Classé | Boulot

Protéger l’accès à un répertoire Apache par une authentification

Posté le 11 février 2013.

bien pratique … mais comme on ne le fait que tous les 10 ans, on a tendance à oublier.

Merci au guide OVH sur le sujet dont je vous fais un petit résumé.

Cela est possible grâces à 2 petits fichiers à placers sur le serveur :

  • .htaccess
  • .htpasswd

Ce sont des fichiers particuliers pour le serveur web. Il n’apparaissent pas dans l’arborescence du répertoire concerné si un internaute fait un accès à un répertoire listable (qui ne contient pas de page index, et dont le listage n’est pas interdit). Les paramétrages indiqués par un fichier .htaccess s’appliquent au répertoire où le fichier est installé, ainsi qu’à tout ses sous-répertoires. .htpasswd est un fichier à l’intérieur duquel sont indiqués les noms des utilisateurs ayant le droit de se connecter et leurs mots de passe sous forme cryptée. Il est généralement à la racine du site et peut être utilisé pour protéger plusieurs répertoires. Son chemin est référencé dans .htaccess. Sur le site d’OVH on trouver une page permettant de crypter un mot de passe : http://www.ovh.com/fr/espaceclients/outils/crypt_password.pl

Chaque ligne a la forme suivante :

utilisateur:mot_de_passe_crypté

Exemple pour l’utilisateur  « Laurent » dont le mot de passe est « alliacom » cela donnerait la ligne suivante :

Laurent:lmKFBJPIYmbgA (les deux premiers caractères représente la clef)

 

Pour bloquer l’accès à un répertoire complet, créez un fichier texte .htaccess qui sera de la forme suivante, et placez-le dans le répertoire à protéger.

AuthUserFile /chemin_d_acces_au_fichier_.htpasswd/.htpasswd
AuthGroupFile /dev/nullAuthName "Accès Restreint"AuthType Basicrequire valid-user

Il est aussi possible de bloquer l’accès à un ou plusieurs fichiers précis, il suffit d’ajouter les balises <Files…> (une balise FILES par fichier)

<Files protected_file.tx>
AuthUserFile /chemin_d_acces_au_fichier_.htpasswd/.htpasswd
AuthGroupFile /dev/null
AuthName "Accès Restreint Proto GeRiCO"
AuthType basic
require valid-user

 </Files>

Pour aller plus loin:http://www.securiteinfo.com/conseils/htaccess.shtmlPar ailleurs, pour utiliser en toute sécurité l'authentification .htaccess, l'emploi de HTTPS est indispensable.

Répondre

You must be logged in to post a comment.


Agenda

décembre 2024
L M M J V S D
 1
2345678
9101112131415
16171819202122
23242526272829
3031