Accès restreint en ASP Protéger l'accès à des pages ASP

Cette manipulation s'adresse aux administrateurs de serveur web sous IIS.

Pour cette explication, j'ai utilisé Windows NT4 Server avec IIS 4 (son nom : "server"), et le client est une machine quelconque sous Windows XP version Corporate (son nom : "main").

Cette page vous propose donc de protéger les accès à des répertoires d'un serveur, sans avoir à faire de page de login et à stocker des mots de passe dans une base de données ou un fichier.
Cela est très utile pour un intranet personnalisé par exemple, ou sur tout autre site dont la liste des utilisateurs qui auront un accès est connue de l'administrateur du serveur.

La méthode utilisée est tout simplement l'authentification NT, qui permet de restreindre l'accès à des répertoires ou a des fichiers.
Ainsi, l'administrateur donne des droits d'accès à des répertoires à certains utilisateurs, QUI SONT RECONNUS PAR LE SERVEUR WEB.
Ce qui veut dire :
- sur un réseau qui comporte un serveur de domaine et de gestion des utilisateurs, le login et le mot de passe seront tout simplement ceux du réseau utilisés pour la connexion sur n'importe quel poste du réseau.
- sur un réseau sans serveur de domaine, chaque utilisateur ayant droit d'accès au site Web devra avoir un compte créé SUR LE SERVEUR par l'administrateur.

Dans mon exemple, mon site se trouve dans le répertoire wwwroot\intranet de mon serveur web.
De plus, je ne suis pas sur un réseau comportant un gestionnaire d'utilisateurs, donc, tous les utilisateurs dont je parlerai seront ceux de la MACHINE SERVEUR.



* La première opération consiste à gérer les permissions du répertoire à protéger.
Depuis l'explorateur Windows, cliquer avec le bouton droit sur le répertoire, puis sur "Propriétés" dans le menu déroulant qui s'ouvre.
Dans la fenêtre des propriétés, aller sur l'onglet "Sécurité", puis cliquer sur le bouton "Permissions".


Par défaut, la fenêtre qui s'ouvre sera celle-ci :


Premièrement, supprimer alors le partage "Tout le monde" en cliquant sur le bouton "supprimer".
Ensuite, ajouter les utilisateurs qui auront accès au répertoire. Cliquer sur "Ajouter", et dans la fenêtre "Ajouter des utilisateurs et des groupes", cliquer sur "Montrer tous les utilisateurs". Si un groupe est sélectionné dans la liste, touts les utilisateurs appartenant à ce groupe auront les droits donnés au groupe.

Une fois la liste complète des utilisateurs affichée, cliquer sur les noms correspondants en validant l'ajout pour chacun, et établir des droits. Il existe les permissions "Lister" (afficher seulement le contenu du répertoire), "Lire" (permet de lire ce qu'il y a dans ces fichiers), "Ajouter" (permet de créer des fichiers dans le répertoire), "Ajouter & Lire" (ajouter des fichiers, voir leur contenu, ...), "Modifier" (permet de modifier le contenu du répertoire, et donc de ses fichiers), "Contrôle Total" (il porte bien son nom, non?).


Dans mon exemple, j'attribue, à l'utilisateur WarGoat, le contrôle total, ainsi qu'à l'administrateur (c'est la moindre des choses...).
ATTENTION! si vous voulez donner une permission à des utilisateurs, et d'autres permissions à d'autres, il vous faudra faire 2 fois cette manipulation, car on ne peut donner qu'une permission chaque fois. Ok?
Une fois tous les choix effectués, valider toutes les fenêtres.




* Une fois ceci fait, aller dans la console IIS.
Chez Moi :
"menu démarrer>programmes>Windows NT 4.0 Option Pack>Microsoft Internet Information Server>Internet Service Manager"
Dans la branche qui correspond à la machine ("server" chez moi), dérouler la partie "site web par défaut", et, sur le nom du répertoire concerné, faire un clic avec le bouton droit, et aller dans la fenêtre des propriétés :


Dans la fenêtre qui s'ouvre, cliquer sur l'onglet "Sécurité de répertoire" (j'ai une version anglaise, donc, ce sera dans la capture d'écran "Directory Security"), puis choisir le bouton qui se trouve dans le premier cadre : les méthodes d'authentification. Dans cette petite fenêtre, il faut cocher seulement la dernière case : "Simulation/réponse de Windows NT".


Valider ensuite le tout, et fermer la console IIS.


* 3ème étape : les tests!
Pour mes tests, j'ai créé une page index.asp, qui se trouve dans mon répertoire wwwroot\intranet.
Lançons la page, depuis le poste client; l'url : http://nom_machine/nom_repertoire_protege/page, soit http://server/intranet/index.asp pour la démo. Voici ce que ça donne :


A cet instant, il faut renseigner dans ce prompt un nom d'utilisateur et un mot de passe. Donc, je vais mettre "WarGoat", et "asphp" comme mot de passe; ce sont ceux définis lors de la création de l'utilisateur sur la machine serveur Web, ou sur la machine serveur de domaine.
Ceci fait, la page s'affiche, et tout le reste de la navigation se fera sans autre demande de login, tant que la session dure (c'est-à-dire, tant que le navigateur n'est pas fermé, et que la session n'a pas expiré).

Dans mon exemple, je fais seulement afficher le nom de la personne connectée. Elle s'appelle "server\WarGoat" car n'est enregistrée QUE sur le serveur, et pas sur le domaine.

REMARQUE 1 : dans un réseau complet, donc dans lequel les comptes utilisateurs sont renseignés sur UNE SEULE machine, si une personne a ouvert une session sur un ordinateur du réseau avec un nom de compte qui est dans la liste des personnes autorisés à accéder au répertoire, il n'y aura pas de demande de nom/mot de passe.

REMARQUE 2 : pour récupérer le nom de la personne connectée, j'utilise la variable d'environnement ASP REMOTE_USER. Voici donc le code de ma page ASP :

BIENVENUE <%=request.Servervariables("REMOTE_USER")%>

Le reste de la programmation se fait de la même manière que pour tout autre page ASP. La seule différence réside dans la récupération de certaines infos de la personne connectée, comme son nom, puisqu'il ne sera pas stocké forcément dans une base de données. Ces infos se récupèrent grâce aux variables d'environnement.


* RECAPITULATIF.
- donner les permissions au répertoire concerné pour chaque utilisateur qui aura droit à un accès.
- dans la console IIS, choisir la "Simulation/réponse de Windows NT" pour ce même répertoire.
- programmer les pages ASP de façon tout à fait habituelle.
- c'est prêt!


Vous l'aurez compris, c'est particulièrement utile pour ne pas avoir à mettre de données capitales dans une base de données sur un serveur, et ça évite la duplication des données, comme login et mot de passe. L'accès est protégé de façon bien plus efficace que les variables de session ou, pire encore, que les cookies.
L'équivalent sous Apache : le fichier .htaccess


* Voir aussi
les exos "Mot de passe" sur asp-php.net
les variables d'environnement sur asp-php.net
les variables d'environnement sur le site de Microsoft