[Htaccess] protéger la racine wamp

bonjour a tous,
bon voici mon problème que j'ai déjà posté sur d'autre site plus ou moins reconnu..
je connaissais "developpez" pour la formidable quantité de code-sources disponible mais je ne m'était jamais trop attardé sur le forum qu'on vient de me recommander.
J'espere donc premierement que vous pourrez m'aider ;)
et que je ne duplique pas le sujet.

Voici donc ma situation:
j'ai plusieurs " "sites" " sous mon wamp(accessible de l'exterieur) que je protege par des .htaccess(sous-dossier) avec des droits en fonction de "group/user".
chaque .htaccess de mes sites fonctionen parfaitement:
c:/program fiels/wamp/site1/.htaccess
c:/program fiels/wamp/site2/.htaccess
c:/program fiels/wamp/site3...

le coeur du problème est:
je n'arrive pas a proteger la racine c:/program fiels/wamp/ par un .htaccess(racine)
si je ne précise rien tous mes sous dossier sont affecté par celui ci (une sorte d'auto inherit)
et avec un <files> tel que ce .htaccess ci:

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

<Files "Index.php"> ErrorDocument 401 /erreur_401.html ErrorDocument 403 /erreur_403.html ErrorDocument 404 /erreur_404.html AuthUserFile C:\program files\wamp\www\.htpasswd AuthGroupFile C:\program files\wamp\www\.htgroup AuthName "acceder à la partie en ligne de WAMP" AuthType Basic satisfy any <Limit GET POST> order deny,allow deny from all #require group A </Limit> </Files>

---

je me retrouve avec une 403 quoi qu'il en soit (pas de demande d'authentification).

Voila je reste a votre entiere disposition pour de plus amples informations en esperant que vous pourrez m'aider.
Merci d'avance
Djlau

Comment tu accèdes à tes différents sites ? C'est des noms de domaines différents ou des préfixes d'URL (http://serveur/site1, http://serveur/site2) ? Dans le premier cas, je te conseille vivement de passer par des virtual hosts Apache pour définir les différents document root et fait pointer le document root par défaut vers un répertoire vide ou qui ne contient que des trucs bateau. Pour le second cas, essaie de mettre un Deny from all dans ton .htaccess qui se trouve à la racine du doc root de Wamp et de mettre des Allow from all (ou autre équivalent en fonction des règles d'accès que tu as fixées) dans les autres .htaccess.

l'acces aux differents "sites" (plus des projet php mais sans interet)
se fait en accedant au serveur de l'entreprise via un Extranet avec des redirections de ports ainsi qu'un dynDNS.org ce qui donne en concret:
http://nomsociete.dyndns.org:XX/site1
http://nomsociete.dyndns.org:XX/site2
...
qui renvoit donc directement au http://localhost:XX redirigé sur le serveur ou en dur ca donne c:/program files/.....
je suis pas tres calé de ce que tu m'a expliqué cependant, si je ne me trompe pas, ta solution n'est pas adaptée du fait que j'ai un seul serveur et donc un seul document root...( enfin je crois avoir compris ca :? )
concernant le reste je m'en vais y regarder.
énorme merci pour ta rapidité et grand bravo pour ta perspicacité.

Citation:

---

Envoyé par djlau

j'ai un seul serveur et donc un seul document root...( enfin je crois avoir compris ca :? )

---

Ben justement, non. C'est le principe des virtual hosts : tu as un seul serveur physique et logique (Apache) mais qui te permet de construire et gérer différents sites web exactement comme s'ils étaient sur des serveurs (physiques ou logiques) différents. Tu utilises une section <VirtualHost > ... </VirtualHost> pour déclarer un hôte virtuel (un hôte virtuel, c'est un couple (adresse IP, port) ou (nom, port)). Ensuite, tu peux déclarer ou redéclarer un certain nombre de directives Apache pour chaque hôte virtuel, dont DocumentRoot. Ainsi, tu peux avoir 1 document root différent par serveur virtuel configuré.

Pour plus de détails, je t'invite à lire un tutoriel ou une doc sur Apache et les hôtes virtuels.

Mais ceci dit, les hôtes virtuels ne s'appliquent effectivement pas dans ton cas car le couple (nom, port) reste toujours le même quelque soit le site.

de retour apres avoir regarder tout ca de plus pres...

Citation:

---

Envoyé par _Mac_

Pour le second cas, essaie de mettre un Deny from all dans ton .htaccess qui se trouve à la racine du doc root de Wamp

---

il y est deja dans celui de ma racine (coller dans le premier message de ce meme sujet)

Citation:

---

Envoyé par _Mac_

et de mettre des Allow from all (ou autre équivalent en fonction des règles d'accès que tu as fixées) dans les autres .htaccess.

---

Ils sont constitué de deux groupes par .htaccess
require groupA et require group B
require groupA et require group C
require groupA et require group D (A etant une sorte de groupe "admin")
en satisfy any pense pas pouvoir faire autrement pour tous ceux-la
et je rapelle que ceux-ci fonctionne tres bien du moment que dans laracine j'ai le <files Index.php>
sinon celui de la racine prend le dessus et passe avant tout les autres peut importe le chemin

Citation:

---

Envoyé par djlau

et je rapelle que ceux-ci fonctionne tres bien du moment que dans laracine j'ai le <files Index.php>
sinon celui de la racine prend le dessus et passe avant tout les autres peut importe le chemin

---

Tu peux détailler : je ne comprends pas. D'où sort ta configuration <Files> et surtout que cherches-tu à faire exactement ? Tu entends quoi par "je n'arrive pas a proteger la racine c:/program fiels/wamp/ par un .htaccess" ?

Je viens de faire un test : ça marche avec ce que je t'ai dit :

[racine]\.htaccess :

Code:

---

Deny from all

---

[racine]\test1\users.txt et [racine]\test1\groups.txt sont mes 2 fichiers d'utilisateurs et de groupes

[racine]\test1\.htaccess :

Code:

---

1 2 3 4 5 6

Allow from all AuthUserFile "C:/Program Files/EasyPHP1-8/www/test1/users.txt" AuthGroupFile "C:/Program Files/EasyPHP1-8/www/test1/groups.txt" AuthType Basic AuthName "Veuillez vous authentifier" Require group admin

---

Avec ça, je n'ai pas accès à http://localhost/. Si j'essaie d'accéder à http://localhost/test1, il faut que je rentre le l/p d'un utilisateur du groupe admin.

Pour info, j'ai gardé le fichier de config httpd.conf d'origine, je n'ai pas de configuration de virtual host ou de <Files> que j'ai défini moi-même.

le <files Index.php> se trouve dans mon .htaccess sur c:/program files/wamp/www/.htaccess (confere "code" du premeir message de cette discussion)
que j'ai donc placé ici afin de limité l'étendu de .htaccess, qui , sans ca, domine sur tout les autres:
c:/program files/wamp/www/site1/.htaccess
c:/program files/wamp/www/site2/.htaccess

de plus, j'en suis sur car en allant chercher
c:/program files/wamp/www/site2 ou c:/program files/wamp/www/site1/ ... jeme retrouve avec "bienvenue sur la partie en ligne de wamp"
(authName de celui de la racine!)
(les autes étant AuthName "Bienvenue sur site 1"...)
Une fois de plus tout ceci est sans le <files index.php>
car sinon tout marche sauf petit probleme erreur 403 d'office sans fenetre de loggin (d'ou mon probleme)
je trime sur ce problème mineur depuis un petit bout de temps je m'excuse de mon incapacité a voux expliquer clairement le problème



Moi aussi j'arrive a faire un deny from all sur la racine sauf que c'est pas volontaire et je voudrais une fenetre d'identification (user/passwd) du fait que j'ai mis "require group A"

Ne vas pas croire que je m'ennerve mais je ne comprends vraiment pas ce que tu cherches à faire : oublie ta config actuelle et dis clairement et simplement quel est ton besoin. C'est tout ce que je te demande pour l'instant. Tu veux pouvoir t'authentifier sur la racine et avec des utilisateurs différents des autres site, c'est ça ?

Si tu veux bien faire ce que je crois comprendre que tu veux faire (:koi:), j'y arrive en mettant un .htaccess comme celui-ci dans la racine :

Code:

---

1 2 3 4 5

AuthUserFile "C:/Program Files/EasyPHP1-8/www/users.txt" AuthGroupFile "C:/Program Files/EasyPHP1-8/www/groups.txt" AuthType Basic AuthName "Veuillez vous authentifier" Require group admin

---

J'imagine donc que c'est pas ce que tu cherches, n'est-ce pas ?

Citation:

---

Envoyé par _Mac_

Tu veux pouvoir t'authentifier sur la racine et avec des utilisateurs différents des autres site, c'est ça ?

---

arf non beaucoup plus simple m'authentifier sur la racine tout simplement!

lorsque je vai la :http://nomboite.dynddns.org:XX/site1
un groupe B puisse y acceder + groupe admin (A)
lorsque je vai la :http://nomboite.dynddns.org:XX/site2
un groupe C puisse y acceder + groupe admin
etc...
lorsque je vai la :http://nomboite.dynddns.org:XX/
un groupe admin puisse y acceder

Citation:

---

Envoyé par _Mac_

Si tu veux bien faire ce que je crois comprendre que tu veux faire (:koi:), j'y arrive en mettant un .htaccess comme celui-ci dans la racine :

Code:

---

1 2 3 4 5

AuthUserFile "C:/Program Files/EasyPHP1-8/www/users.txt" AuthGroupFile "C:/Program Files/EasyPHP1-8/www/groups.txt" AuthType Basic AuthName "Veuillez vous authentifier" Require group admin

---

J'imagine donc que c'est pas ce que tu cherches, n'est-ce pas ?

---

bien sur que si c'est ce que je veux mais ce satané apache me sort une 403 sans me demander de m'authentifier :cry:

voila donc ce fameux .htaccess(copeir/coller du 1er message) qui me retourne 403 au lieu d'une fenetre d'authentif:
<Files "Index.php">
ErrorDocument 401 /erreur_401.html
ErrorDocument 403 /erreur_403.html
ErrorDocument 404 /erreur_404.html
AuthUserFile C:\program files\wamp\www\.htpasswd
AuthGroupFile C:\program files\wamp\www\.htgroup
AuthName "acceder à la partie en ligne de WAMP"
AuthType Basic
satisfy any
<Limit GET POST>
order deny,allow
deny from all
require group A
</Limit>
</Files>

Citation:

---

Envoyé par djlau

bien sur que si c'est ce que je veux mais ce satané apache me sort une 403 sans me demander de m'authentifier :cry:

---

Plutôt étrange : il me redemande bien le login/mot de passe... Tu as un message d'erreur dans les logs d'erreur d'Apache ? Je ne vois pas pourquoi il ne te redemande pas une authent'.

Bref, pour ce que tu cherches à faire, je ne sais pas si ça te convient mais j'ai trouvé une conf simple qui me semble correspondre à ton besoin :
- 1 seul fichier d'utilisateurs pour tous tes sites (ça, je ne sais pas si c'est acceptable pour toi)
- 1 seul fichier de groupes où je définis un groupe admin, un groupe test1, un groupe test2
- Fichier .htaccess racine :

Code:

---

1 2 3 4 5

AuthUserFile "C:/Program Files/EasyPHP1-8/www/users.txt" AuthGroupFile "C:/Program Files/EasyPHP1-8/www/groups.txt" AuthType Basic AuthName "Veuillez vous authentifier" Require group admin

---

- Fichier .htaccess pour le sous-répertoire test1 :

Code:

---

Require group admin test1

---

- Fichier .htaccess pour le sous-répertoire test2 :

Code:

---

Require group admin test2

---

Le souci, c'est bien évidemment qu'il y a 1 seul fichier d'utilisateurs et de groupes. Tu ne peux donc pas "partager" un login (par exemple, si une personne a le login "toto" pour /test1 et que tu veux qu'une autre personne ait le login "toto" pour /test2, c'est pas possible). Si c'est vraiment le point de blocage, je ne vois malheureusement pas de solution à ton pb à part la duplication des fichiers d'utilisateurs et des groupes et revenir dans ma première config.

Je viens de voir ça : ne mets pas tes fichiers de mots de passe et de groupe à la racine de ton site : même s'il faut un mot de passe pour pouvoir les télécharger, ils sont téléchargeables (par un compte admin) et c'est pas top. Le mieux est toujours de faire en sorte qu'ils ne soient pas téléchargeables du tout.

faison un point:

je suis dans lasituation que tu me recommande:
1fichier .htpassword
1fichier .htgroup
1page 404
1page 403
1page 401

voici un fichier .htaccess conernant site1:
ErrorDocument 401 /erreur_401.html
ErrorDocument 403 /erreur_403.html
ErrorDocument 404 /erreur_404.html
AuthUserFile C:\program files\wamp\www\.htpassword
AuthGroupFile C:\program files\wamp\www\.htgroup
AuthName "acceder à la partie en ligne de site1"
AuthType Basic
<Limit GET POST>
require group Admin
require group Site1
</Limit>
il en est exactement les memes pour site2 site3....
pour le .htacess diférent(c:program files/wamp/www/.htaccess) je te laisse regarder plus haut: posté deux fois.
Ceci semble donc corespondre précisément a ta derniere proposition. (excepté ErrorDocument)

au niveau du log d'apache jai ceci:

[Wed May 09 16:29:39 2007] [error] [client 192.168.1.1] client denied by server configuration: C:/program files/wamp/www/.htaccess
[Wed May 09 16:29:39 2007] [error] [client 192.168.1.1] client denied by server configuration: C:/program files/wamp/www/.htaccess
[Wed May 09 16:29:39 2007] [error] [client 192.168.1.1] client denied by server configuration: C:/program files/wamp/www/.htaccess
(en beaucoup plus de lignes^^)

Citation:

---

Envoyé par djlau

Ceci semble donc corespondre précisément a ta derniere proposition. (excepté ErrorDocument)

---

Non : le fichier .htaccess que tu donnes (celui avec les ErrorDocument) c'est celui que j'ai mis à la racine (j'ai marqué "Fichier .htaccess racine" dans mon avant dernier post). Les .htaccess que j'ai au niveau des sites (pour moi, ce sont les répertoires test1 et test2) ne contiennent qu'une seule ligne :

Code:

---

Require group admin test1

---

Je n'utilise pas du tout de section <Files>.

ok bon on va bien finir par y arriver!
voila mon .htaccess de c:/PF/wamp/www/.htaccess réduit a son strict minimum:

Code:

---

1 2 3 4 5 6 7 8 9

ErrorDocument 401 /erreur/erreur_401.html ErrorDocument 403 /erreur/erreur_403.html ErrorDocument 404 /erreur/erreur_404.html AuthUserFile C:\PF\wamp\www\.htpasswd AuthGroupFile C:\PF\wamp\www\.htgroup AuthName "acceder à la partie en ligne de WAMP" AuthType Basic require group A

---

pour les autres j'ai fait comme tu me l'a indiqué:

Code:

---

1 2 3

AuthName "test1" Require group admin test1

---

ceci dans c:/PF/wamp/www/test1/.htaccess
On revient au pb que j'avais au départ c'est a dire sans <files index.php>:
lorsque je clic sur http://scté.dyndns.org:xx/test1/
je me retrouve avec la demadne d'authentification:
"acceder a la partie en ligne de wamp" soit: les restrictions de celui de la racine...
je prie pour avoir été compréhensible...

Citation:

---

Envoyé par djlau

je me retrouve avec la demadne d'authentification:
"acceder a la partie en ligne de wamp" soit: les restrictions de celui de la racine...
je prie pour avoir été compréhensible...

---

Ben justement, non : je ne comprends pas ce qui suit le "je me retrouve avec la demadne d'authentification". Sur mon EasyPHP, quand j'ouvre un IE, que je vais sur http://localhost/test1 et que je m'authentifie avec un admin et que je vais sur http://localhost/ tout se passe bien (j'ai bien accès à la page index.php de la racine du site). Et quand j'ouvre un IE, que je vais sur http://localhost/test1 et que je m'authentifie avec un utilisateur lambda qui peut accéder à test1 et que je vais sur http://localhost/, j'ai une fenêtre qui me demande de m'authentifier. Bref, c'est à mon sens le comportement attendu. Donc que toi tu n'ais pas ça, ça me dépasse.

Donc : décrit clairement ce que tu fais, ce que tu obtiens, ce que tu voudrais obtenir et quand ça marche pas comme tu veux, regarde dans les logs d'erreur d'Apache si y a un message louche.