From de52e207ea240d870e829faa11a592cd3fad4ab0 Mon Sep 17 00:00:00 2001 From: Lucien Gentis Date: Fri, 16 Feb 2018 15:59:21 +0000 Subject: XML updates. git-svn-id: https://svn.apache.org/repos/asf/httpd/httpd/branches/2.4.x@1824517 13f79535-47bb-0310-9956-ffa450edef68 --- docs/manual/mod/mod_authnz_ldap.xml.fr | 4 +- docs/manual/mod/mod_proxy_fcgi.xml.fr | 13 +++-- docs/manual/mod/mod_remoteip.xml.fr | 101 ++++++++++++++++++++++++++++++--- docs/manual/mod/mod_ssl.xml.fr | 81 ++++++++++++++------------ 4 files changed, 147 insertions(+), 52 deletions(-) diff --git a/docs/manual/mod/mod_authnz_ldap.xml.fr b/docs/manual/mod/mod_authnz_ldap.xml.fr index 65db65b16a..09b3479813 100644 --- a/docs/manual/mod/mod_authnz_ldap.xml.fr +++ b/docs/manual/mod/mod_authnz_ldap.xml.fr @@ -1,7 +1,7 @@ - + @@ -530,7 +530,7 @@ Require ldap-dn cn=Barbara Jenson, o=Example utilisateur dont l'attribut employeeType a pour valeur "actif" :

- Require ldap-attribute employeeType=active + Require ldap-attribute employeeType="active"

Plusieurs paires attribut/valeur peuvent être spécifiées par une diff --git a/docs/manual/mod/mod_proxy_fcgi.xml.fr b/docs/manual/mod/mod_proxy_fcgi.xml.fr index 6f056b9df6..faf65a7c39 100644 --- a/docs/manual/mod/mod_proxy_fcgi.xml.fr +++ b/docs/manual/mod/mod_proxy_fcgi.xml.fr @@ -1,7 +1,7 @@ - + @@ -90,11 +90,12 @@ Active la réutilisation des connexions vers un serveur FCGI d'arrière-plan tel que PHP-FPM -

Il faut garder à l'esprit que PHP-FPM (en février 2018) - utilise un modèle du style prefork ; autrement dit, chacun de ses processus - de travail ne peut gérer qu'une connexion à la fois.
- Par défaut et lorsqu'il est configuré avec enablereuse=on, - mod_proxy autorise un jeu de Il faut garder à l'esprit que PHP-FPM (en février 2018) utilise un modèle + du style prefork ; autrement dit, chacun de ses processus de travail ne peut + gérer qu'une connexion à la fois.
Par défaut et lorsqu'il est + configuré avec enablereuse=on et lorsqu'un MPM à base de + threads est utilisé (comme worker ou + event), mod_proxy autorise un jeu de ThreadsPerChild connexions vers le serveur d'arrière-plan pour chaque processus httpd, et par conséquent, il faut prêter une attention particulière aux situations suivantes :

diff --git a/docs/manual/mod/mod_remoteip.xml.fr b/docs/manual/mod/mod_remoteip.xml.fr index 10f837749c..8c39f2b18c 100644 --- a/docs/manual/mod/mod_remoteip.xml.fr +++ b/docs/manual/mod/mod_remoteip.xml.fr @@ -1,7 +1,7 @@ - + @@ -46,15 +46,19 @@ répartiteur de charge via les en-têtes de la requête. l'en-tête de requête configuré via la directive RemoteIPHeader.

+

Ce module implémente aussi la partie serveur du protocole PROXY + de HAProxy via la directive RemoteIPProxyProtocol.

+

Une fois sa valeur modifiée comme indiqué, cette adresse IP client est - utilisée pour la fonctionnalité Require ip de - mod_authz_host ; elle est aussi affichée par - mod_status, et enregistrée via les chaînes de formatage - %a des modules mod_log_config et core. - L'adresse IP client sous-jacente de la connexion est enregistrée via la chaîne de - formatage %{c}a. -

+ utilisée pour la fonctionnalité Require ip de mod_authz_host ; + elle est aussi affichée par mod_status, et enregistrée via + les chaînes de formatage %a des modules + mod_log_config et core. L'adresse IP + client sous-jacente de la connexion est enregistrée via la chaîne de + formatage %{c}a.

Il est essentiel de n'activer cette fonctionnalité que pour les requêtes en provenance des serveurs @@ -66,6 +70,9 @@ répartiteur de charge via les en-têtes de la requête. mod_authz_host mod_status mod_log_config +Proxy Protocol +Spec
Traitement des adresses distantes @@ -250,6 +257,82 @@ RemoteIPProxiesHeader X-Forwarded-By + +RemoteIPProxyProtocol +Active ou désactive la gestion du protocole PROXY +RemoteIPProxyProtocol On|Off +server configvirtual host + +Disponible à partir de la version 2.4.28 du serveur HTTP Apache + + +

La directive RemoteIPProxyProtocol permet + d'activer ou de désactiver la prise en compte et la gestion de l'en-tête de + connexion du protocole PROXY. Si elle est définie à On, la + demande du client doit envoyer l'en-tête approprié pour chaque + nouvelle connexion, sinon cette dernière sera fermée à moins qu'il ne fasse + partie de la liste, définie via la directive RemoteIPProxyProtocolDisableHosts, des + hôtes pour lesquels le protocole PROXY est désactivé.

+ +

Bien que cette directive peut être définie au niveau de n'importe quel + serveur virtuel, il est important de garder à l'esprit que, étant donné que + le protocole PROXY est basé sur la connexion et agnostique quant au + protocle, son activation/désactivation est basée sur le couple adresse + IP/port. Cela signifie que si plusieurs serveurs virtuels à base de nom sont + configurés avec le même couple adresse IP/port, et si vous activez le + protocole PROXY pour l'un d'entre eux, il le sera aussi pour tous les autres + (avec le même couple adresse IP/port). Cela signifie aussi que si vous + tentez d'activer le protocole PROXY pour un serveur virtuel et de le + désactiver pour un autre, cela ne marchera pas ; dans ce dernier cas, la + dernière directive l'emporte sur les autres et une notification sera + enregistrée dans le journal pour indiquer les réglages qui ont été annulés.

+ + +Listen 80 +<VirtualHost *:80> + ServerName www.example.com + RemoteIPProxyProtocol On + + #Les requêtes pour ce serveur virtuel doivent contenir un en-tête du + #protocole PROXY. Si ce n'est pas le cas, la connexion sera fermée. +</VirtualHost> + +Listen 8080 +<VirtualHost *:8080> + ServerName www.example.com + RemoteIPProxyProtocol On + RemoteIPProxyProtocolExceptions 127.0.0.1 10.0.0.0/8 + + #Les requêtes pour ce serveur virtuel doivent contenir un en-tête du + #protocole PROXY. Si ce n'est pas le cas, la connexion sera fermée à moins + que sa source ne soit localhost ou la gamme d'adresses RFC1918 10.x.x.x +</VirtualHost> + + + + + +RemoteIPProxyProtocolExceptions +Désactive la prise en compte de l'en-tête PROXY pour certains hôtes +ou réseaux +RemoteIPProxyProtocolExceptions host|range [host|range] [host|range] +server configvirtual host + +RemoteIPProxyProtocolExceptions est disponible à partir de la +version 2.4.28 du serveur HTTP Apache + + +

La directive RemoteIPProxyProtocol permet de + contrôler la prise en compte de l'en-tête de connexion du protocole PROXY. + Il est parfois souhaitable d'exiger pour certains clients la + présence de l'en-tête PROXY, mais aussi de permettre aux autres clients de + se connecter sans ce dernier. Cette directive permet à l'administrateur du + serveur d'autoriser cette possibilité à un hôte isolé ou à une gamme d'hôtes + au format CIDR.

+ + + RemoteIPTrustedProxy Déclare les adresses IP clientes de l'intranet dignes de diff --git a/docs/manual/mod/mod_ssl.xml.fr b/docs/manual/mod/mod_ssl.xml.fr index 42066dc720..e89d5a41fb 100644 --- a/docs/manual/mod/mod_ssl.xml.fr +++ b/docs/manual/mod/mod_ssl.xml.fr @@ -1,7 +1,7 @@ - + @@ -1972,7 +1972,8 @@ SSLStrictSNIVHostCheck on Répertoire des clés et certificats clients codés en PEM que le mandataire doit utiliser SSLProxyMachineCertificatePath chemin-répertoire -server config +server config virtual host +proxy section

@@ -2002,7 +2003,8 @@ SSLProxyMachineCertificatePath "/usr/local/apache2/conf/proxy.crt/" Fichier contenant la concaténation des clés et certificats clients codés en PEM que le mandataire doit utiliser SSLProxyMachineCertificateFile chemin-fichier -server config +server config virtual host +proxy section

@@ -2033,7 +2035,8 @@ SSLProxyMachineCertificateFile Fichier de certificats de CA encodés PEM concaténés permettant au mandataire de choisir un certificat SSLProxyMachineCertificateChainFile nom-fichier -server config +server config virtual host +proxy section

@@ -2070,8 +2073,9 @@ SSLProxyMachineCertificateChainFile distant SSLProxyVerify niveau SSLProxyVerify none -server config -virtual host +server config virtual host +proxy section +Non applicable @@ -2113,9 +2117,9 @@ SSLProxyVerify require lors de la vérification du certificat du serveur distant SSLProxyVerifyDepth niveau SSLProxyVerifyDepth 1 -server config -virtual host -AuthConfig +server config virtual host +proxy section +Non applicable

@@ -2149,8 +2153,9 @@ certificat du serveur distant SSLProxyCheckPeerExpire on|off SSLProxyCheckPeerExpire on -server config -virtual host +server config virtual host +proxy section +Non applicable

@@ -2173,8 +2178,9 @@ du serveur distant SSLProxyCheckPeerCN on|off SSLProxyCheckPeerCN on -server config -virtual host +server config virtual host +proxy section +Non applicable

@@ -2219,8 +2225,9 @@ certificats serveur distants SSLProxyCheckPeerName on|off SSLProxyCheckPeerName on -server config -virtual host +server config virtual host +proxy section +Non applicable Disponible à partir de la version 2.4.5 du serveur HTTP Apache @@ -2260,8 +2267,9 @@ comportement original et des détails à propos de ces améliorations. SSL SSLProxyEngine on|off SSLProxyEngine off -server config -virtual host +server config virtual host +proxy section +Non applicable

@@ -2300,9 +2308,9 @@ serveur mandataire direct pour les requêtes SSL/TLS.

mandataire SSLProxyProtocol [+|-]protocole ... SSLProxyProtocol all -SSLv3 (jusqu'à la version 2.4.16: all) -server config -virtual host -Options +server config virtual host +proxy section +Non applicable @@ -2323,11 +2331,9 @@ module="mod_ssl">SSLProtocol pour plus d'informations. lors de l'initialisation d'une connexion SSL de mandataire SSLProxyCipherSuite algorithmes SSLProxyCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+EXP -server config -virtual host -directory -.htaccess -AuthConfig +server config virtual host +proxy section +Non applicable

Cette directive est équivalente à la directive SSLCipherSuite, mais s'applique à une connexion de @@ -2341,8 +2347,9 @@ module="mod_ssl">SSLCipherSuite pour plus d'informations.

Répertoire des certificats de CA codés en PEM pour l'authentification des serveurs distants SSLProxyCACertificatePath chemin-répertoire -server config -virtual host +server config virtual host +proxy section +Non applicable

@@ -2371,8 +2378,9 @@ SSLProxyCACertificatePath "/usr/local/apache2/conf/ssl.crt/" Fichier contenant la concaténation des certificats de CA codés en PEM pour l'authentification des serveurs distants SSLProxyCACertificateFile file-path -server config -virtual host +server config virtual host +proxy section +Not applicable

@@ -2398,8 +2406,9 @@ SSLProxyCACertificateFile Répertoire des CRLs de CA codés en PEM pour l'authentification des serveurs distants SSLProxyCARevocationPath chemin-répertoire -server config -virtual host +server config virtual host +proxy section +Non applicable

@@ -2428,8 +2437,9 @@ SSLProxyCARevocationPath "/usr/local/apache2/conf/ssl.crl/" Fichier contenant la concaténation des CRLs de CA codés en PEM pour l'authentification des serveurs distants SSLProxyCARevocationFile chemin-fichier -server config -virtual host +server config virtual host +proxy section +Non applicable

@@ -2457,8 +2467,9 @@ SSLProxyCARevocationFile pour l'authentification du serveur distant SSLProxyCARevocationCheck chain|leaf|none SSLProxyCARevocationCheck none -server config -virtual host +server config virtual host +proxy section +Non applicable

-- cgit v1.2.1