pourquoi.
Dans quel répertoire allez-vous écrire le fichier qu'on nommera perso qui doit contenir la configuration du répertoire /var/www/prive ?
Créer dans ce fichier précédent une section <Directory /var/www/prive> ..  </Directory> contenant les directives usuelles (voir TP 2), en interdisant son indexation, tout en autorisant l'accès de partout.
Tester l'accès au répertoire et l'apparition d'une erreur 403 "forbidden"

Inclure les clauses d'authentification "basique"
AuthType Basic
AuthName "Accès réservé"
Require valid-user
AuthUserFile /etc/apache2/users

# si on veut limiter l'accès aux requêtes GET
#<limit GET>
# require valid-user
#</limit> 


Tests

- Tester l'accès http://ip/prive par un compte linux, par exemple root fctice et notez l'apparition d'une erreur 401 "Authorization Required"

- Dans ces conditions où se trouvera le fichier d'authentification ? 

- Créer quelques comptes Apache à l'aide de l'utilitaite htpasswd

- Examiner le fichier /etc/apache2/users contenant les comptes ainsi créés

- Tester. La protection fonctionne t-elle ?



Utilisation d'un fichier .htaccess

Revoir son principe (cf TP 2)
Créer le fichier .htaccess directement dans /var/www/prive
Y écrire les clauses d'authentification Basic 
Relancer la navigateur et tester l'accès au rép. prive
Comment savoir quel est le fichier actif ? Conclusion ?
Modifier en conséquence la clause AllowOverride concernant ce répertoire
Relancer le navigateur. Est-ce convenable ?
 Qu'obtenez vous en demandant : http://ubuntu/prive/.htaccess ? Expliquez pourquoi.



ANNEXES
Authentification


Objectif
Par défaut le protocole http n'exige pas d'authentification. Une ressource correctement demandée et existante est fournie aussitôt que possible à la machine cliente pourvu que celle-ci soit autorisée, par les directives Order .. et Allow from ..

L'autorisation des accès n'est donc pas liée aux personnes.

A l'inverse, les dispositifs complémentaires que nous allons voir s'appliquent à réglementer les accès à une arborescence, de façon à les réserver à un ensemble d'utilisateurs autorisés. Pour accéder à ces ressources, les utilisateurs devront alors satisfaire à une procédure d'authentification par login et mot de passe.


Méthodes
On peut implémenter diverses méthodes :
- Basic et digest : l'utilisateur doit posséder un compte pour s'authentifier auprès d'APACHE. Dans la méthode Basic le mot de passe circule en clair entre le client et le serveur. 

- Https

- base de données

- authentification gérée par l'application, ce qui requière du code, actuellement principalement écrit en java, perl ou php



La méthode Basic

Directives
Voici les directives usuelles et leur signification


Directive Action
AuthType basic  type d'authentification communément adopté (fait circuler les mots de passe en clair)

 AuthName texte   affichera ce texte comme invite dans une boite de dialogue   
 AuthUserFile chemin/fichier   précise le fichier qui contient les comptes et mots de passe des utilisateurs ayant droit d'accès   
 Require valid-user 
Require liste-noms  l'accès s'applique à tous les comptes du fichiers, ou seulement aux comptes énumérés dans la liste   



Exemple de procédure
Supposons que l'espace privé soit situé dans le répertoire /var/www/prive et son accès réservé à un ensemble d'utilisateurs : admin, webmaster et toto



Directives dans le fichier default
<Directory "/var/www/prive">
AuthType Basic
AuthUserFile /etc/apache/users
AuthName "Accès privé"
# autres clauses
# AuthGroupFile /etc/apache/groups

<limit GET>
# ATTENTION : GET en majuscules !
require valid-user
# require user toto dupond
# require group profs
</limit>
</Directory> 

Faire relire la configuration au serveur.

Testez l'accessibilité au répertoire privé : http://ip/prive/


Création des comptes
Ils doivent être placés dans le fichier spécifié par la clause AuthUserFile, et sont créés avec la commande htpasswd.

Pour créer les 2 premiers comptes Apache (qui n'ont pas de raison d'être des comptes du système hôte)
cd /etc/apache2
htpasswd -c users admin
--> mot de passe demandé, puis confirmé
htpasswd  users toto

Attention ! le fichier users doit pouvoir être lu par l'utilisateur www-data utilisé par le serveur.

Examinez le fichier /etc/apache/users. Une ligne doit être présente par compte Apache créé


Test
Testez l'accessibilité au répertoire privé : http://serveur/prive/

Le serveur WEB affiche une boite de dialogue pour réclamer un couple login/mot de passe :






Authentification dans .htaccess



On peut placer les directives d'authentification "Basic" dans un fichier .htaccess, placé directement dans le répertoire à protéger.

L'avantage de ce procédé : l'accès à ce fichier ne requiert pas de privilège d'administration d'Apache. On peut alors procéder à une véritable délégation des droits d'administration, parfaitement contrôlé puisque limité aux répertoires autorisés par l'administrateur du serveur. S'il s'agit de l'hébergement du site, normalement l'accès complet en est attribué au gestionnaire, qui peut ainsi gérer lui-même les autorisations d'accès de ses visiteurs, en modifiant ce fichier. Mais on considère alors que la sécurité est alors plus limitée..

Voici un exemple :
cd /var/www/prive
less .htaccess
  Options -Indexes 
  Order allow,deny
  deny from all
  allow from ..
 
  AuthType Basic
  AuthUserFile /etc/apache2/users
  AuthName "Accès privé"
  Require valid-user



Rappelons que ce fichier de configuration ne supplante (override) les clauses placées dans les fichiers de /etc/apache2, que si la clause suivante est présente dans le paragraphe gérant ce même répertoire, par exemple dans /etc/apache2/sites-available/

<Directory /var/www/prive>
...........
Allowoverride All
</Directory> 


Remarques
- l'expérience montre qu'il est parfois indispensable de redémarrer le navigateur client pour que les modifications soient prises en compte.

- Pour empêcher l'affichage du contenu de ce fichier .htaccess, bien vérifier la présence dans apache2.conf de la directive :
<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
</Files>

Directive	Action
`AuthType basic`	type d'authentification communément adopté (fait circuler les mots de passe en clair)
`AuthName texte`	affichera ce texte comme invite dans une boite de dialogue
`AuthUserFile chemin/fichier`	précise le fichier qui contient les comptes et mots de passe des utilisateurs ayant droit d'accès
`Require valid-user Require liste-noms`	l'accès s'applique à tous les comptes du fichiers, ou seulement aux comptes énumérés dans la liste