Module Apache mod_authz_dbd

Langues Disponibles: en | + fr

+ + + + +

Description:	Autorisation par groupe ou par identifiant via SQL
Statut:	Extension
Identificateur de Module:	authz_dbd_module
Fichier Source:	mod_authz_dbd.c
Compatibilité:	Disponible dans les version 2.4 et supérieures +d'Apache

Sommaire

+ +

Ce module fournit des fonctionnalités d'autorisation permettant + d'accorder ou de refuser aux utilisateurs authentifiés l'accès à + certaines zones du site web en fonction de leur appartenance à tel + ou tel groupe. Les modules mod_authz_groupfile et + mod_authz_dbm fournissent une fonctionnalité + similaire, mais ici le module interroge une base de données SQL pour + déterminer si un utilisateur appartient ou non à tel ou tel groupe.

Ce module peut aussi fournir des fonctionnalités de connexion + utilisateur s'appuyant sur une base de données. Ceci prend le plus souvent + sens lorsque le module est utilisé conjointement avec + mod_authn_dbd.

Ce module s'appuie sur mod_dbd pour spécifier le + pilote de la base de données sous-jacente et les paramètres de + connexion, et gérer les connexions à la base de données.

Connexion s'appuyant sur une base de données

+ +

+Outre sa fonction d'autorisation standard consistant à vérifier +l'appartenance à des groupes, ce module permet également de gérer des +sessions utilisateur côté serveur grâce à sa fonctionnalité de gestion de login/logout +via base de données. En particulier, il peut mettre à +jour le statut de session de l'utilisateur dans la base de données +chaque fois que celui-ci visite certaines URLs (sous réserve bien +entendu que l'utilisateur fournisse les informations de connexion +nécessaires).

Pour cela, il faut definir deux directives Require spéciales : Require +dbd-login et Require dbd-logout. Pour les détails de +leur utilisation, voir l'exemple de configuration ci-dessous.

Connexion côté client

+ +

Pour les administrateurs qui désirent implémenter une gestion de +session côté client fonctionnant de concert avec les fonctionnalités de +connexion/déconnexion côté serveur offertes par ce module, il est possible +de définir ou en d'annuler par exemple un cookie HTTP ou un jeton +de connextion lorsqu'un utilisateur se connecte ou se déconnecte. Pour +supporter une telle intégration, mod_authz_dbd exporte +un déclenchement optionnel (hook) qui sera lancé chaque fois +que le statut d'un utilisateur sera mis à jour dans la base de données. +D'autres modules de gestion de session pourront alors utiliser ce +déclencheur pour utiliser des fonctions d'ouverture et de +fermeture de sessions côté client.

Exemple de configuration

+ +

+# configuration de mod_dbd
+DBDriver pgsql
+DBDParams "dbname=apacheauth user=apache pass=xxxxxx"
+
+DBDMin  4
+DBDKeep 8
+DBDMax  20
+DBDExptime 300
+
+<Directory /usr/www/mon.site/team-private/>
+  # configuration de mod_authn_core et mod_auth_basic
+  # pour mod_authn_dbd
+  AuthType Basic
+  AuthName Team
+  AuthBasicProvider dbd
+
+  # requête SQL de mod_authn_dbd pour authentifier un utilisateur qui se
+  # connecte
+  AuthDBDUserPWQuery \
+    "SELECT password FROM authn WHERE user = %s AND login = 'true'"
+
+  # configuration de mod_authz_core pour mod_authz_dbd
+  Require dbd-group team
+
+  # configuration de mod_authz_dbd
+  AuthzDBDQuery "SELECT group FROM authz WHERE user = %s"
+
+  # lorsqu'un utilisateur échoue dans sa tentative d'authentification ou
+  # d'autorisation, on l'invite à se connecter ; cette page doit
+  # contenir un lien vers /team-private/login.html
+  ErrorDocument 401 /login-info.html
+
+  <Files login.html>
+    # il n'est pas nécessaire que l'utilisateur soit déjà connecté !
+    AuthDBDUserPWQuery "SELECT password FROM authn WHERE user = %s"
+
+    # le processus de connexion dbd exécute une requête pour enregistrer
+    # la connexion de l'utilisateur
+    Require dbd-login
+    AuthzDBDQuery "UPDATE authn SET login = 'true' WHERE user = %s"
+
+    # redirige l'utilisateur vers la page d'origine (si elle existe)
+    # après une connexion réussie
+    AuthzDBDLoginToReferer On
+  </Files>
+
+  <Files logout.html>
+    # le processus de déconnexion dbd exécute une requête pour
+    # enregistrer la déconnexion de l'utilisateur
+    Require dbd-logout
+    AuthzDBDQuery "UPDATE authn SET login = 'false' WHERE user = %s"
+  </Files>
+</Directory>
+

+ +

Prévention contre les injections SQL

+ +

Selon le pilote DBD choisi et le serveur d'arrière-plan que vous utilisez, + vous devrez prendre garde à la sécurité dans le domaine SQL. + Avec la plupart des pilotes, vous n'avez rien à faire : la + requête est préparée par la base de données au démarrage, et l'entrée + utilisateur n'est utilisée qu'en tant que donnée. Mais vous aurez + peut-être à nettoyer cette entrée. Au moment où ces lignes sont + écrites, le seul pilote DBD qui peut nécessiter le nettoyage de l'entrée + est FreeTDS.

Veuillez vous référez à la documentation de + mod_dbd pour plus d'informations à propos de la + sécurité dans ce domaine.

AuthzDBDLoginToReferer Directive

+ + + + + + + +

Description:	Définit si le client doit être redirigé vers la page +d'origine en cas de connexion ou de déconnexion réussie si une en-tête +de requête `Referer` est présente
Syntaxe:	`AuthzDBDLoginToReferer On\|Off`
Défaut:	`AuthzDBDLoginToReferer Off`
Contexte:	répertoire
Statut:	Extension
Module:	mod_authz_dbd

Utilisée en conjonction avec Require dbd-login ou + Require dbd-logout, cette directive permet de rediriger + le client vers la page d'origine (l'URL contenue dans l'en-tête + de requête HTTP Referer, s'il est présent). En + l'absence d'en-tête Referer, la définition + AuthzDBDLoginToReferer On sera ignorée.

+ +

AuthzDBDQuery Directive

+ + + + + + +

Description:	Définit la requête SQL pour l'opération +requise
Syntaxe:	`AuthzDBDQuery requête`
Contexte:	répertoire
Statut:	Extension
Module:	mod_authz_dbd

La directive AuthzDBDQuery permet de + spécifier une requête SQL à exécuter. Le but de cette requête dépend + de la directive Require en cours de + traitement.

Avec la directive Require dbd-group, elle spécifie + une requête permettant de rechercher les groupes d'appartenance de + l'utilisateur courant. Ceci correspond à la fonctionnalité standard + d'autres modules d'autorisation comme + mod_authz_groupfile et + mod_authz_dbm. + La première colonne de chaque enregistrement renvoyé par la requête + doit contenir une chaîne de caractères correspondant à un nom de + groupe. La requête peut renvoyer zéro, un ou plusieurs + enregistrements. +
```
+Require dbd-group
+AuthzDBDQuery "SELECT group FROM groups WHERE user = %s"
+
```
+ +
Avec la directive Require dbd-login ou + Require dbd-logout, elle ne refusera jamais l'accès, + mais au contraire exécutera une requête SQL permettant d'enregistrer + la connexion ou la déconnexion de l'utilisateur. Ce dernier doit + être déjà authentifié avec mod_authn_dbd. +
```
+Require dbd-login
+AuthzDBDQuery "UPDATE authn SET login = 'true' WHERE user = %s"
+
```
+ +

Dans tous les cas, l'identifiant utilisateur sera transmis comme + paramètre sous la forme d'une simple chaîne lorsque la requête SQL + sera exécutée. Il y sera fait référence dans la requête en utilisant + le spécificateur de format %s.

+ +

AuthzDBDRedirectQuery Directive

+ + + + + + +

Description:	Définit une requête pour rechercher une page vers laquelle +rediriger l'utilisateur après une connexion réussie
Syntaxe:	`AuthzDBDRedirectQuery requête`
Contexte:	répertoire
Statut:	Extension
Module:	mod_authz_dbd

Spécifie une requête SQL optionnelle à utiliser après une + connexion (ou une déconnexion) réussie pour rediriger l'utilisateur + vers une URL, qui peut être spécifique à l'utilisateur. + L'identifiant utilisateur sera transmis comme paramètre sous la + forme d'une simple chaîne lorsque la requête SQL sera exécutée. Il y + sera fait référence dans la requête en utilisant le spécificateur de + format %s.

+AuthzDBDRedirectQuery "SELECT userpage FROM userpages WHERE user = %s"
+

+ +

La première colonne du premier enregistrement renvoyé par la + requête doit contenir une chaîne de caractères correspondant à une + URL vers laquelle rediriger le client. Les enregistrements suivants + sont ignorés. Si aucun enregistrement n'est renvoyé, le client ne + sera pas redirigé.

Notez que AuthzDBDLoginToReferer l'emporte + sur cette directive si les deux sont définies.

+ +

Commentaires

Notice:
This is not a Q&A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our mailing lists.

Module Apache mod_authz_dbd

Sommaire

Directives

Sujets

Voir aussi