|
Réglementer l'accès à un site WEB |
Nous allons montrer comment mettre en oeuvre une telle protection.
WEB
fonctionnant sur LINUX
, autrement dit le serveur APACHE
, sous licence GPL./var/www/html
)
admin, webmaster et toto
.htaccess
dans le répertoire dont l'accès est protégé.
.htaccess
indique au serveur où se trouve le fichier qui contient
la liste des utilisateurs autorisés et leur mot de passe.
/etc/passwd
). Il n'accorde donc aucun droit sur le
système de fichier, et sur un accès distant par protocole SAMBA.
/home/httpd/html/prive/
qui est pour le moment accessible
par tousdrwxr-xr-x
sur ce répertoire)
root
, on crée le fichier .priv_passwd
dans /home/httpd
, qui va contenir les utilisateurs ayant droit d'accès.admin
par :# cd /home/httpd # htpasswd -c .priv_passwd admin ---> mot de passe demandé, puis confirmé.L'utilitaire
htpasswd
crée (option -c) le fichier caché .priv_passwd,
dans le rép. courant, ici /home/httpd
, et y enregistre admin
avec son mot de passe crypté.
webmaster
, puis d'autres
# htpasswd .priv_passwd webmaster
---> mot de passe demandé, puis confirmé
.htaccess
dans le répertoire /home/httpd/html/prive/
à protéger. Il doit contenir notamment le chemin vers le fichier /home/httpd/.priv_passwd
:
AuthUserFile /home/httpd/.priv_passwd AuthGroupFile /dev/null AuthName "Acces prive" AuthType Basic <limit GET> require valid-user </limit>
.htaccess
a un nom imposé. Le fichier caché, ici .priv_passwd
, contenant les mots de passe cryptés peut porter un nom quelconque, pourvu que la clause AuthUserFile
le spécifie en le précédant de son chemin.
htpasswd
est (par défaut) très rudimentaire. Il est donc impératif de placer ces fichiers en dehors de l'arborescence du WEB.
/etc/httpd/conf/httpd.conf