Comment modifier les droits d'accès de son espace de publication.

Table des matières

I. Introduction

II. Principe de fonctionnement

III. Quelques exemples

a.Ouvrir sur internet l'espace des ressources pédagogiques

b. Restreindre l'accès au campus uniquement

c. Restreindre l'accès à une sous-partie du réseau de l'INT

d. Forcer l'authentification avec un compte LDAP/INT

e. Limiter à certains visiteurs l'accès à ses pages

f. Passer à un accès de type extranet

g. Limiter à certains visiteurs l'accès à ses pages depuis le campus

IV. Compléments d'informations

I. Introduction

L'INT propose à son personnel des espaces de publication :

• http://www-public.it-sudparis.eu : de visibilité internet par défaut, est plutôt destiné à mettre en ligne des informations personnelles comme des travaux de recherche,
• http://www-cours.it-sudparis.eu : de visibilité extranet par défaut, est destiné à mettre en ligne les ressources pédagogiques pérennes et assez statiques (au sens modifiées peu souvent) à destination des étudiants.

A l'INT, nous avons trois types de visibilité :

• internet : les internautes du monde entier ont accès aux pages
• extranet : seuls le personnel et les étudiants de l'INT ont accès aux pages. Depuis les machines du campus (sauf le WIFI), il est possible d'accéder directement aux pages. Hors du campus (ou depuis le WIFI), une autentification est nécessaire.
• intranet : seul le personnel de l'INT a accès à ces pages. Depuis les machines du campus (sauf le WIFI, les salles de TP et la MAISEL), il est possible d'accéder directement aux pages. Depuis l'extérieur (ou depuis le WIFI, les salles de TP et la MAISEL), une authentification est nécessaire.

Avant de continuer la lecture de ce document, je vous conseille de lire le document technique de Jehan Procaccia : Publication de pages web individuelles, cours et/ou publique (ou sur l'infopédia : Principe des webspaces) qui explique comment gérer ses espaces de publication.

II. Principe de fonctionnement

Il est possible de modifier la visibilité de l'intégralité de l'espace ou d'une partie à l'aide d'un fichier de configuration .htaccess.

Ce fichier contient des directives que le serveur web devra interpréter. Il est ainsi possible de personnaliser son espace de publication. Dans le cas présent, nous allons travailler sur ce fichier pour pouvoir modifier les droits d'accès.

Pour restreindre l'accès à un répertoire, il faut y placer le fichier (soit à la racine du site, soit dans une sous-arborescence). La restriction sera alors prise en compte pour tous les fichiers et sous-répertoires.

Par défaut, ce fichier n'existe pas, vous devez le créer.

Attention :

1. Si vous tentez de créer ce fichier directement dans windows (sans passer par un éditeur), le système vous signalera que "vous devez spécifier un nom de fichier". En effet, windows n'accepte pas qu'un fichier commence par un point. Dans ce cas là, créez un fichier commençant par une lettre (a.htaccess, par exemple). Vous renommerez ce fichier après l'avoir transféré sur le serveur de publication.
2. Si vous utilisez le bloc note de windows pour éditer votre fichier, sélectionnez "Tous les fichiers" dans la liste Type lors de l'enregistrement. Si vous ne le faites pas, le bloc note rajoutera l'extension .txt à votre fichier, dans ce cas retirez l'extension .txt dans windows ou une fois le fichier transféré sur le serveur.

III. Quelques exemples

Les exemples qui suivent vont du cas le plus simple (tout ouvrir) au cas le plus complexe (limiter l'accès à certains utilisateurs depuis un sous-réseau particulier). A chaque étape, des lignes seront rajoutées au fichier (et certaines modifiées ou supprimées).

Les lignes ajoutées sont en gras et rouge.

Les lignes modifiées sont en gras et orange.

a. Ouvrir sur internet l'espace des ressources pédagogiques

Par défaut cet espace n'est accessible que depuis le campus ou depuis l'extérieur après une authentification (c'est la visibilité extranet).

Voici le contenu du fichier .htaccess :

<Limit GET POST>
allow from all
</Limit>

b. Restreindre l'accès au campus uniquement

Voici le contenu du fichier .htaccess :

<Limit GET POST>
Order deny,allow
deny from all
allow from 157.159
</Limit>

c. Restreindre l'accès à une sous-partie du réseau de l'INT

Soit vous spécifiez les sous-réseaux autorisés :

<Limit GET POST>
Order deny,allow
deny from all
allow from 157.159.190
allow from 157.159.150
</Limit>

Soit vous ouvrez à tout l'INT et interdisez à certains sous-réseaux :

<Limit GET POST>
Order deny,allow
deny from all
allow from 157.159
deny from 157.159.140
deny from 157.159.15
</Limit>

d. Forcer l'authentification avec un compte LDAP/INT

Dans ce cas, seules les personnes authentifiées pourront accéder à votre espace, que se soit depuis l'extérieur ou depuis le campus.

<Limit GET POST>
Order deny,allow
AuthType CAS
AuthName "INT auth"
deny from all
Require valid-user
satisfy any
</Limit>

e. Limiter à certains visiteurs l'accès à ses pages

Une fois l'authentification forcée, il est possible d'identifier le visiteur et de lui donner ou pas l'accès aux pages.

Il faut pour cela remplacer une ligne dans le précédent exemple en ajoutant la liste des logins (il s'agit de son login S2IA de messagerie) autorisés à accéder aux pages.

<Limit GET POST>
Order deny,allow
AuthType CAS
AuthName "INT auth"
deny from all
Require user login1 login2 login3
satisfy any
</Limit>

f. Passer à un accès de type extranet

Si vous désirez restreindre l'accès de votres espace public au campus uniquement ou après une authentification lorsque le visiteur vient de l'extérieur, voici le contenu du fichier :

<Limit GET POST>
Order deny,allow
AuthType CAS
AuthName "INT auth"
deny from all
allow from 157.159
Require valid-user
satisfy any
</Limit>

En spécifiant les bons sous-réseaux, il vous est possible de forcer l'authentification si l'internaute vient du réseau wifi de l'INT (157.159.140), des salles de TP (157.159.15 et 157.159.16) ou de la MAISEL (de 157.159.40 à 157.159.47) :

<Limit GET POST>
Order deny,allow
AuthType CAS
AuthName "INT auth"
deny from all
allow from 157.159
deny from 157.159.140
deny from 157.159.15
deny from 157.159.16
deny from 157.159.40
deny from 157.159.41
deny from 157.159.42
deny from 157.159.43
deny from 157.159.44
deny from 157.159.45
deny from 157.159.46
deny from 157.159.47
Require valid-user
satisfy any
</Limit>

g. Limiter à certains visiteurs l'accès à ses pages depuis le campus

Dans ce cas, seules certaines personnes pourront accéder aux pages et uniquement depuis le campus.

<Limit GET POST>
Order deny,allow
AuthType CAS
AuthName "INT auth"
deny from all
allow from 157.159
Require user login1 login2 login3
satisfy all
</Limit>

IV. Compléments d'informations

Dans ce document, nous n'avons abordé que le cas spécifique des webspaces de l'INT. le fichier .htaccess permet d'autres personnalisations (par exemple authentification à partir d'un fichier ou d'une base de données, reconfiguration de certains paramètres du serveur web, ...).

Pour plus de détails vous pouvez contacter Eric Bourhis ou Dominique Bouillet.

Réalisez le 11/05/2007 par Eric BOURHIS (CRMP)