Réglementer l'accès à un site WEB hébergé par le serveur Apache

Objectif et contexte

Nous allons montrer comment mettre en oeuvre une telle protection.

Plaçons nous dans la situation suivante :
• L'établissement dispose d'un serveur WEB fonctionnant sur LINUX, autrement dit le serveur APACHE, sous licence GPL.
  Toutes les distributions Linux actuelles proposent ce serveur lors de l'installation initiale du système.
• Ce serveur héberge tout naturellement les pages WEB de l'établissement, et vous en êtes le gestionnaire, le "webmaster". Ces pages WEB sont d'habitude autorisées en lecture pour tous, et il suffit d'un chainage d'hyperliens pour pouvoir y accéder à partir de la page d'accueil.
  Nous désirons toutefois réserver un ou plusieurs espaces privés dont l'accès exige la possession d'un nom et d'un mot de passe.
• Supposons que l'adresse IP du serveur soit 192.168.100.1, son nom complet étant bahut.ac-creteil.fr
• Sur une station cliente quelconque (Linux ou Windows), lançons un navigateur. L'accès à la page d'accueil est obtenu par l'URL:
  http://192.168.100.1 ou http://bahut
• Supposons que la racine de l'arborescence du WEB soit /home/httpd/html (sur la "Mandrake 7.2", la racine du WEB se trouve à /var/www/html)
• Nous y avons placé notre page d'accueil, dans le fichier /home/httpd/html/accueil.html. Elle contient un lien vers notre espace privé situé dans le répertoire /home/httpd/html/prive et dont nous réservons l'accès à un groupe, par exemple : admin, webmaster et toto

Le fonctionnement

• Le mécanisme est simple : la demande d'authentification est déclenchée automatiquement lorsque le serveur WEB trouve le fichier .htaccess dans le répertoire dont l'accès est protégé.
• La protection est propagée à TOUS les sous-répertoires (éventuellement) présents dans ce répertoire
• Ce fichier .htaccess indique au serveur où se trouve le fichier qui contient la liste des utilisateurs autorisés et leur mot de passe.
• Attention, remarque importante :
  La possession d'un tel droit d'accès ne s'applique qu'au serveur WEB, et n'a rien à voir avec un compte LINUX, (cf fichier /etc/passwd). Il n'accorde donc aucun droit sur le système de fichier, et sur un accès distant par protocole SAMBA.

Un exemple de procédure

• Soit à protéger l'accès au répertoire /home/httpd/html/prive/ qui est pour le moment accessible par tous
  (permissions Linux drwxr-xr-x sur ce répertoire)

• Avec les droits de root, on crée le fichier .priv_passwd dans /home/httpd, qui va contenir les utilisateurs ayant droit d'accès.
  En même temps on y place le premier utilisateur privilégié admin par :
  

  # cd /home/httpd
  # htpasswd -c .priv_passwd admin
    ---> mot de passe demandé, puis confirmé.
  

  L'utilitaire htpasswd crée (option -c) le fichier caché .priv_passwd, dans le rép. courant, ici /home/httpd, et y enregistre admin avec son mot de passe crypté.

• Pour ajouter le second, webmaster, puis d'autres

  # htpasswd  .priv_passwd webmaster
   ---> mot de passe demandé, puis confirmé 
  

• Puis on crée le fichier .htaccess dans le répertoire /home/httpd/html/prive/ à protéger. Il doit contenir notamment le chemin vers le fichier /home/httpd/.priv_passwd :

  AuthUserFile /home/httpd/.priv_passwd
  AuthGroupFile /dev/null
  AuthName "Acces prive"
  AuthType Basic
  
  <limit GET>
  require valid-user  
  </limit> 

• Remarques
  • Seul le fichier .htaccess a un nom imposé. Le fichier caché, ici .priv_passwd, contenant les mots de passe cryptés peut porter un nom quelconque, pourvu que la clause AuthUserFile le spécifie en le précédant de son chemin.
  • S'il est nécessaire de protéger plusieurs répertoires, il est recommandé de placer tous les fichiers contenant les mots de passe dans un même répertoire.
  • Le cryptage réalisé par htpasswd est (par défaut) très rudimentaire. Il est donc impératif de placer ces fichiers en dehors de l'arborescence du WEB.
  • Le fichier de configuration général d'Apache est situé à /etc/httpd/conf/httpd.conf