Luc de Louw

luc at delouw.ch

1.9.15 2002-06-20 Mise à jour mod_ssl-2.8.9-1.3.26, enlevé le correctif temporaire. 1.9.14 2002-06-19 Mise à jour vers Apache 1.3.26 suite à la découverte du trou de sécurité CERT CA-2002-17. Il est fortement recommandé aux administrateurs d'appliquer cette mise à jour immédiatement. Ajout (temporaire) d'un correctif pour faire fonctionner mod_ssl 2.8.8 avec la 1.3.26. Ajout de --without-debug dans la commande configure de mysql 1.9.13 2002-06-15 Mises à jours des logiciels mentionné par le HOWTO, ajout de la procédure pour forcer l'adresse IP d'écoute de MySQL, quelques modifications mineures 1.9.12 2002-04-22 Ajout de mod_gzip et mod_gunzip, correction de coquilles, mises à jours des logiciels mentionné par le HOWTO, séparation des modules additionnels dans une section. 1.9.11 2002-04-07 Correction de coquilles (non techniques), mises à jours des logiciels mentionné par le HOWTO 1.9.11-pre1 2002-03-15 Corrections grammaticales, mises à jours des logiciels mentionné par le HOWTO 1.9.10-1 2002-03-17 Ajout de références 1.9.9 (ébauche) 2002-02-11 Correction d'un bug majeur dans la configuration de openssl, ajout de références 1.9.8 2002-02-08 Mise à jour des versions de logiciels de ce HOWTO, correction de bugs 1.9.7 2001-12-26 Mise à jour des versions de logiciels de ce HOWTO, tests des procédure du HOWTO sur Linux sur IBM S/390 (zSeries) Machines (voir "plates-formes" pour plus d'informations), Ajout du support de base de Tomcat (Binaires uniquement) 1.9.6 2001-10-27 Mise à jour des versions de logiciels de ce HOWTO, correction de bugs 1.9.5 2001-08-27 Déjà une nouvelle ré-écriture au format Docbook 3.1 1.9.4 2001-08-26 Mise à jour des versions de logiciels de ce HOWTO, correction de quelques coquilles 1.9.3 2001-06-23 Version actuelle 2.0.0-pre3 au format Linux DocBook 1.0.0 2000-08-05 Première édition au format HTML Apache, mod_perl, mod_dav, mod_auth_ldap, mod_dynvhost, mod_roaming, mod_jserv, et mod_php Cette procédure explique comment compiler le serveur Web Apache avex les modules les plus importants comme mod_perl, mod_dav, mod_auth_ldap, mod_dynvhost, mod_roaming, mod_jserv et mod_php. Je voudrai tout d'abord remercier tous ceux qui m'ont envoyé leurs questions et suggestions et qui ont rendu possible l'écriture de ce document. Cela m'a montré combien il est important de partager le savoir. Je vous encourage à m'envoyer d'autres suggestions par email à luc at delouw.ch Toutes les distributions Linux que j'ai testées ont une mauvais configuration de Apache. De plus, les versions de Apache sont la plupart du temps désuètes. Enfin, aucun Unix commercial n'est fourni avec Apache pré-installé (pourquoi ?) Depuis que j'installe des serveurs Webs personnalisés sur différents Un*x, j'ai écrit un document texte que j'ai publié sur mon site web personnel pour y accéder depuis mon travail. Plus tard, un ami a envoyé l'URL à une mailing-list, et les premières questions sont arrivées. Ainsi, j'ai décidé d'en rajouter. Enfin, j'ai cédé aux multiples requêtes qui m'ont été adressées pour faire de ce document un HOWTO “official”. Pour compiler tous les logiciels cités tout au long de ce document, il faudrait connaitre un grand nombre d'options de compilation dont personne ne peut se rappeler. Ce document est donc une procédure “prête à copier-coller” pour compiler Apache et compagnie... Le second objectif de ce document et d'enseigner comment bâtir un serveur Web Apache avec toutes ses fonctionnalités et indépendement des distributions Linux. Ce n'est qu'un document et pas un script qui fera le travail pour vous. Vous devrez faire les choses par vous-même étape par étape. Le Document original que j'avais écrit concernait les principales plates-formes Un*x. Désormais, chaque plate-forme dispose de son propre HOWTO. Vous trouverez donc des documents pour les plates-formes: Linux (Ce document) IBM AIX 4.3 et 5.1L Sun Solaris 6/7/8 Hewlett-Packard HPUX 11 {Free|Net|Open}-BSD NB pour les utilisateurs de Linux sur IBM S/390 (zSeries): postgres et Jserv ne se compileront pas sur ce système. Tous les autres programmes ou modules mentionnés dans ce HOWTO fonctionnent impécablement. Autres Un*x: Pourquoi ne pas me créer un compte sur votre plate-forme Un*x ? Windows: Désolé mais je suis trop jeune pour mourrir ;-) Note du traducteur : Afin d'éviter de mauvaises interprétation des mentions ci-après qui modifieraient leur sens, le traducteur a volontairement omis de traduire le paragraphe ci-après. This document is copyrighted (c) 2000, 2001, 2002 Luc de Louw and is distributed under the terms of the Linux Documentation Project (LDP) license, stated below. Unless otherwise stated, Linux HOWTO documents are copyrighted by their respective authors. Linux HOWTO documents may be reproduced and distributed in whole or in part, in any medium physical or electronic, as long as this copyright notice is retained on all copies. Commercial redistribution is allowed and encouraged; however, the author would like to be notified of any such distributions. All translations, derivative works, or aggregate works incorporating any Linux HOWTO documents must be covered under this copyright notice. That is, you may not produce a derivative work from a HOWTO and impose additional restrictions on its distribution. Exceptions to these rules may be granted under certain conditions; please contact the Linux HOWTO coordinator at the address given below. In short, we wish to promote dissemination of this information through as many channels as possible. However, we do wish to retain copyright on the HOWTO documents, and would like to be notified of any plans to redistribute the HOWTOs. If you have any questions, please contact linux-howto at metalab.unc.edu No liability for the contents of this documents can be accepted. Use the concepts, examples and other content at your own risk. As this is a new edition of this document, there may be errors and inaccuracies, that may of course be damaging to your system. Proceed with caution, and although this is highly unlikely, the author(s) do not take any responsibility for that. All copyrights are held by their by their respective owners, unless specifically noted otherwise. Use of a term in this document should not be regarded as affecting the validity of any trademark or service mark. Naming of particular products or brands should not be seen as endorsements. You are strongly recommended to take a backup of your system before major installation and backups at regular intervals. (your index root)!news on Ceci est la 13ème édition. Les annonces de nouvelles versions de ce document seront publiées sur http://freshmeat.net/apacompile Vous pouvez trouver la dernère version de ce document sur http://www.delouw.ch/linux HTML. Postscript (ISO A4 format). Acrobat PDF. SGML Source. HTML gzipped tarball. Je voudrais remercier tous ceux à discuss (at) linuxdoc.org pour m'avoir encouragé dans l'écriture des HOWTO. Vos remarques sur ce document sont les bienvenues. Sans vous, ce document n'existerait pas. N'hésitez pas à m'envoyer vos compléments, suggestions ou critiques à l'adresse : luc at delouw.ch. L'original est écrit en langue anglaise. Original en anglais Le traducteur à l'origine de la version française tient à conserver l'anonymat. Allemand Toute nouvelle traduction est la bienvenue. Si vous avez traduit ce document, faites le moi savoir afin que je la référence ici. Luc a 29 ans et touche à l'informatique depuis 20 ans. Il est actuellement Ingénieur système Unix pour une société Internet localisée à Kloten (Zurich) en Suisse. Son centre d'intérêt principal est de développer toutes sortes de systèmes innovants sur Linux (et autres Un*x). Enfin, toutes les tâches “impossible” sur les différents Un*x finissent sur son bureau. (et il adore ça!) flex 2.54 bison 1.28 autoconf 2.52 automake 1.4 libtool 1.4 yacc-91.7.30 freetype2-devel re2c (si PHP est compilé à partir de l'arborescense CVS) A suivre Toutes les principales distributions incluent ces prérequis SuSE 7.1 et peut-être d'autres distributions ont des problèmes pour compiler apache 1.3.19 (1.3.20 et ultérieurs sont corrigés) avec mod_rewrite Pour corriger ce problème, créez un lien symbolique: cd /usr/include/db1 ln -s ../ndbm.h ndbm.h A partir de SuSE 7.2, ce problème est corrigé Extrait du site www.openssl.org Le projet OpenSSL est un effort collaboratif pour développer une implémentation robuste, fiable et complète (incluant un toolkit libre) des protocoles Secure Sockets Layer (SSL v2/v3) et Transport Layer Security (TLS v1). Le projet est mené par une communauté mondiale de volontaires qui utilisent Internet pour communiquer, plannifier et développer la boîte à outils OpenSSL ainsi que ses documentations. OpenSSL est basé sur l'excellente librairie SSLeay développée par Eric A. Young et Tim J. Hudson. La boîte à outils OpenSSL est diffusé sous licence d'utilisation du même type que celle d'Apache, qui signifie, en résumé, que vous êtes libres de la récupérer et de l'utiliser à des fins commerciales ou non à des conditions très simples. Du point de vue des auteurs, il s'agit de la base pour bâtir un serveur Unix sûr avec des logiciels Opensource. La plupart des produits comme mod_ssl, OpenSSH et de nombreux autres qui chiffrent des données, nécessitent OpenSSL. OpenSSL fournit non seulement les librairies et les fichiers d'entête nécessaires aux produits mentionnés ci-dessus, mais également une application pour créer des certificats client ou serveur. Site d'origine http://www.openssl.org cd /usr/local tar -xvzf openssl-0.9.6d.tar.gz cd openssl-0.9.6d ./config shared make make test make install echo "/usr/local/ssl/lib" >> /etc/ld.so.conf ldconfig MySQL est une base de données très rapide, puissante et facile à gérer. MySQL est particulièrement adapté aux applications Web dont les données sont essentiellement accédées en lecture. Les versions récentes sont aussi capable de gérer des transactions. Si vos applications Web doivent écrire beaucoup de données, Postgres pourrait être un meilleur choix. Vous aurez besoin de l'API C de MySQL pour compiler PHP si vous voulez le support de MySQL dans PHP. Vous en aurez également besoin si vous souhaitez installer mod_authmysql (voir section pour plus d'informations) Site d'origine: http://www.mysql.com/downloads/ cd /usr/local tar -xvzf mysql-3.23.51.tar.gz cd mysql-3.23.51 ./configure \ --prefix=/usr/local/mysql \ --enable-assembler \ --with-innodb \ --without-debug make make install /usr/local/mysql/bin/mysql_install_db echo /usr/local/mysql/lib/mysql >> /etc/ld.so.conf ldconfig Pour des raisons de sécurité, ajoutez un utilisateur sur votre système pour MySQL (par exemple "mysql"), puis chown -R mysql /usr/local/mysql/var et changez la ligne user=root par user=mysql dans le fichier /usr/local/mysql/bin/safe_mysqld Si vous souhaitez démarrer automatiquement MySQL au démarrage, copiez /usr/local/mysql/share/mysql/mysql.server dans /etc/init.d/ (ou à l'endroit où se trouvent vos scripts rc) et créez les liens symboliques correspondants dans les répertoires des différents niveaux d'exécution. Ce point est optionnel et explique comment forcer le daemon MuSQL a n'écouter que sur l'adresse IP locale du serveur I suggère de ne laisser MySQL ecouter que sur l'adresse de loopback 127.0.0.1. Ainsi vous êtes certains que personne ne pourra se connecter à votre daemon MySQL via le réseau. Bien entendu, cela n'a de sens que si MySQL est exécuté sur la même machine que le serveur web. Modifier la ligne 107 de /etc/init.d/mysql.server comme suit : Ligne originale: $bindir/safe_mysqld --datadir=$datadir --pid-file=$pid_file& à remplacer par : $bindir/safe_mysqld --datadir=$datadir --pid-file=$pid_file \ --bind-address=127.0.0.1& Extrait du site www.engelschall.com La librairie MM est une librairie qui simplifie l'utilisation de la mémoire partagée entre plusieurs processus "forkés" sous Unix. Une première couche masque toutes les différences d'implémentations entre les plates-formes (allocation et verrouillage) lors de la gestions des segments de mémoire partagée. Une seconde couche fournit une API dans le style de malloc(3) mais de haut niveau permettant de travailler simplement avec des structures de données dans les segments de mémoire partagée. Du point de vue des auteurs: C'est une librairie commune qui simplifie les accès aux shm par les programmeurs. Elle est très utilisée, en particulier par PHP et mod_ssl Puisque l'auteur n'est pas un programmeur, il est incapable d'expliquer l'utilisation exacte de ce truc Site d'origine: http://www.engelschall.com/sw/mm/mm-1.1.3.tar.gz cd /usr/local tar -xvzf mm-1.1.3.tar.gz cd mm-1.1.3 ./configure make make test make install ldconfig Extrait du site www.apache.org Le projet Apache est un effort de développement collaboratif d'un logiciel qui vise à fournir un serveur HTTP (Web) robuste, rivalisant avec des produits commerciaux, fonctionnel et dont le code source est libre. Le projet est mené conjointement par un groupe de volontaires des quatre coins du monde, utilisant Internet et le Web pour communiquer, plannifier et développer le serveur et sa documentation. Ces volontaires sont connus sous le nom de Apache Group. De plus, des centaines d'utilisateurs ont contribués aux idées, au code et à la documentation du projet. Ce fichier a vocation à décrire rapidement l'histoire de Apache Group et d'en faire connaitre les contributeurs. Du point de vue des auteurs: C'est simplement le meilleur serveur Web, sa configuration est très souple et permet de s'adapter au mieux à vos besoins, et il est E-X-T-R-E-M-E-M-E-N-T stable ! Je n'ai personnellement jamais vécu de plantage en environnement de production (=sans trucs expérimentaux). Que celui qui a expérimenté un plantage m'envoie un rapport d'incident par email pour que je le publie ici... Site d'origine http://www.apache.org/dist/httpd/ cd /usr/local/ tar -xvzf apache_1.3.26.tar.gz Si votre serveur web doit répondre à un grand nombre de requêtes simultanées et que votre machine est suffisament puissante pour supporter ces requêtes, vous pouvez changer le nombre maximal de processus Télécharger le correctif depuis : http://www.delouw.ch/linux/apache-patch_HARD_SERVER_LIMIT.txt --- httpd.h Thu Mar 21 18:07:34 2002 +++ httpd.h-new Sun Apr 7 13:34:11 2002 @@ -320,7 +320,7 @@ #elif defined(NETWARE) #define HARD_SERVER_LIMIT 2048 #else -#define HARD_SERVER_LIMIT 256 +#define HARD_SERVER_LIMIT 512 #endif #endif Ce correctif accroît le nombre maximum d'accès concurrents à 512. N'hésitez pas à l'augmenter encore si vous avez taillé un noyau pour et si vous avez édité votre /etc/security/limits.conf (RÉSERVÉ aux administrateurs expérimentés). De mauvais paramètres pourraient provoquer un “auto-attaque déni de service”!! Assurez vous de répartir correctement les ressources du système. Appliquer le patch comme suit: cd /usr/local/apache_1.3.26/src/include patch -p0 < apache-patch_HARD_SERVER_LIMIT.txt Extrait du site www.modssl.org Ce module fournit des fonctions de chiffrement fort aux serveurs Web Apache 1.3 via les protocoles SSL v2/v3 et TLS v1 en s'appuyant sur OpenSSL. Du point de vue des auteurs: Ce module est nécessaire pour que Apache puisse traiter des requêtes SSL (https). Il modifie le code source d'Apache et etend son API Assurez vous que tous les autres modules pour votre serveur Apache sont compilé avec l'option de compilation -DEAPI sans quoi votre serveur Web plantera ou refusera de démarrer Presque tous les modules que je connais le font par eux même sauf mod_jserv et mod_jk Site d'origine: http://www.modssl.org cd /usr/local/ tar -xvzf mod_ssl-2.8.9-1.3.26.tar.gz cd mod_ssl-2.8.9-1.3.26/ ./configure --with-apache=/usr/local/apache_1.3.26 Extrait du site perl.apache.org Avec mod_perl, il est possible d'écrire des modules Apache intégralement en Perl. De plus, l'interpréteur persistant inclus dans le serveur évite la perte de temps inhérente au démarrage d'un interpréteur externe. Du point de vue des auteurs: mod_perl est une sorte de substitut pour les cgi-bin. Les cgi déclenchent un 'fork' à chaque requête qui induit une perte de temps. Avec mod_perl, l'interpréteur Perl est chargé par le serveur Apache et persistant. Les requêtes ne nécessitent plus de 'fork'. Site d'origine: http://www.apache.org/dist/perl cd /usr/local tar -xvzf mod_perl-1.27.tar.gz cd mod_perl-1.27 perl Makefile.PL \ EVERYTHING=1 \ APACHE_SRC=../apache_1.3.26/src \ USE_APACI=1 \ PREP_HTTPD=1 \ DO_HTTPD=1 make make install NB: Ne compilez pas mod_perl en DSO! Aux dernières nouvelles, Apache planterait (je n'ai jamais testé) Les deux modules statiques (mod_ssl et mod_perl) sont maintenant configurés et le source d'Apache a été modifié. EAPI_MM="/usr/local/mm-1.1.3" SSL_BASE="/usr/local/ssl" \ ./configure \ --enable-module=unique_id \ --enable-module=rewrite \ --enable-module=speling \ --enable-module=expires \ --enable-module=info \ --enable-module=log_agent \ --enable-module=log_referer \ --enable-module=usertrack \ --enable-module=proxy \ --enable-module=userdir \ --enable-module=so \ --enable-shared=ssl \ --enable-module=ssl \ --activate-module=src/modules/perl/libperl.a \ --enable-module=perl make make install cd /usr/local/ssl/bin ./openssl req -new > new.cert.csr ./openssl rsa -in privkey.pem -out new.cert.key ./openssl x509 -in new.cert.csr -out new.cert.cert \ -req -signkey new.cert.key -days 999 cp new.cert.key /usr/local/apache/conf/ssl.key/server.key cp new.cert.cert /usr/local/apache/conf/ssl.crt/server.crt N.B.: OpenSSL demande plusieurs renseignements. Un erreur courante est de donner au mauvais "common name". A cet endroit, vous devez mettre le nom complet de votre serveur, par exemple www.foo.org Extrait du site www.webdav.org mod_dav est un module pour Apache qui le dote des fonctionnalités DAV (RFC 2518). C'est module Open Source diffusé sous licence Apache. Du point de vue des auteurs: DAV signifie: "Distributed authoring and Versioning" Il permet de gérer un site web comme un système de fichiers. Il peut donc remplacer les mises à jours par FTP. DAV est supporté par les principaux outils de développement Web (récents) et est en passe de devenir un standard de publication Web Site d'origine: http://www.webdav.org/mod_dav/ cd /usr/local tar -xvzf mod_dav-1.0.3-1.3.6.tar.gz cd mod_dav-1.0.3-1.3.6 ./configure --with-apxs=/usr/local/apache/bin/apxs make make install N.B.: le nom de fichier mod_dav-1.0.3-1.3.6 signifie que mod_dav ne fonctionne qu'avec les versions d'Apache 1.3.6 ou suivantes Extrait du site www.rudedog.org auth_ldap est un module d'authentification LDAP pour Apache, le plus populaire des serveurs Web. Les perfomances de auth_ldap sont excellentes et le module supporte Apache sur Unix ou Windows NT. Ce module supporte également LDAPS (LDAP sur SSL), et un mode qui permet aux clients Micros˜1 Frontpage de gérer les permissions Web tandis que les authentifications sont basées sur LDAP. Du point de vue des auteurs: Si vous souhaitez mutualiser vos infrastructures d'authentification sur une base login/mot de passe unique, LDAP est la solution. LDAP est un standard ouvert largement supporté. LDAP pour s'authentifier: Au login sous Linux, Solaris (et d'autres?), FTP (certains serveurs), http Basic Authentication Tarantella Authentication Role-Management Authentification Samba, d'autres que j'oublie :-) LDAP est basé sur des rôles, ce qui signifie que vous pouvez définir un rôle "manager", l'assigner à un utilisateur qui aura tous les droits qui seront attribués au manager Site orignie: http://www.rudedog.org/auth_ldap/ cd /usr/local tar -xvzf auth_ldap-1.6.0.tar.gz cd auth_ldap-1.6.0 ./configure --with-apxs=/usr/local/apache/bin/apxs \ --with-sdk=openldap make make install Il s'agit d'un module d'authentification de type http-Basic. Il permet de gérer la base d'utilisateur dans une base de donnée MySQL Site d'origine: ftp://ftp.kciLink.com/pub/mod_auth_mysql.c.gz gunzip mod_auth_mysql.c.gz /usr/local/apache/bin/apxs \ -c -I/usr/local/mysql/include \ -L/usr/local/mysql/lib/mysql \ -lmysqlclient -lm mod_auth_mysql.c cp mod_auth_mysql.so /usr/local/apache/libexec/ Ajoutez cette ligne dans votre fichier httpd.conf: LoadModule mysql_auth_module libexec/mod_auth_mysql.so ainsi que celle-ci dans la partie d'ajout des modules: AddModule mod_auth_mysql.c Prenez garde que les chemins des librairies et des fichiers include de Mysql soient corrects! NB: Assurez-vous que /usr/local/mysql/lib/mysql est dans /etc/ld.so.conf avant la compilation Utilisez AuthMySQLCryptedPasswords Off sinon cela ne fonctionnera pas! (analyse du problème en cours) <location /manual/> AuthType Basic AuthUserfile /dev/null AuthName Testing AuthGroupFile /dev/null AuthMySQLHost localhost AuthMySQLCryptedPasswords Off AuthMySQLUser root AuthMySQLDB users AuthMySQLUserTable user_info <Limit GET POST> require valid-user </limit> </location> Tapez simplement: mysql < authmysql.sql Le fichier authmysql.sql contient: create database http_users; connect http_users; CREATE TABLE user_info ( user_name CHAR(30) NOT NULL, user_passwd CHAR(20) NOT NULL, user_group CHAR(10), PRIMARY KEY (user_name); C'est un petit module qui permet de définir de nouveaux Virtual Host "à la volée" simplement en créant un nouveau répertoire dans le répertoire des virtual host. Le redémarrage du serveur Web n'est pas nécessaire. Cela peut être utile dans le cas d'ISP ou d'hébergeurs importants Site d'origine: http://funkcity.com/0101/projects/dynvhost/mod_dynvhost.tar.gz cd /usr/local tar -xvzf mod_dynvhost.tar.gz cd dynvhost/ /usr/local/apache/bin/apxs -i -a -c mod_dynvhost.c N.B.: Vérifiez dans httpd.conf si mod_dynvhost.so est chargé au démarrage: LoadModule dynvhost_module libexec/mod_dynvhost.so <DynamicVirtualHost /usr/local/apache/htdocs/vhosts/> HomeDir / </DynamicVirtualHost> Il ne reste plus qu'à créer un répertoire pour chaque Virtual host dans /usr/local/apache/htdocs/vhosts/ exemple /usr/local/apache/htdocs/vhosts/foo.bar.org Le redémarrage du serveur Web n'est pas nécessaire Extrait du site www.klomp.org/mod_roaming/ Avec mod_roaming, vous pouvez utiliser votre serveur Apache comme un Netscape Roaming Access server. Cela permet de stocker la configuration, les préférés, les carnets d'adresses, les coockies, etc, de Netscape Communicator sur un serveur et ainsi d'utiliser toujours les même paramètres, où qu'on se trouve. Du point de vue des auteurs: C'est vrai un truc génial! Hélas, cela ne fonctionne pas au travers de serveur proxy. Cela permet d'utiliser différentes machines avec les mêmes paramètres. Site d'origine: http://www.klomp.org/mod_roaming/ cd /usr/local tar -xvzf mod_roaming-1.0.2.tar.gz cd mod_roaming-1.0.2 /usr/local/apache/bin/apxs -i -a -c mod_roaming.c N.B.: Vérifier dans httpd.conf si mod_roaming est chargé au démarrage: LoadModule roaming_module libexec/mod_roaming.so Devrait être installé automatiquement (pour peu qu'on utilise Netscape sur un réseau local) RoamingAlias /roaming /usr/local/apache/roaming <Directory /usr/local/apache/roaming> AuthUserFile /usr/local/apache/conf/roaming-htpasswd AuthType Basic AuthName "Roaming Access" <Limit GET PUT MOVE DELETE> require valid-user </Limit> </Directory> Deux modules sont disponibles pour compresser les données: mod_gzip et mod_gunzip. Ils utilisent des approches différentes afin de limiter l'utilisation de bande passante. mod_gunzip prend un fichier compressé et le décompresse is le navigateur ne sait pas recevoir des données compressées. L'avantage est de limiter la charge CPU car la plupart des navigateurs gèrent bien les données compressées. D'un autre côté, la plupart des contenus sont aujourd'hui générés dynamiquement (ex: PHP) et ces contenus ne sont pas compressés. mod_gzip ne travaille pas à partir de fichiers déjà compressés. Toutes les données seront compressées avant d'être envoyées au navigateur. L'avantage est de compresser tous les contenus dynamiques, mais en contre-partie, cela génére un forte charge CPU afin de compresser toutes les données à la volée. mod_gzip sait gérer des fichiers déjà compressés (par ex: le fichier index.html.gz serait envoyé en l'état). Conclusion: vous devez choisir avec la plus grande précaution le module de compression. Si vous payez la bande passante et que la puissante CPU est moins importante, mod_gzip est le bon choix. Si les temps de réponses (délai de traitement des requêtes) est important et que la bande passante est peu chère, mod_gunzip est mieux. La page web suivante peut vous aider à prendre la bonne décision. C'est un document de Martin Kiff sur mod_gunzip http://www.innerjoin.org/apache-compression/howto.html Site d'origine: http://www.ehyperspace.com/htmlonly/products/mod_gzip.html /usr/local/apache/bin/apxs -i -a -c -lz mod_gzip.c Mettre ce qui suit dans /usr/local/apache/conf/httpd.conf: mod_gzip_on Yes mod_gzip_can_negotiate Yes mod_gzip_dechunk Yes mod_gzip_minimum_file_size 600 mod_gzip_maximum_file_size 0 mod_gzip_maximum_inmem_size 100000 mod_gzip_keep_workfiles No mod_gzip_temp_dir /usr/local/apache/gzip mod_gzip_item_include file \.html$ mod_gzip_item_include file \.txt$ mod_gzip_item_include file \.jsp$ mod_gzip_item_include file \.php$ mod_gzip_item_include file \.pl$ mod_gzip_item_include mime ^text/.* mod_gzip_item_include mime ^application/x-httpd-php mod_gzip_item_include mime ^httpd/unix-directory$ mod_gzip_item_include handler ^perl-script$ mod_gzip_item_include handler ^server-status$ mod_gzip_item_include handler ^server-info$ mod_gzip_item_exclude file \.css$ mod_gzip_item_exclude file \.js$ mod_gzip_item_exclude mime ^image/.* Site d'origine: http://www.oldach.net/mod_gunzip.tar.gz tar -xvzf mod_gunzip.tar.gz cd mod_gunzip-2 /usr/local/apache/bin/apxs -i -a -c -lz mod_gunzip.c Mettre ce qui suit dans /usr/local/apache/conf/httpd.conf: AddType text/html .htmz AddHandler send-gunzipped .htmz Maintenant vous pouvez utiliser gzip sur vos fichiers html et les renommer, c'est à dire : gzip index.html mv index.html.gz index.htmz Bien entendu, vous devrez modifier tous vos liens html vers des htmz, c'est à dire <a href="page.htmz">Une page</a> Extrait du site www.php.net PHP est un language de script côté serveur, orienté Web et multi plate-forme. Au départ c'étais simplement un moteur de livre d'or, puis il s'est développé encore et encore jusqu'à la version 3 qui était vraiment un langage de développement Web puissant Du point de vue des auteurs: Depuis la version 4, il est assez robuste pour des applications web professionnelles. Il est très puissant et supporte nativement toutes les principales bases de données, et les autres via ODBC. Il est un poil plus rapide que ASP sur systèmes M$. Il existe d'autres extensions comme apc qui accélère les traitements de 50 à 400% (en fonction du code écrit) En fonction de vos besoins, il faudra installer tout d'abord d'autres logiciels. Si vous suivez ce document, l'un de ces logiciels est MySQL car il est nécessaire à mod_auth_mysql. IMAP signifie "Internet Mail Application Protocol". Il s'agit d'une alternative au protocole POP. Il permet de garder tous les mails dans des répertoires sur le serveur, évitant ainsi de perdre les mails en cas de crash de disque dur sur les postes clients Site d'origine Site d'origine: http://www.washington.edu/imap/ cd /usr/local tar -xvfz imap.tar.Z cd imap make slx SSLTYPE=unix N.B.: imap.tar.Z est un lien vers la dernière version (aujourd'hui vers imap-2001a.tar.Z Si vous n'avez pas besoin du support de SSL, enlevez "SSLTYPE=unix" dans la commande make PostgreSQL est une base de données puissante et rapide Comme MySQL, c'est parfait pour les applications Web, mais de mon point de vue, n'est pas aussi aisée à gérer que MySQL. Si votre application Web écrit beaucoup de données ou que vous avez besoin de fonctionnalités robustes de transaction, PostgreSQL est pour vous Site d'origine: http://www.postgresql.org (Select a mirror close to you) cd /usr/local tar -xvzf postgresql-7.2.1.tar.gz cd postgresql-7.2.1 ./configure \ --with-perl \ --enable-odbc \ --with-unixodbc \ --with-pam \ --with-openssl \ make make install echo /usr/local/pgsql/lib >> /etc/ld.so.conf ldconfig Extrait du site www.pdflib.com PDFlib est librairie pour générer à la volée des PDF sur le serveur, convertir des textes ou des graphiques, ou implémenter dans vos propres produits des sorties PDF. Il s'agit d'un produit commercial! Lisez attentivement la licence pour savoir si vous avez besoin d'une licence commerciale ou pas! Site d'origine: http://www.pdflib.com/pdflib/download/pdflib-4.0.2.tar.gz cd /usr/local/ tar -xvzf pdflib-4.0.2.tar.gz cd pdflib-4.0.2 ./configure --enable-shared-pdflib --enable-cxx make make install ldconfig gettext est une librairie pour i18n (Internationalisation, "I", 18 caractères et "n") des logiciels et est nécessaire pour php Site d'origine: ftp://ftp.gnu.org/gnu/gettext (choisissez un mirroir proche de chez vous) cd /usr/local tar -xvzf gettext-0.11.2.tar.gz cd gettext-0.11.2 ./configure make make check make install ldconfig zlib est une librairie de compression de donnée portable. Site d'origine: ftp://ftp.info-zip.org/pub/infozip/zlib/zlib.tar.gz (choisissez un mirroir près de chez vous) cd /usr/local tar -xvzf zlib-1.1.4.tar.gz cd zlib-1.1.4/ ./configure make make test make install ldconfig cd /usr/local tar -xvzf php-4.2.1.tar.gz cd php-4.2.1 ./configure \ --with-apxs=/usr/local/apache/bin/apxs \ --with-mysql=/usr/local/mysql \ --with-pgsql=/usr/local/pgsql \ --enable-track-vars \ --with-openssl=/usr/local/ssl \ --with-imap=/usr/local/imap-2001a \ --with-gd --with-ldap \ --enable-ftp \ --enable-sysvsem \ --enable-sysvshm \ --enable-sockets \ --with-pdflib=/usr/local \ --with-gettext \ --with-mm=/usr/local/mm-1.1.3 \ --with-jpeg-dir=/usr/lib \ --with-zlib-dir=/usr/local \ make make install Après l'installation, votre httpd.conf est modifié par axps. Il devrait maintenant avoir l'air de ça: <IfDefine SSL> LoadModule ssl_module libexec/libssl.so LoadModule php4_module libexec/libphp4.so </IfDefine> Si vous avez installé Apache avec mod_ssl, alors le module PHP sera chargé seulement si vous lancez Apache avec SSL (apachectl startssl). Si vous comptez lancer Apache sans SSL (et si vous l'avez compilé comme c'est expliqué dans ce document), vous devrez changer ceci : <IfDefine SSL> LoadModule ssl_module libexec/libssl.so </IfDefine> LoadModule php4_module libexec/libphp4.so Copiez l'exemple php.ini dans /usr/local/lib/php.ini cp /usr/local/php-4.1.2/php.ini-dist /usr/local/lib/php.ini Décommentez (supprimer les # en début de ligne) les lignes suivantes dans le fichier /usr/local/apache/conf/httpd.conf Le fichier httpd.conf de Apache 1.3.26 n'a pas ces lignes par défaut. Vous devez les ajouter au lieu de les décommenter AddType application/x-httpd-php .php AddType application/x-httpd-php .phtml AddType application/x-httpd-php .php3 AddType application/x-httpd-php-source .phps Relancer Apache avec la commande suivante: /usr/local/apache/bin/apachectl restart Vous pouvez ajouter des extensions pour PHP dans php.ini Extrait du site www.apc.communityconnect.com/ APC est Alternative PHP Cache. Il a été conçu afin de fournir une solution libre, ouverte et robuste pour cacher la compilation des scripts PHP. APC est conçu pour optimiser les performance de PHP sur des sites chargés en cachant les scripts compilés, économisant la phase d'interprétation et de compilation. Il existe des logiciels commerciaux qui font cela, mais ils ne sont ni libres, ni gratuits. Nous voulions tirer le niveau vers le haut en fournisant une base souple et universelle. Nous souhaitions également que le cache fournissent des informations sur son activité et celle du PHP. Aussi nous avons travaillé à la mise au point d'outils de diagnostic et d'administration. Ainsi APC est né. Comme nous avons développé un produit qui peut facilement évoluer avec la nouvelle version de PHP, nous l'avons implémenté comme une extension Zend, ce qui permet soit de le compiler dans PHP, soit de l'instaler à posteriori comme supplément. Comme avec PHP, il est complètement libre pour des utilisations, commerciales ou non, sous le même type de license que PHP. APC a été testé avec PHP 4.0.3, 4.0.3p11 et 4.0.4. Il se compile actuellement sous Linux et FreeBSD. Toute contribution pour le porter sur d'autres systèmes ou d'autres versions de PHP est bienvenue. Du point de vue des auteurs: L'auteur a fait des tests de performance avec APC et a été réellement surpris. Une page PHP avec des requêtes SQL dans une boucle (10 requêtes au total) a été accélérée de plus de 50% A charge: si vous avez des utilisateurs sur ce système qui développent en PHP, ils pourraient être perturbés par APC, parce que les modifications dans les scripts ne sont pris en compte qu'au vidage du cache ou au redémarrage d'Apache. Une autre solution est de faire vérifier par APC l'existance d'une nouvelle version de script avant chaque éxécution mais cela fait perdre du temps. Site d'origine: http://apc.communityconnect.com/sources/apc-cvs.tar.gz cd /usr/local tar -xvzf apc-cvs.tar.gz cd apc ./configure --enable-apc --with-php-config=/usr/local/bin/php-config make make install cp modules/php_apc.so /usr/local/lib/php/extensions echo 'zend_extension="/usr/local/lib/php/extensions/php_apc.so"' \ >> /usr/local/lib/php.ini echo “apc.mode = shm” >> \ apc.mode = shm Redémarrer votre serveur Apache. Pour l'essayer, créer le script PHP suivant: <?php apcinfo(); ?> Extrait du site www.zend.com Zend Optimizer travaille sur le code intermédiaire généré par le compilateur standard Zend du moteur Zend, et l'optimise pour une éxécution plus rapide. Du point de vue des auteurs: il y a une perte de performance d'environ 5% ? Alors pourquoi utiliser ce produit fermé plutôt qu'un produit libre ? Vous devez tester par vous-même, et voir si vous avez des amélioration avec votre propre code. Assurez vous de ne pas utiliser Zend Optimizer avec APC, ou votre configuration ne fonctionnera pas Site d'origine: https://www.zend.com/store/free_download.php?pid=13 Vous devez vous enregistrer sur le site zend.com pour accéder à la page des downloads Il n'y a rien à compiler car le source de ce produit n'est pas ouvert et il est seulement diffusé sous forme de binaires pour les différentes plate-formes. Le nom du fichier est fonction de la plate-forme. Par exemple pour Linux sur IA32 cd /usr/local tar -xvzf ZendOptimizer-1.3.1-Linux_glibc21-i386.tar.gz cd ZendOptimizer-1.3.1-Linux_glibc21-i386 ./install.sh Le script d'installation est expliqué, si Apache et PHP ont été compilé en suivant cette procédure, vous n'aurez qu'à appuyer sur Entrée pour toutes les questions sur les chemins d'accès. Extrait du site java.apache.org Apache JServ un moteur de servlet Java 100% conforme aux spécifications de theJavaSoft Java Servlet APIs 2.0. Comme nous sommes convaincus de l'importance d'une complète portabilité entre les différentes plates-formes de servlet, et de la portabilité du code Java, nous avons travaillé avec Javasoft et d'autres JVM afin de fournir une interprétation ou des spécifications Java correctes, que ce soit pour les servlets ou le langage Java lui-même. mod_jserv est très simple à administrer (habituellement Java c'est l'enfer, jserv c'est un peu mieux :-) Hélas mod_jserv n'est plus activement développé, seuls les bugs trouvés sont corrigés. Tomcat est le successeur de mod_jserv. Dès que l'auteur aura suffisament de temps et d'expérience de Tomcat, il améliorera ce HOWTO sur ce point JDSK2.0 est dépassé maintenant. Seul mod_jserv en a besoin. C'est l'API de Sun Microsystems pour le développement de Servlets Site d'origine: http://java.sun.com/products/servlet/archive.html Depuis que les sources de JSDK sont fermés, il n'y a plus rien à compiler. N.B.: Le nom de fichier “jsdk20-solaris2-sparc.tar.Z” pourrait laisser croire que c'est un binaire pour plate-forme sparc ->. Il n'en est rien et il fonctionnera sur toutes les plates-formes. cd /usr/local/ uncompress jsdk20-solaris2-sparc.tar.Z tar -xvf jsdk20-solaris2-sparc.tar Site d'origine: http://java.apache.org/jserv/dist/ cd /usr/local tar -xvzf ApacheJServ-1.1.2.tar.gz cd ApacheJServ-1.1.2 ./configure \ --prefix=/usr/local/jserv \ --with-apxs=/usr/local/apache/bin/apxs \ --with-JSDK=/usr/local/JSDK2.0 \ --enable-EAPI \ make make install Il est important d'utiliser l'option --enable-EAPI si Apache est compilé avec mod_ssl! Extrait du site jakarta.apache.org Tomcat est le containeur de servlet qui est utilisé dans Reference Implementation for the Java Servlet and JavaServer Pages technologies. Les spécifications des Servlet Java et des Pages JavaServer sont développée par Sun dans le cadre de la communauté Java. Du point de vue des auteurs: Tomcat est le successeur de jserv qui n'est plus développé. Tomcat supporte les dernières définitions de l'API jsp et des servlet de SUN. Malheureusement, il est très difficile d'en compiler les sources à cause de "ant", son système de compilation. Il y a également une longue liste de dépendances. Voir http://jakarta.apache.org/tomcat/tomcat-4.0-doc/BUILDING.txt pour plus de détails - Bonne chance, et envoyez à l'auteur vos expériences. Vous pouvez également regarder le HOWTO qui donne quelques indications pour l'installation à partir des binaires. L'auteur est à la recherche de volontaires pour essayer de compiler Tomcat et créer une petite procédure d'installation. Extrait du site java.sun.com C'est trop pour ce HOWTO, allez voir http://java.sun.com/j2se/1.3/docs/relnotes/features.html Allez à http://java.sun.com/j2se/1.3/ , Choisissez votre plate-forme et suivez les indications du site. Vous devez maintenant exécuter le binaire: chown +x j2sdk-1_3_1_02-linux-i386.bin ./2sdk-1_3_1_02-linux-i386.bin N.B. : Une version de java plus récente est disponible, vous pouvez la télécharger la 1.4.0 en prenant garde aux problèmes de stabilité Après avoir accepté la licence, vous pourrez décompresser les fichiers pour les mettre dans "/usr/lib" Site d'origine: http://jakarta.apache.org/builds/jakarta-tomcat-4.0/release/v4.0.3/bin/jakarta-tomcat-4.0.3.tar.gz cd /usr/local tar -xvzf jakarta-tomcat-4.0.3.tar.gz cd jakarta-tomcat-4.0.3 cd bin rm *.bat echo export JAVA_HOME=/usr/lib/java/ >> /etc/profile . /etc/profile Maintenant vous devriez pouvoir lancer tomcat: /usr/local/apache/jakarta-tomcat-4.0.3/bin/startup.sh Vous devriez pouvoir vous connecter à: http://localhost:8080/index.html Pour les étapes suivantes (installation de vos servlets et jsp), débrouillez vous... N.B.: L'auteur n'est PAS un programmeur JAVA. Il pourra ne pourra vous apporter qu'une petite aide sur JAVA! L'auteur est un administrateur système expérimenté et vous conseille : de vous assurer que la variable CLASSPATH est correctement définie! C'est l'erreur la plus fréquente! Amusez-vous bien, et surtout n'oubliez pas de renvoyer à l'auteur vos retours d'expérience (ndr: en anglais). (your index root)!information resources Vous trouverez ici des informations supplémentaires accessibles via Internet. disk!information resources!news groups Les newsgroups les plus intéressants sont les suivants : alt.apache.configuration comp.infosystems.www.servers.unix alt.comp.lang.php alt.php comp.databases Vous pouvez également regarder vos newsgroups nationaux ex fr.comp.os.linux La plupart des newsgroups ont leur propre FAQ (Foire Aux Questions). Les autres questions peuvent toujours être posée dans les newsgroups. Si vous avez des problèmes pour consulter les newsgroups, allez voir Archive FTP de FAQ. Les version Web sont consultable sur: Archive Web de FAQ. disk!information resources!mailing lists Envoyez un email vide à users-subscribe@httpd.apache.org Avant d'écrire sur la liste, consultez les archives: http://marc.theaimsgroup.com/?l=apache-httpd-users Envoyez un email à modperl@apache.org avec le contenu (et pas le sujet): subscribe modperl Avant d'écrire dans la liste, vérifiez les archives: http://outside.organic.com/mail-archives/modperl/ Envoyez un email à majordomo@openssl.org avec le contenu (et pas le sujet): subscribe openssl-users Avant d'écrire dans la liste, vérifiez les archives: http://www.mail-archive.com/openssl-users@openssl.org/ Envoyez un email à majordomo@modssl.org avec le contenu (et pas le sujet): subscribe modssl-users Avant d'écrire dans la liste, vérifiez les archives: http://www.mail-archive.com/modssl-users@modssl.org/ Envoyez un email vide à mysql-subscribe@lists.mysql.com Avant d'écrire dans la liste, vérifiez les archives: http://lists.mysql.com/cgi-ez/ezmlm-cgi/ Remplissez le formulaire d'inscription à http://developer.postgresql.org/mailsub.php Avant d'écrire dans la liste, vérifiez les archives: http://archives.postgresql.org/pgsql-general/ Remplissez le formulaire d'inscription à http://www.php.net/mailing-lists.php Il y a plusieurs mailing-lists à consulter, certaines sont disponibles sur le serveur de newsgroups de php.net Avant d'écrire dans la liste, vérifiez les archives qui vous sont présentées sur la page d'inscription. Envoyez un email à apc-cache-request@lists.communityconnect.com dont le contenu (et pas le sujet): subscribe disk!information resources!HOWTOs Ces documents sont des points de départ pour comprendre et résoudre les problèmes. Apache-Overview-HOWTO , Apache-WebDAV-LDAP-HOWTO , LDAP-HOWTO , LDAP-Implementation-HOWTO and the PHP-HOWTO Le principal site pour tout cela est LDP archive disk!information resources!local Habituellement, des documents sont installés sur le système. Généralement, ces documents se trouvent dans /usr/share/doc/packages et /usr/local/share/doc Les logiciels mentionnés ici sont fournis avec beaucoup de documentation dans répertoires des sources. Apache installe sa documentation dans le répertoire DocumentRoot par défaut. disk!information resources!WWW disk!information resources!web pages Un grand nombre de site web d'information existent. Ceux-ci bougent beaucoup (souvent des pages perso) et les liens peuvent vite disparaitre. Un bon point de départ est bien sur le site Linux Documentation Project, un portail pour la documentations, des projets et autres. Pour obtenir plus d'informations à propos des logiciels cités, visitez les sites mentionnés. http://httpd.apache.org http://www.openssl.org http://www.modssl.org http://perl.apache.org/ http://www.webdav.org http://www.mysql.com http://www.postgresql.org http://www.pdflib.com http://www.php.net http://www.phpbuilder.com Faîtes-moi connaitre vos autres sources d'information. (your index root)!FAQ (your index root)!frequently asked questions Ci-après vous trouverez des questions que l'on m'a posées. Contactez-moi si vous n'y trouvez pas les réponses à vos questions. Q: Existe-t-il un HOWTO pour apache 2.0? R: Pas encore car le support de l'API Apache 2.0 dans PHP 4.2.1 est expérimental et les performance de PHP sur Apache 2.0 sont mauvaises. L'équipe de développement de Apache travaille beaucoup sur l'amélioration des performances et dès que PHP fonctionnera mieux, j'écrirai un HOWTO. N'hésitez pas à m'envoyer des email (en anglais) à luc at delouw dot ch pour me transmettre vos idées, suggestions ou souhaits pour Apache 2.0. Q: Pourquoi n'avez vous pas expliqué comment compiler et configurer mod_xyz ? R: Parce que personne ne l'a demandé et que je ne connais pas mod_xyz, ou bien que je ne l'ai pas trouvé très interessant. Envoyez-moi vos suggestions pour compléter ce HOWTO. Si plusieurs demandes intéressantes me parviennent, je complèterai le document dans les versions futures. Q: Quand un client se connecte à https://myserver.org un message d'erreur du genre "Certificat non valide" apparait. R: Le certificat créé dans ce HOWTO est juste un certificat auto-signé. Cela signifie que la CA (Autorité des Certification) est vous-même. Votre CA n'est pas reconnue comme une CA valide par les navigateurs. Vous pouvez installer les certificats sur vos machines clientes (dans un petit réseau) ou installer un certificat fourni par une CA reconnue par la majorité des navigateurs. Un exemple de CA reconnue est Verisign http://www.verisign.com. Ce genre de certificat coûte environ 300 USD par an, mais cela dépend des longueurs de clés utilisées (56 ou 128 bits). Vous pouvez également définir votre propre CA et en faire avaler le certificat par les butineurs courants. Q: Quand j'accède à un script php, le navigateur me propose son téléchargement. R: Vous avez oublié d'indiquer à Apache ce qu'il doit faire des fichiers php. Les fichiers php ne sont donc pas analysés par le moteur php. Pour ce faire, ajoutez le type d'application comme ceci : Q: Est-ce que ce HOWTO fonctionne avec d'autres plates-formes ? R: Pas sûr. Solaris devrait fonctionner, AIX et HP-UX non. Je n'ai pas encore eu le temps de tester sur FreeBSD. Mon objectif est de proposer une version de ce HOWTO pour les principaux UN*X. Si vous avez des questions, envoyez-les moi et je publierai ici les plus courantes (anonymement).