Topic: invalid command 'AuthUserFile' après passage sous SME8 (htaccess)

[lurey]

Bonjour,

c'est mon premier message ici, en plus je ne suis pas vraiment anglophone, j'ai parfois du mal à tout comprendre dans la langue de Shakespeare... ajoutez à cela que je me forme sur le tas au fur et à mesure de mes besoins, soyez indulgents !
- Je viens de passer de SME 7.6 à la version 8 ; installation propre, puis transfert des sites et autres fichiers d'une machine à l'autre.
- Mon serveur est en serveur et passerelle, derrière une box. toute la config de base a été refaite à l'identique.
Sur la V7.6, j'avais sécurisé certains répertoires (accès restreint pour une partie d'un site public) selon la méthode des "custom-template" qu'on voit là, dans le wiki ; ça marchait très bien, j'avais compris... le nécessaire pour bien l'utiliser.

> Problème : j'ai appliqué la même chose sur la version 8, et j'ai un message qui s'affiche sans arrêt,
invalid command 'AuthUserFile', perhaps misspelled or defined by a module not included in the server configuration.
... indiquant une erreur à la ligne de http.conf correspondant à mon "insertion" templatisée où apparait :
AuthUserFile /chemin/fichier-des-users-autorisés (avec leurs mdp, cryptés)

> Mes recherches m'ont mené sur des explications concernant la contrib webshare, que je n'ai jamais utilisé ni installé, ou sur un rapport de bug n° 6967 qui n'a pas d'issue car le pb y a été contourné sans bien savoir comment...
> J'ai repéré /usr/lib/httpd/modules/mod_authn_file.so qui semblerait correspondre à la commande AuthUserFile (?), qui ne semble pas être appelée dans httpd.conf ...
J'ai essayé de mettre LoadModule authn_file_module /usr/lib/httpd/modules/mod_authn_file.so
en tête de mon fichier de "customisation" (/etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/92AddSecureIbayFolder) mais ça ne fait rien de mieux...

Qui peut m'aider à chercher et trouver la solution ? Merci !

[lurey]

Bon, j'ai cru comprendre qu'un problème ne devait pas être exposé là mais dans les bugs ("Don't report problems here - Please report bugs and potential bugs in the bug tracker").
J'ai cherché des mots d'anglais pour comprendre et utiliser ça, puis pour exposer mon problème...
c'est là : Bug 7863
Les modérateurs sauront supprimer le doublon s'il y a lieu...

[_alex]

Bonjour,

Je te conseille la procedure suivante:

1. prepere une machine SME 8 vierge et installe les contribs installées sur l'ancienne machine (au besoin)
2. prépare un disque dur usb de capacité suffisante (>= ancienne machine), formatté en ext3, et branche le sur l'ancienne machine
3. ancienne machine: "server-manager" -> "Sauvegarde et restauration" -> "Configurer les sauvegardes sur un ordinateur distant" -> "disque amovible local", fait un backup complet, après quoi branche le disque sur la nouvelle machine.
4a. nouvelle machine "server-manager" -> "Sauvegarde et restauration""Configurer les sauvegardes sur un ordinateur distant" -> "disque amovible local", ne fais pas le backup.
4b. nouvelle machine "server-manager" -> "Sauvegarde et restauration" -> "Restaurer depuis un ordinateur distant" -> "disque amovible local", restaure le backup du disque externe.
5. nouvelle machine: login en tant qu'utilisateur admin, ajuste adresse IP etc, reboot, et débranche l'ancienne machine du réseau si besoin.

[lurey]

bonjour,
merci de ton intérêt. Voilà une manière de tout recommencer, effectivement, que j'utiliserai si je ne trouve pas (...ou... quelqu'un de calé ne trouve pas) où est le problème... et au risque de le retrouver à l'identique, ce problème, faute d'avoir compris (c'est cependant comme ça que le "bug 6967" a été abandonné sans solution, le symptôme ayant disparu...)
En attendant, j'ai cherché dans les arborescences de mon serveur, j'ai lu des docs sur internet... bref, un peu l'aprenti-sorcier.
- J'ai trouvé la commande pour savoir les modules d'Apache qui sont chargés :
[root@sme00full ~]# apachectl -t -D DUMP_MODULES
... et ainsi vérifié que ce module n'était pas chargé.
- j'ai trouvé dans /etc/e-smith/templates/etc/httpd/conf/httpd.conf un fichier <20LoadModules50> qui fait charger les modules auth-xxxxx :

Code: [Select]

{
    $OUT .= load_modules(qw(
proxy
proxy_http
alias
rewrite
access
authz_host
authz_user
auth
auth_anon
    ));
}j'ai essayé d'y ajouter authn_file, relancé httpd...
Le module est alors chargé, mais le problème reste le même.
D'après ce que j'ai commencé de lire et essayer de comprendre, il y a peut-être une question d'ordre des modules...
Là, je bute sur mon ignorance, pour l'instant, et sans savoir si c'est vraiment la bonne piste !
... ce soir, je vais aller explorer les fichiers de conf équivalents sur mon ancienne installation (en SME 7.6)

[_alex]

Bah, si tu as du temps à perdre...

Regarde toujours tes anciens "custom templates":

Code: [Select]

/sbin/e-smith/audittools/templates

[lurey]

Bah, si tu as du temps à perdre...

C'est vrai que ça prend beaucoup de temps, mais c'est en prenant ce genre de temps que j'ai peu à peu découvert, appris des tas de choses : avec la fréquentation de forums et la lecture de sites documentés, c'est en gros ma seule formation, ce n'est donc... pas vraiment du temps perdu  (même si je ne trouve pas toujours ce que je cherche)

[stephdl]

exact et c'est en faisant cela que je découvre encore et toujours des trucs nouveaux...bonne fouille !

[lurey]

bonjour !
... bien peu de temps à consacrer à cela hier soir, mais bon, j'ai comparé les fichiers httpd.conf (générés par les templates) des deux installations, au niveau des modules chargés ; très peu de différences, les voici :

- sur SME 7.6 on avait imap_module.so qui a été remplacé par imagemap_module.so en v. 8 (... sans doute rien à voir !)

- plus près de la question : on voit que les modules "auth-quelque-chose" ne sont plus les mêmes, il y en a d'ailleurs un de moins en v.8 ; voici un tableau comparatif des inscriptions correspondantes (qui se trouvent au même endroit du fichier dans chacune des configurations) :

sur SME 7.6 : LoadModule access_module LoadModule auth_module LoadModule auth_anon_module LoadModule auth_digest_module

|    |    |    |    |

sur SME 8 : (*) LoadModule authz_host_module LoadModule authz_user_module LoadModule auth_digest_module

(*) Il n'y a pas de module "access" dans la v8. (par ailleurs, c'est là que s'était affiché LoadModule authn_file_module quand j'avais essayé d'en ajouter la commande dans le fichier de template <20LoadModules50>)

- un autre module apparait de manière identique dans les deux, dans la section "Extra modules" :
LoadModule external_auth_module

- après, sur SME 8 on voit, après les "Extra modules" # modPerl disabled
alors que sur SME 7.6 apparait  LoadModule perl-module

- pour finir, la v8 charge un module php5 contre php4 pour la v7.6 (LoadModule phpx_module), puis les deux indications suivantes (encore des "auth-quelquechose")  sont les mêmes :
AddExternalAuth pwauth
SetExternalAuthMethod pxauth pipe

Voilà pour mes investigations du soir...

[edit]
En complément, des indications à propos des modules apache glanés sur la doc en ligne...
Ceux de SME 8 sont ceux de la version 2.2, SME 7.6 est une version antérieure (2.0 ?)
En Apache v2, la directive AuthUserFile était gérée par le module auth_module (ainsi que les directives Authoritative et AuthGroupFile)
En v2.2 mod_auth est maintenant scindé en deux modules : mod_auth_basic et mod_authn_file disent-ils.
et dans la doc de mod_auth_basic, on lit (en français... chic !)
Ce module permet d'utiliser l'authentification basique HTTP pour restreindre l'accès en recherchant les utilisateurs dans les fournisseurs d'authentification spécifiés. Il est en général combiné avec au moins un module d'authentification comme mod_authn_file et un module d'autorisation comme mod_authz_user. L'authentification HTTP à base de condensé, quant à elle, est fournie par le module mod_auth_digest.
Mais apparemment, dans SME8, pas de module auth_basic...? ce module est-il indispensable pour que fonctionne AuthUserFile ?

[lurey]

Des nouvelles...

En suivant l'idée de _Alex, j'ai refait un petit serveur "neuf" en SME v8, mais je n'y ai rien transféré ; j'ai reproduit au plus simple le principe de ce qui marchait sur mon ancienne config en v7.6 en utilisant seulement l'ibaie principale, avec une page d'index proposant un lien vers une page de test, celle-ci se trouvant dans un sous-répertoire que je cherche à sécuriser ( soit (...)Primary/html/secure/page-essai.htm)
nouveaux essais avec un fichier template-custom, puis chargement du module authn-file ajouté par le fichier de template <20LoadModules50>
Ces nouvelles expérimentations m'ont permis de repérer une bourde de ma part 
Car là, le message inlassablement répété ressemblait, mais... parlait de la commande AuthGroupFile et plus de AuthUserFile !
Je n'ai pas bien regardé lors de mes essais précédents, dépité que ça ne "marche" toujours pas !
Bon, j'ai donc supprimé la ligne AuthGroupFile /dev/null dans mon fichier de template-custom, et là ... plus de message intempestif ! (Ne me resterait plus qu'à décrypter le sens de cette ligne indiquée par le how-to que j'avais suivi, pour savoir les conséquences de sa disparition...)

Fiévreusement, je me rend sur ma page d'accueil, je clique sur le lien, on me demande ID et PSWD, je saisis...
eh ben non ! page blanche,avec un petit mot doux :

500 Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator, admin@mon-serveur and inform them of the time the error occurred, and anything you might have done that may have caused the error.
More information about this error may be available in the server error log.

je vais donc voir les logs de httpd, ils me disent :

[[Thu Sep 26 22:29:23 2013] [crit] [client 192.168.1.10] configuration error:  couldn't check user.  No user file?: /secure/page-essai.htm, referer: http://192.168.1.3/

j'ai pourtant vérifié, et même refait mon fichier /etc/motsdepasse avec htpasswd , rien n'y fait...

[edit]
aussi refait ce fichier avec l'argument -m pour forcer le cryptage MD5, qu'utilise le module auth_digest > ça ne change rien
j'ai aussi essayé en chargeant le module authz_groupfile_module, et remettant dans mon fichier de custom-template la ligne AuthGroupFile /dev/null > plus de message d'erreur concernant AuthGroupFile, mais même symptôme...
Voilà, je désespère pas, puisque... ça bouge (peut-être même ça avance !) mais... si vous avez une petite idée pour rompre mon monologue... !

[edit2] ...quelque chose avec AllowOverride ...? Help !

[lurey]

...il manquait encore un module !
il y a trois modules à charger pour utiliser avec SME8 le dispositif décrit pour SME7 :
. auth_basic_module
. authn_file
. authz_groupfile
Pour l'instant, j'ai chargé ces trois modules par un template additionnel qui les ajoute à la configuration de Apache. C'est une solution qui fonctionne.
Dans le fil ouvert en  Bug 7863 où vous trouverez le détail, on en est à chercher s'il faut les ajouter comme "customisation" ou si la correction doit être faite dans l'installation de base (s'il s'agissait d'un oubli dans le passage de la v2.0 d'Apache dont se sert SME7 vers la v2.2 utilisée par SME8).
Problème résolu sur le principe, donc !

[stephdl]

exact et c'est en faisant cela que je découvre encore et toujours des trucs nouveaux...bonne fouille !

Tu vois Lurey tu n'as pas perdu ton temps...et nous non plus...merci de ton passage dans bugzilla...

au fait si l'aventure t'a plus, il t'est completement possible d'être integrer dans la bug team pour tester, découvrir et pourquoi pas un jour construire ou packager tes rpm.

Voila si le coeur t'en dis, la porte est ouverte.

[lurey]

Tu vois Lurey tu n'as pas perdu ton temps...et nous non plus...merci de ton passage dans bugzilla...

au fait si l'aventure t'a plus, il t'est completement possible d'être integrer dans la bug team pour tester, découvrir et pourquoi pas un jour construire ou packager tes rpm.

Voila si le coeur t'en dis, la porte est ouverte.

Merci de cette invitation, mais...
Comme dit, je suis content de pouvoir contribuer lorsque mes problèmes et recherches peuvent intéresser tout le monde ...et le développement (si j'ai bien compris, cette question de modules a servi aussi dans la travail en cours pour SME 9) et j'ai ainsi l'impression de servir un tout petit peu le projet ...dont je me sers beaucoup.
J'ai peu de disponibilité (assez irrégulièrement), et tellement peu de compétence solide que je ne me vois pas aller plus loin : plutôt du genre à essayer empiriquement, au pif, et éventuellement chercher ensuite les principes qui étaient derrière, mais il me faut chaque fois beaucoup de temps pour essayer de repérer, comprendre, interpréter... et ma "bidouille" se fait d'abord par imitation, copier-coller, sans forcément bien comprendre a priori ce qui est en jeu.
.. ça n’exclut pas qu'à l'occasion je puisse m'accrocher à telle ou telle question, quand j'ai le loisir de venir "forumer" !

[stephdl]

J'ai peu de disponibilité (assez irrégulièrement), et tellement peu de compétence solide que je ne me vois pas aller plus loin : plutôt du genre à essayer empiriquement, au pif, et éventuellement chercher ensuite les principes qui étaient derrière, mais il me faut chaque fois beaucoup de temps pour essayer de repérer, comprendre, interpréter... et ma "bidouille" se fait d'abord par imitation, copier-coller, sans forcément bien comprendre a priori ce qui est en jeu.

Tu sais on crois souvent que les connaissances des autres son tellement plus grandes que les siennes, mais tu vois le niveau Informatique que tu as, et que tu décris, c'est malheureusement le mien