Passwords Admin

traduction en chantier d�but�e le 01/11/05.

PmWiki poss�de un syst�me int�gr� de gestion d'acc�s par mots de passe � diff�rentes parties du site. Ces mots de passe peuvent �tre appliqu�s � des pages individuelles, � des groupes Wiki, ou � l'ensemble du site Wiki. Notez que les mots de passe ne sont qu'une petite partie de l'aspect s�curit� d'un site Wiki, pour un aper�u global, consultez Les S�curit�s de PmWiki ?.

Les auteurs peuvent utiliser PmWiki pour ajouter des mots de passe aux pages individuelles et aux WikiGroups comme d�crit dans PmWikiFr.Passwords ?. Cependant, Les administrateurs Wiki ? peuvent aussi appliquer des mots de passe grace � des fichiers de personnalisation ? comme d�crit ci-dessous.

Les bases des mots de passe

PmWiki supporte plusieurs types d'acc�s aux pages wiki.

read est le mot de passe qui autorise la lecture des pages.

edit est celui qui autorise l'�dition et la modification des pages.

attr est celui qui autorise l'initialisation et la modification des mots de passe pour les diff�rents attributs (et potentiellement d'autres attributs futurs).

upload autorise la possibilit� d'attacher des fichiers (si la fonctionnalit� envoyer des fichiers sur le site est activ�e).

Enfin, il y a un mot de passe admin qui permet � l'administrateur de prendre la main sur tout mot de passe affect� � une page ou un groupe.

Par d�faut, PmWiki a la configuration de mots de passe suivante:

Les mots de passe admin et upload sont bloqu�s par d�faut
Les groupes Main et PmWiki ont un mot de passe attr bloqu� (dans leurs pages .GroupAttributes respectives).
Les pages dans le groupe Site sont bloqu�es contre l'�dition, except� Site.SideBar.

Un mot de passe admin peut �tre utilis� pour d�passer les mots de passe bloqu�s, sinon, aucun mot de passe ne permettra l'acc�s.

Regarder Mots de passe ? pour de l'information au sujet de l'application de mots de passe par page et par groupe. Le reste de cette page d�crit l'application des mots de passe pour l'ensemble du site depuis le fichier local/config.php.

Application de mots de passe au site entier

La premi�re chose qu'un administrateur devrait savoir est d'appliquer un mot de passe admin au site. Ceci est r�alis� par une ligne dans le fichier local/config.php comme ce qui suit:

    $DefaultPasswords['admin'] = crypt('secret_password');

Notez que l'appel crypt() est requis pour cela -- PmWiki stocke et g�re tous les mots de passe comme des objets crypt�s. Voyez le crypt section dessous pour des d�tails sur l'�limination des mots de passe en clair dans le fichier de configuration.

Pour restreindre l'�dition du site entier � ceux qui connaissent le mot de passe "edit", Ajoutez une ligne comme suit au fichier local/config.php:

    $DefaultPasswords['edit'] = crypt('edit_password');

De m�me, vous pouvez activer $DefaultPasswords['read'], $DefaultPasswords['attr'], et $DefaultPasswords['upload'] pour contr�ler les mots de passe par d�faut read, edit, and upload pour le site entier. Les mots de passe par d�faut sont utilis�s seulement pour les pages qui n'ont pas de mot de passe actifs. De plus, chaque valeur $DefaultPasswords peut contenir une rang�e de mots de passe:

    $DefaultPasswords['read'] = array(crypt('alpha'), crypt('beta'));
    $DefaultPasswords['edit'] = crypt('beta');

Ces lignes signifient que "alpha" ou bien "beta" peuvent �tre utilis�s pour lire les pages, mais seul le mot de passe "beta" accordera l'autorisation d'�diter une page. Comme PmWiki retient n'importe quel mot de passe entr� durant la session en cours, le mot de passe "beta" permettra � la fois la lecture et l'�criture des pages, tandis que le mot de passe "beta" permet seulement la lecture. Une personne sans aucun mot de passe ne pourra consulter aucune page.

Connexion avec Identification ( requi�re un nom d'utilisateur plus un mot de passe AuthUser ?)

Contrairement � beaucoup de syst�mes qui ont qui ont une m�thode d'identification pour contr�ler l'acc�s aux pages (c'est � dire,avec unnom d'utilisateur et un mot de passe pour chaque personne), PmWiki est par d�faut un syst�me � mot de passe comme d�crit ci-dessus. En g�n�ral les syst�mes de ce type sont souvent plus faciles � maintenir car ils �vitent les t�ches administratif de cr�ation de comptes utilisateur, de r�cup�ration des mots de passe perdus et la gestion des droits accord�s � chaque utilisateur.

However, PmWiki's authuser.php script augments the password-based system to allow access to pages based on a username and password combination. See AuthUser ? for more details on controlling access to pages based on user identity.

Security holes ...

Administrators need to carefully plan where passwords are applied to avoid opening inadvertent security holes. If your wiki is open (anyone can read and edit), this would not seem to be a concern, except, a malicious or confused user could apply a read password to a group and make the group completely unavailable to all other users. At the very least, even an open wiki should have a site-wide "admin" password and a site-wide "attr" password set in config.php. The sample-config.php file distributed with PmWiki indicates that the PmWiki and Main groups have "attr" locked by default, but if anyone creates a new group, "attr" is unlocked. Administrators must remember to set "attr" passwords for each new group (if desired) in this case. An easier solution is to include these lines in config.php :

$DefaultPasswords['admin'] = crypt('youradminpassword');
$DefaultPasswords['attr'] = crypt('yourattrpassword');

Encrypting passwords in config.php

One drawback to using the crypt() function directly to set passwords in config.php is that anyone able to view the file will see the unencrypted password. For example, if config.php contains

    $DefaultPasswords['admin'] = crypt('mysecret');

then the "mysecret" password is in plain text for others to see. However, a wiki administrator can obtain and use an encrypted form of the password directly by using ?action=crypt on any PmWiki url (or just jump to PasswordsAdmin?action=crypt). This action presents a form that generates encrypted versions of passwords for use in the config.php file. For example, when ?action=crypt is given the password "mysecret", PmWiki will return a string like

    $1$hMMhCdfT$mZSCh.BJOidMRn4SOUUSi1

The string returned from ?action=crypt can then be placed directly into config.php, as in:

    $DefaultPasswords['admin'] = '$1$hMMhCdfT$mZSCh.BJOidMRn4SOUUSi1';

Note that in the encrypted form the crypt keyword and parentheses are removed, since the password is already encrypted. Also, the encrypted password must be in single quotes. In this example the password is still "mysecret", but somebody looking at config.php won't be able to see that just from looking at the encrypted form. Crypt may give you different encryptions for the same password--this is normal (and makes it harder for someone else to determine the original password).

Removing passwords

To remove a site password entirely, such as the default locked password for uploads, just set it to empty:

    $DefaultPasswords['upload'] = '';

You can also use the special password "nopass" (defined by the $AllowPassword variable) via ?action=attr to have a non-password protected page within a password-protected group, or a non-password protected group with a site-wide default password set.

Revoking or invalidating passwords

If a password is compromised and the wiki administrator wants to quickly invalidate all uses of that password on a site, a quick solution is the following in local/config.php:

    $ForbiddenPasswords = array('secret', 'tanstaafl');
    if (in_array(@$_POST['authpw'], $ForbiddenPasswords)) 
      unset($_POST['authpw']);

This prevents "secret" and "tanstaafl" from ever being accepted as a valid authorization password, regardless of what pages may be using it.

: read est le mot de passe qui autorise la lecture des pages.
: edit est celui qui autorise l'�dition et la modification des pages.
: attr est celui qui autorise l'initialisation et la modification des mots de passe pour les diff�rents attributs (et potentiellement d'autres attributs futurs).
: upload autorise la possibilit� d'attacher des fichiers (si la fonctionnalit� envoyer des fichiers sur le site est activ�e).

Enfin, il y a un mot de passe admin qui permet � l'administrateur de prendre la main sur tout mot de passe affect� � une page ou un groupe.

Les pages ont des mots de passe qui sont des "attributs de page" accessibles en utilisant la commande ?action=attr � la fin de l'adresse URL de la page. Les mots de passe de groupe sont stock�s dans une page sp�ciale pour chaque groupe nomm�e GroupAttributes. Les mots de passe du site sont stock�s dans une variable tableau $DefaultPasswords. Tous les mots de passe sont stock�s de mani�re encrypt�e de mani�re � ce qu'un utilisateur balayant le contenu du fichier ne puisse pas d�terminer le mot de passe.

Par d�faut, $DefaultPasswords est configur� avec des mots de passe read,edit et attr vides pour tout le site (autorisant n'importe qui � voir et modifier les pages) et les mots de passe admin et upload sont verrouill�s. De plus, les pages Main.GroupAttributes et PmWiki.GroupAttributes ont des mot de passe attr bloqu� pour emp�cher les auteurs d'installer des mots de passe sur ces groupes (Pour changer ces mots de passe, utiliser Main.GroupAttributes?action=attr ou PmWiki.GroupAttributes?action=attr).

Pour enregistrer "mysecret" comme mot de passe administrateur, ajoutez la ligne suivante dans config.php:

    $DefaultPasswords['admin'] = crypt('mysecret');

Bien s�r, n'importe qui capable de lire config.php trouverait votre mot de passe secret, aussi voici comment le crypter. Ajoutez ?action=crypt � la fin de n'importe quelle URL de PmWiki (ou cliquer sur PasswordsAdmin?action=crypt) et un formulaire vous permettra d'obtenir la forme crypt�e de votre mot de passe. Par exemple quand le cryptage est effectu� sur le mot de passe "mysecret", PmWiki retourne une cha�ne de caract�res du genre

    $1$hMMhCdfT$mZSCh.BJOidMRn4SOUUSi1

(le r�sultat peut �tre diff�rent sur votre syst�me). Cette cha�ne peut �tre mise directement dans config.php comme ceci :

    
    $DefaultPasswords['admin'] = '$1$hMMhCdfT$mZSCh.BJOidMRn4SOUUSi1';

Notez que le mot de passe crypt� est entour� d' apostrophes (single-quotes). Maintenant, le mot de passe est toujours "mysecret", mais quelqu'un qui regardera dans config.php ne verra que sa forme crypt�. Crypt peut vous donner des r�sultats diff�rents pour le cryptage du m�me mot de passe--c'est normal (et rend encore plus difficile pour quelqu'un d'autre de d�terminer le mot de passe original).

De la m�me mani�re, vous pouvez �tablir $DefaultPasswords['read'], $DefaultPasswords['edit'] et $DefaultPasswords['attr'] pour contr�ler le comportement par d�faut de tout le site � travers les mots de passe read, edit et attr. Les mots de passe par d�faut sont utilis�s uniquement pour les pages et les groupes qui n'ont aucun mot de passe particulier. La valeur de ces variables peuvent aussi �tre des mots de passe crypt�s.

Pour supprimer un mot de passe de site, d�finissez un mot de passe vide :

   $DefaultPasswords['uploads'] = '';

Dans PmWiki, les mots de passe de page ont priorit� sur les mots de passe de groupe, les mots de passe de groupe sur les mots de passe par d�faut, et le mot de passe admin a priorit� sur tous les autres mots de passe. Ce qui procure une grande flexibilit� pour contr�ler l'acc�s des pages d'un site PmWiki. Le mot de passe sp�ciale "nopass" (d�fini par la variable $AllowPassword) peut �tre utilis� pour rendre public l'acc�s d'une page � l'int�rieur d'un groupe prot�g� ou bien l'acc�s d'un groupe � l'int�rieur d'un site prot�g�.

Pour l'utilisation m�me de PmWiki sur comment g�rer les mots de passe sur des pages individuelles ou sur des groupes Wiki via ?action=attr, consultez mots de passe.

<< | Index doc admin | >>

Traduction de PmWiki:PasswordsAdmin - Page originale sur PmWiki:PmWikiFr.AdministrationDesMotsDePasse

� Traduction de PmWiki.PasswordsAdmin Page originale sur PmWikiFr.PasswordsAdmin - Backlinks
Derni�res modifications:
PmWikiFr.PasswordsAdmin: November 07, 2005, at 06:30 PM
PmWiki.PasswordsAdmin: June 03, 2022, at 08:04 AM