Configuration Apache en Intranet

[Danjos]

Bonjourà tous!
J'ai un ordinateur sur lequel j'ai intallé la ditribution RedHat Enterprise. J'ai aussi configuré Apache et un serveur DNS en local.
Cet ordinateur sera utilisé comme un serveur qui doit contenir des sites conçus pour être visitées qu'en local (Intranet).
Mon problème est que j'arrive à acceder aux autres postes du réseau, à partir du serveur. Alors que quand je saisis l' adresse IP du serveur sur ces autres postes, le navigateur renvoit:impossible d'afficher à la page. Des postes clients, on arrive à pinger le serveur et vis verça.
Les postes Clients sont en Windows XP

[Danjos]

Ce problème peut-il sutrvenir d' une configuration de Samba?
Je précise aussi que je n'ai pas configuré le Samba

[jdh]

Un passage sur le site de Christian Caleca, sur les pages concernant le DNS, serait indiqué.


Toutefois, je vais essayer de décrire les "best practices". (avec les limites qui sont les miennes)


Dans le contexte d'un réseau local d'entreprise, d'asso ou autres, il est judicieux de choisir un nom de domaine local qui sera utilisé pour attribuer des noms à chaque machine plutôt que des adresses ip.

Au choix, on peut prendre le nom de domaine réservé sur Internet du style xxxx.com ou prendre un nom comme xxxx.local. Le premier choix amène à définir des noms avec les ip réelles : par exemple www.xxxx.com pointera à l'extérieur du réseau local.

Donc on mettra en place un serveur DNS local avec une "zone" locale et des forwarders (les DNS fournis par le FAI).

Les PC standards seront plutôt configurés en DHCP : toute les infos seront donc fournies par le serveur DHCP, lequel mettra à jour dynamiquement le serveur DNS.

Les serveurs, imprimantes réseau, routeurs, firewall seront (plutôt) configurés en statique : il FAUDRA donc créer un nom dans le DNS POUR CHAQUE élément.


Un serveur Apache utilisé en intranet sera normalement accessible à partir du réseau local par son nom dns. Sous réserves que son nom réel (/etc/hostname sous Linux) soit bien le nom dns, et qu'Apache soit correctement configuré (présence d'une ligne "Allow from 192.168.x.x/24" où il faut).

En cas de difficulté, on fait quelques tests :
- ping 192.168.x.x : ping par adresse ip
- host nom_dns : résolution d'un nom dns (nslookup nom_dns sous windows) (doit être correcte !)
- ping nom_dns : ping par nom de domaine
Puis on regarde dans les logs d'accès : pour Apache, ceux ci sont souvent dans /var/log/apache/access.log visible au vol par tail -f.


Merci de nous décrire un peu plus de choses ...........

(Je n'ai pas parlé de Samba car cela n'a aucun rapport).

[Danjos]

Merci jdh pour ton intérêt à mon problème.

En fait je suis connecté à internet, et les postes de mon intranet sont deja en dhcp. J'ai aussi configuré un DNS pour les sites à héberger en local, et aussi pour les machines du réseau mais je n'ai pas encore pris en compte le dhcp (je sais pas trop comment m'y prendre); cependant j'arrive quand meme à accéder aux postes clients via le serveur. Ce sont les ostes clients qui ne peuvent avoir accès aux pages web sur le serveur, et c'est là mon problème.

Je précise aussi que je suis un débutant dans les configurations réseaux sous Linux.
La machine serveur est sous REdHat et les postes clients sous Windows XP.

Je voudrais aussi que tu me donne plus d'explication sur ce paragraphe:

Un serveur Apache utilisé en intranet sera normalement accessible à partir du réseau local par son nom dns. Sous réserves que son nom réel (/etc/hostname sous Linux) soit bien le nom dns, et qu'Apache soit correctement configuré (présence d'une ligne "Allow from 192.168.x.x/24" où il faut).



Merci aussi de m' avoir "desembrouillé" avec cette histoire de Samba!

Merci à toi et à tous ceux qui veulent m'aider.

[jibe]

Salut,

Je profite de ton topic - et surtout de la réponse de jdh pour lui poser une petite question. J'essaierai de répondre aux tiennes ensuite : jdh le fait sûrement mieux que moi, mais pendant que j'y suis... et aussi parce que, parfois, d'avoir l'explication de deux personnes permet de mieux comprendre...

des forwarders (les DNS fournis par le FAI).

Pourquoi pas les root DNS ? Dans quel cas - à part pour Wanadoo/Orange - vaut-il mieux employer l'un et l'autre ?

host nom_dns : résolution d'un nom dns (nslookup nom_dns sous windows) (doit être correcte !)

nslookup fonctionne aussi sous Linux. C'est ce dont je me sers, ça fait une seule commande à connaitre

Je voudrais aussi que tu me donne plus d'explication sur ce paragraphe:

Un serveur Apache utilisé en intranet sera normalement accessible à partir du réseau local par son nom dns. Sous réserves que son nom réel (/etc/hostname sous Linux) soit bien le nom dns, et qu'Apache soit correctement configuré (présence d'une ligne "Allow from 192.168.x.x/24" où il faut).

Détaillons :
Un serveur Apache utilisé en intranet sera normalement accessible à partir du réseau local par son nom dns.
Si tu as lu C.Caleca comme te l'a conseillé jdh, tu sais que le DNS te sert à faire la correspondance entre des noms et des adresses IP. Donc, ton serveur Apache peut être adressé soit par son adresse IP (http://192.168.1.1), soit par son nom (http://mon_serveur_apache/mon_domaine.local). Bien que le DNS ne soit pas indispensable et qu'il soit possible de se contenter d'adresser le serveur par son nom, il est préférable pour des raisons pratiques d'avoir possibilité de l'adresser par son nom. Note que souvent, lorsqu'on est en intranet, on peut se passer du nom de domaine (http://mon_serveur_apache).

Sous réserves que son nom réel (/etc/hostname sous Linux) soit bien le nom dns,
Le fichier /etc/hostname contient le nom du poste ou du serveur. C'est ce nom qui doit être reporté dans le DNS, de sorte que tout corresponde bien : l'adresse IP du serveur, son nom défini dans /etc/hostname, et la relation nom/adresse IP donnée par le serveur DNS. Comme ton nom est indiqué sur ta carte d'identité (c'est ton fichier /etc/hostname), et doit être le même que celui indiqué dans l'annuaire qui servira à trouver ton numéro de téléphone (c'est ton adresse IP, et l'annuaire est le serveur DNS).

et qu'Apache soit correctement configuré (présence d'une ligne "Allow from 192.168.x.x/24" où il faut).
Lorsque quelqu'un va taper dans son navigateur l'adresse http://ton_serveur_apache.ton_réseau.local, le serveur DNS va indiquer que cette requête doit être adressée à l'adresse IP de ton serveur Apache. Mais que cette requête arrive bien au serveur n'est pas suffisant : encore faut-il qu'Apache accepte d'y répondre. Et pour cela, il faut que dans son fichier de configuration il soit clairement indiqué que la requête soit acceptée. Lorsque ta requête va lui être présentée, il va lire son fichier de configuration (bon, en fait, comme il a bonne mémoire, il l'a lu lors de la mise en route, et se souvient de tout !), et il voit qu'il peut accepter toutes les requêtes en provenance du réseau local, comme indiqué par cette fameuse ligne "Allow from..."

Bon, cela étant détaillé, je te laisse faire les recherches nécessaires pour trouver les quelques indications qui manquent (entre autres, pourquoi 192.168.1.0/24 désigne la totalité de ton réseau, et où exactement placer la ligne "Allow from..." : C'est en cherchant qu'on apprend et surtout qu'on retient, et de toutes façons, on ne peut pas te faire dans un post un cours complet de mise en place d'un réseau et configuration d'Apache. Il y en a d'excellents sur internet (dont celui de Christian Caleca) qui t'en apprendront bien plus et bien mieux que nous ne pourrions le faire ici

[jdh]

Bonsoir Jibe !

Quand on configure un serveur dns local, celui-ci doit être capable de faire de la "recursion", c'est à dire résoudre les requêtes de noms.

Comme il peut résoudre les noms des zones dont il est maître (ou esclave), il faut qu'il essaie de résoudre pour le reste des noms, avec d'autres serveurs. Les bons serveurs à interroger sont, bien sur, ceux du FAI.

Tant les serveurs DNS sous Windows que les serveurs DNS de type BIND utilisent le terme de "forwarders" pour désigner ces serveurs auquels on "forward" les requêtes. Bien évidemment, il ne faut pas interroger soi-même les "root dns" !

(NB : au niveau du firewall, il est prudent de limiter aux serveurs DNS les résolutions DNS. Il existe des softs pour créer un tunnel juste avec DNS ... ce qui peut fonctionner, par exemple, sur n'importe hotspot avec portail captif !)


Bravo pour les explications correspondantes au paragraphe que j'avais écrit. Je n'aurais sûrement pas écrit mieux.

Le point essentiel est de comprendre que, même si Apache reçoit une requête GET correcte, il la contrôle en vérifiant qu'elle soit bien autorisée par une ligne "allow from ...". Comment vérifier cela ? en regardant le fichier /var/log/apache/access.log qui note les requêtes avec le résultat.

Mais il ne faut pas oublier qu'une installation standard (une Debian par exemple) est normalement bien configuré avec des "allow" évidents. Alors il est possible que le pb soit ailleurs ...

[jibe]

Merci pour tes explications au sujet des forwarders DNS

En fait, je posais la question parce qu'il me semblait effectivement préférable d'utiliser les DNS de son propre FAI, mais SME utilise directement les root DNS (en tous cas, la version 6. Pas revérifié pour la version 7).

Pourquoi donc ne pas s'adresser à Dieu plutôt qu'à ses saints ? (je sens arriver la réponse : si Dieu doit répondre à toutes les requêtes DNS de l'univers, à quoi donc vont servir les saints Juste ?) Et pourquoi SME le fait ?

[jdh]

Juste ! Bien sur.

C'est comme NTP : il y a des serveurs de niveaux (strate ou stratum) 1 qui doivent être interrogé seulement par les serveurs de strate 2 qui, eux-mêmes, ...

En pratique, tu mets comme "forwarder" les serveurs DNS du FAI, qui sont plus que 2 et font du "cache".

C'est le problème de distributions clés en main : quels sont les réglages de chaque paquets ? (par orgueil, on dit : sont ils les meilleurs ? Voyons voir !!)

Cela me parait curieux que SME interrogent directement les root dns.

Au fait combien sont ils ? Et où sont il situés ? Ont ils ou sont ils attaqués ?

Ils sont 13, notés de a.root-servers.net à m.root-servers.net.. (En réalité ce sont des clusters de N machines).
8 sont exclusivement situés au USA. 5 sont de grands réseaux (jusqu'à 30 sites) répartis sur plusieurs pays. 1 de ces 5 est répartie entre pays européens.
Il y a eu une attaque spécifique il y a quelques mois : l'arrêt de plusieurs entraînerait, à coup sur, l'arrêt d'Internet.

[jibe]

Merci pour ces explications très instructives

[Danjos]

Merci à vous pour toutes ses réponses.
Je continue les recherches, m'appuyant bien entendu sur chacune de vos pistes.
Je compte toujours sur vous si je rencontre des obstacles sur ses chemins et vous tiendrai informer dès qu'une solution sera trouvée.
Continuez aussi toujours d'écrire vos différents points de vue sur les questions relatives à ce sujet!
Merci

[Danjos]

Ok!
Je continue tojours mes recherches, mais ce problème peut-il venir du firewall ou du proxy?

[jdh]

Je crois que nous avons répondu, non ?

Comment continuer à aider ... puisque je ne vois, depuis, aucun tests ni résultats ?

[jibe]

Salut,

http://forums.ixus.fr/viewtopic.php?t=38987 !!!

[Danjos]

Ok! Merci, je tacherai d'être plus précis à l'avenir.
Jibe, j'ai lu la discussion ainsi que le discours et je les ai trouvés enrichissants surtout pour nous les débutants, dont les messages seront souvent des problèmes à poser.

Merci encore.

[Danjos]

Bonjour à tous!
J'ai encore un nouveau problème survenu après redemarrage involontaire du serveur.
Qand j'entre http://localhost/ ou http://mondomaine/ dans le navigateur, il affiche:


Forbidden

You don't have permission to access / on this server.

Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.

Apache/2.0.46 (Red Hat) Server at localhost Port 80







Voici les differents contenus de mes fichiers:

Pour le DNS:(il marche convenablement jusque là)

* le fichier:named.conf:


/ generated by named-bootconf.pl

options {
directory "/var/named";

/*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND 8.1 uses an unprivileged
* port by default.
*/
// query-source address * port 53;
};

//
// a caching only nameserver config
//
controls {
inet 127.0.0.1 allow { localhost; } keys { rndckey; };
};

zone "." IN {
type hint;
file "named.ca";
};

zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};

zone "0.0.127.in-addr.arpa" IN {
type master;
file "named.local";
allow-update { none; };
};

//Ce que j'ai ajouté:
//Déclaration pour la résolution inverse:trouver le nom à parir de l'adresse
//
zone "2.168.192.in-addr.arpa" IN {
notify no;
type master;
file "mondomaine.rev";
allow-update { none; };
};

//Déclaration pour la résolution du nom de domaine
//

zone "mondomaine" IN {
notify no;
type master;
file "mondomaine";
allow-update { none; };
};

include "/etc/rndc.key";

------------------------------------------------------------------------------

Le fichier mondomaine :

$TTL 86400
@ IN SOA comserveur.mondomaine. root.comserveur.mondomaine. (
1997022700 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum

TXT "Serveur DNS primaire "

@ IN NS comserveur
@ IN NS comserveur.mondomaine.
@ IN A 192.168.2.10

TXT " les sites "

site1 IN A 192.168.2.10
site2 IN A 192.168.2.10
site3 IN A 192.168.2.10


TXT " Les postes"

poste1 IN A 192.168.2.2
poste2 IN A 192.168.2.3

------------------------------------------------------------------------------------


*Le fichier mondomaine.rev

TTL 86400

@ IN SOA localhost. root.comserveur.mondomaine. (

1997022700 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum

@ IN NS comserveur.mondomaine.

10 IN PTR comserveur.mondomaine.
~
------------------------------------------------------------------------------------