summaryrefslogtreecommitdiff
path: root/docs/manual/mod/mod_dav.xml.fr
blob: 8cf2c8ee7bcf2e490993579dc392d8cd39df650a (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
<?xml version="1.0"?>
<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
<!-- English Revision: 1673582 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->

<!--
 Licensed to the Apache Software Foundation (ASF) under one or more
 contributor license agreements.  See the NOTICE file distributed with
 this work for additional information regarding copyright ownership.
 The ASF licenses this file to You under the Apache License, Version 2.0
 (the "License"); you may not use this file except in compliance with
 the License.  You may obtain a copy of the License at

     http://www.apache.org/licenses/LICENSE-2.0

 Unless required by applicable law or agreed to in writing, software
 distributed under the License is distributed on an "AS IS" BASIS,
 WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
 See the License for the specific language governing permissions and
 limitations under the License.
-->

<modulesynopsis metafile="mod_dav.xml.meta">

<name>mod_dav</name>
<description>Fonctionnalit&eacute; de cr&eacute;ation et gestion de versions de
documents via le web (<a
href="http://www.webdav.org/">WebDAV</a>)</description>
<status>Extension</status>
<sourcefile>mod_dav.c</sourcefile>
<identifier>dav_module</identifier>

<summary>
    <p>Ce module ajoute &agrave; Apache une fonctionnalit&eacute; <a
    href="http://www.webdav.org">WebDAV</a> de classes 1 et 2
    ('Web-based Distributed Authoring and Versioning' ou Cr&eacute;ation et
    gestion de versions de documents via le web). Il s'agit d'une
    extension du protocole HTTP qui permet de cr&eacute;er, d&eacute;placer, copier et
    supprimer des ressources ou collections de ressources sur un serveur
    web distant.</p>
</summary>
<seealso><directive module="mod_dav_fs">DavLockDB</directive></seealso>
<seealso><directive module="core">LimitXMLRequestBody</directive></seealso>
<seealso><a href="http://www.webdav.org">Ressources WebDAV</a></seealso>

<section id="example"><title>Activation de WebDAV</title>
    <p>Pour activer le module <module>mod_dav</module>, ajoutez la ligne
    suivante &agrave; un conteneur de votre fichier <code>httpd.conf</code>
    :</p>

    <highlight language="config">Dav On</highlight>

    <p>Ceci active le fournisseur de syst&egrave;me de fichier DAV impl&eacute;ment&eacute; par
    le module <module>mod_dav_fs</module>. Ce dernier doit donc &ecirc;tre
    compil&eacute; dans le serveur ou charg&eacute; au d&eacute;marrage &agrave; l'aide de la
    directive <directive module="mod_so">LoadModule</directive>.</p>

    <p>En outre, vous devez indiquer o&ugrave; se trouve la base de donn&eacute;es des
    verrous DAV via une directive <directive
    module="mod_dav_fs">DavLockDB</directive> dans la section globale de
    votre fichier <code>httpd.conf</code> :</p>

    <highlight language="config">
      DavLockDB "/usr/local/apache2/var/DavLock"
    </highlight>

    <p>Le r&eacute;pertoire contenant le fichier de la base de donn&eacute;es des
    verrous doit avoir des droits en &eacute;criture pour l'utilisateur et le
    groupe sous lesquels Apache s'ex&eacute;cute et d&eacute;finis respectivement par
    les directives <directive module="mod_unixd">User</directive> et
    <directive module="mod_unixd">Group</directive>.</p>

    <p>Si vous souhaitez limiter l'acc&egrave;s aux r&eacute;pertoires o&ugrave; DAV est
    activ&eacute;, vous pouvez ajouter une clause <directive module="core"
    type="section">Limit</directive> dans la section <directive
    module="core" type="section">Location</directive> consid&eacute;r&eacute;e. Pour
    d&eacute;finir la quantit&eacute; maximale de donn&eacute;es en octets qu'un client
    DAV peut envoyer par requ&ecirc;te, vous devez utiliser la directive
    <directive module="core">LimitXMLRequestBody</directive>, car La
    directive <directive module="core">LimitRequestBody</directive>
    "habituelle" n'a aucune incidence sur les requ&ecirc;tes DAV.</p>

    <example><title>Exemple complet</title>
      <highlight language="config">
DavLockDB "/usr/local/apache2/var/DavLock"

&lt;Directory "/usr/local/apache2/htdocs/foo"&gt;
    Require all granted
    Dav On

    AuthType Basic
    AuthName "DAV"
    AuthUserFile "user.passwd"

    &lt;LimitExcept GET POST OPTIONS&gt;
        Require user admin
    &lt;/LimitExcept&gt;
&lt;/Directory&gt;
      </highlight>
    </example>

</section>

<section id="security"><title>Probl&egrave;mes concernant la s&eacute;curit&eacute;</title>

    <p>Etant donn&eacute; que les m&eacute;thodes d'acc&egrave;s DAV permettent &agrave; des clients
    distants de manipuler des fichiers sur le serveur, vous devez vous
    assurer que votre serveur est bien s&eacute;curis&eacute; avant d'activer
    <module>mod_dav</module>.</p>

    <p>Tout r&eacute;pertoire du serveur o&ugrave; DAV est activ&eacute; doit &ecirc;tre prot&eacute;g&eacute;
    par une proc&eacute;dure d'authentification. L'utilisation de
    l'authentification HTTP de base n'est pas recommand&eacute;e. Vous devez
    utiliser au moins l'authentification HTTP &agrave; base de condens&eacute;s
    qu'impl&eacute;mente le module <module>mod_auth_digest</module>.
    Pratiquement tous les clients WebDAV supportent cette m&eacute;thode
    d'authentification. Vous pouvez aussi utiliser l'authentification de
    base sur une connexion o&ugrave; <a href="../ssl/">SSL</a> est activ&eacute;.</p>

    <p>Pour que <module>mod_dav</module> puisse manipuler des fichiers,
    il doit avoir des permissions en &eacute;criture sur les r&eacute;pertoires et les
    fichiers qui sont sous son contr&ocirc;le ; en d'autre termes, c'est
    l'utilisateur et le groupe sous lesquels Apache s'ex&eacute;cute et d&eacute;finis
    par les directives <directive module="mod_unixd">User</directive> et
    <directive module="mod_unixd">Group</directive> qui doivent avoir
    les droits en &eacute;criture sur ces fichiers et r&eacute;pertoires. Les fichiers
    nouvellement cr&eacute;&eacute;s appartiendront aussi &agrave; ces utilisateur et groupe.
    Par cons&eacute;quent, il est important de contr&ocirc;ler l'acc&egrave;s &agrave; ce compte.
    Les r&eacute;pertoires DAV sont consid&eacute;r&eacute;s comme priv&eacute;s du point de vue
    d'Apache, et la modification des fichiers qu'ils contiennent
    autrement que par l'interm&eacute;diaire d'Apache (par exemple par FTP ou
    par des outils du niveau du syst&egrave;me de fichiers) ne doit pas &ecirc;tre
    permise.</p>

    <p><module>mod_dav</module> peut faire l'objet de plusieurs sortes
    d'attaques par d&eacute;ni de service. La directive <directive
    module="core">LimitXMLRequestBody</directive> permet de limiter la
    quantit&eacute; de m&eacute;moire consomm&eacute;e pour interpr&eacute;ter des requ&ecirc;tes DAV de
    grande taille. En outre, la directive <directive
    module="mod_dav">DavDepthInfinity</directive> permet d'emp&ecirc;cher les
    requ&ecirc;tes <code>PROPFIND</code> concernant un r&eacute;pertoire de tr&egrave;s
    grande taille de consommer de grandes quantit&eacute;s de m&eacute;moire. Un autre
    type d'attaque par d&eacute;ni de service peut aussi &ecirc;tre men&eacute; par un
    client qui remplit simplement tout l'espace disque disponible avec
    des fichiers de tr&egrave;s grande taille. Etant donn&eacute; qu'il n'existe aucun
    moyen direct d'&eacute;viter ce genre d'attaque dans Apache, vous ne devez
    accorder des acc&egrave;s DAV qu'&agrave; des utilisateurs de confiance.</p>
</section>

<section id="complex"><title>Configurations complexes</title>

    <p>Les requ&ecirc;tes ayant pour but de manipuler des fichiers dynamiques
    (scripts PHP, scripts CGI, etc...) en utilisant
    <module>mod_dav</module> sont courantes. Ce traitement n'est pas
    &eacute;vident car une requ&ecirc;te
    <code>GET</code> va toujours tenter d'ex&eacute;cuter le script, plut&ocirc;t que
    de t&eacute;l&eacute;charger son contenu. Pour &eacute;viter cet inconv&eacute;nient, une
    m&eacute;thode possible consiste &agrave; faire correspondre deux URLs
    diff&eacute;rentes au m&ecirc;me contenu, l'une d'entre elles servant &agrave; lancer le
    script, alors que l'autre peut &ecirc;tre utilis&eacute;e pour le t&eacute;l&eacute;charger et
    le manipuler avec DAV.</p>

<highlight language="config">
Alias "/phparea" "/home/gstein/php_files"
Alias "/php-source" "/home/gstein/php_files"
&lt;Location "/php-source"&gt;
Dav On
ForceType text/plain
&lt;/Location&gt;
</highlight>

    <p>Avec cette configuration, on peut utiliser
    <code>http://example.com/phparea</code> pour afficher le r&eacute;sultat de
    l'ex&eacute;cution des scripts PHP, et
    <code>http://example.com/php-source</code> pour les manipuler avec
    DAV.</p>
</section>

<directivesynopsis>
<name>Dav</name>
<description>Active les m&eacute;thodes HTTP WebDAV</description>
<syntax>Dav On|Off|<var>nom fournisseur</var></syntax>
<default>Dav Off</default>
<contextlist><context>directory</context></contextlist>

<usage>
    <p>La directive <directive>Dav</directive> active les
    m&eacute;thodes HTTP WebDAV pour le conteneur condid&eacute;r&eacute; :</p>

    <highlight language="config">
&lt;Location "/foo"&gt;
    Dav On
&lt;/Location&gt;
    </highlight>

    <p>La valeur <code>On</code> est en fait un alias vers le
    fournisseur par d&eacute;faut <code>filesystem</code> impl&eacute;ment&eacute; par le
    module <module>mod_dav_fs</module>. Notez que lorsque DAV est activ&eacute;
    pour un conteneur, on <em>ne peut pas</em> le d&eacute;sactiver pour ses
    sous-conteneurs. Pour un exemple de configuration complet,
    reportez-vous &agrave; la <a href="#example">section pr&eacute;c&eacute;dente</a>.</p>

    <note type="warning">
      N'activez pas WebDAV tant que votre serveur n'est pas s&eacute;curis&eacute;. Si
      vous passez outre cette recommandation, tout le monde pourra
      enregistrer des fichiers sur votre syst&egrave;me.
    </note>
</usage>
</directivesynopsis>

<directivesynopsis>
<name>DavMinTimeout</name>
<description>Dur&eacute;e minimale pendant laquelle le serveur maintient un
verrou sur une ressource DAV</description>
<syntax>DavMinTimeout <var>secondes</var></syntax>
<default>DavMinTimeout 0</default>
<contextlist><context>server config</context><context>virtual host</context>
<context>directory</context></contextlist>

<usage>
    <p>Lorsqu'un client demande le verrouillage d'une ressource DAV, il
    peut aussi sp&eacute;cifier une dur&eacute;e au bout de laquelle le verrou sera
    automatiquement supprim&eacute; par le serveur. Cette valeur ne constitue
    qu'une requ&ecirc;te, et le serveur peut l'ignorer ou informer le client
    qu'il va utiliser une valeur arbitraire.</p>

    <p>La directive <directive>DavMinTimeout</directive>
    sp&eacute;cifie, en secondes, la dur&eacute;e minimale de verrouillage &agrave; renvoyer
    au client. Les R&eacute;pertoires Web de Microsoft pr&eacute;sentent une dur&eacute;e par
    d&eacute;faut de 120 secondes ; la directive
    <directive>DavMinTimeout</directive> permet de d&eacute;finir une valeur
    sup&eacute;rieure (par exemple 600 secondes), afin de r&eacute;duire les risques
    de perte du verrou par le client suite &agrave; une surcharge du
    r&eacute;seau.</p>

    <example><title>Exemple</title>
      <highlight language="config">
&lt;Location "/MSWord"&gt;
    DavMinTimeout 600
&lt;/Location&gt;
    </highlight>
    </example>
</usage>
</directivesynopsis>

<directivesynopsis>
<name>DavDepthInfinity</name>
<description>Autorise les requ&ecirc;tes PROPFIND avec en-t&ecirc;te Depth:
Infinity</description>
<syntax>DavDepthInfinity on|off</syntax>
<default>DavDepthInfinity off</default>
<contextlist><context>server config</context><context>virtual host</context>
<context>directory</context></contextlist>

<usage>
    <p>La directive <directive>DavDepthInfinity</directive>
    autorise le traitement des requ&ecirc;tes <code>PROPFIND</code>
    contenant l'en-t&ecirc;te Depth: Infinity. Par d&eacute;faut, ce type de requ&ecirc;te
    n'est pas autoris&eacute;, car il peut favoriser les attaques de type D&eacute;ni
    de service.</p>
</usage>
</directivesynopsis>

</modulesynopsis>