Module Apache mod_dav

Langues Disponibles: en | + fr | + ja | + ko

+ + + +

Description:	Fonctionnalité de création et gestion de versions de +documents via le web (WebDAV)
Statut:	Extension
Identificateur de Module:	dav_module
Fichier Source:	mod_dav.c

Sommaire

+ +

Ce module ajoute à Apache une fonctionnalité WebDAV de classes 1 et 2 + ('Web-based Distributed Authoring and Versioning' ou Création et + gestion de versions de documents via le web). Il s'agit d'une + extension du protocole HTTP qui permet de créer, déplacer, copier et + supprimer des ressources ou collections de ressources sur un serveur + web distant.

Activation de WebDAV

Pour activer le module mod_dav, ajoutez la ligne + suivante à un conteneur de votre fichier httpd.conf + :

+ +

Dav On

+ + +

Ceci active le fournisseur de système de fichier DAV implémenté par + le module mod_dav_fs. Ce dernier doit donc être + compilé dans le serveur ou chargé au démarrage à l'aide de la + directive LoadModule.

+ +

En outre, vous devez indiquer où se trouve la base de données des + verrous DAV via une directive DavLockDB dans la section globale de + votre fichier httpd.conf :

+ +

+      DavLockDB /usr/local/apache2/var/DavLock
+

+ + +

Le répertoire contenant le fichier de la base de données des + verrous doit avoir des droits en écriture pour l'utilisateur et le + groupe sous lesquels Apache s'exécute et définis respectivement par + les directives User et + Group.

+ +

Si vous souhaitez limiter l'accès aux répertoires où DAV est + activé, vous pouvez ajouter une clause <Limit> dans la section <Location> considérée. Pour + définir la quantité maximale de données en octets qu'un client + DAV peut envoyer par requête, vous devez utiliser la directive + LimitXMLRequestBody, car La + directive LimitRequestBody + "habituelle" n'a aucune incidence sur les requêtes DAV.

+ +

Exemple complet

+DavLockDB /usr/local/apache2/var/DavLock
+
+<Directory /usr/local/apache2/htdocs/foo>
+    Require all granted
+    Dav On
+
+    AuthType Basic
+    AuthName DAV
+    AuthUserFile user.passwd
+
+    <LimitExcept GET POST OPTIONS>
+        Require user admin
+    </LimitExcept>
+</Directory>
+

+ +

Problèmes concernant la sécurité

+ +

Etant donné que les méthodes d'accès DAV permettent à des clients + distants de manipuler des fichiers sur le serveur, vous devez vous + assurer que votre serveur est bien sécurisé avant d'activer + mod_dav.

+ +

Tout répertoire du serveur où DAV est activé doit être protégé + par une procédure d'authentification. L'utilisation de + l'authentification HTTP de base n'est pas recommandée. Vous devez + utiliser au moins l'authentification HTTP à base de condensés + qu'implémente le module mod_auth_digest. + Pratiquement tous les clients WebDAV supportent cette méthode + d'authentification. Vous pouvez aussi utiliser l'authentification de + base sur une connexion où SSL est activé.

+ +

Pour que mod_dav puisse manipuler des fichiers, + il doit avoir des permissions en écriture sur les répertoires et les + fichiers qui sont sous son contrôle ; en d'autre termes, c'est + l'utilisateur et le groupe sous lesquels Apache s'exécute et définis + par les directives User et + Group qui doivent avoir + les droits en écriture sur ces fichiers et répertoires. Les fichiers + nouvellement créés appartiendront aussi à ces utilisateur et groupe. + Par conséquent, il est important de contrôler l'accès à ce compte. + Les répertoires DAV sont considérés comme privés du point de vue + d'Apache, et la modification des fichiers qu'ils contiennent + autrement que par l'intermédiaire d'Apache (par exemple par FTP ou + par des outils du niveau du système de fichiers) ne doit pas être + permise.

+ +

mod_dav peut faire l'objet de plusieurs sortes + d'attaques par déni de service. La directive LimitXMLRequestBody permet de limiter la + quantité de mémoire consommée pour interpréter des requêtes DAV de + grande taille. En outre, la directive DavDepthInfinity permet d'empêcher les + requêtes PROPFIND concernant un répertoire de très + grande taille de consommer de grandes quantités de mémoire. Un autre + type d'attaque par déni de service peut aussi être mené par un + client qui remplit simplement tout l'espace disque disponible avec + des fichiers de très grande taille. Etant donné qu'il n'existe aucun + moyen direct d'éviter ce genre d'attaque dans Apache, vous ne devez + accorder des accès DAV qu'à des utilisateurs de confiance.

Configurations complexes

+ +

Les requêtes ayant pour but de manipuler des fichiers dynamiques + (scripts PHP, scripts CGI, etc...) en utilisant + mod_dav sont courantes. Ce traitement n'est pas + évident car une requête + GET va toujours tenter d'exécuter le script, plutôt que + de télécharger son contenu. Pour éviter cet inconvénient, une + méthode possible consiste à faire correspondre deux URLs + différentes au même contenu, l'une d'entre elles servant à lancer le + script, alors que l'autre peut être utilisée pour le télécharger et + le manipuler avec DAV.

+ +

+Alias /phparea /home/gstein/php_files
+Alias /php-source /home/gstein/php_files
+<Location /php-source>
+DAV On
+ForceType text/plain
+</Location>
+

+ + +

Avec cette configuration, on peut utiliser + http://example.com/phparea pour afficher le résultat de + l'exécution des scripts PHP, et + http://example.com/php-source pour les manipuler avec + DAV.

Dav Directive

+ + + + + + + +

Description:	Active les méthodes HTTP WebDAV
Syntaxe:	`Dav On\|Off\|nom fournisseur`
Défaut:	`Dav Off`
Contexte:	répertoire
Statut:	Extension
Module:	mod_dav

La directive Dav active les + méthodes HTTP WebDAV pour le conteneur condidéré :

+ +

+<Location /foo>
+    Dav On
+</Location>
+

+ + +

La valeur On est en fait un alias vers le + fournisseur par défaut filesystem implémenté par le + module mod_dav_fs. Notez que lorsque DAV est activé + pour un conteneur, on ne peut pas le désactiver pour ses + sous-conteneurs. Pour un exemple de configuration complet, + reportez-vous à la section précédente.

+ +

+ N'activez pas WebDAV tant que votre serveur n'est pas sécurisé. Si + vous passez outre cette recommandation, tout le monde pourra + enregistrer des fichiers sur votre système. +

+ +

DavDepthInfinity Directive

+ + + + + + + +

Description:	Autorise les requêtes PROPFIND avec en-tête Depth: +Infinity
Syntaxe:	`DavDepthInfinity on\|off`
Défaut:	`DavDepthInfinity off`
Contexte:	configuration du serveur, serveur virtuel, répertoire
Statut:	Extension
Module:	mod_dav

La directive DavDepthInfinity + autorise le traitement des requêtes PROPFIND + contenant l'en-tête Depth: Infinity. Par défaut, ce type de requête + n'est pas autorisé, car il peut favoriser les attaques de type Déni + de service.

+ +

DavMinTimeout Directive

+ + + + + + + +

Description:	Durée minimale pendant laquelle le serveur maintient un +verrou sur une ressource DAV
Syntaxe:	`DavMinTimeout secondes`
Défaut:	`DavMinTimeout 0`
Contexte:	configuration du serveur, serveur virtuel, répertoire
Statut:	Extension
Module:	mod_dav

Lorsqu'un client demande le verrouillage d'une ressource DAV, il + peut aussi spécifier une durée au bout de laquelle le verrou sera + automatiquement supprimé par le serveur. Cette valeur ne constitue + qu'une requête, et le serveur peut l'ignorer ou informer le client + qu'il va utiliser une valeur arbitraire.

+ +

La directive DavMinTimeout + spécifie, en secondes, la durée minimale de verrouillage à renvoyer + au client. Les Répertoires Web de Microsoft présentent une durée par + défaut de 120 secondes ; la directive + DavMinTimeout permet de définir une valeur + supérieure (par exemple 600 secondes), afin de réduire les risques + de perte du verrou par le client suite à une surcharge du + réseau.

+ +

Exemple

+<Location /MSWord>
+    DavMinTimeout 600
+</Location>
+

+ +

Commentaires

Notice:
This is not a Q&A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our mailing lists.

Module Apache mod_dav_lock

Langues Disponibles: en | + fr | + ja

+ + + +

Description:	Module de verrouillage générique pour +`mod_dav`
Statut:	Extension
Identificateur de Module:	dav_lock_module
Fichier Source:	mod_dav_lock.c

Sommaire

+ +

ce module implémente une API de verrouillage générique que tout + fournisseur support de mod_dav peut utiliser. Son + activation nécessite l'utilisation de mod_dav. Mais + sans fournisseur support pour l'utiliser, il n'est d'aucun service + et ne doit pas être chargé dans le serveur. mod_dav_svn, le module qui + implémente le fournisseur subversion, est un exemple + de module de support qui utilise effectivement + mod_dav_lock.

+ +

Notez que mod_dav_fs n'a pas besoin de + ce module de verrouillage générique, car il utilise sa propre + version plus spécifique.

+ +

Pour que mod_dav_lock puisse fonctionner, il + vous suffit de spécifier le chemin de la base de données des verrous + à l'aide de la directive DavGenericLockDB décrite + ci-dessous.

+ +

Note du développeur

Pour déterminer le pointeur de la fonction du fournisseur de + verrouillage, vous devez utiliser l'API + ap_lookup_provider avec les arguments + dav-lock, generic et 0.

Directives

DavGenericLockDB

Voir aussi

mod_dav

Commentaires

+ +

DavGenericLockDB Directive

+ + + + + + +

Description:	Chemin de la base de données des verrous DAV
Syntaxe:	`DavGenericLockDB chemin fichier`
Contexte:	configuration du serveur, serveur virtuel, répertoire
Statut:	Extension
Module:	mod_dav_lock

La directive DavLockDB spécifie + le chemin complet de la base de données des verrous, sans extension. + Si le chemin n'est pas absolu, il sera considéré comme relatif au + répertoire défini par la directive ServerRoot. L'implémentation de + mod_dav_lock utilise une base de données SDBM pour + surveiller les verrous utilisateurs.

+ +

Exemple

+      DavGenericLockDB var/DavLock
+

+ +

Les utilisateur et groupe sous lesquels Apache s'exécute et qui + sont respectivement définis par les directives User et Group doivent pouvoir écrire dans le + répertoire qui contient le fichier de la base de données des + verrous. Pour des raisons de sécurité, il est recommandé de créer un + répertoire dédié à la base de données des verrous, plutôt que de + modifier les permissions d'un répertoire existant. Dans l'exemple + ci-dessus, Apache va créer des fichiers dans le répertoire + var/, lui-même sous-répertoire du répertoire défini par + la directive ServerRoot, avec le nom de base + DavLock suivi d'une extension choisie par le + serveur.

+ + +

Commentaires

Module Apache mod_dav

Sommaire

Directives

Sujets

Voir aussi

Exemple complet

Exemple

Module Apache mod_dav_lock

Sommaire

Note du développeur

Directives

Voir aussi

Exemple