Introduction à la
configuration d'Apache

L'installation est ici supposée déjà effectuée. Pour une description d'installation à partir de la distribution "Mandrake 7.2" (avec installation de php et mysql) voir cette page .
Il s'agit ici de prendre en main la configuration du serveur WEB Apache, et de comprendre les principaux paramètres et directives du fichier de l'unique fichier de configuration situé sur mes exemples à /etc/httpd/conf/httpd.conf.
Pour chercher l'emplacement de clauses particulières, il est commode d'interroger ce fichier avec l'utilitaire grep. Par exemple pour chercher les numéros de lignes où se trouve le mot-clé UserDir, puis le mot alias, sans tenir compte de la casse :
```
grep -n "UserDir" /etc/httpd/conf/httpd.conf
grep -ni "alias" /etc/httpd/conf/httpd.conf
```

Configuration de base

La configuration personnalisée du serveur s'effectue par modification du fichier de configuration située à :
/etc/httpd/conf/httpd.conf.
Même si l'on a pas de raisons de le modifier, il est instructif de le parcourir pour découvrir les principales clauses paramétrables. Ce qui suit décrit les principaux paramètres, et leur valeur attribuée par défaut à l'installation (les numéros de ligne se rapportent à la version 1.3.14

DocumentRoot /var/www/html (ligne 157)
fixe la racine du serveur Web, c'est-à-dire le répertoire de base où sont cherchées par défaut les pages html, lorsque l'URL ne comporte pas de chemin de répertoire

UserDir public_html (ligne 162)
Ce paramètre signifie que l'utilisateur toto peut publier ses pages WEB personnelles dans un sous-répertoire de son répertoire perso, qui doit être nommé public_html, c'est-à-dire dans /home/toto/ public_html.
Sa page d'accueil sera alors accessible par l'URL : http://serveur/~toto , où serveur est le nom du serveur ou son adresse IP.

DirectoryIndex index.html index.php index.htm ... (ligne 167)
Il est courant d'omettre le nom du fichier de la page d'accueil d'un site ou de l'un de ses sous-répertoires. Pour ne pas retourner systématiquement une erreur 404 signalant une adresse erronnée, le serveur posséde une liste standard de noms de fichiers qu'il s'efforce de trouver dans le répertoire.
Cette liste ordonnée est indiquée par la clause DirectoryIndex

AccessFileName .htaccess (ligne 248)
Cette clause fixe le nom du fichier à trouver dans un répertoire pour que son accès soit protégé, en imposant à l'utilisateur une authentification par nom et mot de passe. Ces comptes sont spécifiques à Apache et n'interfèrent pas avec les comptes Linux.
Voir cette page pour une explication de sa mise en oeuvre.
Port 80 (ligne 500)
Apache écoute sur le port tcp usuel
ServerAdmin root@localhost (ligne 526)
S'il a un problème, le serveur écrit un message à cette adresse
ServerRoot /etc/httpd (ligne 534)
Il s'agit du répertoire où le serveur trouvera son répertoire de configuration conf
On trouve dans /etc/httpd, un lien vers /var/log/httpd/access_log, le fichier-journal des accès aux ressources, réussis ou non (le consulter)
PidFile /var/run/httpd.pid (ligne 586)
C'est le fichier où le serveur en exécution stocke son premier numéro de processus (PID)

Compléments de configuration

ServerType standalone
Le serveur s'exécutera seul, sans recourir au super-serveur inetd (ou xinetd maintenant)
MinSpareServers 5
MaxSpareServers 20
Nombres maximums et minimums de processus serveurs disponibles, inactifs, et non occupés à répondre à des requetes
StartServers 8
Nombre de processus serveurs "enfants" démarrés à l'initialisation. Ceci explique pourquoi la requete ps aux|grep httpd nous renvoie 9 PID (avec le processus "père")
MaxClients 150
Nombre maximum de processus qu'Apache peut gérer simultanément, qu'ils soient des processus actifs ou en attente de nouveaux clients.
MaxRequestsPerChild 1000
Nombre maximum de requetes HTTP traitées par un serveur avant que son procesus ne soit éliminé.
User apache
Group apache
Apache doit etre démarré par root, mais par sécurité ses processus auront pour propriétaire l'utilisateur apache, sans privilège.

Controle des accès à un répertoire (ligne 403)

Chaque répertoire auquel Apache accéde peut etre configuré particulièrement (ceci s'applique aussi à ses sous-répertoires) Le paramétrage de rep se précise dans un conteneur noté

<Directory rep>
</Directory>

#--------------------- Global Access Configuration ------------------------
# Voici un exemple de paramétrage des permissions d'accès. Il est préférable d'etre restrictif
# et d'étendre les permissions à des répertoires spéciaux.
#
<Directory />
Options Nome
AllowOverride None
</Directory>

# Pour la racine du serveur:
<Directory /home/httpd/html>
# Options possibles : "None", "All", ou plusieurs combinaisons de:
#   "Indexes", "Includes", "FollowSymLinks", "ExecCGI", ou "MultiViews".
Options Indexes Includes FollowSymLinks
# AllowOverride = All pour donner la priorité aux fichiers .htaccess
AllowOverride All
order allow,deny
# allow from = all pour permettre à tout le monde d'accéder aux documents
allow from all
</Directory>

# pour le répertoire contenant les scripts:

<Directory /home/httpd/cgi-bin>
AllowOverride None
Options ExecCGI
</Directory>

Les paramétres d'Options permet de controler l'action d'Apache sur les répertoires

Option	signification
All \| None	toutes \| aucune option(s) peermise(s)
ExecCGI	exécution de scripts autorisée
FollowSymLinks	le serveur suivra les liens symboliques rencontrés dans le répertoire
Includes	permet l'utilisation de SSI
IncludesNOEXEC	permet l'utilisation de SSI sauf les directives #exec et #include
Indexes	autorise l'affichage d'un répertoire (si un fichier par défaut n'y est pas trouvé)

AllowOverride précise la manière avec laquelle des directives contenues dans un fichier .htacces seront prises en compte, si ces directives supplantent ou non celles qui sont dans le présent conteneur.
Par défaut par sécurité, onn choisit la valeur NONE, et on positionne les valeurs ALL ou AuthConfig qu'au cas par cas, pour forcer une authentification à un site privé.
Restriction des accès Pour un répertoire donné, dans son conteneur <Directory>, on peut préciser les hotes dont les requetes seront traitées, et ceux dont les requetes seront rejetés.
On précise d'abord une règle générale avec la directive order allow, deny ou l'inverse, qui précise comment traiter une machine qui ne figure dans aucune liste allow ou deny explicitement.. Suivent les listes explicites après les clauses allow from et deny from
1. order allow, deny : autorise les hotes de la liste allow, rejette tous les autres
2. order allow, deny : rejette les hotes de la liste deny, autorise tous les autres

Personnalisation

Les pages WEB personnelles

Comment permettre aux utilisateurs de publier leurs "pages persos" sur le WEB de l'établissement ?
Tout naturellement, ces documents devront être placés dans leur répertoire personnel dont ils sont propriétaires et ont le plein accès, tout en en permettant l'accès et la lecture à tous.
La page d'accueil doit être présente dans un sous-répertoire du répertoire perso. Par défaut le nom de ce sous-répertoire est fixé à public_html
Ce sous-répertoire des pages personnelles a un nom spécifié par le paramètre UserDirdans le fichier httpd.conf . Donc par défaut, on y trouve :
UserDir public_html
Plus concrétement, si la page d'accueil s'appelle index.html, pour l'utilisateur toto , sur le serveur www.bahut.ac-creteil.fr, son ouverture sur une station du réseau est obtenue en spécifiant l'URL :
http://bahut.ac-creteil.fr/~toto/index.html, ou plus simplement : bahut/~toto
On peut n'autoriser l'accès qu'à certains utilisateurs avec les lignes supplémentaires :
UserDir disable
UserDir enable jean toto ....
Attention aux droits d'accès ! L'accès de tous à ces sites persos exige que le droit de parcours x soit accordé à tous les rép. des utilisateurs et à public_html(droits 771), et que le droit de lecture r soit bien sûr accordé aux fichiers des pages pour tous (droits 644)
En utilisant UserDir /home/*/public_html, où * est remplacé par un nom d'utilisateur, celui-ci n'aplus besoin de posséder un compte sur le système.

Utilisation d'alias de répertoires

Il peut être utile de remplacer un chemin de répertoires par un nom symbolique. Ces répertoires alias peuvent etre paramétré comme les autres.

Exemple significatif Il s'agit d'accéder par l'alias doc aux doc HTML du serveur Linux et de ses différentes applications et services installés, qui sont regroupées dans /usr/share/doc. On réserve cette consultation aux machines du réseau local. La stratégie consiste ici à interdire d'abord à tous (deny from all), puis on énumère les exceptions (allow from ..,..)

# pour accéder à la doc directement avec l'url http://Serveur/doc
Alias /doc /usr/share/doc
# pour accorder les permissions d'accès limitées au site doc
<Directory /usr/share/doc>
order deny,allow
deny from all
# permission à partir de localhost
allow from localhost, 127.0.0.1
# permission à partir des stations du sous-domaine de l'établissement
allow from .bahut.ac-creteil.fr
Options Indexes FollowSymLinks
</Directory>

Héberger plusieurs sites WEB

De façon générale, il est recommandé de faire exécuter plusieurs instances d'Apache pour chacun des sites à publier, surtout si l'un doit être particulièrement protégé. Les serveurs httpd supplémentaires sont lancés en forçant la prise en compte de leur fichier de config spécifique par une commande de la forme :
httpd -f config
où config est le nom du fichier de configuration, avec son chemin absolu (sinon il est consiséré comme situé relativement à ServerRoot, c'est-à-dire /etc/httpd, par défaut.
C'est la solution retenue par les projets SLIS et SambaEdu
Ainsi pour SLIS, il y a lancement dans /etc/rc.d/rc.local de /usr/sbin/httpd -f /etc/hadmin/conf/httpd.conf.
Les paramètres usuels sont fixés ainsi :
```
ServerRoot  /etc/hadmin
DocumentRoot  /home/hadmin/html/
Port  1098
```

Les sites WEB virtuels

Plusieurs solutions sont envisageables pour faire héberger plusieurs sites dits "virtuels" gérés par un seul serveur, défini par une même configuration. (voir le site Apache). Le plus simple, semble t-il est l'hébergement virtuel basé sur le nom, décrit ci-après. Dans ce cas, un utilisateur croira accéder à plusieurs sites WEB différents, en fait hébergés par le même serveur Apache.

Paramétrage dans /etc/httpd/conf/httpd.conf, section # Add-on Modules and Virtual Hosts # vers la fin du fichier

décommentez les lignes suivantes tout à la fin du fichier (enlevez le # devant la ligne) :

# pour indiquer où le paramétrage des sites vituels est décrit (relativement à /etc/httpd)
Include conf/vhosts/Vhosts.
# Pour activer les services virtuels
LoadModule vhost_alias_module   modules/mod_vhost_alias.so
AddModule mod_vhost_alias.c

Exemple de modification dans /etc/httpd/conf/vhosts/Vhosts.conf pour mettre en place un site virtuel pour mon site LINUX, consultable à l'url : http://linux.bahut.ac-creteil.fr

################# Named VirtualHosts
NameVirtualHost 192.168.0.1
<VirtualHost 192.168.0.1>
ServerName linux
#ServerPath /domain
DocumentRoot /var/www/LinuxCours/formation
ErrorLog logs/linux-error_log
TransferLog logs/linux-access_log
</VirtualHost>

Gestion et suivi des connexions

La commande tail -f /var/log/httpd/access_log > /dev/tty11 affiche les dernières requêtes au serveur Apache, "en direct" sur la pseudo-console 11 (pour l'activer : alt-11).
On peut utiliser aussi less /var/log/httpd/access_log puis Shift-F pour basculer à la fin du fichier en attente de données (Ctrl-C pour finir)

Le module PHP

PHP a normalement été intégré au serveur Apache sous forme d'un module chargeable, le fichier libphp4.so, situé comme tous les autres modules d'Apache dans /usr/lib/apache.
Pour vérifier le chargement du module, consulter la fin du fichier de configuration d'Apache, /etc/httpd/conf/httpd.conf.
On doit y trouver la directive d'inclusion du fichier de configuration de PHP : Include conf/addon-modules/php.conf, le chemin étant supposé relatif à /etc/httpd

C'est ce fichier php.conf qui contient la directive d'inclusion du module PHP, et la description des extensions de fichiers, qui devront être interprétés par ce module :

LoadModule php4_module /usr/lib/apache/libphp4.so
AddModule mod_php4.c

AddType application/x-httpd-php   .php .php4 .php3 .phtml
AddType application/x-httpd-php-source  .phps

PHP possède lui aussi son fichier de configuration, /etc/php.ini. (il n'est pas non plus conseillé d'y intervenir sauf "si on sait ce que l'on fait").
On peut néanmoins y observer que PHP prend bien en compte le module d'extension MySql, contenant les fonctions d'accès au "moteur" de base de données MYSQL (qui a du être installé à part), par la présence de extension=mysql.so (en ligne 243)
En cas de modification d'un fichier de configuration , comme PHP fonctionne comme module d'Apache, il faut redémarrer Apache pour qu'il réinitialise PHP par la lecture de php.ini (rappel de la commande : /etc/rc.d/init.d/httpd stop|start)

Utiliser des scripts CGI

Pour qu'Apache prenne en charge un script, même bien placé dans le rép. par défaut /var/www/cgi-bin/, il est nécessaire d'effectuer un minimum de paramétrage. Il y a 2 façons :
La déclaration ScriptAlias précise le nom du seul répertoire autorisé à contenir des scripts., par une directive (en ligne 290) : ScriptAlias /cgi-bin /var/www/cgi-bin/
Remarquer que les scripts autorisés à s'exécuter sur le serveur sont placés en dehors du site WEB, dans un rép. (plus) sécurisable.
L'appel à un script essai.cgi sera effectuée par l'URL : http://serveur/cgi-bin/essai.cgi

Introduction à la configuration d'Apache