Sommaire

Lorsqu'on utilise mod_auth_basic, ce module est - invoqué en affectant la valeur ldap à la directive + invoquÃ© en affectant la valeur ldap Ã la directive AuthBasicProvider.

Mises en garde à caractère général -

Ce module effectue une mise en cache des résultats du processus +

Mises en garde Ã caractÃ¨re gÃ©nÃ©ral +

Ce module effectue une mise en cache des rÃ©sultats du processus d'authentification et d'autorisation en fonction de la configuration du -module mod_ldap. Les modifications effectuées au niveau -du serveur LDAP d'arrière-plan comme les -verrouillages ou révocations d'utilisateurs, les changements de mot de -passe, ou les changements d'appartenance à un groupe (et cette liste -n'est pas exhaustive), ne seront pas immédiatement propagées jusqu'au +module mod_ldap. Les modifications effectuÃ©es au niveau +du serveur LDAP d'arriÃ¨re-plan comme les +verrouillages ou rÃ©vocations d'utilisateurs, les changements de mot de +passe, ou les changements d'appartenance Ã un groupe (et cette liste +n'est pas exhaustive), ne seront pas immÃ©diatement propagÃ©es jusqu'au serveur HTTP. Consultez les directives du module -mod_ldap pour plus de détails à propos de la +mod_ldap pour plus de dÃ©tails Ã propos de la configuration de la mise en cache.

Mode opératoire +

Mode opÃ©ratoire -

L'utilisateur se voit accorder l'accès selon un processus en deux - phases. La première phase est l'authentification, au cours de +

L'utilisateur se voit accorder l'accÃ¨s selon un processus en deux + phases. La premiÃ¨re phase est l'authentification, au cours de laquelle le fournisseur d'authentification - mod_authnz_ldap vérifie que les informations de + mod_authnz_ldap vÃ©rifie que les informations de connexion de l'utilisateur sont valides. Elle est aussi connue sous le nom de phase de recherche/connexion (NdT : en anglais ou - dans le code source : search/bind). La deuxième + dans le code source : search/bind). La deuxiÃ¨me phase est l'autorisation, au cours de laquelle - mod_authnz_ldap détermine si l'utilisateur - authentifié a la permission d'accéder à la ressource considérée. + mod_authnz_ldap dÃ©termine si l'utilisateur + authentifiÃ© a la permission d'accÃ©der Ã la ressource considÃ©rÃ©e. Elle est aussi connue sous le nom de phase de comparaison (compare).

mod_authnz_ldap comporte un fournisseur d'authentification authn_ldap et un gestionnaire d'autorisation - authz_ldap. Le fournisseur d'authentification authn_ldap peut être - invoqué en affectant la valeur ldap à la directive + authz_ldap. Le fournisseur d'authentification authn_ldap peut Ãªtre + invoquÃ© en affectant la valeur ldap Ã la directive AuthBasicProvider. Le gestionnaire d'autorisation authz_ldap enrichit la liste des types d'autorisations de la directive La phase d'authentification

Au cours de la phase d'authentification, - mod_authnz_ldap recherche une entrée de l'annuaire + mod_authnz_ldap recherche une entrÃ©e de l'annuaire LDAP qui correspond au nom d'utilisateur fourni par le client HTTP. - Si une correspondance unique est trouvée, + Si une correspondance unique est trouvÃ©e, mod_authnz_ldap tente de se connecter au serveur - hébergeant l'annuaire LDAP en utilisant le DN de l'entrée et le mot + hÃ©bergeant l'annuaire LDAP en utilisant le DN de l'entrÃ©e et le mot de passe fourni par le client HTTP. Comme ce processus effectue tout d'abord une recherche, puis une connexion, il est aussi connu sous - le nom de phase de recherche/connexion. Voici le détail des étapes + le nom de phase de recherche/connexion. Voici le dÃ©tail des Ã©tapes constituant la phase de recherche/connexion :

Confection d'un filtre de recherche en combinant les attribut - et filtre définis par la directive AuthLDAPURL avec le nom d'utilisateur et le mot de passe fournis par le client HTTP.
Recherche dans l'annuaire LDAP en utilisant le filtre - confectionné précédemment. Si le résultat de la recherche est - négatif ou comporte plusieurs entrées, refus ou restriction de - l'accès.
Extraction du DN (distinguished name) de l'entrée issue du - résultat de la recherche, et tentative de connexion au serveur +
Extraction du DN (distinguished name) de l'entrÃ©e issue du + rÃ©sultat de la recherche, et tentative de connexion au serveur LDAP en utilisant ce DN et le mot de passe fournis par le client - HTTP. Si la connexion échoue, refus ou restriction de - l'accès.

Les directives utilisées durant la phase de recherche/connexion +

Les directives utilisÃ©es durant la phase de recherche/connexion sont les suivantes :

@@ -192,9 +192,9 @@ configuration de la mise en cache. - + supplÃ©mentaires. @@ -218,76 +218,76 @@ configuration de la mise en cache.

La phase d'autorisation

Au cours de la phase d'autorisation, - mod_authnz_ldap tente de déterminer si - l'utilisateur est autorisé à accéder à la ressource considérée. Une - grande partie de cette vérification consiste pour - mod_authnz_ldap en des opérations de comparaison au + mod_authnz_ldap tente de dÃ©terminer si + l'utilisateur est autorisÃ© Ã accÃ©der Ã la ressource considÃ©rÃ©e. Une + grande partie de cette vÃ©rification consiste pour + mod_authnz_ldap en des opÃ©rations de comparaison au niveau du serveur LDAP. C'est pourquoi cette phase est aussi connue sous le nom de phase de comparaison. mod_authnz_ldap accepte les directives Require suivantes pour - déterminer si les informations de connexion permettent d'accorder - l'accès à l'utilisateur :

+ dÃ©terminer si les informations de connexion permettent d'accorder + l'accÃ¨s Ã l'utilisateur :

Avec la directive Require ldap-user, - l'autorisation d'accès est accordée si le nom d'utilisateur - spécifié par la directive correspond au nom d'utilisateur fourni + l'autorisation d'accÃ¨s est accordÃ©e si le nom d'utilisateur + spÃ©cifiÃ© par la directive correspond au nom d'utilisateur fourni par le client.
Avec la directive Require - ldap-dn, l'autorisation d'accès est accordée si le DN - spécifié par la directive correspond au DN extrait du résultat de + ldap-dn, l'autorisation d'accÃ¨s est accordÃ©e si le DN + spÃ©cifiÃ© par la directive correspond au DN extrait du rÃ©sultat de la recherche dans l'annuaire LDAP.
Avec la directive Require ldap-group, - l'autorisation d'accès est accordée si le DN extrait du résultat de + l'autorisation d'accÃ¨s est accordÃ©e si le DN extrait du rÃ©sultat de la recherche dans l'annuaire LDAP (ou le nom d'utilisateur fourni - par le client) appartient au groupe LDAP spécifié par la - directive, ou éventuellement à un de ses sous-groupes.
Avec la directive - Require ldap-attribute, l'autorisation d'accès - est accordée si la valeur de l'attribut extraite de la recherche - dans l'annuaire LDAP correspond à la valeur spécifiée par la + Require ldap-attribute, l'autorisation d'accÃ¨s + est accordÃ©e si la valeur de l'attribut extraite de la recherche + dans l'annuaire LDAP correspond Ã la valeur spÃ©cifiÃ©e par la directive.
Avec la directive - Require ldap-filter, l'autorisation d'accès - est accordée si le filtre de recherche renvoie un objet + Require ldap-filter, l'autorisation d'accÃ¨s + est accordÃ©e si le filtre de recherche renvoie un objet utilisateur unique qui corresponde au DN de l'utilisateur - authentifié.
Avec la directive - Require ldap-search, l'autorisation d'accès - est accordée si le filtre de recherche renvoie avec succès - un seul objet correspondant aux critères avec tout nom distinctif + Require ldap-search, l'autorisation d'accÃ¨s + est accordÃ©e si le filtre de recherche renvoie avec succÃ¨s + un seul objet correspondant aux critÃ¨res avec tout nom distinctif (DN).
dans tous les autres cas, refus ou restriction de - l'accès.

Sous réserve du chargement de modules d'autorisation - supplémentaires, d'autres valeurs de la directive Require peuvent être - spécifiées.

Sous rÃ©serve du chargement de modules d'autorisation + supplÃ©mentaires, d'autres valeurs de la directive Require peuvent Ãªtre + spÃ©cifiÃ©es.

L'accès est accordé à tous les utilisateurs authentifiés si +
L'accÃ¨s est accordÃ© Ã tous les utilisateurs authentifiÃ©s si une directive Require - valid-user est présente (nécessite le module + valid-user est prÃ©sente (nÃ©cessite le module mod_authz_user).
Avec la directive Require group, l'autorisation - d'accès est accordée si le module - mod_authz_groupfile a été chargé et si la + d'accÃ¨s est accordÃ©e si le module + mod_authz_groupfile a Ã©tÃ© chargÃ© et si la directive AuthGroupFile a été - définie.
etc...

@@ -302,8 +302,8 @@ configuration de la mise en cache.

- @@ -311,7 +311,7 @@ configuration de la mise en cache. - @@ -319,8 +319,8 @@ configuration de la mise en cache. - @@ -328,8 +328,8 @@ configuration de la mise en cache. - @@ -337,9 +337,9 @@ configuration de la mise en cache. - @@ -347,9 +347,9 @@ configuration de la mise en cache. - @@ -357,10 +357,10 @@ configuration de la mise en cache. -

AuthLDAPURL	Spécifie le serveur LDAP, le DN de base, l'attribut à +	SpÃ©cifie le serveur LDAP, le DN de base, l'attribut Ã utiliser pour la recherche, ainsi que les filtres de recherche - supplémentaires.
AuthLDAPURL	On utilise l'attribut spécifié dans l'URL pour les - opérations de comparaison initiées par la directive +	On utilise l'attribut spÃ©cifiÃ© dans l'URL pour les + opÃ©rations de comparaison initiÃ©es par la directive `Require ldap-user`.
AuthLDAPCompareDNOnServer	Détermine le comportement de la directive `Require +`	DÃ©termine le comportement de la directive `Require ldap-dn`.
AuthLDAPGroupAttribute	Détermine l'attribut utilisé pour les opérations de - comparaison initiées par la directive `Require +`	DÃ©termine l'attribut utilisÃ© pour les opÃ©rations de + comparaison initiÃ©es par la directive `Require ldap-group`.
AuthLDAPGroupAttributeIsDN	Spécifie si l'on doit utiliser le DN ou le nom de - l'utilisateur lors des opérations de comparaison initiées par la +	SpÃ©cifie si l'on doit utiliser le DN ou le nom de + l'utilisateur lors des opÃ©rations de comparaison initiÃ©es par la directive `Require ldap-group`.
AuthLDAPMaxSubGroupDepth	Détermine la profondeur maximale de l'arborescence des - sous-groupes qui seront évalués au cours des opérations de - comparaisons initiées par la directive `Require +`	DÃ©termine la profondeur maximale de l'arborescence des + sous-groupes qui seront Ã©valuÃ©s au cours des opÃ©rations de + comparaisons initiÃ©es par la directive `Require ldap-group`.
AuthLDAPSubGroupAttribute	Détermine l'attribut à utiliser lors de l'extraction de +	DÃ©termine l'attribut Ã utiliser lors de l'extraction de membres de sous-groupes du groupe courant au cours des - opérations de comparaison initiées par la directive + opÃ©rations de comparaison initiÃ©es par la directive `Require ldap-group`.
AuthLDAPSubGroupClass	Spécifie les valeurs de classe d'objet LDAP à utiliser pour - déterminer si les objets extraits de l'annuaire sont bien des +	SpÃ©cifie les valeurs de classe d'objet LDAP Ã utiliser pour + dÃ©terminer si les objets extraits de l'annuaire sont bien des objets de type groupe (et non des objets de type utilisateur), - au cours du traitement des sous-groupes initié par la directive + au cours du traitement des sous-groupes initiÃ© par la directive `Require ldap-group`.

@@ -370,38 +370,38 @@ configuration de la mise en cache.

Les directives requises

Les directives Require d'Apache sont utilisées + module="mod_authz_core">Require d'Apache sont utilisÃ©es au cours de la phase d'autorisation afin de s'assurer que - l'utilisateur est autorisé à accéder à une ressource. + l'utilisateur est autorisÃ© Ã accÃ©der Ã une ressource. mod_authnz_ldap enrichit la liste des types d'autorisations avec les valeurs ldap-user, ldap-dn, ldap-group, ldap-attribute et ldap-filter. D'autres types d'autorisations sont - disponibles, sous réserve du chargement de modules d'autorisation - supplémentaires.

+ disponibles, sous rÃ©serve du chargement de modules d'autorisation + supplÃ©mentaires.

A partir de la version 2.4.8, les directives require LDAP supportent les expressions.

Require ldap-user -

La directive Require ldap-user permet de spécifier - les noms des utilisateurs autorisés à accéder à la ressource. +

La directive Require ldap-user permet de spÃ©cifier + les noms des utilisateurs autorisÃ©s Ã accÃ©der Ã la ressource. Lorsque mod_authnz_ldap a extrait un DN unique de - l'annuaire LDAP, il effectue une opération de comparaison LDAP en - utilisant le nom d'utilisateur spécifié par la directive - Require ldap-user, pour vérifier si ce nom - d'utilisateur correspond à l'entrée LDAP extraite. On peut accorder - l'accès à plusieurs utilisateurs en plaçant plusieurs nom - d'utilisateurs sur la même ligne séparés par des espaces. Si un nom - d'utilisateur contient des espaces, il doit être entouré de - guillemets. On peut aussi accorder l'accès à plusieurs utilisateurs + l'annuaire LDAP, il effectue une opÃ©ration de comparaison LDAP en + utilisant le nom d'utilisateur spÃ©cifiÃ© par la directive + Require ldap-user, pour vÃ©rifier si ce nom + d'utilisateur correspond Ã l'entrÃ©e LDAP extraite. On peut accorder + l'accÃ¨s Ã plusieurs utilisateurs en plaÃ§ant plusieurs nom + d'utilisateurs sur la mÃªme ligne sÃ©parÃ©s par des espaces. Si un nom + d'utilisateur contient des espaces, il doit Ãªtre entourÃ© de + guillemets. On peut aussi accorder l'accÃ¨s Ã plusieurs utilisateurs en utilisant une directive Require ldap-user par utilisateur. Par exemple, avec la directive AuthLDAPURL définie à - ldap://ldap/o=Example?cn (spécifiant donc que l'attribut - cn sera utilisé pour les recherches), on pourra - utiliser les directives Require suivantes pour restreindre l'accès + module="mod_authnz_ldap">AuthLDAPURL dÃ©finie Ã + ldap://ldap/o=Example?cn (spÃ©cifiant donc que l'attribut + cn sera utilisÃ© pour les recherches), on pourra + utiliser les directives Require suivantes pour restreindre l'accÃ¨s :

Require ldap-user "Barbara Jenson" @@ -409,26 +409,26 @@ Require ldap-user "Fred User" Require ldap-user "Joe Manager" -

De par la manière dont mod_authnz_ldap traite +

De par la maniÃ¨re dont mod_authnz_ldap traite cette directive, Barbara Jenson peut s'authentifier comme Barbara Jenson, Babs Jenson ou tout autre - cn sous lequel elle est enregistrée dans l'annuaire + cn sous lequel elle est enregistrÃ©e dans l'annuaire LDAP. Une seule ligne Require ldap-user suffit pour - toutes les valeurs de l'attribut dans l'entrée LDAP de + toutes les valeurs de l'attribut dans l'entrÃ©e LDAP de l'utilisateur.

Si l'attribut uid avait été spécifié à la place de - l'attribut cn dans l'URL précédente, les trois lignes - ci-dessus auraient pû être condensées en une seule ligne :

Si l'attribut uid avait Ã©tÃ© spÃ©cifiÃ© Ã la place de + l'attribut cn dans l'URL prÃ©cÃ©dente, les trois lignes + ci-dessus auraient pÃ» Ãªtre condensÃ©es en une seule ligne :

Require ldap-user bjenson fuser jmanager

Require ldap-group -

Cette directive permet de spécifier un groupe LDAP dont les - membres auront l'autorisation d'accès. Elle prend comme argument le +

Cette directive permet de spÃ©cifier un groupe LDAP dont les + membres auront l'autorisation d'accÃ¨s. Elle prend comme argument le DN du groupe LDAP. Note : n'entourez pas le nom du groupe avec des - guillemets. Par exemple, supposons que l'entrée suivante existe dans + guillemets. Par exemple, supposons que l'entrÃ©e suivante existe dans l'annuaire LDAP :

 dn: cn=Administrators, o=Example
@@ -437,15 +437,15 @@ uniqueMember: cn=Barbara Jenson, o=Examp
 uniqueMember: cn=Fred User, o=Example

La directive suivante autoriserait alors l'accès à Fred et +

La directive suivante autoriserait alors l'accÃ¨s Ã Fred et Barbara :

Require ldap-group cn=Administrators, o=Example

Les membres peuvent aussi se trouver dans les sous-groupes du - groupe LDAP spécifié si la directive AuthLDAPMaxSubGroupDepth a été - définie à une valeur supérieure à 0. Par exemple, supposons que les - entrées suivantes existent dans l'annuaire LDAP :

+ groupe LDAP spÃ©cifiÃ© si la directive AuthLDAPMaxSubGroupDepth a Ã©tÃ© + dÃ©finie Ã une valeur supÃ©rieure Ã 0. Par exemple, supposons que les + entrÃ©es suivantes existent dans l'annuaire LDAP :

 dn: cn=Employees, o=Example
 objectClass: groupOfUniqueNames
@@ -475,17 +475,17 @@ uniqueMember: cn=Jim Swenson, o=Example
 uniqueMember: cn=Elliot Rhodes, o=Example

Les directives suivantes autoriseraient alors l'accès à Bob +

Les directives suivantes autoriseraient alors l'accÃ¨s Ã Bob Ellis, Tom Jackson, Barbara Jenson, Fred User, Allan Jefferson, et - Paul Tilley, mais l'interdiraient à Jim Swenson, ou Elliot Rhodes - (car ils sont situés dans un sous-groupe de niveau de profondeur 2) + Paul Tilley, mais l'interdiraient Ã Jim Swenson, ou Elliot Rhodes + (car ils sont situÃ©s dans un sous-groupe de niveau de profondeur 2) :

Require ldap-group cn=Employees, o=Example AuthLDAPMaxSubGroupDepth 1 -

Le comportement de cette directive est modifié par les directives +

Le comportement de cette directive est modifiÃ© par les directives AuthLDAPGroupAttribute, Require ldap-dn -

La directive Require ldap-dn permet à - l'administrateur d'accorder l'utorisation d'accès en fonction du DN. - Elle permet de spécifier un DN pour lequel l'accès est autorisé. Si +

La directive Require ldap-dn permet Ã + l'administrateur d'accorder l'utorisation d'accÃ¨s en fonction du DN. + Elle permet de spÃ©cifier un DN pour lequel l'accÃ¨s est autorisÃ©. Si le DN extrait de - l'annuaire correspond au DN spécifié par la directive Require - ldap-dn, l'autorisation d'accès est accordée. Note : + l'annuaire correspond au DN spÃ©cifiÃ© par la directive Require + ldap-dn, l'autorisation d'accÃ¨s est accordÃ©e. Note : n'entourez pas Le DN de guillemets.

La directive suivante accorderait l'accès à un DN spécifique +

La directive suivante accorderait l'accÃ¨s Ã un DN spÃ©cifique :

Require ldap-dn cn=Barbara Jenson, o=Example -

Le comportement ce cette directive est modifié par la directive +

Le comportement ce cette directive est modifiÃ© par la directive AuthLDAPCompareDNOnServer.

Require ldap-attribute -

La directive Require ldap-attribute permet à - l'administrateur d'accorder l'autorisation d'accès en fonction des - attributs de l'utilisateur authentifié dans l'annuaire LDAP. Si la - valeur de l'attribut dans l'annuaire correspond à la valeur - spécifiée par la directive, l'autorisation d'accès est accordée.

La directive Require ldap-attribute permet Ã + l'administrateur d'accorder l'autorisation d'accÃ¨s en fonction des + attributs de l'utilisateur authentifiÃ© dans l'annuaire LDAP. Si la + valeur de l'attribut dans l'annuaire correspond Ã la valeur + spÃ©cifiÃ©e par la directive, l'autorisation d'accÃ¨s est accordÃ©e.

La directive suivante accorderait l'autorisation d'accès à tout +

La directive suivante accorderait l'autorisation d'accÃ¨s Ã tout utilisateur dont l'attribut employeeType a pour valeur "actif" :

Require ldap-attribute "employeeType=active" -

Plusieurs paires attribut/valeur peuvent être spécifiées par une - même directive en les séparant par des espaces, ou en définissant +

Plusieurs paires attribut/valeur peuvent Ãªtre spÃ©cifiÃ©es par une + mÃªme directive en les sÃ©parant par des espaces, ou en dÃ©finissant plusieurs directives Require ldap-attribute. La logique - sous-jacente à une liste de paires attribut/valeur est une opération - OU. L'autorisation d'accès sera accordée si au moins une paire - attribut/valeur de la liste spécifiée correspond à la paire - attribut/valeur de l'utilisateur authentifié. Si elle contient des - espaces, la valeur, et seulement la valeur, doit être entourée de + sous-jacente Ã une liste de paires attribut/valeur est une opÃ©ration + OU. L'autorisation d'accÃ¨s sera accordÃ©e si au moins une paire + attribut/valeur de la liste spÃ©cifiÃ©e correspond Ã la paire + attribut/valeur de l'utilisateur authentifiÃ©. Si elle contient des + espaces, la valeur, et seulement la valeur, doit Ãªtre entourÃ©e de guillemets.

La directive suivante accorderait l'autorisation d'accès à tout +

La directive suivante accorderait l'autorisation d'accÃ¨s Ã tout utilisateur dont l'attribut city aurait pour valeur "San Jose", ou donc l'attribut status aurait pour valeur "actif" :

@@ -552,32 +552,32 @@ AuthLDAPMaxSubGroupDepth 1

Require ldap-filter -

La directive Require ldap-filter permet à - l'administrateur d'accorder l'autorisation d'accès en fonction d'un - filtre de recherche LDAP complexe. L'autorisation d'accès est - accordée si le DN renvoyé par le filtre de recherche correspond au - DN de l'utilisateur authentifié.

- -

La directive suivante accorderait l'autorisation d'accès à tout - utilisateur possédant un téléphone cellulaire et faisant partie du - département "marketing" :

La directive Require ldap-filter permet Ã + l'administrateur d'accorder l'autorisation d'accÃ¨s en fonction d'un + filtre de recherche LDAP complexe. L'autorisation d'accÃ¨s est + accordÃ©e si le DN renvoyÃ© par le filtre de recherche correspond au + DN de l'utilisateur authentifiÃ©.

+ +

La directive suivante accorderait l'autorisation d'accÃ¨s Ã tout + utilisateur possÃ©dant un tÃ©lÃ©phone cellulaire et faisant partie du + dÃ©partement "marketing" :

Require ldap-filter "&(cell=*)(department=marketing)"

Alors que la directive Require ldap-attribute se contente d'une simple comparaison d'attributs, la directive - Require ldap-filter effectue une opération de recherche - dans l'annuaire LDAP en utilisant le filtre de recherche spécifié. - Si une simple comparaison d'attributs suffit, l'opération de - comparaison effectuée par ldap-attribute sera plus - rapide que l'opération de recherche effectuée par + Require ldap-filter effectue une opÃ©ration de recherche + dans l'annuaire LDAP en utilisant le filtre de recherche spÃ©cifiÃ©. + Si une simple comparaison d'attributs suffit, l'opÃ©ration de + comparaison effectuÃ©e par ldap-attribute sera plus + rapide que l'opÃ©ration de recherche effectuÃ©e par ldap-filter, en particulier dans le cas d'un annuaire LDAP de grande taille.

Lorsqu'on utilise une expression rationnelle au sein d'un filtre, il faut bien s'assurer que les - filtres LDAP sont correctement échappés afin de se prémunir contre + filtres LDAP sont correctement Ã©chappÃ©s afin de se prÃ©munir contre toute injection LDAP. A cet effet, il est possible d'utiliser la fonction ldap.

@@ -592,15 +592,15 @@ AuthLDAPMaxSubGroupDepth 1

Require ldap-search -

La directive Require ldap-search permet à - l'administrateur d'autoriser l'accès en fonction d'un filtre de - recherche LDAP générique contenant une La directive Require ldap-search permet Ã + l'administrateur d'autoriser l'accÃ¨s en fonction d'un filtre de + recherche LDAP gÃ©nÃ©rique contenant une expression rationnelle. Si le filtre de - recherche renvoie une et une seule correspondance, l'accès est - accordé sans tenir compte du DN.

+ recherche renvoie une et une seule correspondance, l'accÃ¨s est + accordÃ© sans tenir compte du DN.

La directive suivante accorderait l'accès aux URLs correspondant - aux objets spécifiés dans le serveur LDAP :

La directive suivante accorderait l'accÃ¨s aux URLs correspondant + aux objets spÃ©cifiÃ©s dans le serveur LDAP :

<LocationMatch "^/dav/(?<SITENAME>[^/]+)/"> @@ -610,7 +610,7 @@ Website)"

Note : il faut bien s'assurer que les - expressions sont correctement échappés afin de se prémunir contre + expressions sont correctement Ã©chappÃ©s afin de se prÃ©munir contre toute injection LDAP. A cet effet, il est possible d'utiliser la fonction ldap comme dans l'exemple ci-dessus.

@@ -622,7 +622,7 @@ Website)"

- Accorde l'autorisation d'accès à tout utilisateur présent dans + Accorde l'autorisation d'accÃ¨s Ã tout utilisateur prÃ©sent dans l'annuaire LDAP, en utilisant son UID pour effectuer la recherche : @@ -632,23 +632,23 @@ Require valid-user
- L'exemple suivant est similaire au précédent, mais les champs - dont les valeurs par défaut conviennent sont omis. Notez aussi - la présence d'un annuaire LDAP redondant : + L'exemple suivant est similaire au prÃ©cÃ©dent, mais les champs + dont les valeurs par dÃ©faut conviennent sont omis. Notez aussi + la prÃ©sence d'un annuaire LDAP redondant : AuthLDAPURL "ldap://ldap1.example.com ldap2.example.com/ou=People, o=Example" Require valid-user
- Encore un exemple similaire aux précédents, mais cette fois, - c'est l'attribut cn qui est utilisé pour la recherche à la place - de l'UID. Notez que ceci peut poser problème si plusieurs - utilisateurs de l'annuaire partagent le même cn, + Encore un exemple similaire aux prÃ©cÃ©dents, mais cette fois, + c'est l'attribut cn qui est utilisÃ© pour la recherche Ã la place + de l'UID. Notez que ceci peut poser problÃ¨me si plusieurs + utilisateurs de l'annuaire partagent le mÃªme cn, car une recherche sur le cn doit - retourner une entrée et une seule. C'est pourquoi cette - approche n'est pas recommandée : il est préférable de choisir un - attribut de votre annuaire dont l'unicité soit garantie, comme + retourner une entrÃ©e et une seule. C'est pourquoi cette + approche n'est pas recommandÃ©e : il est prÃ©fÃ©rable de choisir un + attribut de votre annuaire dont l'unicitÃ© soit garantie, comme uid. AuthLDAPURL "ldap://ldap.example.com/ou=People, o=Example?cn" @@ -657,7 +657,7 @@ Require valid-user
- Accorde l'autorisation d'accès à tout utilisateur appartenant au + Accorde l'autorisation d'accÃ¨s Ã tout utilisateur appartenant au groupe Administrateurs. Les utilisateurs doivent s'authentifier en utilisant leur UID : @@ -667,8 +667,8 @@ Require ldap-group cn=Administrators, o=
- Accorde l'accès à tout utilisateur appartenant au groupe dont le - nom correspond au nom d'hôte du serveur virtuel. Dans cet exemple, + Accorde l'accÃ¨s Ã tout utilisateur appartenant au groupe dont le + nom correspond au nom d'hÃ´te du serveur virtuel. Dans cet exemple, on utilise une expression pour construire le filtre. @@ -679,10 +679,10 @@ Require ldap-group cn=%{SERVER_NAME}, o=
Pour l'exemple suivant, on suppose que tout utilisateur de chez - Example qui dispose d'un bippeur alphanumérique possèdera un + Example qui dispose d'un bippeur alphanumÃ©rique possÃ¨dera un attribut LDAP qpagePagerID. Seuls ces utilisateurs - (authentifiés via leur UID) se verront accorder l'autorisation - d'accès : + (authentifiÃ©s via leur UID) se verront accorder l'autorisation + d'accÃ¨s : AuthLDAPURL ldap://ldap.example.com/o=Example?uid??(qpagePagerID=*) Require valid-user @@ -691,36 +691,36 @@ Require valid-user
L'exemple suivant illustre la puissance des filtres pour - effectuer des requêtes complexes. Sans les filtres, il aurait - été nécessaire de créer un nouveau groupe LDAP et de s'assurer + effectuer des requÃªtes complexes. Sans les filtres, il aurait + Ã©tÃ© nÃ©cessaire de crÃ©er un nouveau groupe LDAP et de s'assurer de la synchronisation des membres du groupe avec les - utilisateurs possédant un bippeur. Tout devient limpide avec les - filtres. Nous avons pour but d'accorder l'autorisation d'accès à - tout utilisateur disposant d'un bippeur ainsi qu'à Joe Manager - qui ne possède pas de bippeur, mais doit tout de même pouvoir - accéder à la ressource :
+ utilisateurs possÃ©dant un bippeur. Tout devient limpide avec les + filtres. Nous avons pour but d'accorder l'autorisation d'accÃ¨s Ã + tout utilisateur disposant d'un bippeur ainsi qu'Ã Joe Manager + qui ne possÃ¨de pas de bippeur, mais doit tout de mÃªme pouvoir + accÃ©der Ã la ressource :
AuthLDAPURL ldap://ldap.example.com/o=Example?uid??(|(qpagePagerID=*)(uid=jmanager)) Require valid-user
Ce dernier exemple peut sembler confus au premier abord ; en - fait, il permet de mieux comprendre à quoi doit ressembler le + fait, il permet de mieux comprendre Ã quoi doit ressembler le filtre en fonction de l'utilisateur qui se connecte. Si Fred User se connecte en tant que fuser, le filtre devra - ressembler à :
+ ressembler Ã :
(&(|(qpagePagerID=*)(uid=jmanager))(uid=fuser))
Un recherche avec le filtre ci-dessus ne retournera un - résultat positif que si fuser dispose d'un bippeur. Si + rÃ©sultat positif que si fuser dispose d'un bippeur. Si Joe Manager se connecte en tant que jmanager, le filtre - devra ressembler à :
+ devra ressembler Ã :
(&(|(qpagePagerID=*)(uid=jmanager))(uid=jmanager))
Un recherche avec le filtre ci-dessus retournera un - résultat positif que jmanager dispose d'un + rÃ©sultat positif que jmanager dispose d'un bippeur ou non

@@ -734,12 +734,12 @@ Require valid-user module="mod_ldap">LDAPTrustedGlobalCert et LDAPTrustedMode.

Un second paramètre optionnel peut être ajouté à la directive +

Un second paramÃ¨tre optionnel peut Ãªtre ajoutÃ© Ã la directive AuthLDAPURL pour - remplacer le type de connexion par défaut défini par la directive + remplacer le type de connexion par dÃ©faut dÃ©fini par la directive LDAPTrustedMode. Ceci - permettra de promouvoir la connexion établie via une URL du type - ldap:// au statut de connection sécurisée sur le même + permettra de promouvoir la connexion Ã©tablie via une URL du type + ldap:// au statut de connection sÃ©curisÃ©e sur le mÃªme port.

@@ -751,65 +751,65 @@ Require valid-user module="mod_ldap">LDAPTrustedGlobalCert et LDAPTrustedMode.

Pour spécifier un serveur LDAP sécurisé, utilisez +

Mise à disposition des informations de +<section id="exposed"><title>Mise Ã disposition des informations de connexion

Au cours du processus d'authentification, les attributs LDAP - spécifiés par la directive authldapurl sont enregistrés - dans des variables d'environnement préfixées par la chaîne + spÃ©cifiÃ©s par la directive authldapurl sont enregistrÃ©s + dans des variables d'environnement prÃ©fixÃ©es par la chaÃ®ne "AUTHENTICATE_".

Au cours du processus d'autorisation, les attributs LDAP - spécifiés par la directive authldapurl sont enregistrés - dans des variables d'environnement préfixées par la chaîne + spÃ©cifiÃ©s par la directive authldapurl sont enregistrÃ©s + dans des variables d'environnement prÃ©fixÃ©es par la chaÃ®ne "AUTHORIZE_".

Si les champs attribut contiennent le nom, le CN et le numéro de - téléphone d'un utilisateur, un programme CGI pourra accéder à ces - informations sans devoir effectuer une autre requête LDAP pour +

Si les champs attribut contiennent le nom, le CN et le numÃ©ro de + tÃ©lÃ©phone d'un utilisateur, un programme CGI pourra accÃ©der Ã ces + informations sans devoir effectuer une autre requÃªte LDAP pour les extraire de l'annuaire.

Ceci a pour effet de simplifier considérablement le code et la - configuration nécessaire de certaines applications web.

Ceci a pour effet de simplifier considÃ©rablement le code et la + configuration nÃ©cessaire de certaines applications web.

Utilisation d'Active Directory -

Active Directory peut supporter plusieurs domaines à la fois. +

Active Directory peut supporter plusieurs domaines Ã la fois. Pour faire la distinction entre les utilisateurs de plusieurs - domaines, on peut ajouter à l'entrée de l'utilisateur dans - l'annuaire un identifiant appelé Nom + domaines, on peut ajouter Ã l'entrÃ©e de l'utilisateur dans + l'annuaire un identifiant appelÃ© Nom Principal d'Utilisateur (User Principle Name ou UPN). Cet UPN se - compose en général du nom de compte de l'utilisateur, suivi du nom - du domaine considéré, par exemple untel@nz.example.com.

+ compose en gÃ©nÃ©ral du nom de compte de l'utilisateur, suivi du nom + du domaine considÃ©rÃ©, par exemple untel@nz.example.com.

Vous voudrez probablement configurer le module mod_authnz_ldap afin de pouvoir authentifier les - utilisateurs de n'importe quel domaine de la forêt Active Directory. + utilisateurs de n'importe quel domaine de la forÃªt Active Directory. Ainsi, untel@nz.example.com et - untel@au.example.com pourront être authentifiés en une - seule fois par la même requête.

Pour y parvenir, on utilise le concept de Catalogue Global d'Active Directory. Ce Catalogue Global est une copie en lecture - seule des attributs sélectionnés de tous les serveurs de la forêt - Active Directory. Une requête vers le + seule des attributs sÃ©lectionnÃ©s de tous les serveurs de la forÃªt + Active Directory. Une requÃªte vers le Catalogue Global permet donc d'atteindre tous les domaines en une - seule fois, sans avoir à se connecter aux différents serveurs, via - des liaisons dont certaines peuvent être lentes.

+ seule fois, sans avoir Ã se connecter aux diffÃ©rents serveurs, via + des liaisons dont certaines peuvent Ãªtre lentes.

Lorsqu'il est activé, la Catalogue Global est un serveur - d'annuaire indépendant accessible sur le port 3268 (3269 pour SSL). +

Lorsqu'il est activÃ©, la Catalogue Global est un serveur + d'annuaire indÃ©pendant accessible sur le port 3268 (3269 pour SSL). Pour rechercher un utilisateur, effectuez une recherche sur l'attribut userPrincipalName, avec une base de recherche vide, comme suit :

@@ -829,86 +829,86 @@ AuthLDAPURL ldap://10.0.0.1:3268/?userPr FrontPage avec mod_authnz_ldap

Normalement, FrontPage utilise des fichiers utilisateur/groupe - spécifiques à FrontPage-web (c'est à dire les modules + spÃ©cifiques Ã FrontPage-web (c'est Ã dire les modules mod_authn_file et mod_authz_groupfile) pour effectuer toute l'authentification. Malheureusement, il ne suffit pas de modifier - l'authentification LDAP en ajoutant les directives appropriées, car + l'authentification LDAP en ajoutant les directives appropriÃ©es, car ceci corromprait les formulaires de Permissions dans le - client FrontPage, qui sont censés modifier les fichiers + client FrontPage, qui sont censÃ©s modifier les fichiers d'autorisation standards au format texte.

Lorsqu'un site web FrontPage a été créé, lui adjoindre - l'authentification LDAP consiste à ajouter les directives suivantes - à chaque fichier .htaccess qui sera créé dans +

Lorsqu'un site web FrontPage a Ã©tÃ© crÃ©Ã©, lui adjoindre + l'authentification LDAP consiste Ã ajouter les directives suivantes + Ã chaque fichier .htaccess qui sera crÃ©Ã© dans le site web :

AuthLDAPURL "the url" -AuthGroupFile mygroupfile -Require group mygroupfile +AuthGroupFile "mygroupfile" +Require group "mygroupfile" -

Comment ça marche +

Comment Ã§a marche -

FrontPage restreint l'accès à un site web en ajoutant la +

FrontPage restreint l'accÃ¨s Ã un site web en ajoutant la directive Require valid-user aux fichiers .htaccess. La directive Require valid-user - permettra l'accès à tout utilisateur valide du point de vue - LDAP. Cela signifie que tout utilisateur possédant une entrée - dans l'annuaire LDAP sera considéré comme valide, alors que - FrontPage ne considère comme valides que les utilisateurs - enregistrés dans le fichier des utilisateurs local. En remplaçant + permettra l'accÃ¨s Ã tout utilisateur valide du point de vue + LDAP. Cela signifie que tout utilisateur possÃ©dant une entrÃ©e + dans l'annuaire LDAP sera considÃ©rÃ© comme valide, alors que + FrontPage ne considÃ¨re comme valides que les utilisateurs + enregistrÃ©s dans le fichier des utilisateurs local. En remplaÃ§ant l'autorisation par groupe LDAP par une autorisation par fichier de groupe, Apache sera en mesure de consulter le fichier des - utilisateurs local (géré par FrontPage) - au lieu de l'annuaire LDAP + utilisateurs local (gÃ©rÃ© par FrontPage) - au lieu de l'annuaire LDAP - lors du processus d'autorisation des utilisateurs.

Une fois les directives ajoutées selon ce qui précède, les - utilisateurs FrontPage pourront effectuer toutes les opérations de - gestion à partir du client FrontPage.

Une fois les directives ajoutÃ©es selon ce qui prÃ©cÃ¨de, les + utilisateurs FrontPage pourront effectuer toutes les opÃ©rations de + gestion Ã partir du client FrontPage.

Avertissements

Lors du choix de l'URL LDAP, l'attribut à utiliser pour - l'authentification doit aussi être valide pour le fichier des +
Lors du choix de l'URL LDAP, l'attribut Ã utiliser pour + l'authentification doit aussi Ãªtre valide pour le fichier des utilisateurs de mod_authn_file. A cette fin, - l'UID est idéal.
Lorsqu'ils ajoutent des utilisateurs via FrontPage, les administrateurs de FrontPage doivent choisir des noms - d'utilisateurs qui existent déjà dans l'annuaire LDAP (pour des - raisons évidentes). De même, le mot de passe que l'administrateur - entre dans le formulaire est ignoré, car pour l'authentification, + d'utilisateurs qui existent dÃ©jÃ dans l'annuaire LDAP (pour des + raisons Ã©videntes). De mÃªme, le mot de passe que l'administrateur + entre dans le formulaire est ignorÃ©, car pour l'authentification, Apache utilise le mot de passe de l'annuaire LDAP, et non le mot - de passe enregistré dans le fichier des utilisateurs, ce qui peut + de passe enregistrÃ© dans le fichier des utilisateurs, ce qui peut semer la confusion parmi les administrateurs web.
Pour supporter FrontPage, Apache doit être compilé avec +
Pour supporter FrontPage, Apache doit Ãªtre compilÃ© avec mod_auth_basic, mod_authn_file - et mod_authz_groupfile. Ceci est dû au fait + et mod_authz_groupfile. Ceci est dÃ» au fait qu'Apache doit utiliser le fichier de groupes de - mod_authz_groupfile pour déterminer le niveau - d'accès d'un utilisateur au site web FrontPage.

mod_authz_groupfile

Les directives doivent être placées dans les fichiers +
Les directives doivent Ãªtre placÃ©es dans les fichiers .htaccess. Elles ne fonctionneront pas si vous les placez dans une section Location ou Directory. Ceci est dû au fait que pour savoir - où se trouve la liste des utilisateurs valides, - mod_authnz_ldap doit être en mesure d'atteindre + type="section">Directory. Ceci est dÃ» au fait que pour savoir + oÃ¹ se trouve la liste des utilisateurs valides, + mod_authnz_ldap doit Ãªtre en mesure d'atteindre la directive AuthGroupFile qui se trouve dans les fichiers .htaccess de FrontPage. Si les directives - de mod_authnz_ldap ne sont pas situées dans le - même fichier .htaccess que les directives FrontPage, + de mod_authnz_ldap ne sont pas situÃ©es dans le + mÃªme fichier .htaccess que les directives FrontPage, la configuration ne fonctionnera pas, car mod_authnz_ldap ne sera jamais en mesure de - traiter le fichier .htaccess, et par conséquent ne - pourra jamais trouver le fichier des utilisateurs géré par + traiter le fichier .htaccess, et par consÃ©quent ne + pourra jamais trouver le fichier des utilisateurs gÃ©rÃ© par FrontPage.

@@ -916,25 +916,25 @@ Require group mygroupfile AuthLDAPAuthorizePrefix -Spécifie le préfixe ajouté aux variables d'environnement +SpÃ©cifie le prÃ©fixe ajoutÃ© aux variables d'environnement durant la phase d'autorisation -AuthLDAPAuthorizePrefix préfixe +AuthLDAPAuthorizePrefix prÃ©fixe AuthLDAPAuthorizePrefix AUTHORIZE_ directory.htaccess AuthConfig Disponible depuis la version 2.3.6 -

Cette directive permet de spécifier le préfixe ajouté aux +

Cette directive permet de spÃ©cifier le prÃ©fixe ajoutÃ© aux variables d'environnement durant la phase d'autorisation. Si la - valeur spécifiée est AUTHENTICATE_, les utilisateurs de ces - variables d'environnement verront les mêmes informations, que le + valeur spÃ©cifiÃ©e est AUTHENTICATE_, les utilisateurs de ces + variables d'environnement verront les mÃªmes informations, que le serveur effectue une authentification, une autorisation, ou les deux.

Note - Aucune variable d'autorisation n'est définie lorsqu'un utilisateur - s'est vu autoriser l'accès via la directive

Require
+    Aucune variable d'autorisation n'est dÃ©finie lorsqu'un utilisateur
+    s'est vu autoriser l'accÃ¨s via la directive Require
     valid-user.


@@ -942,32 +942,31 @@ durant la phase d'autorisation
 AuthLDAPBindAuthoritative
-Détermine si l'on doit utiliser d'autres fournisseurs
-d'authentification lorsque le serveur ne peut pas valider les données
-d'authentification de l'utilisateur, alors que ce dernier possède un
+DÃ©termine si l'on doit utiliser d'autres fournisseurs
+d'authentification lorsque le serveur ne peut pas valider les donnÃ©es
+d'authentification de l'utilisateur, alors que ce dernier possÃ¨de un
 DN.
-AuthLDAPBindAuthoritativeoff|on
+AuthLDAPBindAuthoritative off|on
 AuthLDAPBindAuthoritative on
 directory.htaccess
 
 AuthConfig
 
-    Par défaut, des fournisseurs d'authentification sont appelés
-    si un utilisateur ne possède pas de DN, mais ne le sont pas si
-    l'utilisateur possède un DN et si son mot de passe ne peut pas être
-    vérifié lors d'une connexion au serveur LDAP. Si la directive
-    AuthLDAPBindAuthoritative est
-    définie à off, d'autres modules d'authentification
-    configurés auront une chance de valider le mot de passe de
-    l'utilisateur si la tentative de connexion au serveur LDAP échoue
-    pour une raison quelconque (avec les données d'authentification
+    
Par dÃ©faut, des fournisseurs d'authentification sont appelÃ©s
+    si un utilisateur ne possÃ¨de pas de DN, mais ne le sont pas si
+    l'utilisateur possÃ¨de un DN et si son mot de passe ne peut pas Ãªtre
+    vÃ©rifiÃ© lors d'une connexion au serveur LDAP. Si la directive
+    AuthLDAPBindAuthoritative est
+    dÃ©finie Ã  off, d'autres modules d'authentification
+    configurÃ©s auront une chance de valider le mot de passe de
+    l'utilisateur si la tentative de connexion au serveur LDAP Ã©choue
+    pour une raison quelconque (avec les donnÃ©es d'authentification
     fournies).
-    Ceci permet aux utilisateurs présent à la fois dans l'annuaire
+    
Ceci permet aux utilisateurs prÃ©sent Ã  la fois dans l'annuaire
     LDAP et dans un fichier AuthUserFile de s'authentifier
     lorsque le serveur LDAP est disponible, alors que le compte de
-    l'utilisateur est verrouillé ou que son mot de passe est
+    l'utilisateur est verrouillÃ© ou que son mot de passe est
     inutilisable pour une raison quelconque.
 
 AuthUserFile
@@ -976,39 +975,39 @@ DN.
 
 
 AuthLDAPInitialBindAsUser
-Détermine si le serveur effectue la recherche initiale du
+DÃ©termine si le serveur effectue la recherche initiale du
 DN en utilisant le nom propre de l'utilisateur pour l'authentification
 de base
-et non de manière anonyme, ou en utilisant des données d'authentification
-codées en dur pour le serveur
-AuthLDAPInitialBindAsUser off|on
+et non de maniÃ¨re anonyme, ou en utilisant des donnÃ©es d'authentification
+codÃ©es en dur pour le serveur
+AuthLDAPInitialBindAsUser off|on
 AuthLDAPInitialBindAsUser off
 directory.htaccess
 
 AuthConfig
 Disponible depuis la version 2.3.6
 
-    Par défaut, le serveur convertit le nom d'utilisateur pour
+    
Par dÃ©faut, le serveur convertit le nom d'utilisateur pour
     l'authentification de base en nom distinctif LDAP (DN) soit de
-    manière anonyme, soit avec un couple nom/mot de passe dédié. Cette
-    directive permet de forcer le serveur à utiliser les véritables nom
+    maniÃ¨re anonyme, soit avec un couple nom/mot de passe dÃ©diÃ©. Cette
+    directive permet de forcer le serveur Ã  utiliser les vÃ©ritables nom
     d'utilisateur et mot de passe fournis par l'utilisateur pour
     effectuer la recherche initiale du DN.
 
      Si le nom d'utilisateur ne peut pas s'authentifier directement
-     et nécessite de légères modifications, voir la directive AuthLDAPInitialBindPattern.
 
-     Cette directive ne doit être utilisée que si votre serveur LDAP
+     
Cette directive ne doit Ãªtre utilisÃ©e que si votre serveur LDAP
      n'autorise pas les recherches anonymes, ou si vous ne pouvez pas
-     utiliser de nom d'utilisateur dédié via la directive AuthLDAPBindDN.
      
 
      Non disponible dans la cas d'une autorisation seule
          On ne peut utiliser cette directive que si ce module
 	 effectue une authentification, et n'a aucun effet si ce module
-	 n'est utilisé que pour les processus d'autorisation.
+	 n'est utilisÃ© que pour les processus d'autorisation.
      
 
 AuthLDAPInitialBindPattern
@@ -1019,12 +1018,12 @@ codées en dur pour le serveur
 AuthLDAPInitialBindPattern
-Spécifie la modification a apporter au nom d'utilisateur
-pour l'authentification de base lors de l'authentification auprès du
+SpÃ©cifie la modification a apporter au nom d'utilisateur
+pour l'authentification de base lors de l'authentification auprÃ¨s du
 serveur LDAP pour effectuer une recherche de DN
-AuthLDAPInitialBindPatternregex substitution
+AuthLDAPInitialBindPattern regex substitution
 AuthLDAPInitialBindPattern (.*) $1 (nom de l'utilisateur
-distant utilisé tel quel)
+distant utilisÃ© tel quel)
 directory.htaccess
 
 AuthConfig
@@ -1032,18 +1031,18 @@ distant utilisé tel quel)
     Si la directive AuthLDAPInitialBindAsUser est
-    définie à ON, le nom utilisateur pour l'authentification de
-    base sera transformé selon l'expression rationnelle
-    regex et l'argument substitution spécifiés.
+    dÃ©finie Ã  ON, le nom utilisateur pour l'authentification de
+    base sera transformÃ© selon l'expression rationnelle
+    regex et l'argument substitution spÃ©cifiÃ©s.
 
-    L'expression rationnelle est comparée au nom d'utilisateur pour
+    
L'expression rationnelle est comparÃ©e au nom d'utilisateur pour
     l'authentification de base courant. L'argument
-    substitution peut contenir des références arrières, mais
+    substitution peut contenir des rÃ©fÃ©rences arriÃ¨res, mais
     n'effectue aucune autre interpolation de variable.
 
-    Cette directive ne doit être utilisée que si votre serveur LDAP
+    
Cette directive ne doit Ãªtre utilisÃ©e que si votre serveur LDAP
      n'autorise pas les recherches anonymes, ou si vous ne pouvez pas
-     utiliser de nom d'utilisateur dédié via la directive AuthLDAPBindDN.
      
 
@@ -1053,12 +1052,12 @@ distant utilisé tel quel)Non disponible dans la cas d'une autorisation seule
          On ne peut utiliser cette directive que si ce module
 	 effectue une authentification, et n'a aucun effet si ce module
-	 n'est utilisé que pour les processus d'autorisation.
+	 n'est utilisÃ© que pour les processus d'autorisation.
      
-    Débogage
-        Le DN de substitution est enregistré dans la variable
+    DÃ©bogage
+        Le DN de substitution est enregistrÃ© dans la variable
 	d'environnement LDAP_BINDASUSER. Si l'expression
-	rationnelle ne convient pas, le nom d'utilisateur est utilisé
+	rationnelle ne convient pas, le nom d'utilisateur est utilisÃ©
 	tel quel.
     
 
@@ -1076,16 +1075,16 @@ LDAP
 AuthConfig
 
 
-    Cette directive permet de définir un DN optionnel pour se
-    connecter au serveur afin d'y rechercher des entrées. Si aucun DN
-    n'est spécifié, mod_authnz_ldap tentera une
+    
Cette directive permet de dÃ©finir un DN optionnel pour se
+    connecter au serveur afin d'y rechercher des entrÃ©es. Si aucun DN
+    n'est spÃ©cifiÃ©, mod_authnz_ldap tentera une
     connexion anonyme.
 
 
 
 
 AuthLDAPBindPassword
-Mot de passe à utiliser en conjonction avec le DN de
+Mot de passe Ã  utiliser en conjonction avec le DN de
 connexion
 AuthLDAPBindPassword mot-de-passe
 directory.htaccess
@@ -1095,27 +1094,27 @@ connexion
 serveur HTTP Apache.
 
 
-    Cette directive permet de spécifier un mot de passe à utiliser en
+    
Cette directive permet de spÃ©cifier un mot de passe Ã  utiliser en
     conjonction avec le DN de connexion. Notez que ce mot de passe
-    constitue en général une donnée sensible, et doit donc être protégé
-    de manière appropriée. Vous ne devez utiliser les directives
+    constitue en gÃ©nÃ©ral une donnÃ©e sensible, et doit donc Ãªtre protÃ©gÃ©
+    de maniÃ¨re appropriÃ©e. Vous ne devez utiliser les directives
     AuthLDAPBindDN et AuthLDAPBindPassword que si
+    module="mod_authnz_ldap">AuthLDAPBindDN et
+    AuthLDAPBindPassword que si
     vous en avez vraiment besoin pour effectuer une recherche dans
     l'annuaire.
 
-    Si la valeur commence par exec:, la commande résultante sera
-    exécutée, et la première ligne renvoyée sur la sortie standard sera
-    utilisée comme mot de passe.
+    Si la valeur commence par exec:, la commande rÃ©sultante sera
+    exÃ©cutÃ©e, et la premiÃ¨re ligne renvoyÃ©e sur la sortie standard sera
+    utilisÃ©e comme mot de passe.
 
-#Mot de passe utilisé tel quel
+#Mot de passe utilisÃ© tel quel
 AuthLDAPBindPassword secret
 
-#Exécute /path/to/program pour obtenir le mot de passe
+#ExÃ©cute /path/to/program pour obtenir le mot de passe
 AuthLDAPBindPassword exec:/path/to/program
 
-#Exécute /path/to/otherProgram avec un argument pour obtenir le mot de passe
+#ExÃ©cute /path/to/otherProgram avec un argument pour obtenir le mot de passe
 AuthLDAPBindPassword "exec:/path/to/otherProgram argument1"
 
 
@@ -1125,38 +1124,38 @@ AuthLDAPBindPassword "exec:/path/to/othe
 
 AuthLDAPCharsetConfig
 Chemin du fichier de configuration de la correspondance
-langage/jeu de caractères
+langage/jeu de caractÃ¨res


 AuthLDAPCharsetConfig chemin-fichier
 server config
 
 
 
     La directive AuthLDAPCharsetConfig permet
-    de définir le chemin du fichier de configuration de la
-    correspondance langage/jeu de caractères. chemin-fichier
-    est un chemin relatif au répertoire défini par la directive
+    de dÃ©finir le chemin du fichier de configuration de la
+    correspondance langage/jeu de caractÃ¨res. chemin-fichier
+    est un chemin relatif au rÃ©pertoire dÃ©fini par la directive
     ServerRoot. Ce fichier contient une liste
-    de correspondances extension de langage/jeu de caractères. La
+    de correspondances extension de langage/jeu de caractÃ¨res. La
     plupart des administrateurs utilisent le fichier
     charset.conv fourni qui associe les extensions de
-    langage courantes à leurs jeux de caractères.
+    langage courantes Ã  leurs jeux de caractÃ¨res.
 
     Le fichier contient des lignes au format suivant :
 
     
-      extension de langage jeu de caractères
+      extension de langage jeu de caractÃ¨res
       [Nom du langage] ...
     
 
-    L'extension est insensible à la casse. Les lignes vides et les
-    lignes commençant par un dièse (#) sont ignorées.
+    L'extension est insensible Ã  la casse. Les lignes vides et les
+    lignes commenÃ§ant par un diÃ¨se (#) sont ignorÃ©es.


 
 
 AuthLDAPCompareAsUser
-Utilisation des données d'authentification de l'utilisateur
+Utilisation des donnÃ©es d'authentification de l'utilisateur
 pour effectuer les comparaisons pour l'attribution des autorisations
 AuthLDAPCompareAsUser on|off
 AuthLDAPCompareAsUser off
@@ -1166,25 +1165,25 @@ pour effectuer les comparaisons pour l'a
 Disponible depuis la version version 2.3.6
 
 
-    Lorsque cette directive est définie, et si
-    mod_authnz_ldap a authentifié l'utilisateur, les
+    
Lorsque cette directive est dÃ©finie, et si
+    mod_authnz_ldap a authentifiÃ© l'utilisateur, les
     recherches LDAP pour les autorisations utilisent le nom distinctif
-    trouvé (DN) et le mot de passe d'authentification basique HTTP de
-    l'utilisateur authentifié au lieu des données d'authentification
-    configurées au niveau du serveur.
+    trouvÃ© (DN) et le mot de passe d'authentification basique HTTP de
+    l'utilisateur authentifiÃ© au lieu des donnÃ©es d'authentification
+    configurÃ©es au niveau du serveur.
 
-    Les vérifications d'autorisation ldap-attribute,
+    
Les vÃ©rifications d'autorisation ldap-attribute,
     ldap-user, et ldap-group (niveau simple seulement)
     utilisent des comparaisons.
 
-    Cette directive n'a d'effet sur les comparaisons effectuées au
-    cours des traitements de groupe imbriqués, et lorsque la directive
+    
Cette directive n'a d'effet sur les comparaisons effectuÃ©es au
+    cours des traitements de groupe imbriquÃ©s, et lorsque la directive
     AuthLDAPSearchAsUser
-    est aussi activée.
+    est aussi activÃ©e.
 
-    Cette directive ne doit être utilisée que si votre serveur LDAP
+    
Cette directive ne doit Ãªtre utilisÃ©e que si votre serveur LDAP
      n'autorise pas les recherches anonymes, ou si vous ne pouvez pas
-     utiliser de nom d'utilisateur dédié via la directive AuthLDAPBindDN.
      
 
@@ -1202,24 +1201,24 @@ pour effectuer les comparaisons pour l'a
 AuthConfig
 
 
-    Lorsque cette directive est définie à on,
+    
Lorsque cette directive est dÃ©finie Ã  on,
     mod_authnz_ldap utilise le serveur LDAP pour
-    comparer les DNs. Il s'agit de la seule méthode infaillible pour
+    comparer les DNs. Il s'agit de la seule mÃ©thode infaillible pour
     comparer les DNs. mod_authnz_ldap va rechercher
-    dans l'annuaire le DN spécifié par la directive Require dn, puis extraire ce DN et le
-    comparer avec le DN extrait de l'entrée de l'utilisateur. Si cette
-    directive est à off, mod_authnz_ldap effectue une
-    simple comparaison de chaînes. Cette dernière approche peut produire
-    des faux négatifs, mais elle est beaucoup plus rapide. Notez
-    cependant que le cache de mod_ldap peut accélérer
+    comparer avec le DN extrait de l'entrÃ©e de l'utilisateur. Si cette
+    directive est Ã  off, mod_authnz_ldap effectue une
+    simple comparaison de chaÃ®nes. Cette derniÃ¨re approche peut produire
+    des faux nÃ©gatifs, mais elle est beaucoup plus rapide. Notez
+    cependant que le cache de mod_ldap peut accÃ©lÃ©rer
     la comparaison de DNs dans la plupart des situations.
 
 
 
 
 AuthLDAPDereferenceAliases
-À quel moment le module va déréférencer les
+Ã quel moment le module va dÃ©rÃ©fÃ©rencer les
 alias
 AuthLDAPDereferenceAliases never|searching|finding|always
 AuthLDAPDereferenceAliases always
@@ -1228,17 +1227,17 @@ alias
 AuthConfig
 
 
-    Cette directive permet de spécifier à quel moment
-    mod_authnz_ldap va déréférencer les alias au cours
-    des opérations liées à LDAP. La valeur par défaut est
+    
Cette directive permet de spÃ©cifier Ã  quel moment
+    mod_authnz_ldap va dÃ©rÃ©fÃ©rencer les alias au cours
+    des opÃ©rations liÃ©es Ã  LDAP. La valeur par dÃ©faut est
     always.
 
 
 
 
 AuthLDAPGroupAttribute
-L'attribut LDAP utilisé pour vérifier l'appartenance d'un
-utilisateur à un groupe.
+L'attribut LDAP utilisÃ© pour vÃ©rifier l'appartenance d'un
+utilisateur Ã  un groupe.
 AuthLDAPGroupAttribute attribut
 AuthLDAPGroupAttribute member uniquemember
 directory.htaccess
@@ -1246,10 +1245,10 @@ utilisateur à un groupe.AuthConfig
 
 
-    Cette directive permet de spécifier quel attribut LDAP est
-    utilisé pour vérifier l'appartenance d'un utilisateur à un
-    groupe. On peut spécifier plusieurs attributs en répétant cette
-    directive plusieurs fois. Si la directive n'est pas définie,
+    
Cette directive permet de spÃ©cifier quel attribut LDAP est
+    utilisÃ© pour vÃ©rifier l'appartenance d'un utilisateur Ã  un
+    groupe. On peut spÃ©cifier plusieurs attributs en rÃ©pÃ©tant cette
+    directive plusieurs fois. Si la directive n'est pas dÃ©finie,
     mod_authnz_ldap utilise les attributs
     member et uniquemember.
 
@@ -1257,8 +1256,8 @@ utilisateur à un groupe.
 AuthLDAPGroupAttributeIsDN
-Utilise le DN de l'utilisateur pour vérifier son
-appartenance à un groupe
+Utilise le DN de l'utilisateur pour vÃ©rifier son
+appartenance Ã  un groupe
 AuthLDAPGroupAttributeIsDN on|off
 AuthLDAPGroupAttributeIsDN on
 directory.htaccess
@@ -1266,22 +1265,22 @@ appartenance à un groupeAuthConfig
 
 
-    Lorsqu'elle est définie à on, cette directive
-    indique que c'est le DN de l'utilisateur qui doit être utilisé pour
-    vérifier son appartenance à un groupe. Dans le cas contraire, c'est
-    le nom de l'utilisateur qui sera utilisé. Par exemple, supposons que
+    
Lorsqu'elle est dÃ©finie Ã  on, cette directive
+    indique que c'est le DN de l'utilisateur qui doit Ãªtre utilisÃ© pour
+    vÃ©rifier son appartenance Ã  un groupe. Dans le cas contraire, c'est
+    le nom de l'utilisateur qui sera utilisÃ©. Par exemple, supposons que
     le client envoie le nom d'utilisateur bjenson, qui
     correspond au DN LDAP cn=Babs Jenson,o=Example. Si la
-    directive est à on, mod_authnz_ldap va
-    vérifier si cn=Babs Jenson, o=Example est un membre du
+    directive est Ã  on, mod_authnz_ldap va
+    vÃ©rifier si cn=Babs Jenson, o=Example est un membre du
     groupe. Dans le cas contraire, mod_authnz_ldap
-    vérifiera si bjenson est un membre du groupe.
+    vÃ©rifiera si bjenson est un membre du groupe.
 
 
 
 
 AuthLDAPMaxSubGroupDepth
-Spécifie la profondeur d'imbrication des sous-groupes
+SpÃ©cifie la profondeur d'imbrication des sous-groupes
 maximale prise en compte avant l'abandon de la recherche de
 l'utilisateur.
 AuthLDAPMaxSubGroupDepth Nombre
@@ -1289,29 +1288,29 @@ l'utilisateur.
 directory.htaccess
 
 AuthConfig
-Disponible à partir de la version 2.3.0 du serveur HTTP
-Apache ; la valeur par défaut était 10 dans les versions 2.4.x et les
-premières versions 2.5
+Disponible Ã  partir de la version 2.3.0 du serveur HTTP
+Apache ; la valeur par dÃ©faut Ã©tait 10 dans les versions 2.4.x et les
+premiÃ¨res versions 2.5
 
 
-   Lorsque cette directive est définie à une valeur X
+   
Lorsque cette directive est dÃ©finie Ã  une valeur X
    non nulle, en combinaison avec l'utilisation de la directive
-   Require ldap-group DN-groupe, les données de connexion
-   fournies seront utilisées pour vérifier l'appartenance de
-   l'utilisateur à l'objet de l'annuaire DN-groupe ou à
+   Require ldap-group DN-groupe, les donnÃ©es de connexion
+   fournies seront utilisÃ©es pour vÃ©rifier l'appartenance de
+   l'utilisateur Ã  l'objet de l'annuaire DN-groupe ou Ã 
    tout sous-groupe du groupe courant en tenant compte de la profondeur
-   d'imbrication maximale X spécifiée par la directive.
-   Se référer à la section Require
-   ldap-group pour un exemple plus détaillé.
+   d'imbrication maximale X spÃ©cifiÃ©e par la directive.
+   Se rÃ©fÃ©rer Ã  la section Require
+   ldap-group pour un exemple plus dÃ©taillÃ©.
 
-   Performances dans le cas des groupes imbriqués
+   Performances dans le cas des groupes imbriquÃ©s
    Lorsque les directives
    AuthLDAPSubGroupAttribute et
    AuthLDAPGroupAttribute se recouvrent (comme
-   c'est le cas par défaut et requis par les schémas LDAP courants), la
-   recherche de sous-groupes au sein de grands groupes peut être très
-   longue. Si vos groupes sont très grands et non imbriqués, définissez
-   la directive AuthLDAPMaxSubGroupDepth à 0.
+   c'est le cas par dÃ©faut et requis par les schÃ©mas LDAP courants), la
+   recherche de sous-groupes au sein de grands groupes peut Ãªtre trÃ¨s
+   longue. Si vos groupes sont trÃ¨s grands et non imbriquÃ©s, dÃ©finissez
+   la directive AuthLDAPMaxSubGroupDepth Ã  0.
    
 
 
@@ -1319,8 +1318,8 @@ premières versions 2.5
 AuthLDAPRemoteUserAttribute
-Spécifie l'attribut dont la valeur renvoyée au cours de la
-requête de l'utilisateur sera utilisée pour définir la variable
+SpÃ©cifie l'attribut dont la valeur renvoyÃ©e au cours de la
+requÃªte de l'utilisateur sera utilisÃ©e pour dÃ©finir la variable
 d'environnement REMOTE_USER
 AuthLDAPRemoteUserAttribute uid
 none
@@ -1329,16 +1328,16 @@ d'environnement REMOTE_USERAuthConfig
 
 
-    Lorsque cette directive est définie, la variable d'environnement
-    REMOTE_USER sera définie à la valeur de l'attribut
-    spécifié. Assurez-vous que cet attribut soit bien inclus dans la
-    liste d'attributs spécifiés dans la définition de AuthLDAPUrl ; dans
+    
Lorsque cette directive est dÃ©finie, la variable d'environnement
+    REMOTE_USER sera dÃ©finie Ã  la valeur de l'attribut
+    spÃ©cifiÃ©. Assurez-vous que cet attribut soit bien inclus dans la
+    liste d'attributs spÃ©cifiÃ©s dans la dÃ©finition de AuthLDAPUrl ; dans
     le cas contraire, cette directive n'aurait aucun effet. Si elle est
-    présente, cette directive l'emporte sur AuthLDAPRemoteUserIsDN. Elle
-    peut s'avérer utile par exemple, si vous souhaitez que les
-    utilisateurs se connectent à un site web en utilisant leur adresse
-    email, alors qu'une application sous-jacente nécessite un nom
+    peut s'avÃ©rer utile par exemple, si vous souhaitez que les
+    utilisateurs se connectent Ã  un site web en utilisant leur adresse
+    email, alors qu'une application sous-jacente nÃ©cessite un nom
     d'utilisateur comme identifiant.
     Cette directive n'a d'effet que si l'on utilise ce module pour
     l'authentification.
@@ -1347,7 +1346,7 @@ d'environnement REMOTE_USER
 AuthLDAPRemoteUserIsDN
-Utilise le DN de l'utilisateur pour définir la variable
+Utilise le DN de l'utilisateur pour dÃ©finir la variable
 d'environnement REMOTE_USER
 AuthLDAPRemoteUserIsDN on|off
 AuthLDAPRemoteUserIsDN off
@@ -1356,11 +1355,11 @@ d'environnement REMOTE_USERAuthConfig
 
 
-    Lorsque cette directive est à on, la variable d'environnement
-    REMOTE_USER sera définie avec la valeur du DN complet
-    de l'utilisateur authentifié, et non plus avec simplement le nom
-    d'utilisateur fourni par le client. Elle est définie à off par
-    défaut.
+    Lorsque cette directive est Ã  on, la variable d'environnement
+    REMOTE_USER sera dÃ©finie avec la valeur du DN complet
+    de l'utilisateur authentifiÃ©, et non plus avec simplement le nom
+    d'utilisateur fourni par le client. Elle est dÃ©finie Ã  off par
+    dÃ©faut.
     Cette directive n'a d'effet que si l'on utilise ce module pour
     l'authentification.
 
@@ -1368,7 +1367,7 @@ d'environnement REMOTE_USER
 AuthLDAPSearchAsUser
-Utilise les données d'authentification de l'utilisateur
+Utilise les donnÃ©es d'authentification de l'utilisateur
 pour la recherche des autorisations
 AuthLDAPSearchAsUser on|off
 AuthLDAPSearchAsUser off
@@ -1378,25 +1377,25 @@ pour la recherche des autorisationsDisponible depuis la version 2.3.6
 
 
-    Lorsque cette directive est définie, et si
-    mod_authnz_ldap a authentifié l'utilisateur, les
-    recherches LDAP pour définir les autorisations utilisent le nom
-    distinctif (DN) trouvé et le mot de passe pour l'authentification de
-    base HTTP de l'utilisateur authentifié, au lieu des données
-    d'authentification configurées au niveau du serveur.
+    Lorsque cette directive est dÃ©finie, et si
+    mod_authnz_ldap a authentifiÃ© l'utilisateur, les
+    recherches LDAP pour dÃ©finir les autorisations utilisent le nom
+    distinctif (DN) trouvÃ© et le mot de passe pour l'authentification de
+    base HTTP de l'utilisateur authentifiÃ©, au lieu des donnÃ©es
+    d'authentification configurÃ©es au niveau du serveur.
 
-    Les vérifications d'autorisation ldap-filter et
+    
Les vÃ©rifications d'autorisation ldap-filter et
     ldap-dn utilisent des recherches.
 
-    Cette directive n'a d'effet sur les comparaisons effectuées au
-    cours des traitements de groupe imbriqués, et lorsque la directive
+    
Cette directive n'a d'effet sur les comparaisons effectuÃ©es au
+    cours des traitements de groupe imbriquÃ©s, et lorsque la directive
     AuthLDAPCompareAsUser
-    est aussi activée.
+    est aussi activÃ©e.
 
-     Cette directive ne doit être utilisée que si votre serveur LDAP
+     
Cette directive ne doit Ãªtre utilisÃ©e que si votre serveur LDAP
      n'autorise pas les recherches anonymes, ou si vous ne pouvez pas
-     utiliser de nom d'utilisateur dédié via la directive