; Wed, 15 Apr 2015 16:33:52 +0000 (UTC) Content-Type: text/plain; charset="utf-8" MIME-Version: 1.0 Content-Transfer-Encoding: 8bit Subject: svn commit: r1673854 [8/32] - /httpd/httpd/trunk/docs/manual/mod/ Date: Wed, 15 Apr 2015 16:33:46 -0000 To: cvs@httpd.apache.org From: rbowen@apache.org X-Mailer: svnmailer-1.0.9 Message-Id: <20150415163352.68F36AC088C@hades.apache.org> Modified: httpd/httpd/trunk/docs/manual/mod/mod_authz_core.html.en URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/mod/mod_authz_core.html.en?rev=1673854&r1=1673853&r2=1673854&view=diff ============================================================================== --- httpd/httpd/trunk/docs/manual/mod/mod_authz_core.html.en (original) +++ httpd/httpd/trunk/docs/manual/mod/mod_authz_core.html.en Wed Apr 15 16:33:41 2015 @@ -61,210 +61,6 @@

Comments

Authorization Containers

- -

The authorization container directives - <RequireAll>, - <RequireAny> - and - <RequireNone> - may be combined with each other and with the - Require - directive to express complex authorization logic.

- -

The example below expresses the following authorization logic. - In order to access the resource, the user must either be the - superadmin user, or belong to both the - admins group and the Administrators LDAP - group and either belong to the sales group or - have the LDAP dept attribute sales. - Furthermore, in order to access the resource, the user must - not belong to either the temps group or the - LDAP group Temporary Employees.

- -

<Directory "/www/mydocs">
-    <RequireAll>
-        <RequireAny>
-            Require user superadmin
-            <RequireAll>
-                Require group admins
-                Require ldap-group "cn=Administrators,o=Airius"
-                <RequireAny>
-                    Require group sales
-                    Require ldap-attribute dept="sales"
-                </RequireAny>
-            </RequireAll>
-        </RequireAny>
-        <RequireNone>
-            Require group temps
-            Require ldap-group "cn=Temporary Employees,o=Airius"
-        </RequireNone>
-    </RequireAll>
-</Directory>

- -

The Require Directives

- -

mod_authz_core provides some generic authorization - providers which can be used with the - Require directive.

- -

Require env

- -

The env provider allows access to the server - to be controlled based on the existence of an environment variable. When Require - env env-variable is specified, then the request is - allowed access if the environment variable env-variable - exists. The server provides the ability to set environment - variables in a flexible way based on characteristics of the client - request using the directives provided by - mod_setenvif. Therefore, this directive can be - used to allow access based on such factors as the clients - User-Agent (browser type), Referer, or - other HTTP request header fields.

- -

SetEnvIf User-Agent "^KnockKnock/2\.0" let_me_in
-<Directory "/docroot">
-    Require env let_me_in
-</Directory>

- - -

In this case, browsers with a user-agent string beginning - with KnockKnock/2.0 will be allowed access, and all - others will be denied.

- -

When the server looks up a path via an internal - subrequest such as looking - for a DirectoryIndex - or generating a directory listing with mod_autoindex, - per-request environment variables are not inherited in the - subrequest. Additionally, - SetEnvIf directives - are not separately evaluated in the subrequest due to the API phases - mod_setenvif takes action in.

- - - -

Require all

- -

The all provider mimics the functionality that - was previously provided by the 'Allow from all' and 'Deny from all' - directives. This provider can take one of two arguments which are - 'granted' or 'denied'. The following examples will grant or deny - access to all requests.

- -

Require all granted

- - -

Require all denied

- - - - -

Require method

- -

The method provider allows using the HTTP method in - authorization decisions. The GET and HEAD methods are treated as - equivalent. The TRACE method is not available to this provider, - use TraceEnable instead.

- -

The following example will only allow GET, HEAD, POST, and OPTIONS - requests:

- -

Require method GET POST OPTIONS

- - -

The following example will allow GET, HEAD, POST, and OPTIONS - requests without authentication, and require a valid user for all other - methods:

- -

<RequireAny>
-     Require method GET POST OPTIONS
-     Require valid-user
-</RequireAny>

- - - - -

Require expr

- -

The expr provider allows basing authorization - decisions on arbitrary expressions.

- -

Require expr %{TIME_HOUR} -ge 9 && %{TIME_HOUR} -le 17

- - -

<RequireAll>
-    Require expr "!(%{QUERY_STRING} =~ /secret/)"
-    Require expr "%{REQUEST_URI} in { '/example.cgi', '/other.cgi' }" 
-</RequireAll>

- - -

Require expr "!(%{QUERY_STRING} =~ /secret/) && %{REQUEST_URI} in { '/example.cgi', '/other.cgi' }"

- - -

The syntax is described in the ap_expr - documentation.

- -

Normally, the expression is evaluated before authentication. However, if - the expression returns false and references the variable - %{REMOTE_USER}, authentication will be performed and - the expression will be re-evaluated.

- - - - -

Creating Authorization Provider Aliases

- -

Extended authorization providers can be created within the configuration - file and assigned an alias name. The alias providers can then be referenced - through the Require directive - in the same way as a base authorization provider. Besides the ability to - create and alias an extended provider, it also allows the same extended - authorization provider to be referenced by multiple locations. -

- -

Example

The example below creates two different ldap authorization provider - aliases based on the ldap-group authorization provider. This example - allows a single authorization location to check group membership within - multiple ldap hosts: -

- -

<AuthzProviderAlias ldap-group ldap-group-alias1 "cn=my-group,o=ctx">
-    AuthLDAPBindDN "cn=youruser,o=ctx"
-    AuthLDAPBindPassword yourpassword
-    AuthLDAPURL "ldap://ldap.host/o=ctx"
-</AuthzProviderAlias>
-
-<AuthzProviderAlias ldap-group ldap-group-alias2 "cn=my-other-group,o=dev">
-    AuthLDAPBindDN "cn=yourotheruser,o=dev"
-    AuthLDAPBindPassword yourotherpassword
-    AuthLDAPURL "ldap://other.ldap.host/o=dev?cn"
-</AuthzProviderAlias>
-
-Alias "/secure" "/webpages/secure"
-<Directory "/webpages/secure">
-    Require all granted
-
-    AuthBasicProvider file
-
-    AuthType Basic
-    AuthName LDAP_Protected_Place
-
-    #implied OR operation
-    Require ldap-group-alias1
-    Require ldap-group-alias2
-</Directory>

- - - -

AuthMerging Directive

Description:	Controls the manner in which each configuration section's @@ -632,6 +428,210 @@ must succeed for the enclosing directive and Access Control + + + Authorization Containers + + The authorization container directives + `<RequireAll>`, + `<RequireAny>` + and + `<RequireNone>` + may be combined with each other and with the + `Require` + directive to express complex authorization logic. + + The example below expresses the following authorization logic. + In order to access the resource, the user must either be the + `superadmin` user, or belong to both the + `admins` group and the `Administrators` LDAP + group and either belong to the `sales` group or + have the LDAP `dept` attribute `sales`. + Furthermore, in order to access the resource, the user must + not belong to either the `temps` group or the + LDAP group `Temporary Employees`. + + <Directory "/www/mydocs"> + <RequireAll> + <RequireAny> + Require user superadmin + <RequireAll> + Require group admins + Require ldap-group "cn=Administrators,o=Airius" + <RequireAny> + Require group sales + Require ldap-attribute dept="sales" + </RequireAny> + </RequireAll> + </RequireAny> + <RequireNone> + Require group temps + Require ldap-group "cn=Temporary Employees,o=Airius" + </RequireNone> + </RequireAll> +</Directory> + + + + The Require Directives + + `mod_authz_core` provides some generic authorization + providers which can be used with the + `Require` directive. + + Require env + + The `env` provider allows access to the server + to be controlled based on the existence of an environment variable. When `Require + env env-variable` is specified, then the request is + allowed access if the environment variable `env-variable` + exists. The server provides the ability to set environment + variables in a flexible way based on characteristics of the client + request using the directives provided by + `mod_setenvif`. Therefore, this directive can be + used to allow access based on such factors as the clients + `User-Agent` (browser type), `Referer`, or + other HTTP request header fields. + + SetEnvIf User-Agent "^KnockKnock/2\.0" let_me_in +<Directory "/docroot"> + Require env let_me_in +</Directory> + + + In this case, browsers with a user-agent string beginning + with `KnockKnock/2.0` will be allowed access, and all + others will be denied. + + When the server looks up a path via an internal + subrequest such as looking + for a `DirectoryIndex` + or generating a directory listing with `mod_autoindex`, + per-request environment variables are not inherited in the + subrequest. Additionally, + `SetEnvIf` directives + are not separately evaluated in the subrequest due to the API phases + `mod_setenvif` takes action in. + + + + Require all + + The `all` provider mimics the functionality that + was previously provided by the 'Allow from all' and 'Deny from all' + directives. This provider can take one of two arguments which are + 'granted' or 'denied'. The following examples will grant or deny + access to all requests. + + Require all granted + + + Require all denied + + + + + Require method + + The `method` provider allows using the HTTP method in + authorization decisions. The GET and HEAD methods are treated as + equivalent. The TRACE method is not available to this provider, + use `TraceEnable` instead. + + The following example will only allow GET, HEAD, POST, and OPTIONS + requests: + + Require method GET POST OPTIONS + + + The following example will allow GET, HEAD, POST, and OPTIONS + requests without authentication, and require a valid user for all other + methods: + + <RequireAny> + Require method GET POST OPTIONS + Require valid-user +</RequireAny> + + + + + Require expr + + The `expr` provider allows basing authorization + decisions on arbitrary expressions. + + Require expr %{TIME_HOUR} -ge 9 && %{TIME_HOUR} -le 17 + + + <RequireAll> + Require expr "!(%{QUERY_STRING} =~ /secret/)" + Require expr "%{REQUEST_URI} in { '/example.cgi', '/other.cgi' }" +</RequireAll> + + + Require expr "!(%{QUERY_STRING} =~ /secret/) && %{REQUEST_URI} in { '/example.cgi', '/other.cgi' }" + + + The syntax is described in the ap_expr + documentation. + + Normally, the expression is evaluated before authentication. However, if + the expression returns false and references the variable + `%{REMOTE_USER}`, authentication will be performed and + the expression will be re-evaluated. + + + + + + + Creating Authorization Provider Aliases + + Extended authorization providers can be created within the configuration + file and assigned an alias name. The alias providers can then be referenced + through the `Require` directive + in the same way as a base authorization provider. Besides the ability to + create and alias an extended provider, it also allows the same extended + authorization provider to be referenced by multiple locations. + + + Example + The example below creates two different ldap authorization provider + aliases based on the ldap-group authorization provider. This example + allows a single authorization location to check group membership within + multiple ldap hosts: + + + <AuthzProviderAlias ldap-group ldap-group-alias1 "cn=my-group,o=ctx"> + AuthLDAPBindDN "cn=youruser,o=ctx" + AuthLDAPBindPassword yourpassword + AuthLDAPURL "ldap://ldap.host/o=ctx" +</AuthzProviderAlias> + +<AuthzProviderAlias ldap-group ldap-group-alias2 "cn=my-other-group,o=dev"> + AuthLDAPBindDN "cn=yourotheruser,o=dev" + AuthLDAPBindPassword yourotherpassword + AuthLDAPURL "ldap://other.ldap.host/o=dev?cn" +</AuthzProviderAlias> + +Alias "/secure" "/webpages/secure" +<Directory "/webpages/secure"> + Require all granted + + AuthBasicProvider file + + AuthType Basic + AuthName LDAP_Protected_Place + + #implied OR operation + Require ldap-group-alias1 + Require ldap-group-alias2 +</Directory> + + + + Available Languages: en \| Modified: httpd/httpd/trunk/docs/manual/mod/mod_authz_core.html.fr URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/mod/mod_authz_core.html.fr?rev=1673854&r1=1673853&r2=1673854&view=diff ============================================================================== --- httpd/httpd/trunk/docs/manual/mod/mod_authz_core.html.fr (original) +++ httpd/httpd/trunk/docs/manual/mod/mod_authz_core.html.fr Wed Apr 15 16:33:41 2015 @@ -65,208 +65,6 @@ d'Apache HTTPD

Description:

Controls the manner in which each configuration section's @@ -632,6 +428,210 @@ must succeed for the enclosing directive and Access Control +

Authorization Containers

+ +

The authorization container directives + <RequireAll>, + <RequireAny> + and + <RequireNone> + may be combined with each other and with the + Require + directive to express complex authorization logic.

+ +

The example below expresses the following authorization logic. + In order to access the resource, the user must either be the + superadmin user, or belong to both the + admins group and the Administrators LDAP + group and either belong to the sales group or + have the LDAP dept attribute sales. + Furthermore, in order to access the resource, the user must + not belong to either the temps group or the + LDAP group Temporary Employees.

+ +

<Directory "/www/mydocs">
+    <RequireAll>
+        <RequireAny>
+            Require user superadmin
+            <RequireAll>
+                Require group admins
+                Require ldap-group "cn=Administrators,o=Airius"
+                <RequireAny>
+                    Require group sales
+                    Require ldap-attribute dept="sales"
+                </RequireAny>
+            </RequireAll>
+        </RequireAny>
+        <RequireNone>
+            Require group temps
+            Require ldap-group "cn=Temporary Employees,o=Airius"
+        </RequireNone>
+    </RequireAll>
+</Directory>

+ +

The Require Directives

+ +

mod_authz_core provides some generic authorization + providers which can be used with the + Require directive.

+ +

Require env

+ +

The env provider allows access to the server + to be controlled based on the existence of an environment variable. When Require + env env-variable is specified, then the request is + allowed access if the environment variable env-variable + exists. The server provides the ability to set environment + variables in a flexible way based on characteristics of the client + request using the directives provided by + mod_setenvif. Therefore, this directive can be + used to allow access based on such factors as the clients + User-Agent (browser type), Referer, or + other HTTP request header fields.

+ +

SetEnvIf User-Agent "^KnockKnock/2\.0" let_me_in
+<Directory "/docroot">
+    Require env let_me_in
+</Directory>

+ + +

In this case, browsers with a user-agent string beginning + with KnockKnock/2.0 will be allowed access, and all + others will be denied.

+ +

When the server looks up a path via an internal + subrequest such as looking + for a DirectoryIndex + or generating a directory listing with mod_autoindex, + per-request environment variables are not inherited in the + subrequest. Additionally, + SetEnvIf directives + are not separately evaluated in the subrequest due to the API phases + mod_setenvif takes action in.

+ + + +

Require all

+ +

The all provider mimics the functionality that + was previously provided by the 'Allow from all' and 'Deny from all' + directives. This provider can take one of two arguments which are + 'granted' or 'denied'. The following examples will grant or deny + access to all requests.

+ +

Require all granted

+ + +

Require all denied

+ + + + +

Require method

+ +

The method provider allows using the HTTP method in + authorization decisions. The GET and HEAD methods are treated as + equivalent. The TRACE method is not available to this provider, + use TraceEnable instead.

+ +

The following example will only allow GET, HEAD, POST, and OPTIONS + requests:

+ +

Require method GET POST OPTIONS

+ + +

The following example will allow GET, HEAD, POST, and OPTIONS + requests without authentication, and require a valid user for all other + methods:

+ +

<RequireAny>
+     Require method GET POST OPTIONS
+     Require valid-user
+</RequireAny>

+ + + + +

Require expr

+ +

The expr provider allows basing authorization + decisions on arbitrary expressions.

+ +

Require expr %{TIME_HOUR} -ge 9 && %{TIME_HOUR} -le 17

+ + +

<RequireAll>
+    Require expr "!(%{QUERY_STRING} =~ /secret/)"
+    Require expr "%{REQUEST_URI} in { '/example.cgi', '/other.cgi' }" 
+</RequireAll>

+ + +

Require expr "!(%{QUERY_STRING} =~ /secret/) && %{REQUEST_URI} in { '/example.cgi', '/other.cgi' }"

+ + +

The syntax is described in the ap_expr + documentation.

+ +

Normally, the expression is evaluated before authentication. However, if + the expression returns false and references the variable + %{REMOTE_USER}, authentication will be performed and + the expression will be re-evaluated.

+ + + + +

Creating Authorization Provider Aliases

+ +

Extended authorization providers can be created within the configuration + file and assigned an alias name. The alias providers can then be referenced + through the Require directive + in the same way as a base authorization provider. Besides the ability to + create and alias an extended provider, it also allows the same extended + authorization provider to be referenced by multiple locations. +

+ +

Example

The example below creates two different ldap authorization provider + aliases based on the ldap-group authorization provider. This example + allows a single authorization location to check group membership within + multiple ldap hosts: +

+ +

<AuthzProviderAlias ldap-group ldap-group-alias1 "cn=my-group,o=ctx">
+    AuthLDAPBindDN "cn=youruser,o=ctx"
+    AuthLDAPBindPassword yourpassword
+    AuthLDAPURL "ldap://ldap.host/o=ctx"
+</AuthzProviderAlias>
+
+<AuthzProviderAlias ldap-group ldap-group-alias2 "cn=my-other-group,o=dev">
+    AuthLDAPBindDN "cn=yourotheruser,o=dev"
+    AuthLDAPBindPassword yourotherpassword
+    AuthLDAPURL "ldap://other.ldap.host/o=dev?cn"
+</AuthzProviderAlias>
+
+Alias "/secure" "/webpages/secure"
+<Directory "/webpages/secure">
+    Require all granted
+
+    AuthBasicProvider file
+
+    AuthType Basic
+    AuthName LDAP_Protected_Place
+
+    #implied OR operation
+    Require ldap-group-alias1
+    Require ldap-group-alias2
+</Directory>

+ + + +

Available Languages: en | Modified: httpd/httpd/trunk/docs/manual/mod/mod_authz_core.html.fr URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/mod/mod_authz_core.html.fr?rev=1673854&r1=1673853&r2=1673854&view=diff ============================================================================== --- httpd/httpd/trunk/docs/manual/mod/mod_authz_core.html.fr (original) +++ httpd/httpd/trunk/docs/manual/mod/mod_authz_core.html.fr Wed Apr 15 16:33:41 2015 @@ -65,208 +65,6 @@ d'Apache HTTPD

d'autorisation

Commentaires

Conteneurs d'autorisation

- -

Les directives de conteneur d'autorisation <RequireAll>, - <RequireAny> et <RequireNone> - peuvent être combinées entre elles et avec la directive Require pour construire une - logique d'autorisation complexe.

- -

L'exemple ci-dessous illustre la logique d'autorisation suivante. - Pour pouvoir accéder à la ressource, l'utilisateur doit être - l'utilisateur superadmin, ou appartenir aux deux - groupes LDAP admins et Administrateurs et - soit appartenir au groupe ventes, soit avoir - ventes comme valeur de l'attribut LDAP - dept. De plus, pour pouvoir accéder à la ressource, - l'utilisateur ne doit appartenir ni au groupe temps, ni - au groupe LDAP Employés temporaires.

- -

<Directory /www/mydocs>
-    <RequireAll>
-        <RequireAny>
-            Require user superadmin
-            <RequireAll>
-            Require group admins
-            Require ldap-group cn=Administrateurs,o=Airius
-                <RequireAny>
-                Require group ventes
-                Require ldap-attribute dept="ventes"
-                </RequireAny>
-            </RequireAll>
-        </RequireAny>
-        <RequireNone>
-            Require group temps
-            Require ldap-group cn=Employés temporaires,o=Airius
-        </RequireNone>
-    </RequireAll>
-</Directory>

- -

Les directives Require

- -

Le module mod_authz_core met à disposition des - fournisseurs d'autorisation génériques utilisables avec la directive - Require.

- -

Require env

- -

Le fournisseur env permet de contrôler l'accès au - serveur en fonction de l'existence d'une variable d'environnement. Lorsque Require - env env-variable est spécifié, la requête se voit - autoriser l'accès si la variable d'environnement - env-variable existe. Le serveur permet de définir - facilement des variables d'environnement en fonction des - caractéristiques de la requête du client via les directives fournies - par le module mod_setenvif. Cette directive Require - env permet donc de contrôler l'accès en fonction des - valeurs des en-têtes de la requête HTTP tels que - User-Agent (type de navigateur), Referer, - entre autres.

- -

SetEnvIf User-Agent ^KnockKnock/2\.0 let_me_in
-<Directory /docroot>
-    Require env let_me_in
-</Directory>

- - -

Avec cet exemple, les navigateurs dont la chaîne user-agent - commence par KnockKnock/2.0 se verront autoriser - l'accès, alors que tous les autres seront rejetés.

- -

Lorsque le serveur cherche un chemin via une sous-requête interne (par exemple la - recherche d'un DirectoryIndex), ou lorsqu'il génère un - listing du contenu d'un répertoire via le module - mod_autoindex, la sous-requête n'hérite pas des - variables d'environnement spécifiques à la requête. En outre, à cause - des phases de l'API auxquelles mod_setenvif prend - part, les directives SetEnvIf ne sont pas évaluées - séparément dans la sous-requête.

- - - -

Require all

- -

Le fournisseur all reproduit la fonctionnalité - précédemment fournie par les directives 'Allow from all' et 'Deny - from all'. Il accepte un argument dont les deux valeurs possibles - sont : 'granted' ou 'denied'. Les exemples suivants autorisent ou - interdisent l'accès à toutes les requêtes.

- -

Require all granted

- - -

Require all denied

- - - - -

Require method

- -

Le fournisseur method permet d'utiliser la méthode - HTTP dans le processus d'autorisation. Les méthodes GET et HEAD sont - ici considérées comme équivalentes. La méthode TRACE n'est pas - supportée par ce fournisseur ; utilisez à la place la directive - TraceEnable.

- -

Dans l'exemple suivant, seules les méthodes GET, HEAD, POST, et - OPTIONS sont autorisées :

- -

Require method GET POST OPTIONS

- - -

Dans l'exemple suivant, les méthodes GET, HEAD, POST, et OPTIONS - sont autorisées sans authentification, alors que toutes les autres - méthodes nécessitent un utilisateur valide :

- -

<RequireAny>
-     Require method GET POST OPTIONS
-     Require valid-user
-</RequireAny>

- - - -

Require expr

- -

Le fournisseur expr permet d'accorder l'autorisation - d'accès en fonction d'expressions arbitraires.

- -

Require expr %{TIME_HOUR} -ge 9 && %{TIME_HOUR} -le 17

- - -

<RequireAll>
-    Require expr "!(%{QUERY_STRING} =~ /secret/)"
-    Require expr "%{REQUEST_URI} in { '/example.cgi', '/other.cgi' }" 
-</RequireAll>

- - -

Require expr "!(%{QUERY_STRING} =~ /secret/) && %{REQUEST_URI} in { '/example.cgi', '/other.cgi' }"

- - -

La syntaxe de l'expression est décrite dans la documentation de ap_expr.

- -

Normalement, l'expression est évaluée avant l'authentification. - Cependant, si l'expression renvoie false et se réfère à la variable - %{REMOTE_USER}, le processus d'authentification sera - engagé et l'expression réévaluée.

- - - -

Création des alias du fournisseur -d'autorisation

- -

Il est possible de créer des fournisseurs d'autorisation étendus - dans le fichier de configuration et de leur assigner un nom d'alias. - On peut ensuite utiliser ces fournisseurs aliasés dans une - directive Require de - la même manière qu'on le ferait pour des fournisseurs d'autorisation - de base. En plus de la possibilité de créer et d'aliaser un - fournisseur étendu, le même fournisseur d'autorisation étendu peut - être référencé par diverses localisations. -

- -

Exemple

Dans l'exemple suivant, on crée deux alias de fournisseur - d'autorisation ldap différents basés sur le fournisseur - d'autorisation ldap-group. Il est ainsi possible pour un seul - répertoire de vérifier l'appartenance à un groupe dans plusieurs - serveurs ldap : -

- -

<AuthzProviderAlias ldap-group ldap-group-alias1 cn=my-group,o=ctx>
-    AuthLDAPBindDN cn=youruser,o=ctx
-    AuthLDAPBindPassword yourpassword
-    AuthLDAPURL ldap://ldap.host/o=ctx
-</AuthzProviderAlias>
-
-<AuthzProviderAlias ldap-group ldap-group-alias2 cn=my-other-group,o=dev>
-    AuthLDAPBindDN cn=yourotheruser,o=dev
-    AuthLDAPBindPassword yourotherpassword
-    AuthLDAPURL ldap://other.ldap.host/o=dev?cn
-</AuthzProviderAlias>
-
-Alias /secure /webpages/secure
-<Directory /webpages/secure>
-    Require all granted
-
-    AuthBasicProvider file
-
-    AuthType Basic
-    AuthName LDAP_Protected_Place
-
-    #Opération logique implicite : OU inclusif
-    Require ldap-group-alias1
-    Require ldap-group-alias2
-</Directory>

- - - -

Directive AuthMerging

contrôle d'accès +

Conteneurs d'autorisation

+ +

Les directives de conteneur d'autorisation <RequireAll>, + <RequireAny> et <RequireNone> + peuvent être combinées entre elles et avec la directive Require pour construire une + logique d'autorisation complexe.

+ +

L'exemple ci-dessous illustre la logique d'autorisation suivante. + Pour pouvoir accéder à la ressource, l'utilisateur doit être + l'utilisateur superadmin, ou appartenir aux deux + groupes LDAP admins et Administrateurs et + soit appartenir au groupe ventes, soit avoir + ventes comme valeur de l'attribut LDAP + dept. De plus, pour pouvoir accéder à la ressource, + l'utilisateur ne doit appartenir ni au groupe temps, ni + au groupe LDAP Employés temporaires.

+ +

<Directory /www/mydocs>
+    <RequireAll>
+        <RequireAny>
+            Require user superadmin
+            <RequireAll>
+            Require group admins
+            Require ldap-group cn=Administrateurs,o=Airius
+                <RequireAny>
+                Require group ventes
+                Require ldap-attribute dept="ventes"
+                </RequireAny>
+            </RequireAll>
+        </RequireAny>
+        <RequireNone>
+            Require group temps
+            Require ldap-group cn=Employés temporaires,o=Airius
+        </RequireNone>
+    </RequireAll>
+</Directory>

+ +

Les directives Require

+ +

Le module mod_authz_core met à disposition des + fournisseurs d'autorisation génériques utilisables avec la directive + Require.

+ +

Require env

+ +

Le fournisseur env permet de contrôler l'accès au + serveur en fonction de l'existence d'une variable d'environnement. Lorsque Require + env env-variable est spécifié, la requête se voit + autoriser l'accès si la variable d'environnement + env-variable existe. Le serveur permet de définir + facilement des variables d'environnement en fonction des + caractéristiques de la requête du client via les directives fournies + par le module mod_setenvif. Cette directive Require + env permet donc de contrôler l'accès en fonction des + valeurs des en-têtes de la requête HTTP tels que + User-Agent (type de navigateur), Referer, + entre autres.

+ +

SetEnvIf User-Agent ^KnockKnock/2\.0 let_me_in
+<Directory /docroot>
+    Require env let_me_in
+</Directory>

+ + +

Avec cet exemple, les navigateurs dont la chaîne user-agent + commence par KnockKnock/2.0 se verront autoriser + l'accès, alors que tous les autres seront rejetés.

+ +

Lorsque le serveur cherche un chemin via une sous-requête interne (par exemple la + recherche d'un DirectoryIndex), ou lorsqu'il génère un + listing du contenu d'un répertoire via le module + mod_autoindex, la sous-requête n'hérite pas des + variables d'environnement spécifiques à la requête. En outre, à cause + des phases de l'API auxquelles mod_setenvif prend + part, les directives SetEnvIf ne sont pas évaluées + séparément dans la sous-requête.

+ + + +

Require all

+ +

Le fournisseur all reproduit la fonctionnalité + précédemment fournie par les directives 'Allow from all' et 'Deny + from all'. Il accepte un argument dont les deux valeurs possibles + sont : 'granted' ou 'denied'. Les exemples suivants autorisent ou + interdisent l'accès à toutes les requêtes.

+ +

Require all granted

+ + +

Require all denied

+ + + + +

Require method

+ +

Le fournisseur method permet d'utiliser la méthode + HTTP dans le processus d'autorisation. Les méthodes GET et HEAD sont + ici considérées comme équivalentes. La méthode TRACE n'est pas + supportée par ce fournisseur ; utilisez à la place la directive + TraceEnable.

+ +

Dans l'exemple suivant, seules les méthodes GET, HEAD, POST, et + OPTIONS sont autorisées :

+ +

Require method GET POST OPTIONS

+ + +

Dans l'exemple suivant, les méthodes GET, HEAD, POST, et OPTIONS + sont autorisées sans authentification, alors que toutes les autres + méthodes nécessitent un utilisateur valide :

+ +

<RequireAny>
+     Require method GET POST OPTIONS
+     Require valid-user
+</RequireAny>

+ + + +

Require expr

+ +

Le fournisseur expr permet d'accorder l'autorisation + d'accès en fonction d'expressions arbitraires.

+ +

Require expr %{TIME_HOUR} -ge 9 && %{TIME_HOUR} -le 17

+ + +

<RequireAll>
+    Require expr "!(%{QUERY_STRING} =~ /secret/)"
+    Require expr "%{REQUEST_URI} in { '/example.cgi', '/other.cgi' }" 
+</RequireAll>

+ + +

Require expr "!(%{QUERY_STRING} =~ /secret/) && %{REQUEST_URI} in { '/example.cgi', '/other.cgi' }"

+ + +

La syntaxe de l'expression est décrite dans la documentation de ap_expr.

+ +

Normalement, l'expression est évaluée avant l'authentification. + Cependant, si l'expression renvoie false et se réfère à la variable + %{REMOTE_USER}, le processus d'authentification sera + engagé et l'expression réévaluée.

+ + + +

Création des alias du fournisseur +d'autorisation

+ +

Il est possible de créer des fournisseurs d'autorisation étendus + dans le fichier de configuration et de leur assigner un nom d'alias. + On peut ensuite utiliser ces fournisseurs aliasés dans une + directive Require de + la même manière qu'on le ferait pour des fournisseurs d'autorisation + de base. En plus de la possibilité de créer et d'aliaser un + fournisseur étendu, le même fournisseur d'autorisation étendu peut + être référencé par diverses localisations. +

+ +

Exemple

Dans l'exemple suivant, on crée deux alias de fournisseur + d'autorisation ldap différents basés sur le fournisseur + d'autorisation ldap-group. Il est ainsi possible pour un seul + répertoire de vérifier l'appartenance à un groupe dans plusieurs + serveurs ldap : +

+ +

<AuthzProviderAlias ldap-group ldap-group-alias1 cn=my-group,o=ctx>
+    AuthLDAPBindDN cn=youruser,o=ctx
+    AuthLDAPBindPassword yourpassword
+    AuthLDAPURL ldap://ldap.host/o=ctx
+</AuthzProviderAlias>
+
+<AuthzProviderAlias ldap-group ldap-group-alias2 cn=my-other-group,o=dev>
+    AuthLDAPBindDN cn=yourotheruser,o=dev
+    AuthLDAPBindPassword yourotherpassword
+    AuthLDAPURL ldap://other.ldap.host/o=dev?cn
+</AuthzProviderAlias>
+
+Alias /secure /webpages/secure
+<Directory /webpages/secure>
+    Require all granted
+
+    AuthBasicProvider file
+
+    AuthType Basic
+    AuthName LDAP_Protected_Place
+
+    #Opération logique implicite : OU inclusif
+    Require ldap-group-alias1
+    Require ldap-group-alias2
+</Directory>

+ + + +

Langues Disponibles: en | Modified: httpd/httpd/trunk/docs/manual/mod/mod_authz_dbd.html.en URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/mod/mod_authz_dbd.html.en?rev=1673854&r1=1673853&r2=1673854&view=diff ============================================================================== --- httpd/httpd/trunk/docs/manual/mod/mod_authz_dbd.html.en (original) +++ httpd/httpd/trunk/docs/manual/mod/mod_authz_dbd.html.en Wed Apr 15 16:33:41 2015 @@ -71,6 +71,90 @@

DBDParams

Comments

AuthzDBDLoginToReferer Directive

Description:	Définit la manière dont chaque logique d'autorisation des @@ -641,6 +439,208 @@ pas.

+ + + + + + +

Description:	Determines whether to redirect the Client to the Referring +page on successful login or logout if a `Referer` request +header is present
Syntax:	`AuthzDBDLoginToReferer On\|Off`
Default:	`AuthzDBDLoginToReferer Off`
Context:	directory
Status:	Extension
Module:	mod_authz_dbd

In conjunction with Require dbd-login or + Require dbd-logout, this provides the option to + redirect the client back to the Referring page (the URL in + the Referer HTTP request header, if present). + When there is no Referer header, + AuthzDBDLoginToReferer On will be ignored.

+ +

AuthzDBDQuery Directive

+ + + + + + +

Description:	Specify the SQL Query for the required operation
Syntax:	`AuthzDBDQuery query`
Context:	directory
Status:	Extension
Module:	mod_authz_dbd

The AuthzDBDQuery specifies an SQL + query to run. The purpose of the query depends on the + Require directive in + effect.

When used with a Require dbd-group directive, + it specifies a query to look up groups for the current user. This is + the standard functionality of other authorization modules such as + mod_authz_groupfile and mod_authz_dbm. + The first column value of each row returned by the query statement + should be a string containing a group name. Zero, one, or more rows + may be returned. +
```
Require dbd-group
+AuthzDBDQuery "SELECT group FROM groups WHERE user = %s"
```
+ +
When used with a Require dbd-login or + Require dbd-logout directive, it will never deny access, + but will instead execute a SQL statement designed to log the user + in or out. The user must already be authenticated with + mod_authn_dbd. +
```
Require dbd-login
+AuthzDBDQuery "UPDATE authn SET login = 'true' WHERE user = %s"
```
+ +

In all cases, the user's ID will be passed as a single string + parameter when the SQL query is executed. It may be referenced within + the query statement using a %s format specifier.

+ +

AuthzDBDRedirectQuery Directive

+ + + + + + +

Description:	Specify a query to look up a login page for the user
Syntax:	`AuthzDBDRedirectQuery query`
Context:	directory
Status:	Extension
Module:	mod_authz_dbd

Specifies an optional SQL query to use after successful login + (or logout) to redirect the user to a URL, which may be + specific to the user. The user's ID will be passed as a single string + parameter when the SQL query is executed. It may be referenced within + the query statement using a %s format specifier.

AuthzDBDRedirectQuery "SELECT userpage FROM userpages WHERE user = %s"

+ +

The first column value of the first row returned by the query + statement should be a string containing a URL to which to redirect + the client. Subsequent rows will be ignored. If no rows are returned, + the client will not be redirected.

Note that AuthzDBDLoginToReferer takes + precedence if both are set.

+ +

The Require Directives

@@ -210,90 +294,6 @@ DBDExptime 300

Please read mod_dbd documentation for more information about security on this scope.

AuthzDBDLoginToReferer Directive

- - - - - - - -

Description:	Determines whether to redirect the Client to the Referring -page on successful login or logout if a `Referer` request -header is present
Syntax:	`AuthzDBDLoginToReferer On\|Off`
Default:	`AuthzDBDLoginToReferer Off`
Context:	directory
Status:	Extension
Module:	mod_authz_dbd

In conjunction with Require dbd-login or - Require dbd-logout, this provides the option to - redirect the client back to the Referring page (the URL in - the Referer HTTP request header, if present). - When there is no Referer header, - AuthzDBDLoginToReferer On will be ignored.

- -

AuthzDBDQuery Directive

- - - - - - -

Description:	Specify the SQL Query for the required operation
Syntax:	`AuthzDBDQuery query`
Context:	directory
Status:	Extension
Module:	mod_authz_dbd

The AuthzDBDQuery specifies an SQL - query to run. The purpose of the query depends on the - Require directive in - effect.

When used with a Require dbd-group directive, - it specifies a query to look up groups for the current user. This is - the standard functionality of other authorization modules such as - mod_authz_groupfile and mod_authz_dbm. - The first column value of each row returned by the query statement - should be a string containing a group name. Zero, one, or more rows - may be returned. -
```
Require dbd-group
-AuthzDBDQuery "SELECT group FROM groups WHERE user = %s"
```
- -
When used with a Require dbd-login or - Require dbd-logout directive, it will never deny access, - but will instead execute a SQL statement designed to log the user - in or out. The user must already be authenticated with - mod_authn_dbd. -
```
Require dbd-login
-AuthzDBDQuery "UPDATE authn SET login = 'true' WHERE user = %s"
```
- -

In all cases, the user's ID will be passed as a single string - parameter when the SQL query is executed. It may be referenced within - the query statement using a %s format specifier.

- -

AuthzDBDRedirectQuery Directive

- - - - - - -

Description:	Specify a query to look up a login page for the user
Syntax:	`AuthzDBDRedirectQuery query`
Context:	directory
Status:	Extension
Module:	mod_authz_dbd

Specifies an optional SQL query to use after successful login - (or logout) to redirect the user to a URL, which may be - specific to the user. The user's ID will be passed as a single string - parameter when the SQL query is executed. It may be referenced within - the query statement using a %s format specifier.

AuthzDBDRedirectQuery "SELECT userpage FROM userpages WHERE user = %s"

- -

The first column value of the first row returned by the query - statement should be a string containing a URL to which to redirect - the client. Subsequent rows will be ignored. If no rows are returned, - the client will not be redirected.

Note that AuthzDBDLoginToReferer takes - precedence if both are set.

- -

Available Languages: en | Modified: httpd/httpd/trunk/docs/manual/mod/mod_authz_dbd.html.fr URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/mod/mod_authz_dbd.html.fr?rev=1673854&r1=1673853&r2=1673854&view=diff ============================================================================== --- httpd/httpd/trunk/docs/manual/mod/mod_authz_dbd.html.fr (original) +++ httpd/httpd/trunk/docs/manual/mod/mod_authz_dbd.html.fr Wed Apr 15 16:33:41 2015 @@ -73,6 +73,99 @@ d'Apache

DBDParams

Commentaires

Directive AuthzDBDLoginToReferer

+ + + + + + + +

Description:	Définit si le client doit être redirigé vers la page +d'origine en cas de connexion ou de déconnexion réussie si une en-tête +de requête `Referer` est présente
Syntaxe:	`AuthzDBDLoginToReferer On\|Off`
Défaut:	`AuthzDBDLoginToReferer Off`
Contexte:	répertoire
Statut:	Extension
Module:	mod_authz_dbd

Utilisée en conjonction avec Require dbd-login ou + Require dbd-logout, cette directive permet de rediriger + le client vers la page d'origine (l'URL contenue dans l'en-tête + de requête HTTP Referer, s'il est présent). En + l'absence d'en-tête Referer, la définition + AuthzDBDLoginToReferer On sera ignorée.

+ +

Directive AuthzDBDQuery

+ + + + + + +

Description:	Définit la requête SQL pour l'opération +requise
Syntaxe:	`AuthzDBDQuery requête`
Contexte:	répertoire
Statut:	Extension
Module:	mod_authz_dbd

La directive AuthzDBDQuery permet de + spécifier une requête SQL à exécuter. Le but de cette requête dépend + de la directive Require en cours de + traitement.

Avec la directive Require dbd-group, elle spécifie + une requête permettant de rechercher les groupes d'appartenance de + l'utilisateur courant. Ceci correspond à la fonctionnalité standard + d'autres modules d'autorisation comme + mod_authz_groupfile et + mod_authz_dbm. + La première colonne de chaque enregistrement renvoyé par la requête + doit contenir une chaîne de caractères correspondant à un nom de + groupe. La requête peut renvoyer zéro, un ou plusieurs + enregistrements. +
```
Require dbd-group
+AuthzDBDQuery "SELECT group FROM groups WHERE user = %s"
```
+ +
Avec la directive Require dbd-login ou + Require dbd-logout, elle ne refusera jamais l'accès, + mais au contraire exécutera une requête SQL permettant d'enregistrer + la connexion ou la déconnexion de l'utilisateur. Ce dernier doit + être déjà authentifié avec mod_authn_dbd. +
```
Require dbd-login
+AuthzDBDQuery "UPDATE authn SET login = 'true' WHERE user = %s"
```
+ +

Dans tous les cas, l'identifiant utilisateur sera transmis comme + paramètre sous la forme d'une simple chaîne lorsque la requête SQL + sera exécutée. Il y sera fait référence dans la requête en utilisant + le spécificateur de format %s.

+ +

Directive AuthzDBDRedirectQuery

+ + + + + + +

Description:	Définit une requête pour rechercher une page vers laquelle +rediriger l'utilisateur après une connexion réussie
Syntaxe:	`AuthzDBDRedirectQuery requête`
Contexte:	répertoire
Statut:	Extension
Module:	mod_authz_dbd

Spécifie une requête SQL optionnelle à utiliser après une + connexion (ou une déconnexion) réussie pour rediriger l'utilisateur + vers une URL, qui peut être spécifique à l'utilisateur. + L'identifiant utilisateur sera transmis comme paramètre sous la + forme d'une simple chaîne lorsque la requête SQL sera exécutée. Il y + sera fait référence dans la requête en utilisant le spécificateur de + format %s.

AuthzDBDRedirectQuery "SELECT userpage FROM userpages WHERE user = %s"

+ +

La première colonne du premier enregistrement renvoyé par la + requête doit contenir une chaîne de caractères correspondant à une + URL vers laquelle rediriger le client. Les enregistrements suivants + sont ignorés. Si aucun enregistrement n'est renvoyé, le client ne + sera pas redirigé.

Notez que AuthzDBDLoginToReferer l'emporte + sur cette directive si les deux sont définies.

+ +

Les directives Require

@@ -223,99 +316,6 @@ DBDExptime 300 mod_dbd pour plus d'informations à propos de la sécurité dans ce domaine.

Directive AuthzDBDLoginToReferer

- - - - - - - -

Description:	Définit si le client doit être redirigé vers la page -d'origine en cas de connexion ou de déconnexion réussie si une en-tête -de requête `Referer` est présente
Syntaxe:	`AuthzDBDLoginToReferer On\|Off`
Défaut:	`AuthzDBDLoginToReferer Off`
Contexte:	répertoire
Statut:	Extension
Module:	mod_authz_dbd

Utilisée en conjonction avec Require dbd-login ou - Require dbd-logout, cette directive permet de rediriger - le client vers la page d'origine (l'URL contenue dans l'en-tête - de requête HTTP Referer, s'il est présent). En - l'absence d'en-tête Referer, la définition - AuthzDBDLoginToReferer On sera ignorée.

- -

Directive AuthzDBDQuery

- - - - - - -

Description:	Définit la requête SQL pour l'opération -requise
Syntaxe:	`AuthzDBDQuery requête`
Contexte:	répertoire
Statut:	Extension
Module:	mod_authz_dbd

La directive AuthzDBDQuery permet de - spécifier une requête SQL à exécuter. Le but de cette requête dépend - de la directive Require en cours de - traitement.

Avec la directive Require dbd-group, elle spécifie - une requête permettant de rechercher les groupes d'appartenance de - l'utilisateur courant. Ceci correspond à la fonctionnalité standard - d'autres modules d'autorisation comme - mod_authz_groupfile et - mod_authz_dbm. - La première colonne de chaque enregistrement renvoyé par la requête - doit contenir une chaîne de caractères correspondant à un nom de - groupe. La requête peut renvoyer zéro, un ou plusieurs - enregistrements. -
```
Require dbd-group
-AuthzDBDQuery "SELECT group FROM groups WHERE user = %s"
```
- -
Avec la directive Require dbd-login ou - Require dbd-logout, elle ne refusera jamais l'accès, - mais au contraire exécutera une requête SQL permettant d'enregistrer - la connexion ou la déconnexion de l'utilisateur. Ce dernier doit - être déjà authentifié avec mod_authn_dbd. -
```
Require dbd-login
-AuthzDBDQuery "UPDATE authn SET login = 'true' WHERE user = %s"
```
- -

Dans tous les cas, l'identifiant utilisateur sera transmis comme - paramètre sous la forme d'une simple chaîne lorsque la requête SQL - sera exécutée. Il y sera fait référence dans la requête en utilisant - le spécificateur de format %s.

- -

Directive AuthzDBDRedirectQuery

- - - - - - -

Description:	Définit une requête pour rechercher une page vers laquelle -rediriger l'utilisateur après une connexion réussie
Syntaxe:	`AuthzDBDRedirectQuery requête`
Contexte:	répertoire
Statut:	Extension
Module:	mod_authz_dbd

Spécifie une requête SQL optionnelle à utiliser après une - connexion (ou une déconnexion) réussie pour rediriger l'utilisateur - vers une URL, qui peut être spécifique à l'utilisateur. - L'identifiant utilisateur sera transmis comme paramètre sous la - forme d'une simple chaîne lorsque la requête SQL sera exécutée. Il y - sera fait référence dans la requête en utilisant le spécificateur de - format %s.

AuthzDBDRedirectQuery "SELECT userpage FROM userpages WHERE user = %s"

- -

La première colonne du premier enregistrement renvoyé par la - requête doit contenir une chaîne de caractères correspondant à une - URL vers laquelle rediriger le client. Les enregistrements suivants - sont ignorés. Si aucun enregistrement n'est renvoyé, le client ne - sera pas redirigé.

Notez que AuthzDBDLoginToReferer l'emporte - sur cette directive si les deux sont définies.

- -

Langues Disponibles: en | Modified: httpd/httpd/trunk/docs/manual/mod/mod_authz_dbm.html.en URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/mod/mod_authz_dbm.html.en?rev=1673854&r1=1673853&r2=1673854&view=diff ============================================================================== --- httpd/httpd/trunk/docs/manual/mod/mod_authz_dbm.html.en (original) +++ httpd/httpd/trunk/docs/manual/mod/mod_authz_dbm.html.en Wed Apr 15 16:33:41 2015 @@ -53,55 +53,6 @@

Require

Comments

The Require Directives

- -

Apache's Require - directives are used during the authorization phase to ensure that - a user is allowed to access a resource. mod_authz_dbm extends the - authorization types with dbm-group.

- -

Since v2.4.8, expressions are supported - within the DBM require directives.

- -

Require dbm-group

- -

This directive specifies group membership that is required for the - user to gain access.

- -

Require dbm-group admin

- - - - -

Require dbm-file-group

- -

When this directive is specified, the user must be a member of the group - assigned to the file being accessed.

- -

Require dbm-file-group

- - - - -

Example usage

- -

Note that using mod_authz_dbm requires you to require dbm-group -instead of group: -

<Directory "/foo/bar">
-  AuthType Basic
-  AuthName "Secure Area"
-  AuthBasicProvider dbm
-  AuthDBMUserFile "site/data/users"
-  AuthDBMGroupFile "site/data/users"
-  Require dbm-group admin
-</Directory>

- -

AuthDBMGroupFile Directive

files is configured to use the same type of database.

The Require Directives

+ +

Apache's Require + directives are used during the authorization phase to ensure that + a user is allowed to access a resource. mod_authz_dbm extends the + authorization types with dbm-group.

+ +

Since v2.4.8, expressions are supported + within the DBM require directives.

+ +

Require dbm-group

+ +

This directive specifies group membership that is required for the + user to gain access.

+ +

Require dbm-group admin

+ + + + +

Require dbm-file-group

+ +

When this directive is specified, the user must be a member of the group + assigned to the file being accessed.

+ +

Require dbm-file-group

+ + + + +

Example usage

+ +

Note that using mod_authz_dbm requires you to require dbm-group +instead of group: +

<Directory "/foo/bar">
+  AuthType Basic
+  AuthName "Secure Area"
+  AuthBasicProvider dbm
+  AuthDBMUserFile "site/data/users"
+  AuthDBMGroupFile "site/data/users"
+  Require dbm-group admin
+</Directory>

+ +

Available Languages: en | Modified: httpd/httpd/trunk/docs/manual/mod/mod_authz_dbm.html.fr URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/mod/mod_authz_dbm.html.fr?rev=1673854&r1=1673853&r2=1673854&view=diff ============================================================================== --- httpd/httpd/trunk/docs/manual/mod/mod_authz_dbm.html.fr (original) +++ httpd/httpd/trunk/docs/manual/mod/mod_authz_dbm.html.fr Wed Apr 15 16:33:41 2015 @@ -56,56 +56,6 @@

Require

Commentaires

The Require Directives

- -

Les directives Require d'Apache permettent, - au cours de la phase d'autorisation, de s'assurer qu'un utilisateur - est bien autorisé à accéder à une ressource. mod_authz_dbm ajoute - les types d'autorisation dbm-group et dbm-file-group.

- -

A partir de la version 2.4.8, les directives require DBM - supportent les expressions.

- -

Require dbm-group

- -

Cette directive permet de spécifier à quel groupe un utilisateur - doit appartenir pour obtenir l'autorisation d'accès.

- -

Require dbm-group admin

- - - - -

Require dbm-file-group

- -

Lorsque cette directive est définie, l'utilisateur doit - appartenir au groupe du fichier pour pouvoir y accéder.

- -

Require dbm-file-group

- - - - -

Exemple d'utilisation

- -

Notez que si vous utilisez mod_authz_dbm, le mot-clé pour les -groupes d'authentification qui était auparavant group est -maintenant dbm-group : -

<Directory "/foo/bar">
-  AuthType Basic
-  AuthName "Secure Area"
-  AuthBasicProvider dbm
-  AuthDBMUserFile site/data/users
-  AuthDBMGroupFile site/data/users
-  Require dbm-group admin
-</Directory>

- -

Directive AuthDBMGroupFile

Description:	Sets the name of the database file containing the list @@ -180,6 +131,55 @@ store list of user groups

pour utiliser le même type de base de données.

The Require Directives

+ +

Les directives Require d'Apache permettent, + au cours de la phase d'autorisation, de s'assurer qu'un utilisateur + est bien autorisé à accéder à une ressource. mod_authz_dbm ajoute + les types d'autorisation dbm-group et dbm-file-group.

+ +

A partir de la version 2.4.8, les directives require DBM + supportent les expressions.

+ +

Require dbm-group

+ +

Cette directive permet de spécifier à quel groupe un utilisateur + doit appartenir pour obtenir l'autorisation d'accès.

+ +

Require dbm-group admin

+ + + + +

Require dbm-file-group

+ +

Lorsque cette directive est définie, l'utilisateur doit + appartenir au groupe du fichier pour pouvoir y accéder.

+ +

Require dbm-file-group

+ + + + +

Exemple d'utilisation

+ +

Notez que si vous utilisez mod_authz_dbm, le mot-clé pour les +groupes d'authentification qui était auparavant group est +maintenant dbm-group : +

<Directory "/foo/bar">
+  AuthType Basic
+  AuthName "Secure Area"
+  AuthBasicProvider dbm
+  AuthDBMUserFile site/data/users
+  AuthDBMGroupFile site/data/users
+  Require dbm-group admin
+</Directory>

+ +

Langues Disponibles: en | Modified: httpd/httpd/trunk/docs/manual/mod/mod_authz_dbm.html.ko.euc-kr URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/mod/mod_authz_dbm.html.ko.euc-kr?rev=1673854&r1=1673853&r2=1673854&view=diff ============================================================================== --- httpd/httpd/trunk/docs/manual/mod/mod_authz_dbm.html.ko.euc-kr [euc-kr] (original) +++ httpd/httpd/trunk/docs/manual/mod/mod_authz_dbm.html.ko.euc-kr [euc-kr] Wed Apr 15 16:33:41 2015 @@ -51,7 +51,6 @@

Require

Satisfy

Comments

AuthDBMGroupFile 지시어

Description:	Définit le nom du fichier de base de données qui liste @@ -188,6 +138,56 @@ la liste des groupes d'utilisateurs

@@ -122,6 +121,7 @@ 사용하도록 설정해야 한다.

가능한 언어: en | Modified: httpd/httpd/trunk/docs/manual/mod/mod_authz_groupfile.html.en URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/mod/mod_authz_groupfile.html.en?rev=1673854&r1=1673853&r2=1673854&view=diff ============================================================================== --- httpd/httpd/trunk/docs/manual/mod/mod_authz_groupfile.html.en (original) +++ httpd/httpd/trunk/docs/manual/mod/mod_authz_groupfile.html.en Wed Apr 15 16:33:41 2015 @@ -52,40 +52,6 @@

Require

Comments

The Require Directives

- -

Apache's Require - directives are used during the authorization phase to ensure that - a user is allowed to access a resource. mod_authz_groupfile extends the - authorization types with group and group-file. -

- -

Since v2.4.8, expressions are supported - within the groupfile require directives.

- -

Require group

- -

This directive specifies group membership that is required for the - user to gain access.

- -

Require group admin

- - - - -

Require file-group

- -

When this directive is specified, the user must be a member of the group - assigned to the file being accessed.

- -

Require file-group

- - - - -

AuthGroupFile Directive

The Require Directives

+ +

Apache's Require + directives are used during the authorization phase to ensure that + a user is allowed to access a resource. mod_authz_groupfile extends the + authorization types with group and group-file. +

+ +

Since v2.4.8, expressions are supported + within the groupfile require directives.

+ +

Require group

+ +

This directive specifies group membership that is required for the + user to gain access.

+ +

Require group admin

+ + + + +

Require file-group

+ +

When this directive is specified, the user must be a member of the group + assigned to the file being accessed.

+ +

Require file-group

+ + + + +

Available Languages: en | Modified: httpd/httpd/trunk/docs/manual/mod/mod_authz_groupfile.html.fr URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/mod/mod_authz_groupfile.html.fr?rev=1673854&r1=1673853&r2=1673854&view=diff ============================================================================== --- httpd/httpd/trunk/docs/manual/mod/mod_authz_groupfile.html.fr (original) +++ httpd/httpd/trunk/docs/manual/mod/mod_authz_groupfile.html.fr Wed Apr 15 16:33:41 2015 @@ -53,40 +53,6 @@ fonction de leur appartenance à un grou

Require

Commentaires

The Require Directives

- -

Les directives Require d'Apache permettent, - au cours de la phase d'autorisation, de s'assurer qu'un utilisateur - est bien autorisé à accéder à une ressource. mod_authz_groupfile ajoute - les types d'autorisation group et file-group. -

- -

A partir de la version 2.4.8, les directives require groupfile - supportent les expressions.

- -

Require group

- -

Cette directive permet de spécifier à quel groupe un utilisateur - doit appartenir pour obtenir l'autorisation d'accès.

- -

Require group admin

- - - - -

Require file-group

- -

Lorsque cette directive est définie, l'utilisateur doit - appartenir au groupe du fichier pour pouvoir y accéder.

- -

Require file-group

- - - - -

Directive AuthGroupFile

Description:	Sets the name of a text file containing the list @@ -119,6 +85,40 @@ of user groups for authorization

Description:

Définit le nom d'un fichier texte contenant la liste des @@ -125,6 +91,40 @@ clients pourraient le télécharger.

The Require Directives

+ +

Les directives Require d'Apache permettent, + au cours de la phase d'autorisation, de s'assurer qu'un utilisateur + est bien autorisé à accéder à une ressource. mod_authz_groupfile ajoute + les types d'autorisation group et file-group. +

+ +

A partir de la version 2.4.8, les directives require groupfile + supportent les expressions.

+ +

Require group

+ +

Cette directive permet de spécifier à quel groupe un utilisateur + doit appartenir pour obtenir l'autorisation d'accès.

+ +

Require group admin

+ + + + +

Require file-group

+ +

Lorsque cette directive est définie, l'utilisateur doit + appartenir au groupe du fichier pour pouvoir y accéder.

+ +

Require file-group

+ + + + +

Langues Disponibles: en | Modified: httpd/httpd/trunk/docs/manual/mod/mod_authz_groupfile.html.ja.utf8 URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/mod/mod_authz_groupfile.html.ja.utf8?rev=1673854&r1=1673853&r2=1673854&view=diff ============================================================================== --- httpd/httpd/trunk/docs/manual/mod/mod_authz_groupfile.html.ja.utf8 [utf-8] (original) +++ httpd/httpd/trunk/docs/manual/mod/mod_authz_groupfile.html.ja.utf8 [utf-8] Wed Apr 15 16:33:41 2015 @@ -53,7 +53,6 @@

Require

AuthGroupFile ディレクティブ

@@ -95,6 +94,7 @@ +

翻訳済み言語: en | Modified: httpd/httpd/trunk/docs/manual/mod/mod_authz_groupfile.html.ko.euc-kr URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/mod/mod_authz_groupfile.html.ko.euc-kr?rev=1673854&r1=1673853&r2=1673854&view=diff ============================================================================== --- httpd/httpd/trunk/docs/manual/mod/mod_authz_groupfile.html.ko.euc-kr [euc-kr] (original) +++ httpd/httpd/trunk/docs/manual/mod/mod_authz_groupfile.html.ko.euc-kr [euc-kr] Wed Apr 15 16:33:41 2015 @@ -51,7 +51,6 @@

Require

Satisfy

Comments

AuthGroupFile 지시어

@@ -86,6 +85,7 @@ +

가능한 언어: en |