Aujourd’hui, les grandes entreprises et administrations publiques hésitent entre continuer à utiliser des logiciels propriétaires ou basculer vers les Logiciels Libres. Pourtant, la plupart des logiciels libres sont capables de bien traiter les données issues des logiciels propriétaire, et parfois avec une meilleur compatibilité.
C’est alors la barrière de la prise en main qui fait peur, et pourtant...
Les logiciels libres
L’aspect « Logiciel Libre » permet une évolution rapide et une plus grande participation des utilisateurs. Les aides et tutoriels foisonnent sur Internet ou sont directement inclus dans le logiciel lui-même.
Enfin, les concepteurs sont plus proches des utilisateurs, ce qui rend les logiciels libres plus agréable à utiliser et conviviaux.
Grâce à la disponibilité des logiciels libres, vous trouverez facilement des services de support techniques et la licence n’est plus un frein à l’utilisation de ces logiciels par votre personnel.
Notre support technique concerne essentiellement les logiciels libres, que ce soit sous forme de services ponctuels ou de tutoriels.
- Août 2014 -
Niveau :
Résumé : alias / /%{username}
Aujourd'hui je voudrais faire un serveur web qui se comporterait comme un serveur FTP ou SFTP. Lorsqu'un utilisateur unix se connecte à un serveur FTP avec un login et un mot de passe, il lui est présenté un contenu qui lui est propre (son $HOME par exemple).
Comment faire l'équivalent avec apache ?
Dit autrement, je voudrais que les 2 commandes suivantes renvoient un contenu différent :
$ wget http://userA@www.monserveur.com/ # répertoire A
$ wget http://userB@www.monserveur.com/ # répertoire B
Pour cela il faut jouer avec les RewriteRules, mais c'est plus balaise que ça en a l'air.
Premièrement il faut une authentification. J'ai choisi ldap, mais prenez la méthode que vous préférez : http://httpd.apache.org/docs/2.2/mo... tout ce qui commence par mod_authn est valable. Voici comment on la met en place :
<Location />
AuthType basic
AuthName "My server"
AuthBasicProvider ldap
AuthLDAPURL ldap://serveur.ldap.com/dc=domaine,dc=com?uid?sub
AuthLDAPBindDN cn=user,ou=technical,dc=domaine,dc=com
AuthLDAPBindPassword password
Require valid-user
</Location>
Ensuite on joue avec RewriteRule, les variables s'appellent sous la forme %{ENV:VARIABLE}
# utilisez %{ENV:USER_AUTH} pour ceux qui n'ont pas choisi l'authent LDAP
RewriteRule ^(.*) /%{ENV:AUTHENTICATE_uid}/$1
Mais ça ne marche pas. Tout d'abord on apprend qu'il faut mettre les règles dans le Location sinon les variables d'authentification ne sont pas disponibles. Ensuite on a oublié d'activer le rewrite engine. Et enfin dans un location (ou un directory) on ne matche plus la request uri mais le chemin créé à partir de cette uri. Cela qui une fois corrigé nous donne quelque chose comme ça :
<Location />
RewriteEngine On
# le résultat sera automatiquement préfixé par le DocumentRoot si on ne le fait pas nous même
# notez l'absence du / initial dans le pattern ...
RewriteRule ^var/www/html/(.*) /%{ENV:AUTHENTICATE_uid}/$1
</Location>
Mais ça ne marche toujours pas. En effet, le rewrite engine d'apache est réentrant, quelle que soit la modification et quel que soit le flag utilisé, si une url est modifiée, apache fait une redirection interne et relance toute la machinerie (dont les redirections). Pour les petits malins, non [L] n'est pas fait pour ça, par contre la doc évoque un [END] qui aurait cette fonctionnalité mais je ne l'ai pas trouvé.
Il nous faut donc un moyen de détecter qu'une url a déjà été transformée par une RewriteRule. Malheureusement les variables (comme %{ENV:AUTHENTICATE_uid}) ne sont valables que dans la partie gauche de RewriteCond ou dans la partie droite de RewriteRule ce qui nous limite sévèrement. On ne peut pas matcher le chemin en pour détecter qu'il contient le répertoire de l'utilisateur. De plus on ne peut pas utiliser une autre racine, apache ajouterait automatiquement le DocumentRoot en cours.
J'ai essayé en utilisant des variables d'environnement temporaire (avec [E=VAR:VALUE]), mais le rewrite engine l'évalue trop tard et ne détecte pas la nouvelle valeur de la variable modifiée par lui-même.
Ma solution est donc de mettre en place un unique répertoire contenant les utilisateurs avec un nom improbable car il ne pourra pas être utilisé comme nom de répertoire dans les répertoires utilisateurs. Et d'utiliser ce nom de répertoire comme marqueur d'url déjà traitée. Ce qui nous donne :
# mon répertoire s'appelle ____data____
RewriteRule ^var/www/html/(?!____data____/)(.*) /____data____/%{ENV:AUTHENTICATE_uid}/$1
C'est bien joli, mais ça n'empercherait pas un utilisateur d'aller voir dans le répertorie de son voisin. En effet, ce ne sont que des rewrite rules, pas des droits d'accès. Puisqu'on ne peut pas utiliser les noms de répertoire utilisateur dans les require pour le matcher avec les nom d'utilisateur (on se mordrait la queue (et ça fait mal (au dos))). Il nous faut donc le garantir d'une autre façon, en forçant tout utilisateur a n'accéder qu'à son répertoire avec une autre règle.
# ce qu'on veut c'est éviter l'utilisateur qui voudrait bypasser la première règle avec un http://www.monserveur.com/____data____/userX
RewriteRule ^var/www/html/____data____/.*?/(.*) /var/www/html/____data____/%{ENV:AUTHENTICATE_uid}/$1
# et on voudrait ausst éviter que l'utilisateur puisse scanner la racine
RewriteRule ^var/www/html/____data____/?$ /var/www/html/____data____/%{ENV:AUTHENTICATE_uid}/
Notez l'ajout de /var/www/html dans les chaines de remplacement, c'est pour éviter qu'apache pense qu'on a modifié le chemin si on n'a rien changé.
Et c'est gagné, on a enfin trouvé !
Je vous laisse donc profiter du résultat :
Edit : la version finale minimise l'appel aux règles, prend en compte les chemins qui se terminent par / et les tentatives d'accès à des répertoires non autorisés.
<Location />
AuthType basic
AuthName "My server"
AuthBasicProvider ldap
AuthLDAPURL ldap://serveur.ldap.com/dc=domaine,dc=com?uid?sub
AuthLDAPBindDN cn=user,ou=technical,dc=domaine,dc=com
AuthLDAPBindPassword password
Require valid-user
# make http behave like ftp
RewriteEngine On
# create home dir var
RewriteRule .* - [E=USER_ROOT:/var/www/html/____data____/%{ENV:AUTHENTICATE_homeDirectory}]
RewriteCond %{ENV:USER_ROOT} !-d
RewriteRule .* - [E=USER_ROOT:/var/www/html/forbidden]
# redirection vers les repertpoires utilisateur
RewriteCond %{REQUEST_FILENAME} !^/var/www/html/____data____
RewriteRule ^var/www/html/(.*) %{ENV:USER_ROOT}/$1 [L,DPI]
# impossibilite de lire la racine
RewriteCond %{REQUEST_FILENAME} ^/var/www/html/____data____/?$
RewriteRule .* %{ENV:USER_ROOT} [L,DPI]
# impossibilite de lire le repertoire d'un autre
RewriteCond %{ENV:AUTHENTICATE_homeDirectory}|%{REQUEST_FILENAME} !^(.*?)\|/var/www/html/____data____/\1
RewriteRule ^var/www/html/____data____/?[^/]*/?(.*) %{ENV:USER_ROOT}/$1 [L,DPI]
</Location>
<Directory /var/www/html/forbidden>
deny from all
</Directory>
Note : et pour ceux qui voudraient vraiment faire du FTP avec apache il y a mod_ftp.
Tags:
apache,
planet-libre,
planete-libre,
Serveur
Le libre est un état d'esprit
J’ai pété
- Août 2014 -
... désolé Niveau : Résumé : gdisk /dev/sda Le format GPT Guid partition table est un format de partitionnement de disque. Il ne faut pas confondre (...)
Quand on me demande un script shell pour corriger un problème d’architecture
- Janvier 2014 -
Republié par http://lesjoiesdusysadmin.tumblr.co...Aucun tag pour cet article.
Nouveautés ext4
- Janvier 2014 -
Niveau : Résumé : stats Howdy ho ! Savez-vous ce qu'il y a de nouveau dans ext4 ? Tout le monde sait à peu près qu'il y a moyen de stocker plus de (...)
Nouveautés ext4
- Janvier 2014 -
Niveau :Résumé : statsHowdy ho ! Savez-vous ce qu'il y a de nouveau dans ext4 ?Tout le monde sait à peu près qu'il y a moyen de stocker plus de (...)
Repartitionner sans rebooter
- Janvier 2014 -
Niveau : Résumé : hdparm -z /dev/used_device Comment repartitionner un disque contenant une partition indispensable (par exemple /) sans rebooter ? (...)
