SlideShare une entreprise Scribd logo
17/03/14 1
APACHE HTTP
Rachid NID SAID
rachid.nidsaid@gmail.com
17/03/14 2
Plan
 Introduction
 Installation
 Structure
 Configuration
 Directives
 Hôtes virtuels
 Modules
 Interception des erreurs & trace
 Contenu dynamique
 Authentification & SSL
 Proxy & Load Balancer
 Règles pour la performance et la
sécurité
Introduction
 Apache HTTP Server, est un serveur HTTP connu pour avoir joué
un rôle clé dans la croissance de l’Internet.
 Continuité du serveur NCSA HTTPd de l’université de l’Illinois et
alternative non payante de la solution Netscape Communications
Corporation web server (Sun Java System Web Server)
 Logiciel open source développé et maintenu par la communauté
Apache Software Foundation.
 Il représente le 1er
serveur HTTP en part de marché avec 52%,
devant Nginx 14% et IIS 11% (NetCraft Survey)
 L'application est disponible pour une grande variété de systèmes
d'exploitation, Unix, GNU, FreeBSD, Linux, Solaris, Novell
NetWare, Mac OS X, Microsoft Windows, OS2, …
Introduction
 Versions en cours :
 2.0.x : en mode maintenance, pas de nouveaux
développement
 2.2.x : en mode maintenance, pas de nouveaux
développement
 2.4.x : version actuelle
 2.5 : la nouvelle version en cours de développement
 Disponible sur le site http://httpd.apache.org/
Installation
 Le serveur Apache HTTP peut être téléchargé à
partir du site http://httpd.apache.org/download.cgi
 Apache offre deux sortes de livrables :
 Livrable binaire prêt a l’installation
 Code source de la version pour une compilation sur
la machine cible.
 cette option permet de mettre en place une
installation optimisé pour le besoin cible
Installation
Mode statique et mode dynamique
 L’architecture Apache est une architecture modulaire, et
seulement les fonctionnalités de base d’un serveur HTTP
sont disponible dans le noyau apache.
 Écoute réseau, interception des requêtes, traitement des
requêtes, envoi de la réponse.
 Toutes les autres fonctionnalités Apache sont gérés par
des modules externes.
 Contenu dynamique, journalisation, authentification, ssl, …
Installation
Mode statique et mode dynamique
 Mode dynamique : Les modules apaches sont
configurés dans le fichier de configuration httpd.conf
et peuvent être modifiés à tout moment
 Le module n’est chargé qu’au besoin
 Mode statique : Les modules apache sont définies
lors de la compilation et ne peuvent être modifiés
que par une autre compilation
 Identifier les modules de façon pertinente pour ne pas
être obligés de recompiler
 Chaque module incorporés est chargé en mémoire
même si elle n’est pas utilisé
 Performance accrue du serveur
Installation
Sous Unix like
 Extraction : $ gzip -d httpd-NV.tar.gz
$ tar xvf httpd-NV.tar
$ cd httpd-NV
 Configuration : $ ./configure --prefix=installPath
 pour charger un module en mode statique, utiliser l’option
–enabled-mods-static=‘mod1 mod2 mod3’.
 Compilation : $ make
 Installation : $ make install
 Test : $ installPath/bin/apachectl -k start
accéder à l’url : http://localhost
Pour plus de détail sur la procédure d’installation voir le document
Compilation et installation sous Unix
Installation
Sous Unix like
Installation
Sous Unix like
 Démarrage :
installPath/bin/apachectl -k start
installPath/bin/apachectl -k start –f path-to-configFile.conf
 Arrêt :
installPath/bin/apachectl -k stop
installPath/bin/apachectl -k graceful-stop
kill -TERM `cat /usr/local/apache2/logs/httpd.pid`
 Redémarrage :
installPath/bin/apachectl -k restart
installPath/bin/apachectl -k graceful
 Tester le fichier de configuration :
installPath/bin/apachectl -k configtest
installPath/bin/apachectl -k configtest –f path-to-configFile.conf
Installation
Sous Unix like
 La plupart des distributions Linux modernes offre un
package apache prêt pour installation :
 Debian et Ubuntu :
 Installation : apt-get install apache2
 CentOS, Fedora, Red Hat :
 Installation : yum install httpd
Installation
Sous Windows
 Apache offre aussi la possibilité de compiler le code
source pour la plateforme Windows
 Utiliser l'environnement de développement Visual
Studio de VC++
 Il est possible d’installer Apache en tant que service
httpd.exe -k install -n "nom-service"
Pour plus de détail sur la procédure d’installation voir le document
Compilation et installation sous Windows
Structure
Section Windows Unix
Chemin
d’Install par
défaut
C:Program FilesApache
Group
Apache2
/usr/local/apache2
Exécutable et
scripts
bin/apache.exe
bin/
bin/httpd
bin/
Fichiers de log log/error.log
log/access.log
log/httpd.pid
log/error.log
log/access.log
log/httpd.pid
Fichier de
configuration
conf/httpd.conf conf/httpd.conf
Scripts CGI cgi-bin cgi-bin
Structure
Section Windows Unix
Fichiers entêtes .h Include/
build/
Messages
d’erreurs
error/ error/
Modules et
bibliothèques
modules/
lib/
modules/
lib/
Documentation manual/ manual/
Emplacement par
défaut des fichiers
html
htdocs/ htdocs/
Configuration
 Les fichiers de configuration sont placés dans le
dossier conf, selon les distributions le fichier par
défaut est soit httpd.conf soit apache2.conf
 Pour utiliser un autre fichier autre que le fichier par
défaut, il faut informer Apache de l’emplacement du
nouveau fichier
httpd –f /path/to/httpd/file.conf
Configuration
 Directives : paramètres pour configurer et contrôler
la comportement du serveur Apache tels que les
droits d’accès, les ports d’écoute, …
 Sections : identifient le contexte dans le quel les
directives sont appliqués. Par exemple les directives
de droit d’accès peuvent s’appliquer sur l’ensemble
du serveur ou bien sur un dossier spécifique.
Configuration
Sections
Directive Description
Directory/
DirectoryMatch
Définie un répertoire par son chemin ou bien
par une expression régulière pour
DirectoryMatch
Files / FilesMatch Définie une liste de fichiers par leurs chemins
ou bien par une expression régulière pour
FilesMatch
If / ElseIf / Else Définie une condition qui doit être réalisé lors
du traitement d’une requête pour appliquer les
directives.
<If "-z req('Host')">
…
</If>
Les expressions dans le serveur HTTP Apache
IfDefine Définie une condition qui doit être réalisé lors
du démarrage du serveur pour appliquer les
directives, il prend en argument un paramètre
fourni par –D à la commande de démarrage
httpd
IfDefine peuvent être imbriqués
Configuration
Sections
Directive Description
IfModule Les directives ne seront appliqués que si un
module est chargé ou pas.
<IfModule [!] nomModule>
IfModule peuvent être imbriqués
IfVersion Les directives ne seront appliqué que si la
version est la même
Utilisent les opérateurs logiques pour le test
<IfVersion >= 2.1.5>
Location / LocationMatch Similaire à la directive Directory, mais utilise
des URL au lieu de nom de dossier
Proxy / ProxyMatch Utilisé si Apache est configuré en tant que
proxy, et ne s’appliquent que sur le contenu
mandaté
Il prend en argument une URL ou une
expression régulière
VirtualHost S’appliquent à un hôte virtuel et permet
d’indiquer les directives appliqués pour un hôte
virtuel identifié par NameVirtualHost
Configuration
Sections
 Certains types de sections peuvent être imbriqués
 on peut utiliser les sections <Files> à l'intérieur des
sections <Directory>,
 on peut utiliser les directives <If> à l'intérieur des
sections <Directory>, <Location> et <Files>.
 On peut utiliser les directives <if> à l’intérieur d’autres
directives <If>
 On peut utiliser n’importe quelle section au sein de la
section <virtualHost>
Configuration
Sections
 L’ordre d’application des sections suit l’ordre
suivant :
1. Les sections <Directory> (à l'exception des
expressions régulières) et les fichiers .htaccess sont
appliqués simultanément
2. Les sections <DirectoryMatch> et <Directory ~>
3. Les sections <Files> et <FilesMatch> sont appliquées
simultanément
4. Les sections <Location> et <LocationMatch> sont
appliquées simultanément
5. Les directives <If>
Configuration
Sections
 Pour chaque type de section, les directives sont
appliqués dans leurs ordre d’apparition dans le
fichier de configuration
 Pour la section <Directory>, les sections sont
traitées dans l'ordre du répertoire, du plus court
vers le plus long
 Les sections situées à l'intérieur de
sections <VirtualHost> sont appliquées après les
sections correspondantes situées en dehors de la
définition de l'hôte virtuel, ce qui permet à l'hôte
virtuel de prévaloir sur la configuration du serveur
principal.
Configuration
Directives : Adresse IP et Ports d’écoute
 La directive Listen signifie à Apache de se mettre à
l'écoute sur les adresses IP et ports spécifiés et de
n’accepter des requêtes entrante que sur les ports
et l’interface réseau spécifiés
Listen [<IP>:]<Port Number> [protocole]
 La directive <Listen> accepte des adresse IPV6
Listen [2001:db8::a00:20ff:fea7:ccea]:80
Configuration
Directives : configuration de base
 ServerName permet de définir un nom pour identifier le
serveur, ce nom est utile lors de l’utilisation des
redirections ou de l’utilisation du serveur en tant que
frontal
ServerName [protocole://]domain name or ip adress[:port]
 User, Group indiquent au serveur de traiter les requêtes
avec les privilèges de l’utilisateur ou du groupe spécifié.
User userName
Group groupeName
 Pour utiliser ces directives le serveur doit être démarré en
tant que root
 Il faut faire attention à l’utilisateur ou groupe et de ne pas
utiliser un avec des privilèges trop fort et trop étendues
Configuration
Directives : configuration de base
 ServerRoot indique le répertoire racine ou est
installé apache .
ServerRoot installPath
 DocumentRoot indique le répertoire par défaut ou
sont stocké les fichiers visible depuis Internet
DocumentRoot path
 Si le path ne commence pas par un /, il est considéré
comme sous dossier du ServerRoot
Configuration
Directives : dossier virtuel
 Apache permet de rendre visible des documents et
du contenu qui n’est pas disponible sous le dossier
DocumentRoot.
 Ce comportement est possible grâce à la directive
Alias.
Alias <virtualdirectory> <real directory>
 Exemple :
Alias /image /ftp/pub/image
http://www.demaine.com/image/pic.gif
Configuration
Directives : Redirect
 Dans le cas d’un changement d’url ou d’une
migration de domaine, il est préférable de garder
l’ancienne url pour un certain temps pour ne pas
perturber les utilisateurs
 La directive Redirect (RedirectMatch) permet de
réaliser ce comportement, et de faire correspondre
une ancienne URL à une nouvelle.
Redirect [etat] oldPath url
 etat : indique un code HTTP indiquant le type de
redirection
Configuration
Directives : Include
 La directive Include permet d’inclure le contenu d’un
fichier de configuration dans le fichier appelant
Include filePath|folderPath|wildcard
 Cette directive permet d’organiser la configuration
apache d’un telle façon que le fichier racine ne devient
pas ingérable.
 Les directives contenu dans le fichier inclus sont
intégrés dans l’ordre d’apparition de la directive
Include dans le fichier appelant
 IncludeOptional, même comportement qu’Include
sauf si le dossier spécifié n’existe pas, apache ne
génère pas d’erreur à la différence d’Include
Configuration
Directives : fichier de configuration distribué
 Apache offre un mécanisme très fort pour pouvoir
redéfinir des directives de configuration de façon fine et
distribué.
 La directive AccessFileName permet ce mécanisme en
spécifiant un nom de fichier que apache va vérifier à
chaque requête et pour chaque dossier de l’url de la
requête
AccessFileName .htaccess
 Contenu du fichier .htaccess
AllowOverride All|None|type directive [types directive…]
 Mécanisme à utiliser avec parcimonie, il a de forts impact
sur les performance du serveur, préférer l’utilisation de la
section <Directory>
Configuration
Directives : Contrôle d’accès
 Le directive Require fournit un mécanisme très riche
pour configurer un contrôle d’accès à des
ressources du serveur
 Require all granted : l’accès est autorisé sans restriction
 Require all denied : l’accès est refusé sans restriction
 Require env env_variable [env-var] … : l’accès est autorisé si le
variable d’environnement est définie
 Require method http-method [http-method] … : l’accès n’est autorisé
que pour les méthodes HTTP spécifié
 Require user iserID [userID] … : l’accès est autorisé pour les
utilisateurs indiqués
 Require group groupeName [groupName] … : l’accès est autorisé pour
les membres des groupes indiqués
 Require valid-user : l’accès est autorisé pour tout utilisateur valide
 Require ip adresseIP [adresseIP] … : l’accès est autorisé pour les
requêtes dont la source sont les adresses IP
Configuration
Directives : Contrôle d’accès
 RequireAll permet de regrouper des directives d’accès
Require dont aucune ne doit échouer pour permettre
l’accès
 RequireAny permet de regrouper des directives d’accès
Require dont au moins doit être positif pour permettre
l’accès
 RequireNone permet de regrouper des directives d’accès
Require dont aucune ne doit être positif pour permettre
l’accès
Les directives de contrôle d’accès s’appliques seulement dans
la section Directory ou bien au sein d’un fichier .htaccess
Configuration
Directives : Contrôle d’accès
SetEnvIf User-Agent geck1_8 let_me_in
<Directory /www/mydocs>
<RequireAll>
<RequireAny>
Require user superadmin
<RequireAll>
Require group admins
Require ldap-group cn=Administrators,o=Airius
<RequireAny>
Require group sales
Require ldap-attribute dept="sales"
</RequireAny>
</RequireAll>
</RequireAny>
<RequireNone>
Require env let_me_in
Require ldap-group cn=Temporary Employees,o=Airius
</RequireNone>
</RequireAll>
</Directory>
Configuration
Hôtes virtuels
 Le principe des Hôtes Virtuels consiste à faire
fonctionner un ou plusieurs domaines Web sur une
même machine. L'utilisateur final ne perçoit pas
qu'en fait il s'agit d'une même machine.
 Le configuration d’un hôte virtuel est faite par la
directive VirtualHost
<VirtualHost [IP ADDRESS:PORT] >
ServerAdmin
DocumentRoot
ServerName
ServerAlias
ErrorLog
</ VirtualHost >
Configuration
Hôtes virtuels
 Il existe deux façons pour identifier des hôtes virtuels :
 Par adresse IP : l’hôte virtuel est identifié sur la base
d’un couple adresse IP et port.
 Pour pouvoir utiliser des adresses IP différentes pour
chaque hôte, la machine doit avoir un interface réseau
pour chaque adresse IP
 Apache doit être à l’écoute du port choisi au niveau de
la configuration serveur via la directive Listen
 Par nom de domaine : l’hôte virtuel est identifié sur la
base d’un nom de domaine « www.mondomaine.com »
 Le nom de domaine doit déjà être associé à l’adresse
IP de la machine au niveau du DNS
Configuration
Hôtes virtuels
Définition de serveurs virtuels à base d’adresse IP :
Listen 172.20.30.40:80
Listen 172.20.30.50:8080
<VirtualHost 172.20.30.40:80>
DocumentRoot /www/example1-80
ServerName www.example.com
Directives …
</VirtualHost>
<VirtualHost 172.20.30.50:8080>
DocumentRoot /www/example2-8080
ServerName www.example.org
Directives …
</VirtualHost>
Configuration
Hôtes virtuels
Définition de serveurs virtuels par nom IP :
1. Serveur qui répond au nom de domaine www.example.com et
site.example.com
2. Serveur qui répond au nom de domaine other.example.com
3. Serveur qui répond à toute autre requête qui ne cible pas les
domaines précédents
<VirtualHost *:80>
ServerName www.example.com
ServerAlias www.example.com site.example.com
DocumentRoot /www/domain
</VirtualHost>
<VirtualHost *:80>
ServerName other.example.com
DocumentRoot /www/otherdomain
</VirtualHost>
<VirtualHost _default_:*>
DocumentRoot /www/default
</VirtualHost>
Configuration
Modules DSO
 L’architecture modulaire du serveur APACHE permet
de fournir un produit performant pour répondre à
divers besoins :
 Disponibilité sur une très grande variété de
plateformes et d‘OS. Ne reconstruire que les modules
qui le nécessitent pour la plateforme cible.
 Souplesse de configuration et de mise en place d’une
plateforme performante et optimisé pour les besoins
de la production Cette conception autorise. N’intégrer
que les fonctionnalités (modules) nécessaire pour la
plateforme.
Configuration
Modules DSO
 Lors du chargement en mémoire, les modules DSO
mènent une existence séparée du processus
principal httpd.
 Les modules sont chargés de deux façons :
 Statique, Les modules DSO sont compilés en même
temps que le serveur,
 Dynamique : Les modules sont chargé via la directive
loadModule du module mod_so.
LoadModule module nom-fichier
 Les deux modules mod_so et core sont les seules
modules qui ne peuvent être chargé de façon
dynamique et le sont toujours de façon statique.
Configuration
Modules DSO
Configuration
Modules DSO
 Traduction des URI en chemin physique :
 mod_userdir : gestion des dossiers personnels des
utilisateurs
 mod_rewrite : moteur de réécriture à base de règles
permettant de réécrire les URLs des requêtes à la
volée
 Authentification / gestion d’accés :
 mod_auth, mod_auth_anon,mod_auth_db,
mod_auth_dbm : gestion d’authentification des
utilisateurs.
 mod_access : gestion des accès au ressources du
système.
 Journalisation:
 mod_log_*: journalisation
Configuration
Modules DSO
 Identification des MIME types :
 mod_mime : associe les extensions des fichiers
demandés avec l'action déclenchée par ces fichiers et
avec leur contenu (type MIME, langue, jeu de
caractère et codage) .
 mod_mime_magic : détermine le type MIME d'un
fichier à partir de de son contenu "magic numbers"
(e.g. fichiers gif démarrent avec le même contenu)
 Gestion de URL :
 mod_alias : permet d’accéder à certaines parties du
système qui ne sont pas public
 mod_env : création de variables d’environnement
 mod_speling : correction automatique des URL
Configuration
Modules DSO
 Gestion de la réponse :
 mod_actions : identifier les types de fichiers qui sont
des exécutables CGI
 mod_autoindex : construction automatique de l’index
d’un répertoire lors de sa consultation
 mod_cgi : gestion du contenu CGI
 mod_include : gestion des directives SSI
 mod_dir : Permet la redirection des adresses se
terminant par un répertoire sans slash de fin et la mise
à disposition des fichiers index de répertoire.
 mod_imagemap : Traitement des cartes des zones
interactives d'une image (imagemaps) au niveau du
serveur
Configuration
Modules DSO : Avantages
 Le construction du serveur est plus flexible à l'exécution car
le processus serveur peut être assemblé à l'exécution via la
directive LoadModule du fichier de configuration plutôt que
par des options du script configure à la compilation.
 Par exemple, on peut exécuter différentes instances du
serveur (standard et version SSL, version minimale et version
dynamique [mod_perl, mod_php], etc...) à partir d'une seule
installation d'Apache httpd.
 Le construction du serveur peut être facilement étendu avec
des modules tiers, même après l'installation.
 Facilité de montée en version des modules statiques
 apxs permet de travailler en dehors de l'arborescence des
sources d'Apache, et de n'avoir besoin que de la
commande apxs pour introduire une nouvelle version du
module fraîchement développé, dans le serveur HTTP Apache
en cours d'exécution.
Configuration
Modules DSO : Inconvénients
 Le serveur est environ 20 % plus lent au démarrage à cause
des résolutions de symboles supplémentaires que le chargeur
Unix doit effectuer.
Configuration
Interception des erreurs & trace
 ErrorLog définit le nom du fichier dans lequel le serveur va
journaliser toutes les erreurs qu'il rencontre.
ErrorLog filePath
 La syntaxe Loglevel syslog permet de rediriger la sortie log vers le
journal système.
 LogLevel définit le niveau de détail (verbosité) des
messages enregistrés dans les journaux d’erreurs
LogLevel level
 La syntaxe Loglevel nomModule:level permet de spécifier un niveau de
log pour un module donné
 PidFile définit le nom du fichier dans lequel le serveur va
journaliser les identifiants du processus apache
Configuration
Interception des erreurs & trace
Configuration
Interception des erreurs & trace
 CustomLog permet d’activer la journalisation de des
requêtes destinées au serveur et d’en spécifier une
politique.
 Nécessite l’activation du module mod_log_config
CustomLog fichier|pipe format|alias [env=[!]variable-environnement|
expr=expression]
Configuration
Interception des erreurs & trace
# Journal personnalisé avec alias de format
LogFormat "%h %l %u %t "%r" %>s %b" common
CustomLog logs/access_log common
SetEnvIf Request_URI .gif$ gif-image
CustomLog gif-requests.log common env=gif-image
CustomLog "|/usr/local/apache/bin/rotatelogs
/log/access_log 86400" common
Contenu dynamique
CGI
 CGI (Common Gateway Interface) permet de définir
une interface de communication entre un serveur
HTTP et un programme exécutable qui renvoi vers le
serveur du contenu HTML pour affichage
 C’est cette interface qui a permis de rendre le WEB
dynamique
 Le plus populaire des langages de programmation
CGI est PHP
Contenu dynamique
CGI
 Apache est capable de s’interfacer avec CGI pour
permettre de communiquer avec des programmes
externes
1. Charger le module CGI apache cgi_module, s’il n’est pas
chargé en statique
LoadModule cgi_module path/mod_cgi.so
2. Définir l’emplacement des fichiers programmes
 Au niveau serveur :
ScriptAlias /scripts/ /usr/local/apache2/cgi-bin/
 Au niveau dossier :
<Directory /usr/local/apache2/htdocs/somedir>
Options +ExecCGI
</Directory>
2. Identifier les type de fichiers (extension) qui sont des
programmes
AddHandler cgi-script .cgi .pl .php
Contenu dynamique
CGI
 Configurer Apache pour traiter du contenu PHP en
tant que programme CGI:
ScriptAlias /scripts/ scripts/php/
AddHandler cgi-script .php
AddType application/x-httpd-php .php
Action application/x-httpd-php
/usr/bin/php/php-cgi.exe
Contenu dynamique
SSI
 SSI pour Server Side Includes
 C’est un mécanisme d’intégrer dans des pages HTML du
code qui est interprété et évalué coté serveur, sans
utiliser un langage CGI ou toute autre technologie coté
serveur.
<!--#fonction attribut=valeur attribut=valeur ... -->
 Exemples :
<!--#config timefmt="%A" -->
<!--#echo var="DATE_LOCAL" -->
<!--#include virtual="/cgi-bin/counter.pl" -->
<!--#flastmod file="ssi.shtml" -->
Contenu dynamique
SSI
1. Indiquer à apache la prise en charge des directives
SSI
Options +Includes
 Cette directive peut être ajouté au niveau serveur,
hôte virtuel, ou répertoire
2. Indiquer quels fichiers sont concernés par la prise
en charge de directives
AddType text/html .shtml
AddOutputFilter INCLUDES .shtml
Configuration
Authentification par mot de passe
 L’authentification est le mécanisme qui permet de
vérifier qu’un utilisateur est bien celui qu’il prétend
être.
 Authentification par mot de passe
 Authentification par certificat SSL
 Apache fournit un ensemble de modules qui
permettent de configurer un mécanisme
d’authentification complet est riche.
 mod_auth_basic, mod_auth_digest, mod_authn_anon,
mod_authn_dbd, mod_authn_dbm, mod_authn_file,
mod_authnz_ldap, mod_authn_socache.
Configuration
Authentification par mot de passe
 La directive AuthType permet d’activer
l’authentification au niveau d’Apache et d’indiquer
de quelle façon elle va être géré.
 Deux types sont disponibles :
 mod_auth_basic : permet d’activer une
authentification basique par de mot passe
AuthType basic
 mod_auth_digest : même mécanisme que le
précedent, sauf que le mot de passe envoyé du client
vers le serveur est crypté.
AuthType Digest
Configuration
Authentification par mot de passe
 La directive AuthBasicProvider (AuthDigestProvider)
permet d’indiquer le fournisseur utilisé pour identifier et
authentifier les utilisateurs.
 mod_authn_file : les utilisateurs et les mots de passe sont
stockés dans un fichier texte.
AuthBasicProvider file
 mod_authn_dbm : les utilisateurs et les mots de passe sont
stockés dans un fichier dbm.
AuthBasicProvider dbm
 mod_authn_dbd : les utilisateurs sont stockés au niveau
d’une base de données
AuthBasicProvider dbd
 mod_authnz_ldap : les utilisateurs sont stockés au niveau
d’un annuaire LDAP
AuthBasicProvider ldap
Configuration
Authentification par mot de passe
 Les directives d’authentification sont insérés soit au
sein de la section <Directory>, soit au sein des
fichiers .htaccess
 Pour l'utilisation de fichiers .htaccess, ne pas oublier
d’utiliser la directive AllowOverride, qui spécifie
quelles directives pourront éventuellement être
redéfinie.
AllowOverride AuthConfig
Configuration
Authentification par mot de passe
# htpasswd -c /path/to/passwordFile userName
New password: mot-de-passe
Re-type new password: mot-de-passe
Adding password for user userName
<Directory /var/www/html/private>
AuthName ‘user and password please !.’
AuthType Basic
AuthBasicProvider file
AuthUserFile /path/to/passwordFile
Require valid-user
</Directory>
Configuration
Authentification par mot de passe
<Directory /www/docs/private>
AuthName "Private«
AuthType Basic
AuthBasicProvider file ldap
AuthUserFile /usr/local/apache/passwd/passwords
AuthLDAPURL ldap://ldaphost/o=yourorg
AuthGroupFile /usr/local/apache/passwd/groups
Require group GroupName
Require ldap-group cn=mygroup,o=yourorg
</Directory>
Configuration
Authentification par mot de passe
# configuration de mod_dbd
DBDriver pgsql
DBDParams "dbname=apacheauth user=apache pass=xxxxxx"
DBDMin 4
DBDKeep 8
DBDMax 20
DBDExptime 300
<Directory /usr/www/mon.site/team-private/>
# configuration de mod_authn_core et mod_auth_basic pour mod_authn_dbd
AuthType Basic
AuthName Team
AuthBasicProvider dbd
# requête SQL de mod_authn_dbd pour authentifier un utilisateur qui se
connecte
AuthDBDUserPWQuery  "SELECT password FROM authn
WHERE user = %s AND login = 'true'"
Configuration
Authentification par mot de passe
# le processus de connexion dbd exécute une requête pour enregistrer la
connexion de l'utilisateur
Require dbd-login
AuthzDBDQuery "UPDATE authn SET login = 'true' WHERE
user = %s"
# configuration de mod_authz_core pour mod_authz_dbd
Require dbd-group team
# configuration de mod_authz_dbd
AuthzDBDQuery "SELECT group FROM authz WHERE user = %s"
# lorsqu'un utilisateur échoue dans sa tentative d'authentification ou
# d'autorisation, on l'invite à se connecter ; cette page doit
# contenir un lien vers /team-private/login.html
ErrorDocument 401 /login-info.html
<Files login.html>
Configuration
Authentification par mot de passe
# il n'est pas nécessaire que l'utilisateur soit déjà connecté !
AuthDBDUserPWQuery "SELECT password FROM authn
WHERE user = %s"
# redirige l'utilisateur vers la page d'origine (si elle existe) après une
connexion réussie
AuthzDBDLoginToReferer On
</Files>
<Files logout.html>
# le processus de déconnexion dbd exécute une requête pour enregistrer la
déconnexion de l'utilisateur
Require dbd-logout
AuthzDBDQuery "UPDATE authn SET login = 'false' WHERE
user = %s"
</Files>
</Directory>
Configuration
Authentification par mot de passe & SSL
 La 1er
étape pour intégrer du SSL est de charger le module
ssl_module
LoadModule ssl_module modules/mod_ssl.so
SSLVerifyClient none
SSLCACertificateFile path/ssl.crt/ca.crt
SSLCACertificatePath path/ssl.crt
<Directory /usr/local/apache2/htdocs/secure/area>
SSLVerifyClient require
SSLVerifyDepth 5
SSLOptions +FakeBasicAuth
SSLRequireSSL
AuthName "Authentication"
AuthType Basic
AuthBasicProvider file
AuthUserFile /usr/local/apache2/conf/httpd.passwd
Require valid-user
</Directory>
Proxy
 Le serveur Apache est capable le rôle d’un proxy au
sein d’une architecture réseau que ce soit en tant
que proxy directe ou bien en tant que reverse proxy
(frontal ou passerelle).
 Proxy Directe : Serveur intermédiaire qui s'intercale
entre le client et le serveur demandé. Pour obtenir un
contenu hébergé sur un serveur externe, le client envoie
sa requête au proxy en nommant le serveur demandé
comme cible, c’est le proxy qui est responsable de
contacter le serveur cible, de récupérer le contenu depuis
le serveur demandé et de le renvoiyer vers le client.
 Reverse proxy : apparaît au client comme étant le
serveur web qui héberge le contenu. Et c’est ce dernier
qui sait où renvoyer les requêtes clients pour récupérer le
contenu et le renvoyer client comme s'il l'hébergeait lui-
même.
Proxy
Proxy
Proxy
 Le module mod_proxy est le responsable des
fonctionnalités proxy du serveur APACHE
 Proxy directe :
 Directive ProxyRequests active le proxy directe
 Directive ProxyVia, elle est est optionnel, elle indique au serveur de
mettre à jour l’entete HTTP « via » pour indiquer le chemin suivi par la
requête
ProxyRequests On
ProxyVia On
# ne permettre l’utilisation du proxy que pour les machines locaux
<Proxy *>
Require ip 182.125
</Proxy>
Proxy
 Reverse Proxy :
 Directive ProxyPass active le reverse proxy, elle associe une
location au niveau local à une adresse distante
 Directive ProxyPassReverse nécessaire lors de l’activation du
reverse proxy, elle force le serveur à ajuster les entêtes HTTP
location et URI afin d’éviter de court-circuiter le reverse proxy
lors des redirections dans le serveur distant.
ProxyPass /mirror/foo http://foo.example.com/bar
ProxyPassReverse /mirror/foo http://foo.example.com/bar
<Location /mirror/foo>
ProxyPass http://foo.example.com/bar
ProxyPassReverse http://foo.example.com/bar
</Location>
Répartition de charge
 La répartition de charge (load balancing) est un
ensemble de techniques permettant de distribuer
une charge de travail entre différents ordinateurs
d'un groupe.
 L’activation de la répartition de charge nécessite le
chargement des modules mod_proxy,
mod_proxy_balancer, et l’un des modules suivant
pour l’algorithme de planification de la répartition
 mod_lbmethod_byrequests : nombre de requêtes
 mod_lbmethod_bytraffic : taille du trafic
 mod_lbmethod_bybusyness : requêtes en attente
 mod_lbmethod_heartbeat : comptage de trafic Heartbeat,
nécessite le mod_heartbeat et mod_heartmonitor au niveau
des membres
Répartition de charge
 La directive BalancerMember définit les nœuds qui
participent à la répartition de charge
 Le paramètre lbmethod indique quel algorithme est utilisé
pour la répartition
<Proxy balancer://mycluster>
BalancerMember http://192.168.1.50:80
BalancerMember http://192.168.1.51:80
ProxySet lbmethod=bytraffic
</Proxy>
ProxyPass /test balancer://mycluster
ProxyPassReverse /test balancer://mycluster
Répartition de charge
 Répartition de charge avec abonnement :
ProxyPass /test balancer://mycluster stickysession=JSESSIONID|
jsessionid scolonpathdelim=On
ProxyPassReverse /test balancer://mycluster
<Proxy balancer://mycluster>
BalancerMember http://192.168.1.50:80 route=node1
BalancerMember http://192.168.1.51:80 route=node2
</Proxy>
Au niveau des serveurs membres :
ProxyPass route=node1
ProxyPass route=node2
Répartition de charge
 Apache fournit un module pour pouvoir gérer le
répartiteur de charge de façon dynamique via un
gestionnaire.
1. Activer le module mod_status
2. Au niveau de fichier de config :
<Location /balancer-manager>
SetHandler balancer-manager
Require host serveur
</Location>
3. Accéder au gestionnaire sur l’url
http://serveur/balancer-manager
Règles pour la performance et la
sécurité
 Ne Jamais exécuter Apache comme root de la machine
 Utiliser un utilisateur dédié
 Utilisateur sans shell
 Utilisateur sans mot passe valide
 Désactiver les modules qui ne sont pas utilisés
 Si l’accès à des dossiers n’est pas nécessaire, désactiver le
module mod_autoindex
 Faire attention aux modules et directives CGI et SSI,
 ne les configurer que pour les ressources qui ont en besoin
(jamais au niveau serveur)
 Ne garder que les directives Listen qui sont actives
Règles pour la performance et la
sécurité
 Nettoyer le fichier de config, vérifier les directives
include et supprimer ceux qui ne sont pas
necessaire.
 Éviter d’utiliser les fichiers de configurations distribués
.htaccess
 préférer la directive Directory au niveau du fichier de
configuration
 Bien étudier la politique d’activation des modules
(statique / dynamique)
 L’activation statique sollicite la mémoire de la machine
 L’activation dynamique sollicite le processeur de la
machine
Règles pour la performance et la
sécurité
 Utiliser le module mod_cache pour accélérer le
rendu du contenu dynamique
 Le niveau de journalisation doit être bien étudié
 un niveau trop fin engendre des écritures qui ne
sont nécessaires.
 Les journaux doivent être situé dans un disk autre
que le disk apache
 Utiliser la journalisation par programme que par
fichier directe
Atelier
1. Configurer un serveur Apache avec 2 hôtes virtuels
par nom
1. Le 1er
nécessite une authentification, utiliser mdb
comme provider
1. Le sous dossier /private, ne doit être accessible que
pour l’utilisateur specialUser
2. Activer Customlog au niveau de cet hôte
2. Le 2éme est à accès public, est accepte les directives
SSI
3. Bloquer l’accés au site par défaut du serveur.
2. Configurer un cluster avec 3 serveur, 1 proxy
reverse et 2 serveurs membres.

Contenu connexe

Tendances

Angular Framework présentation PPT LIGHT
Angular Framework présentation PPT LIGHTAngular Framework présentation PPT LIGHT
Angular Framework présentation PPT LIGHT
tayebbousfiha1
 
APACHE TOMCAT
APACHE TOMCATAPACHE TOMCAT
APACHE TOMCAT
Rachid NID SAID
 
Tp n 6 linux
Tp n 6 linuxTp n 6 linux
Tp n 6 linux
Amir Souissi
 
Notes de cours et tp - Administation Systèmes
Notes de cours et tp  - Administation Systèmes Notes de cours et tp  - Administation Systèmes
Notes de cours et tp - Administation Systèmes
Ikram Benabdelouahab
 
Présentation DEVOPS.pptx
Présentation DEVOPS.pptxPrésentation DEVOPS.pptx
Présentation DEVOPS.pptx
boulonvert
 
Support NodeJS avec TypeScript Express MongoDB
Support NodeJS avec TypeScript Express MongoDBSupport NodeJS avec TypeScript Express MongoDB
Support NodeJS avec TypeScript Express MongoDB
ENSET, Université Hassan II Casablanca
 
Android-Tp3: fragments et menus
Android-Tp3: fragments et menusAndroid-Tp3: fragments et menus
Android-Tp3: fragments et menus
Lilia Sfaxi
 
Chp3 - Architecture Logicielle des Applications Mobiles
Chp3 - Architecture Logicielle des Applications MobilesChp3 - Architecture Logicielle des Applications Mobiles
Chp3 - Architecture Logicielle des Applications Mobiles
Lilia Sfaxi
 
Cours c#
Cours c#Cours c#
Cours c#
zan
 
Cours Visual Basic.NET
Cours Visual Basic.NETCours Visual Basic.NET
Cours Visual Basic.NET
Aziz Darouichi
 
Introduction à Angular 2
Introduction à Angular 2Introduction à Angular 2
Introduction à Angular 2
Vincent Caillierez
 
Tp voip
Tp voipTp voip
Tp voip
amalouwarda
 
Workshop Spring - Session 4 - Spring Batch
Workshop Spring -  Session 4 - Spring BatchWorkshop Spring -  Session 4 - Spring Batch
Workshop Spring - Session 4 - Spring Batch
Antoine Rey
 
Presentation DevOps : enjeux , objectifs, consequences
Presentation DevOps : enjeux , objectifs, consequencesPresentation DevOps : enjeux , objectifs, consequences
Presentation DevOps : enjeux , objectifs, consequences
Stéphane Di Cioccio
 
Introduction à Angular
Introduction à AngularIntroduction à Angular
Introduction à Angular
Jean-Baptiste Vigneron
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
CHAOUACHI marwen
 
Applications Android - cours 6 : Structure d’un projet Android
Applications Android - cours 6 :  Structure d’un projet AndroidApplications Android - cours 6 :  Structure d’un projet Android
Applications Android - cours 6 : Structure d’un projet Android
Ahmed-Chawki Chaouche
 
Support programmation orientée objet c# .net version f8
Support programmation orientée objet c#  .net version f8Support programmation orientée objet c#  .net version f8
Support programmation orientée objet c# .net version f8
ENSET, Université Hassan II Casablanca
 
BigData_TP5 : Neo4J
BigData_TP5 : Neo4JBigData_TP5 : Neo4J
BigData_TP5 : Neo4J
Lilia Sfaxi
 
Chap1: Cours en C++
Chap1: Cours en C++Chap1: Cours en C++
Chap1: Cours en C++
Aziz Darouichi
 

Tendances (20)

Angular Framework présentation PPT LIGHT
Angular Framework présentation PPT LIGHTAngular Framework présentation PPT LIGHT
Angular Framework présentation PPT LIGHT
 
APACHE TOMCAT
APACHE TOMCATAPACHE TOMCAT
APACHE TOMCAT
 
Tp n 6 linux
Tp n 6 linuxTp n 6 linux
Tp n 6 linux
 
Notes de cours et tp - Administation Systèmes
Notes de cours et tp  - Administation Systèmes Notes de cours et tp  - Administation Systèmes
Notes de cours et tp - Administation Systèmes
 
Présentation DEVOPS.pptx
Présentation DEVOPS.pptxPrésentation DEVOPS.pptx
Présentation DEVOPS.pptx
 
Support NodeJS avec TypeScript Express MongoDB
Support NodeJS avec TypeScript Express MongoDBSupport NodeJS avec TypeScript Express MongoDB
Support NodeJS avec TypeScript Express MongoDB
 
Android-Tp3: fragments et menus
Android-Tp3: fragments et menusAndroid-Tp3: fragments et menus
Android-Tp3: fragments et menus
 
Chp3 - Architecture Logicielle des Applications Mobiles
Chp3 - Architecture Logicielle des Applications MobilesChp3 - Architecture Logicielle des Applications Mobiles
Chp3 - Architecture Logicielle des Applications Mobiles
 
Cours c#
Cours c#Cours c#
Cours c#
 
Cours Visual Basic.NET
Cours Visual Basic.NETCours Visual Basic.NET
Cours Visual Basic.NET
 
Introduction à Angular 2
Introduction à Angular 2Introduction à Angular 2
Introduction à Angular 2
 
Tp voip
Tp voipTp voip
Tp voip
 
Workshop Spring - Session 4 - Spring Batch
Workshop Spring -  Session 4 - Spring BatchWorkshop Spring -  Session 4 - Spring Batch
Workshop Spring - Session 4 - Spring Batch
 
Presentation DevOps : enjeux , objectifs, consequences
Presentation DevOps : enjeux , objectifs, consequencesPresentation DevOps : enjeux , objectifs, consequences
Presentation DevOps : enjeux , objectifs, consequences
 
Introduction à Angular
Introduction à AngularIntroduction à Angular
Introduction à Angular
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
Applications Android - cours 6 : Structure d’un projet Android
Applications Android - cours 6 :  Structure d’un projet AndroidApplications Android - cours 6 :  Structure d’un projet Android
Applications Android - cours 6 : Structure d’un projet Android
 
Support programmation orientée objet c# .net version f8
Support programmation orientée objet c#  .net version f8Support programmation orientée objet c#  .net version f8
Support programmation orientée objet c# .net version f8
 
BigData_TP5 : Neo4J
BigData_TP5 : Neo4JBigData_TP5 : Neo4J
BigData_TP5 : Neo4J
 
Chap1: Cours en C++
Chap1: Cours en C++Chap1: Cours en C++
Chap1: Cours en C++
 

En vedette

Services rest & jersey
Services rest & jerseyServices rest & jersey
Services rest & jersey
Mathieu Hicauber
 
GWT Principes & Techniques
GWT Principes & TechniquesGWT Principes & Techniques
GWT Principes & Techniques
Rachid NID SAID
 
Tp java ee.pptx
Tp java ee.pptxTp java ee.pptx
Tp java ee.pptx
Eric Bourdet
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
Manassé Achim kpaya
 
08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web
Noël
 
XML Avancé : DTD, XSD, XPATH, XSLT, XQuery
XML Avancé : DTD, XSD, XPATH, XSLT, XQueryXML Avancé : DTD, XSD, XPATH, XSLT, XQuery
XML Avancé : DTD, XSD, XPATH, XSLT, XQuery
Rachid NID SAID
 
Apache web server
Apache web serverApache web server
Apache web server
zrstoppe
 
Apache Server Tutorial
Apache Server TutorialApache Server Tutorial
Apache Server Tutorial
Jagat Kothari
 
Apache ppt
Apache pptApache ppt
Apache ppt
poornima sugumaran
 
Mohamed youssfi support architectures logicielles distribuées basées sue les ...
Mohamed youssfi support architectures logicielles distribuées basées sue les ...Mohamed youssfi support architectures logicielles distribuées basées sue les ...
Mohamed youssfi support architectures logicielles distribuées basées sue les ...
ENSET, Université Hassan II Casablanca
 
Support JEE Servlet Jsp MVC M.Youssfi
Support JEE Servlet Jsp MVC M.YoussfiSupport JEE Servlet Jsp MVC M.Youssfi
Support JEE Servlet Jsp MVC M.Youssfi
ENSET, Université Hassan II Casablanca
 
Support JEE Spring Inversion de Controle IOC et Spring MVC
Support JEE Spring Inversion de Controle IOC et Spring MVCSupport JEE Spring Inversion de Controle IOC et Spring MVC
Support JEE Spring Inversion de Controle IOC et Spring MVC
ENSET, Université Hassan II Casablanca
 

En vedette (13)

Atelier 5
Atelier 5Atelier 5
Atelier 5
 
Services rest & jersey
Services rest & jerseyServices rest & jersey
Services rest & jersey
 
GWT Principes & Techniques
GWT Principes & TechniquesGWT Principes & Techniques
GWT Principes & Techniques
 
Tp java ee.pptx
Tp java ee.pptxTp java ee.pptx
Tp java ee.pptx
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
 
08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web
 
XML Avancé : DTD, XSD, XPATH, XSLT, XQuery
XML Avancé : DTD, XSD, XPATH, XSLT, XQueryXML Avancé : DTD, XSD, XPATH, XSLT, XQuery
XML Avancé : DTD, XSD, XPATH, XSLT, XQuery
 
Apache web server
Apache web serverApache web server
Apache web server
 
Apache Server Tutorial
Apache Server TutorialApache Server Tutorial
Apache Server Tutorial
 
Apache ppt
Apache pptApache ppt
Apache ppt
 
Mohamed youssfi support architectures logicielles distribuées basées sue les ...
Mohamed youssfi support architectures logicielles distribuées basées sue les ...Mohamed youssfi support architectures logicielles distribuées basées sue les ...
Mohamed youssfi support architectures logicielles distribuées basées sue les ...
 
Support JEE Servlet Jsp MVC M.Youssfi
Support JEE Servlet Jsp MVC M.YoussfiSupport JEE Servlet Jsp MVC M.Youssfi
Support JEE Servlet Jsp MVC M.Youssfi
 
Support JEE Spring Inversion de Controle IOC et Spring MVC
Support JEE Spring Inversion de Controle IOC et Spring MVCSupport JEE Spring Inversion de Controle IOC et Spring MVC
Support JEE Spring Inversion de Controle IOC et Spring MVC
 

Similaire à APACHE HTTP

Mysql Apche PHP sous linux
Mysql Apche PHP sous linuxMysql Apche PHP sous linux
Mysql Apche PHP sous linux
Khalid ALLILI
 
Configuration des services web sous centOS 5
Configuration des services web sous centOS 5Configuration des services web sous centOS 5
Configuration des services web sous centOS 5
Sarah
 
Atelier hadoop-single-sign-on
Atelier hadoop-single-sign-onAtelier hadoop-single-sign-on
Atelier hadoop-single-sign-on
sahar dridi
 
Alphorm.com Formation Apache - Le Guide Complet de l'administrateur
Alphorm.com Formation Apache - Le Guide Complet de l'administrateurAlphorm.com Formation Apache - Le Guide Complet de l'administrateur
Alphorm.com Formation Apache - Le Guide Complet de l'administrateur
Alphorm
 
20111220 lyon jug-packaging-natif
20111220 lyon jug-packaging-natif20111220 lyon jug-packaging-natif
20111220 lyon jug-packaging-natif
Henri Gomez
 
hassclic270.ppt
hassclic270.ppthassclic270.ppt
hassclic270.ppt
adiouf2
 
Java dans Windows Azure, l'exemple de JOnAS
Java dans Windows Azure, l'exemple de JOnASJava dans Windows Azure, l'exemple de JOnAS
Java dans Windows Azure, l'exemple de JOnAS
Guillaume Sauthier
 
Installation apache mandriva
Installation apache mandrivaInstallation apache mandriva
Installation apache mandriva
Majid CHADAD
 
Présentation CoreOS
Présentation CoreOSPrésentation CoreOS
Présentation CoreOS
gcatt
 
Intellicore Tech Talk 10 - Apache Web Server Internals
Intellicore Tech Talk 10 - Apache Web Server InternalsIntellicore Tech Talk 10 - Apache Web Server Internals
Intellicore Tech Talk 10 - Apache Web Server Internals
Neil Armstrong
 
Reseau entreprise
Reseau entrepriseReseau entreprise
Reseau entreprise
SAIDRAISS2
 
Rapport d'installation de Linux Engine X MariaDB PHP5
Rapport d'installation de Linux Engine X MariaDB PHP5Rapport d'installation de Linux Engine X MariaDB PHP5
Rapport d'installation de Linux Engine X MariaDB PHP5
Mame Cheikh Ibra Niang
 
Installation d'openerp 6.1 rc1
Installation d'openerp 6.1 rc1Installation d'openerp 6.1 rc1
Installation d'openerp 6.1 rc1
easyopenerp
 
Installation de PHP
Installation de PHPInstallation de PHP
Installation de PHP
Moncef Essid
 
Apache server configuration & sécurisation -
Apache server configuration & sécurisation  -Apache server configuration & sécurisation  -
Apache server configuration & sécurisation -
achraf_ing
 
Presentation Symfony2
Presentation Symfony2Presentation Symfony2
Presentation Symfony2
Ahmed ABATAL
 
SDN OpenDaylight
SDN OpenDaylightSDN OpenDaylight
SDN OpenDaylight
Mokhless Hachicha
 
Java dans Windows Azure: l'exemple de Jonas
Java dans Windows Azure: l'exemple de JonasJava dans Windows Azure: l'exemple de Jonas
Java dans Windows Azure: l'exemple de Jonas
Microsoft
 
Rapport d’installation d’un serveur de messagerie avec le Webmail Roundcube
Rapport d’installation d’un serveur de  messagerie avec le Webmail RoundcubeRapport d’installation d’un serveur de  messagerie avec le Webmail Roundcube
Rapport d’installation d’un serveur de messagerie avec le Webmail Roundcube
Balla Moussa Doumbouya
 

Similaire à APACHE HTTP (20)

Mysql Apche PHP sous linux
Mysql Apche PHP sous linuxMysql Apche PHP sous linux
Mysql Apche PHP sous linux
 
Configuration des services web sous centOS 5
Configuration des services web sous centOS 5Configuration des services web sous centOS 5
Configuration des services web sous centOS 5
 
Apache Open SSL
Apache Open SSLApache Open SSL
Apache Open SSL
 
Atelier hadoop-single-sign-on
Atelier hadoop-single-sign-onAtelier hadoop-single-sign-on
Atelier hadoop-single-sign-on
 
Alphorm.com Formation Apache - Le Guide Complet de l'administrateur
Alphorm.com Formation Apache - Le Guide Complet de l'administrateurAlphorm.com Formation Apache - Le Guide Complet de l'administrateur
Alphorm.com Formation Apache - Le Guide Complet de l'administrateur
 
20111220 lyon jug-packaging-natif
20111220 lyon jug-packaging-natif20111220 lyon jug-packaging-natif
20111220 lyon jug-packaging-natif
 
hassclic270.ppt
hassclic270.ppthassclic270.ppt
hassclic270.ppt
 
Java dans Windows Azure, l'exemple de JOnAS
Java dans Windows Azure, l'exemple de JOnASJava dans Windows Azure, l'exemple de JOnAS
Java dans Windows Azure, l'exemple de JOnAS
 
Installation apache mandriva
Installation apache mandrivaInstallation apache mandriva
Installation apache mandriva
 
Présentation CoreOS
Présentation CoreOSPrésentation CoreOS
Présentation CoreOS
 
Intellicore Tech Talk 10 - Apache Web Server Internals
Intellicore Tech Talk 10 - Apache Web Server InternalsIntellicore Tech Talk 10 - Apache Web Server Internals
Intellicore Tech Talk 10 - Apache Web Server Internals
 
Reseau entreprise
Reseau entrepriseReseau entreprise
Reseau entreprise
 
Rapport d'installation de Linux Engine X MariaDB PHP5
Rapport d'installation de Linux Engine X MariaDB PHP5Rapport d'installation de Linux Engine X MariaDB PHP5
Rapport d'installation de Linux Engine X MariaDB PHP5
 
Installation d'openerp 6.1 rc1
Installation d'openerp 6.1 rc1Installation d'openerp 6.1 rc1
Installation d'openerp 6.1 rc1
 
Installation de PHP
Installation de PHPInstallation de PHP
Installation de PHP
 
Apache server configuration & sécurisation -
Apache server configuration & sécurisation  -Apache server configuration & sécurisation  -
Apache server configuration & sécurisation -
 
Presentation Symfony2
Presentation Symfony2Presentation Symfony2
Presentation Symfony2
 
SDN OpenDaylight
SDN OpenDaylightSDN OpenDaylight
SDN OpenDaylight
 
Java dans Windows Azure: l'exemple de Jonas
Java dans Windows Azure: l'exemple de JonasJava dans Windows Azure: l'exemple de Jonas
Java dans Windows Azure: l'exemple de Jonas
 
Rapport d’installation d’un serveur de messagerie avec le Webmail Roundcube
Rapport d’installation d’un serveur de  messagerie avec le Webmail RoundcubeRapport d’installation d’un serveur de  messagerie avec le Webmail Roundcube
Rapport d’installation d’un serveur de messagerie avec le Webmail Roundcube
 

APACHE HTTP

  • 1. 17/03/14 1 APACHE HTTP Rachid NID SAID rachid.nidsaid@gmail.com
  • 2. 17/03/14 2 Plan  Introduction  Installation  Structure  Configuration  Directives  Hôtes virtuels  Modules  Interception des erreurs & trace  Contenu dynamique  Authentification & SSL  Proxy & Load Balancer  Règles pour la performance et la sécurité
  • 3. Introduction  Apache HTTP Server, est un serveur HTTP connu pour avoir joué un rôle clé dans la croissance de l’Internet.  Continuité du serveur NCSA HTTPd de l’université de l’Illinois et alternative non payante de la solution Netscape Communications Corporation web server (Sun Java System Web Server)  Logiciel open source développé et maintenu par la communauté Apache Software Foundation.  Il représente le 1er serveur HTTP en part de marché avec 52%, devant Nginx 14% et IIS 11% (NetCraft Survey)  L'application est disponible pour une grande variété de systèmes d'exploitation, Unix, GNU, FreeBSD, Linux, Solaris, Novell NetWare, Mac OS X, Microsoft Windows, OS2, …
  • 4. Introduction  Versions en cours :  2.0.x : en mode maintenance, pas de nouveaux développement  2.2.x : en mode maintenance, pas de nouveaux développement  2.4.x : version actuelle  2.5 : la nouvelle version en cours de développement  Disponible sur le site http://httpd.apache.org/
  • 5. Installation  Le serveur Apache HTTP peut être téléchargé à partir du site http://httpd.apache.org/download.cgi  Apache offre deux sortes de livrables :  Livrable binaire prêt a l’installation  Code source de la version pour une compilation sur la machine cible.  cette option permet de mettre en place une installation optimisé pour le besoin cible
  • 6. Installation Mode statique et mode dynamique  L’architecture Apache est une architecture modulaire, et seulement les fonctionnalités de base d’un serveur HTTP sont disponible dans le noyau apache.  Écoute réseau, interception des requêtes, traitement des requêtes, envoi de la réponse.  Toutes les autres fonctionnalités Apache sont gérés par des modules externes.  Contenu dynamique, journalisation, authentification, ssl, …
  • 7. Installation Mode statique et mode dynamique  Mode dynamique : Les modules apaches sont configurés dans le fichier de configuration httpd.conf et peuvent être modifiés à tout moment  Le module n’est chargé qu’au besoin  Mode statique : Les modules apache sont définies lors de la compilation et ne peuvent être modifiés que par une autre compilation  Identifier les modules de façon pertinente pour ne pas être obligés de recompiler  Chaque module incorporés est chargé en mémoire même si elle n’est pas utilisé  Performance accrue du serveur
  • 8. Installation Sous Unix like  Extraction : $ gzip -d httpd-NV.tar.gz $ tar xvf httpd-NV.tar $ cd httpd-NV  Configuration : $ ./configure --prefix=installPath  pour charger un module en mode statique, utiliser l’option –enabled-mods-static=‘mod1 mod2 mod3’.  Compilation : $ make  Installation : $ make install  Test : $ installPath/bin/apachectl -k start accéder à l’url : http://localhost Pour plus de détail sur la procédure d’installation voir le document Compilation et installation sous Unix
  • 10. Installation Sous Unix like  Démarrage : installPath/bin/apachectl -k start installPath/bin/apachectl -k start –f path-to-configFile.conf  Arrêt : installPath/bin/apachectl -k stop installPath/bin/apachectl -k graceful-stop kill -TERM `cat /usr/local/apache2/logs/httpd.pid`  Redémarrage : installPath/bin/apachectl -k restart installPath/bin/apachectl -k graceful  Tester le fichier de configuration : installPath/bin/apachectl -k configtest installPath/bin/apachectl -k configtest –f path-to-configFile.conf
  • 11. Installation Sous Unix like  La plupart des distributions Linux modernes offre un package apache prêt pour installation :  Debian et Ubuntu :  Installation : apt-get install apache2  CentOS, Fedora, Red Hat :  Installation : yum install httpd
  • 12. Installation Sous Windows  Apache offre aussi la possibilité de compiler le code source pour la plateforme Windows  Utiliser l'environnement de développement Visual Studio de VC++  Il est possible d’installer Apache en tant que service httpd.exe -k install -n "nom-service" Pour plus de détail sur la procédure d’installation voir le document Compilation et installation sous Windows
  • 13. Structure Section Windows Unix Chemin d’Install par défaut C:Program FilesApache Group Apache2 /usr/local/apache2 Exécutable et scripts bin/apache.exe bin/ bin/httpd bin/ Fichiers de log log/error.log log/access.log log/httpd.pid log/error.log log/access.log log/httpd.pid Fichier de configuration conf/httpd.conf conf/httpd.conf Scripts CGI cgi-bin cgi-bin
  • 14. Structure Section Windows Unix Fichiers entêtes .h Include/ build/ Messages d’erreurs error/ error/ Modules et bibliothèques modules/ lib/ modules/ lib/ Documentation manual/ manual/ Emplacement par défaut des fichiers html htdocs/ htdocs/
  • 15. Configuration  Les fichiers de configuration sont placés dans le dossier conf, selon les distributions le fichier par défaut est soit httpd.conf soit apache2.conf  Pour utiliser un autre fichier autre que le fichier par défaut, il faut informer Apache de l’emplacement du nouveau fichier httpd –f /path/to/httpd/file.conf
  • 16. Configuration  Directives : paramètres pour configurer et contrôler la comportement du serveur Apache tels que les droits d’accès, les ports d’écoute, …  Sections : identifient le contexte dans le quel les directives sont appliqués. Par exemple les directives de droit d’accès peuvent s’appliquer sur l’ensemble du serveur ou bien sur un dossier spécifique.
  • 17. Configuration Sections Directive Description Directory/ DirectoryMatch Définie un répertoire par son chemin ou bien par une expression régulière pour DirectoryMatch Files / FilesMatch Définie une liste de fichiers par leurs chemins ou bien par une expression régulière pour FilesMatch If / ElseIf / Else Définie une condition qui doit être réalisé lors du traitement d’une requête pour appliquer les directives. <If "-z req('Host')"> … </If> Les expressions dans le serveur HTTP Apache IfDefine Définie une condition qui doit être réalisé lors du démarrage du serveur pour appliquer les directives, il prend en argument un paramètre fourni par –D à la commande de démarrage httpd IfDefine peuvent être imbriqués
  • 18. Configuration Sections Directive Description IfModule Les directives ne seront appliqués que si un module est chargé ou pas. <IfModule [!] nomModule> IfModule peuvent être imbriqués IfVersion Les directives ne seront appliqué que si la version est la même Utilisent les opérateurs logiques pour le test <IfVersion >= 2.1.5> Location / LocationMatch Similaire à la directive Directory, mais utilise des URL au lieu de nom de dossier Proxy / ProxyMatch Utilisé si Apache est configuré en tant que proxy, et ne s’appliquent que sur le contenu mandaté Il prend en argument une URL ou une expression régulière VirtualHost S’appliquent à un hôte virtuel et permet d’indiquer les directives appliqués pour un hôte virtuel identifié par NameVirtualHost
  • 19. Configuration Sections  Certains types de sections peuvent être imbriqués  on peut utiliser les sections <Files> à l'intérieur des sections <Directory>,  on peut utiliser les directives <If> à l'intérieur des sections <Directory>, <Location> et <Files>.  On peut utiliser les directives <if> à l’intérieur d’autres directives <If>  On peut utiliser n’importe quelle section au sein de la section <virtualHost>
  • 20. Configuration Sections  L’ordre d’application des sections suit l’ordre suivant : 1. Les sections <Directory> (à l'exception des expressions régulières) et les fichiers .htaccess sont appliqués simultanément 2. Les sections <DirectoryMatch> et <Directory ~> 3. Les sections <Files> et <FilesMatch> sont appliquées simultanément 4. Les sections <Location> et <LocationMatch> sont appliquées simultanément 5. Les directives <If>
  • 21. Configuration Sections  Pour chaque type de section, les directives sont appliqués dans leurs ordre d’apparition dans le fichier de configuration  Pour la section <Directory>, les sections sont traitées dans l'ordre du répertoire, du plus court vers le plus long  Les sections situées à l'intérieur de sections <VirtualHost> sont appliquées après les sections correspondantes situées en dehors de la définition de l'hôte virtuel, ce qui permet à l'hôte virtuel de prévaloir sur la configuration du serveur principal.
  • 22. Configuration Directives : Adresse IP et Ports d’écoute  La directive Listen signifie à Apache de se mettre à l'écoute sur les adresses IP et ports spécifiés et de n’accepter des requêtes entrante que sur les ports et l’interface réseau spécifiés Listen [<IP>:]<Port Number> [protocole]  La directive <Listen> accepte des adresse IPV6 Listen [2001:db8::a00:20ff:fea7:ccea]:80
  • 23. Configuration Directives : configuration de base  ServerName permet de définir un nom pour identifier le serveur, ce nom est utile lors de l’utilisation des redirections ou de l’utilisation du serveur en tant que frontal ServerName [protocole://]domain name or ip adress[:port]  User, Group indiquent au serveur de traiter les requêtes avec les privilèges de l’utilisateur ou du groupe spécifié. User userName Group groupeName  Pour utiliser ces directives le serveur doit être démarré en tant que root  Il faut faire attention à l’utilisateur ou groupe et de ne pas utiliser un avec des privilèges trop fort et trop étendues
  • 24. Configuration Directives : configuration de base  ServerRoot indique le répertoire racine ou est installé apache . ServerRoot installPath  DocumentRoot indique le répertoire par défaut ou sont stocké les fichiers visible depuis Internet DocumentRoot path  Si le path ne commence pas par un /, il est considéré comme sous dossier du ServerRoot
  • 25. Configuration Directives : dossier virtuel  Apache permet de rendre visible des documents et du contenu qui n’est pas disponible sous le dossier DocumentRoot.  Ce comportement est possible grâce à la directive Alias. Alias <virtualdirectory> <real directory>  Exemple : Alias /image /ftp/pub/image http://www.demaine.com/image/pic.gif
  • 26. Configuration Directives : Redirect  Dans le cas d’un changement d’url ou d’une migration de domaine, il est préférable de garder l’ancienne url pour un certain temps pour ne pas perturber les utilisateurs  La directive Redirect (RedirectMatch) permet de réaliser ce comportement, et de faire correspondre une ancienne URL à une nouvelle. Redirect [etat] oldPath url  etat : indique un code HTTP indiquant le type de redirection
  • 27. Configuration Directives : Include  La directive Include permet d’inclure le contenu d’un fichier de configuration dans le fichier appelant Include filePath|folderPath|wildcard  Cette directive permet d’organiser la configuration apache d’un telle façon que le fichier racine ne devient pas ingérable.  Les directives contenu dans le fichier inclus sont intégrés dans l’ordre d’apparition de la directive Include dans le fichier appelant  IncludeOptional, même comportement qu’Include sauf si le dossier spécifié n’existe pas, apache ne génère pas d’erreur à la différence d’Include
  • 28. Configuration Directives : fichier de configuration distribué  Apache offre un mécanisme très fort pour pouvoir redéfinir des directives de configuration de façon fine et distribué.  La directive AccessFileName permet ce mécanisme en spécifiant un nom de fichier que apache va vérifier à chaque requête et pour chaque dossier de l’url de la requête AccessFileName .htaccess  Contenu du fichier .htaccess AllowOverride All|None|type directive [types directive…]  Mécanisme à utiliser avec parcimonie, il a de forts impact sur les performance du serveur, préférer l’utilisation de la section <Directory>
  • 29. Configuration Directives : Contrôle d’accès  Le directive Require fournit un mécanisme très riche pour configurer un contrôle d’accès à des ressources du serveur  Require all granted : l’accès est autorisé sans restriction  Require all denied : l’accès est refusé sans restriction  Require env env_variable [env-var] … : l’accès est autorisé si le variable d’environnement est définie  Require method http-method [http-method] … : l’accès n’est autorisé que pour les méthodes HTTP spécifié  Require user iserID [userID] … : l’accès est autorisé pour les utilisateurs indiqués  Require group groupeName [groupName] … : l’accès est autorisé pour les membres des groupes indiqués  Require valid-user : l’accès est autorisé pour tout utilisateur valide  Require ip adresseIP [adresseIP] … : l’accès est autorisé pour les requêtes dont la source sont les adresses IP
  • 30. Configuration Directives : Contrôle d’accès  RequireAll permet de regrouper des directives d’accès Require dont aucune ne doit échouer pour permettre l’accès  RequireAny permet de regrouper des directives d’accès Require dont au moins doit être positif pour permettre l’accès  RequireNone permet de regrouper des directives d’accès Require dont aucune ne doit être positif pour permettre l’accès Les directives de contrôle d’accès s’appliques seulement dans la section Directory ou bien au sein d’un fichier .htaccess
  • 31. Configuration Directives : Contrôle d’accès SetEnvIf User-Agent geck1_8 let_me_in <Directory /www/mydocs> <RequireAll> <RequireAny> Require user superadmin <RequireAll> Require group admins Require ldap-group cn=Administrators,o=Airius <RequireAny> Require group sales Require ldap-attribute dept="sales" </RequireAny> </RequireAll> </RequireAny> <RequireNone> Require env let_me_in Require ldap-group cn=Temporary Employees,o=Airius </RequireNone> </RequireAll> </Directory>
  • 32. Configuration Hôtes virtuels  Le principe des Hôtes Virtuels consiste à faire fonctionner un ou plusieurs domaines Web sur une même machine. L'utilisateur final ne perçoit pas qu'en fait il s'agit d'une même machine.  Le configuration d’un hôte virtuel est faite par la directive VirtualHost <VirtualHost [IP ADDRESS:PORT] > ServerAdmin DocumentRoot ServerName ServerAlias ErrorLog </ VirtualHost >
  • 33. Configuration Hôtes virtuels  Il existe deux façons pour identifier des hôtes virtuels :  Par adresse IP : l’hôte virtuel est identifié sur la base d’un couple adresse IP et port.  Pour pouvoir utiliser des adresses IP différentes pour chaque hôte, la machine doit avoir un interface réseau pour chaque adresse IP  Apache doit être à l’écoute du port choisi au niveau de la configuration serveur via la directive Listen  Par nom de domaine : l’hôte virtuel est identifié sur la base d’un nom de domaine « www.mondomaine.com »  Le nom de domaine doit déjà être associé à l’adresse IP de la machine au niveau du DNS
  • 34. Configuration Hôtes virtuels Définition de serveurs virtuels à base d’adresse IP : Listen 172.20.30.40:80 Listen 172.20.30.50:8080 <VirtualHost 172.20.30.40:80> DocumentRoot /www/example1-80 ServerName www.example.com Directives … </VirtualHost> <VirtualHost 172.20.30.50:8080> DocumentRoot /www/example2-8080 ServerName www.example.org Directives … </VirtualHost>
  • 35. Configuration Hôtes virtuels Définition de serveurs virtuels par nom IP : 1. Serveur qui répond au nom de domaine www.example.com et site.example.com 2. Serveur qui répond au nom de domaine other.example.com 3. Serveur qui répond à toute autre requête qui ne cible pas les domaines précédents <VirtualHost *:80> ServerName www.example.com ServerAlias www.example.com site.example.com DocumentRoot /www/domain </VirtualHost> <VirtualHost *:80> ServerName other.example.com DocumentRoot /www/otherdomain </VirtualHost> <VirtualHost _default_:*> DocumentRoot /www/default </VirtualHost>
  • 36. Configuration Modules DSO  L’architecture modulaire du serveur APACHE permet de fournir un produit performant pour répondre à divers besoins :  Disponibilité sur une très grande variété de plateformes et d‘OS. Ne reconstruire que les modules qui le nécessitent pour la plateforme cible.  Souplesse de configuration et de mise en place d’une plateforme performante et optimisé pour les besoins de la production Cette conception autorise. N’intégrer que les fonctionnalités (modules) nécessaire pour la plateforme.
  • 37. Configuration Modules DSO  Lors du chargement en mémoire, les modules DSO mènent une existence séparée du processus principal httpd.  Les modules sont chargés de deux façons :  Statique, Les modules DSO sont compilés en même temps que le serveur,  Dynamique : Les modules sont chargé via la directive loadModule du module mod_so. LoadModule module nom-fichier  Les deux modules mod_so et core sont les seules modules qui ne peuvent être chargé de façon dynamique et le sont toujours de façon statique.
  • 39. Configuration Modules DSO  Traduction des URI en chemin physique :  mod_userdir : gestion des dossiers personnels des utilisateurs  mod_rewrite : moteur de réécriture à base de règles permettant de réécrire les URLs des requêtes à la volée  Authentification / gestion d’accés :  mod_auth, mod_auth_anon,mod_auth_db, mod_auth_dbm : gestion d’authentification des utilisateurs.  mod_access : gestion des accès au ressources du système.  Journalisation:  mod_log_*: journalisation
  • 40. Configuration Modules DSO  Identification des MIME types :  mod_mime : associe les extensions des fichiers demandés avec l'action déclenchée par ces fichiers et avec leur contenu (type MIME, langue, jeu de caractère et codage) .  mod_mime_magic : détermine le type MIME d'un fichier à partir de de son contenu "magic numbers" (e.g. fichiers gif démarrent avec le même contenu)  Gestion de URL :  mod_alias : permet d’accéder à certaines parties du système qui ne sont pas public  mod_env : création de variables d’environnement  mod_speling : correction automatique des URL
  • 41. Configuration Modules DSO  Gestion de la réponse :  mod_actions : identifier les types de fichiers qui sont des exécutables CGI  mod_autoindex : construction automatique de l’index d’un répertoire lors de sa consultation  mod_cgi : gestion du contenu CGI  mod_include : gestion des directives SSI  mod_dir : Permet la redirection des adresses se terminant par un répertoire sans slash de fin et la mise à disposition des fichiers index de répertoire.  mod_imagemap : Traitement des cartes des zones interactives d'une image (imagemaps) au niveau du serveur
  • 42. Configuration Modules DSO : Avantages  Le construction du serveur est plus flexible à l'exécution car le processus serveur peut être assemblé à l'exécution via la directive LoadModule du fichier de configuration plutôt que par des options du script configure à la compilation.  Par exemple, on peut exécuter différentes instances du serveur (standard et version SSL, version minimale et version dynamique [mod_perl, mod_php], etc...) à partir d'une seule installation d'Apache httpd.  Le construction du serveur peut être facilement étendu avec des modules tiers, même après l'installation.  Facilité de montée en version des modules statiques  apxs permet de travailler en dehors de l'arborescence des sources d'Apache, et de n'avoir besoin que de la commande apxs pour introduire une nouvelle version du module fraîchement développé, dans le serveur HTTP Apache en cours d'exécution.
  • 43. Configuration Modules DSO : Inconvénients  Le serveur est environ 20 % plus lent au démarrage à cause des résolutions de symboles supplémentaires que le chargeur Unix doit effectuer.
  • 44. Configuration Interception des erreurs & trace  ErrorLog définit le nom du fichier dans lequel le serveur va journaliser toutes les erreurs qu'il rencontre. ErrorLog filePath  La syntaxe Loglevel syslog permet de rediriger la sortie log vers le journal système.  LogLevel définit le niveau de détail (verbosité) des messages enregistrés dans les journaux d’erreurs LogLevel level  La syntaxe Loglevel nomModule:level permet de spécifier un niveau de log pour un module donné  PidFile définit le nom du fichier dans lequel le serveur va journaliser les identifiants du processus apache
  • 46. Configuration Interception des erreurs & trace  CustomLog permet d’activer la journalisation de des requêtes destinées au serveur et d’en spécifier une politique.  Nécessite l’activation du module mod_log_config CustomLog fichier|pipe format|alias [env=[!]variable-environnement| expr=expression]
  • 47. Configuration Interception des erreurs & trace # Journal personnalisé avec alias de format LogFormat "%h %l %u %t "%r" %>s %b" common CustomLog logs/access_log common SetEnvIf Request_URI .gif$ gif-image CustomLog gif-requests.log common env=gif-image CustomLog "|/usr/local/apache/bin/rotatelogs /log/access_log 86400" common
  • 48. Contenu dynamique CGI  CGI (Common Gateway Interface) permet de définir une interface de communication entre un serveur HTTP et un programme exécutable qui renvoi vers le serveur du contenu HTML pour affichage  C’est cette interface qui a permis de rendre le WEB dynamique  Le plus populaire des langages de programmation CGI est PHP
  • 49. Contenu dynamique CGI  Apache est capable de s’interfacer avec CGI pour permettre de communiquer avec des programmes externes 1. Charger le module CGI apache cgi_module, s’il n’est pas chargé en statique LoadModule cgi_module path/mod_cgi.so 2. Définir l’emplacement des fichiers programmes  Au niveau serveur : ScriptAlias /scripts/ /usr/local/apache2/cgi-bin/  Au niveau dossier : <Directory /usr/local/apache2/htdocs/somedir> Options +ExecCGI </Directory> 2. Identifier les type de fichiers (extension) qui sont des programmes AddHandler cgi-script .cgi .pl .php
  • 50. Contenu dynamique CGI  Configurer Apache pour traiter du contenu PHP en tant que programme CGI: ScriptAlias /scripts/ scripts/php/ AddHandler cgi-script .php AddType application/x-httpd-php .php Action application/x-httpd-php /usr/bin/php/php-cgi.exe
  • 51. Contenu dynamique SSI  SSI pour Server Side Includes  C’est un mécanisme d’intégrer dans des pages HTML du code qui est interprété et évalué coté serveur, sans utiliser un langage CGI ou toute autre technologie coté serveur. <!--#fonction attribut=valeur attribut=valeur ... -->  Exemples : <!--#config timefmt="%A" --> <!--#echo var="DATE_LOCAL" --> <!--#include virtual="/cgi-bin/counter.pl" --> <!--#flastmod file="ssi.shtml" -->
  • 52. Contenu dynamique SSI 1. Indiquer à apache la prise en charge des directives SSI Options +Includes  Cette directive peut être ajouté au niveau serveur, hôte virtuel, ou répertoire 2. Indiquer quels fichiers sont concernés par la prise en charge de directives AddType text/html .shtml AddOutputFilter INCLUDES .shtml
  • 53. Configuration Authentification par mot de passe  L’authentification est le mécanisme qui permet de vérifier qu’un utilisateur est bien celui qu’il prétend être.  Authentification par mot de passe  Authentification par certificat SSL  Apache fournit un ensemble de modules qui permettent de configurer un mécanisme d’authentification complet est riche.  mod_auth_basic, mod_auth_digest, mod_authn_anon, mod_authn_dbd, mod_authn_dbm, mod_authn_file, mod_authnz_ldap, mod_authn_socache.
  • 54. Configuration Authentification par mot de passe  La directive AuthType permet d’activer l’authentification au niveau d’Apache et d’indiquer de quelle façon elle va être géré.  Deux types sont disponibles :  mod_auth_basic : permet d’activer une authentification basique par de mot passe AuthType basic  mod_auth_digest : même mécanisme que le précedent, sauf que le mot de passe envoyé du client vers le serveur est crypté. AuthType Digest
  • 55. Configuration Authentification par mot de passe  La directive AuthBasicProvider (AuthDigestProvider) permet d’indiquer le fournisseur utilisé pour identifier et authentifier les utilisateurs.  mod_authn_file : les utilisateurs et les mots de passe sont stockés dans un fichier texte. AuthBasicProvider file  mod_authn_dbm : les utilisateurs et les mots de passe sont stockés dans un fichier dbm. AuthBasicProvider dbm  mod_authn_dbd : les utilisateurs sont stockés au niveau d’une base de données AuthBasicProvider dbd  mod_authnz_ldap : les utilisateurs sont stockés au niveau d’un annuaire LDAP AuthBasicProvider ldap
  • 56. Configuration Authentification par mot de passe  Les directives d’authentification sont insérés soit au sein de la section <Directory>, soit au sein des fichiers .htaccess  Pour l'utilisation de fichiers .htaccess, ne pas oublier d’utiliser la directive AllowOverride, qui spécifie quelles directives pourront éventuellement être redéfinie. AllowOverride AuthConfig
  • 57. Configuration Authentification par mot de passe # htpasswd -c /path/to/passwordFile userName New password: mot-de-passe Re-type new password: mot-de-passe Adding password for user userName <Directory /var/www/html/private> AuthName ‘user and password please !.’ AuthType Basic AuthBasicProvider file AuthUserFile /path/to/passwordFile Require valid-user </Directory>
  • 58. Configuration Authentification par mot de passe <Directory /www/docs/private> AuthName "Private« AuthType Basic AuthBasicProvider file ldap AuthUserFile /usr/local/apache/passwd/passwords AuthLDAPURL ldap://ldaphost/o=yourorg AuthGroupFile /usr/local/apache/passwd/groups Require group GroupName Require ldap-group cn=mygroup,o=yourorg </Directory>
  • 59. Configuration Authentification par mot de passe # configuration de mod_dbd DBDriver pgsql DBDParams "dbname=apacheauth user=apache pass=xxxxxx" DBDMin 4 DBDKeep 8 DBDMax 20 DBDExptime 300 <Directory /usr/www/mon.site/team-private/> # configuration de mod_authn_core et mod_auth_basic pour mod_authn_dbd AuthType Basic AuthName Team AuthBasicProvider dbd # requête SQL de mod_authn_dbd pour authentifier un utilisateur qui se connecte AuthDBDUserPWQuery "SELECT password FROM authn WHERE user = %s AND login = 'true'"
  • 60. Configuration Authentification par mot de passe # le processus de connexion dbd exécute une requête pour enregistrer la connexion de l'utilisateur Require dbd-login AuthzDBDQuery "UPDATE authn SET login = 'true' WHERE user = %s" # configuration de mod_authz_core pour mod_authz_dbd Require dbd-group team # configuration de mod_authz_dbd AuthzDBDQuery "SELECT group FROM authz WHERE user = %s" # lorsqu'un utilisateur échoue dans sa tentative d'authentification ou # d'autorisation, on l'invite à se connecter ; cette page doit # contenir un lien vers /team-private/login.html ErrorDocument 401 /login-info.html <Files login.html>
  • 61. Configuration Authentification par mot de passe # il n'est pas nécessaire que l'utilisateur soit déjà connecté ! AuthDBDUserPWQuery "SELECT password FROM authn WHERE user = %s" # redirige l'utilisateur vers la page d'origine (si elle existe) après une connexion réussie AuthzDBDLoginToReferer On </Files> <Files logout.html> # le processus de déconnexion dbd exécute une requête pour enregistrer la déconnexion de l'utilisateur Require dbd-logout AuthzDBDQuery "UPDATE authn SET login = 'false' WHERE user = %s" </Files> </Directory>
  • 62. Configuration Authentification par mot de passe & SSL  La 1er étape pour intégrer du SSL est de charger le module ssl_module LoadModule ssl_module modules/mod_ssl.so SSLVerifyClient none SSLCACertificateFile path/ssl.crt/ca.crt SSLCACertificatePath path/ssl.crt <Directory /usr/local/apache2/htdocs/secure/area> SSLVerifyClient require SSLVerifyDepth 5 SSLOptions +FakeBasicAuth SSLRequireSSL AuthName "Authentication" AuthType Basic AuthBasicProvider file AuthUserFile /usr/local/apache2/conf/httpd.passwd Require valid-user </Directory>
  • 63. Proxy  Le serveur Apache est capable le rôle d’un proxy au sein d’une architecture réseau que ce soit en tant que proxy directe ou bien en tant que reverse proxy (frontal ou passerelle).  Proxy Directe : Serveur intermédiaire qui s'intercale entre le client et le serveur demandé. Pour obtenir un contenu hébergé sur un serveur externe, le client envoie sa requête au proxy en nommant le serveur demandé comme cible, c’est le proxy qui est responsable de contacter le serveur cible, de récupérer le contenu depuis le serveur demandé et de le renvoiyer vers le client.  Reverse proxy : apparaît au client comme étant le serveur web qui héberge le contenu. Et c’est ce dernier qui sait où renvoyer les requêtes clients pour récupérer le contenu et le renvoyer client comme s'il l'hébergeait lui- même.
  • 64. Proxy
  • 65. Proxy
  • 66. Proxy  Le module mod_proxy est le responsable des fonctionnalités proxy du serveur APACHE  Proxy directe :  Directive ProxyRequests active le proxy directe  Directive ProxyVia, elle est est optionnel, elle indique au serveur de mettre à jour l’entete HTTP « via » pour indiquer le chemin suivi par la requête ProxyRequests On ProxyVia On # ne permettre l’utilisation du proxy que pour les machines locaux <Proxy *> Require ip 182.125 </Proxy>
  • 67. Proxy  Reverse Proxy :  Directive ProxyPass active le reverse proxy, elle associe une location au niveau local à une adresse distante  Directive ProxyPassReverse nécessaire lors de l’activation du reverse proxy, elle force le serveur à ajuster les entêtes HTTP location et URI afin d’éviter de court-circuiter le reverse proxy lors des redirections dans le serveur distant. ProxyPass /mirror/foo http://foo.example.com/bar ProxyPassReverse /mirror/foo http://foo.example.com/bar <Location /mirror/foo> ProxyPass http://foo.example.com/bar ProxyPassReverse http://foo.example.com/bar </Location>
  • 68. Répartition de charge  La répartition de charge (load balancing) est un ensemble de techniques permettant de distribuer une charge de travail entre différents ordinateurs d'un groupe.  L’activation de la répartition de charge nécessite le chargement des modules mod_proxy, mod_proxy_balancer, et l’un des modules suivant pour l’algorithme de planification de la répartition  mod_lbmethod_byrequests : nombre de requêtes  mod_lbmethod_bytraffic : taille du trafic  mod_lbmethod_bybusyness : requêtes en attente  mod_lbmethod_heartbeat : comptage de trafic Heartbeat, nécessite le mod_heartbeat et mod_heartmonitor au niveau des membres
  • 69. Répartition de charge  La directive BalancerMember définit les nœuds qui participent à la répartition de charge  Le paramètre lbmethod indique quel algorithme est utilisé pour la répartition <Proxy balancer://mycluster> BalancerMember http://192.168.1.50:80 BalancerMember http://192.168.1.51:80 ProxySet lbmethod=bytraffic </Proxy> ProxyPass /test balancer://mycluster ProxyPassReverse /test balancer://mycluster
  • 70. Répartition de charge  Répartition de charge avec abonnement : ProxyPass /test balancer://mycluster stickysession=JSESSIONID| jsessionid scolonpathdelim=On ProxyPassReverse /test balancer://mycluster <Proxy balancer://mycluster> BalancerMember http://192.168.1.50:80 route=node1 BalancerMember http://192.168.1.51:80 route=node2 </Proxy> Au niveau des serveurs membres : ProxyPass route=node1 ProxyPass route=node2
  • 71. Répartition de charge  Apache fournit un module pour pouvoir gérer le répartiteur de charge de façon dynamique via un gestionnaire. 1. Activer le module mod_status 2. Au niveau de fichier de config : <Location /balancer-manager> SetHandler balancer-manager Require host serveur </Location> 3. Accéder au gestionnaire sur l’url http://serveur/balancer-manager
  • 72. Règles pour la performance et la sécurité  Ne Jamais exécuter Apache comme root de la machine  Utiliser un utilisateur dédié  Utilisateur sans shell  Utilisateur sans mot passe valide  Désactiver les modules qui ne sont pas utilisés  Si l’accès à des dossiers n’est pas nécessaire, désactiver le module mod_autoindex  Faire attention aux modules et directives CGI et SSI,  ne les configurer que pour les ressources qui ont en besoin (jamais au niveau serveur)  Ne garder que les directives Listen qui sont actives
  • 73. Règles pour la performance et la sécurité  Nettoyer le fichier de config, vérifier les directives include et supprimer ceux qui ne sont pas necessaire.  Éviter d’utiliser les fichiers de configurations distribués .htaccess  préférer la directive Directory au niveau du fichier de configuration  Bien étudier la politique d’activation des modules (statique / dynamique)  L’activation statique sollicite la mémoire de la machine  L’activation dynamique sollicite le processeur de la machine
  • 74. Règles pour la performance et la sécurité  Utiliser le module mod_cache pour accélérer le rendu du contenu dynamique  Le niveau de journalisation doit être bien étudié  un niveau trop fin engendre des écritures qui ne sont nécessaires.  Les journaux doivent être situé dans un disk autre que le disk apache  Utiliser la journalisation par programme que par fichier directe
  • 75. Atelier 1. Configurer un serveur Apache avec 2 hôtes virtuels par nom 1. Le 1er nécessite une authentification, utiliser mdb comme provider 1. Le sous dossier /private, ne doit être accessible que pour l’utilisateur specialUser 2. Activer Customlog au niveau de cet hôte 2. Le 2éme est à accès public, est accepte les directives SSI 3. Bloquer l’accés au site par défaut du serveur. 2. Configurer un cluster avec 3 serveur, 1 proxy reverse et 2 serveurs membres.