Mise � jour de la version 2.2 vers la version 2.4

Modifications des param�tres de compilation

Le processus de compilation est tr�s similaire � celui de la version 2.2. Dans la plupart des cas, vous pourrez utiliser votre ancienne ligne de commande configure (telle qu'elle est enregistr�e dans le fichier build/config.nice situ� dans le r�pertoire de compilation du serveur). Voici certains changements intervenus dans la configuration par d�faut :

• Les modules suivants ont �t� supprim�s : mod_authn_default, mod_authz_default et mod_mem_cache. Si vous utilisiez mod_mem_cache sous la version 2.2, vous devez maintenant utiliser mod_cache_disk dans la version 2.4.
• Toutes les impl�mentations de r�partition de charge ont �t� d�plac�es vers des sous-modules sp�cifiques de mod_proxy, comme mod_lbmethod_bybusyness. Vous devrez compiler et charg�s tous les modules correspondants que votre configuration utilise.
• Le support de BeOS, TPF, et des anciennes plates-formes telles que A/UX, Next, et Tandem a �t� supprim�, car elles ne sont plus consid�r�es comme maintenues.
• configure: les modules dynamiques (DSO) sont compil�s par d�faut
• configure: par d�faut, seul un jeu de modules de base est charg�. Les autres directives LoadModule sont mises en commentaires dans le fichier de configuration.
• configure: le jeu de modules "most" est compil� par d�faut
• configure: le jeu de modules "reallyall" ajoute les modules de d�veloppeur au jeu "all".

Modifications de la configuration � l'ex�cution

Des changements significatifs dans la configuration de l'autorisation, ainsi que quelques changements mineurs, peuvent n�cessiter une mise � jour des fichiers de configuration de la version 2.2 avant de les utiliser sous la version 2.4.

Autorisation

Tout fichier de configuration qui g�re des autorisations devra probablement �tre mis � jour.

Vous devez vous reporter au document Authentification, autorisation et contr�le d'acc�s, et plus particuli�rement � la section Pour aller plus loin qu'une simple autorisation qui explique les nouveaux m�canismes permettant de contr�ler l'ordre dans lequel les directives d'autorisation sont appliqu�es.

Les directives qui contr�lent la mani�re dont les modules d'autorisation r�agissent lorsqu'ils ne reconnaissent pas l'utilisateur authentifi� ont �t� supprim�es : elles comprennent les directives AuthzLDAPAuthoritative, AuthzDBDAuthoritative, AuthzDBMAuthoritative, AuthzGroupFileAuthoritative, AuthzUserAuthoritative et AuthzOwnerAuthoritative. Ces directives ont �t� remplac�es par les directives plus explicites RequireAny, RequireNone, et RequireAll.

Si vous utilisez mod_authz_dbm, vous devez mettre � jour votre configuration en rempla�ant les directives du style Require group ... par des directives du style Require dbm-group ....

Contr�le d'acc�s

Dans la version 2.2, le contr�le d'acc�s bas� sur le nom d'h�te du client, son adresse IP, ou d'autres caract�ristiques de la requ�te �tait assur� via les directives Order, Allow, Deny, et Satisfy.

Dans la version 2.4, ce contr�le d'acc�s est assur�, comme tout contr�le d'autorisation, par le nouveau module mod_authz_host. Bien que le module mod_access_compat soit fourni � des fins de compatibilit� avec les anciennes configurations, les anciennes directives de contr�le d'acc�s devront �tre remplac�es par les nouveaux m�canismes d'authentification.

Voici quelques exemples de contr�le d'acc�s avec l'ancienne et la nouvelle m�thode :

Dans cet exemple, il n'y a pas d'authentification et toutes les requ�tes sont rejet�es :

Order deny,allow
Deny from all

Require all denied

Dans cet exemple, il n'y a pas d'authentification et toutes les requ�tes sont accept�es :

Order allow,deny
Allow from all

Require all granted

Dans l'exemple suivant, il n'y a pas d'authentification et tous les h�tes du domaine example.org ont l'autorisation d'acc�s, tous les autres �tant rejet�s :

Order Deny,Allow
Deny from all
Allow from example.org

Require host example.org

Dans l'exemple suivant, tous les h�tes du domaine example.org ont l'autorisation d'acc�s, tous les autres sont rejet�s :

Order Deny,Allow
Deny from all
Allow from example.org

Require host example.org

Dans l'exemple suivant, le m�lange d'anciennes et de nouvelles directives produit des r�sultats inattendus.

DocumentRoot "/var/www/html"
<Directory "/">
    AllowOverride None
    Order deny,allow
    Deny from all
</Directory>
<Location "/server-status">
    SetHandler server-status
    Require local
</Location>
access.log - GET /server-status 403 127.0.0.1
error.log - AH01797: client denied by server configuration: /var/www/html/server-status

Pourquoi httpd interdit l'acc�s � server-status alors que la configuration semble l'autoriser ? Parce que dans ce sc�nario de fusion de configuration, les directives de mod_access_compat sont prioritaires par rapport � celles de mod_authz_host.

L'exemple suivant quant � lui produit un r�sultat conforme :

DocumentRoot "/var/www/html"
<Directory "/">
    AllowOverride None
    Require all denied
</Directory>
<Location "/server-status">
    SetHandler server-status
    Order deny,allow
    Deny from all
    Allow From 127.0.0.1
</Location>
access.log - GET /server-status 200 127.0.0.1

En conclusion, m�me si une configuration hybride peut fonctionner, essayez de l'�viter lors de la mise � jour : soit conservez les anciennes directives, puis migrez-les vers les nouvelles ult�rieurement, soit effectuez une migration imm�diate de toutes les anciennes directives vers les nouvelles.

Dans de nombreuses configurations avec authentification o� la directive Satisfy �tait d�finie � sa valeur par d�faut ALL, les lignes de configuration qui d�sactivent le contr�le d'acc�s bas� sur l'h�te sont maintenant omises :

Order Deny,Allow
Deny from all
AuthBasicProvider File
AuthUserFile /example.com/conf/users.passwd
AuthName secure
Require valid-user

# Pas besoin de remplacer les directives Order et deny
AuthBasicProvider File
AuthUserFile /example.com/conf/users.passwd
AuthName secure
Require valid-user

Dans les configurations o� l'authentification et le contr�le d'acc�s se combinaient dans un but pr�cis, les directives de contr�le d'acc�s doivent �tre migr�es. Dans l'exemple suivant, les requ�tes qui correspondent aux deux crit�res sont accept�es :

Order allow,deny
Deny from all
# ALL est la valeur par d�faut de Satisfy
Satisfy ALL
Allow from 127.0.0.1
AuthBasicProvider File
AuthUserFile /example.com/conf/users.passwd
AuthName secure
Require valid-user

AuthBasicProvider File
AuthUserFile /example.com/conf/users.passwd
AuthName secure
<RequireAll>
  Require valid-user
  Require ip 127.0.0.1
</RequireAll>

Dans les configurations o� l'authentification et le contr�le d'acc�s se combinaient dans un but pr�cis, les directives de contr�le d'acc�s doivent �tre migr�es. Dans l'exemple suivant, les requ�tes qui correspondent � au moins un crit�re sont accept�es :

Order allow,deny
Deny from all
Satisfy any
Allow from 127.0.0.1
AuthBasicProvider File
AuthUserFile /example.com/conf/users.passwd
AuthName secure
Require valid-user

AuthBasicProvider File
AuthUserFile /example.com/conf/users.passwd
AuthName secure
# Implicite : <RequireAny>
Require valid-user
Require ip 127.0.0.1

Autres changements dans la configuration

D'autres ajustements mineurs peuvent s'av�rer n�cessaires pour certaines configurations particuli�res, comme d�crit ci-dessous.

• La directive MaxRequestsPerChild a �t� renomm�e en MaxConnectionsPerChild; ce nouveau nom refl�te mieux l'usage de cette directive. L'ancien nom est encore support�.
• La directive MaxClients a �t� renomm�e en MaxRequestWorkers; ce nouveau nom refl�te mieux l'usage de cette directive. Pour les modules multiprocessus asynchrones, comme event, le nombre maximal de clients n'est pas �quivalent au nombre de threads du worker. L'ancien nom est encore support�.
• La directive DefaultType ne produit plus aucun effet, si ce n'est d'�mettre un avertissement si elle est d�finie � une valeur autre que none. D'autres directives de configuration la remplacent dans la version 2.4.
• La valeur par d�faut de la directive AllowOverride est maintenant None.
• La valeur par d�faut de la directive EnableSendfile est maintenant Off.
• La valeur par d�faut de la directive FileETag est maintenant "MTime Size" (sans INode).
• mod_dav_fs: le format du fichier DavLockDB a chang� pour les syst�mes avec inodes. L'ancien fichier DavLockDB doit �tre supprim� dans le cadre de la mise � jour.
• La directive KeepAlive n'accepte que les valeurs On ou Off. Avant, toute valeur autre que "Off" ou "0" �tait trait�e comme "On".
• Les directives AcceptMutex, LockFile, RewriteLock, SSLMutex, SSLStaplingMutex et WatchdogMutexPath ont �t� remplac�es par la directive unique Mutex. Vous devez �valuer l'impact de ces directives obsol�tes dans votre configuration version 2.2 afin de d�terminer si elles peuvent �tre simplement supprim�es, ou si elles doivent �tre remplac�es par la directive Mutex.
• mod_cache: la directive CacheIgnoreURLSessionIdentifiers effectue maintenant une correspondance exacte dans la cha�ne de param�tres au lieu d'une correspondance partielle. Si votre configuration mettait en jeu des sous-cha�nes comme sessionid pour correspondre � /une-application/image.gif;jsessionid=123456789, vous devez maintenant utiliser la cha�ne de correspondance compl�te jsessionid.
• mod_cache: le second param�tre de la directive CacheEnable ne concerne les contenus en mandat direct que s'ils d�butent par le protocole appropri�. Dans les versions 2.2 et ant�rieures, un param�tre tel que '/' concernait tous les contenus.
• mod_ldap: la directive LDAPTrustedClientCert s'utilise maintenant exclusivement au sein d'une configuration de niveau r�pertoire. Si vous utilisez cette directive, passez en revue votre configuration pour vous assurer qu'elle est bien pr�sente dans tous les contextes de r�pertoire n�cessaires.
• mod_filter: la syntaxe de la directive FilterProvider utilise maintenant une expression bool�enne pour d�terminer si un filtre s'applique.
• mod_include:
  • L'�l�ment #if expr utilise maintenant le nouvel interpr�teur d'expressions. L'ancienne syntaxe peut �tre r�activ�e via la directive SSILegacyExprParser.
  • Dans la port�e du r�pertoire, une directive de configuration SSI* ne provoque plus la r�initialisation � leur valeur par d�faut de toutes les directives SSI* de niveau r�pertoire.
• mod_charset_lite : l'option DebugLevel a �t� supprim�e en faveur d'une configuration de la directive LogLevel au niveau r�pertoire.
• mod_ext_filter : l'option DebugLevel a �t� supprim�e en faveur d'une configuration de la directive LogLevel au niveau r�pertoire.
• mod_proxy_scgi: certaines applications web ne fonctionneront plus correctement avec la nouvelle configuration de PATH_INFO qui est diff�rente de celle de la version 2.2. La configuration pr�c�dente peut �tre restaur�e en d�finissant la variable proxy-scgi-pathinfo.
• mod_ssl: le contr�le de r�vocation des certificats bas� sur les CRL doit �tre maintenant explicitement configur� via la directive SSLCARevocationCheck.
• mod_substitute: la taille maximale d'une ligne est maintenant 1Mo.
• mod_reqtimeout: si ce module est charg�, il d�finit maintenant certains temps d'attente par d�faut.
• mod_dumpio: la directive DumpIOLogLevel n'est plus support�e. Les donn�es sont toujours enregistr�es au niveau trace7 de LogLevel
• Jusqu'� la version 2.2, sur les plateformes de style Unix, les commandes de redirection des logs d�finies via ErrorLog ou CustomLog �taient invoqu�es en utilisant /bin/sh -c. A partir de la version 2.4, les commandes de redirection des logs sont ex�cut�es directement. Pour retrouver l'ancien comportement, voir la documentation sur la redirection des logs

Changements divers

• mod_auto_index: extrait maintenant les titres et affiche la description pour les fichiers .xhtml qui �taient jusqu'alors ignor�s.
• mod_ssl : le format par d�faut des variables *_DN a chang�. Il est cependant encore possible d'utiliser l'ancien format via la nouvelle option LegacyDNStringFormat de la directive SSLOptions. Le protocole SSLv2 n'est plus support�. Les directives SSLProxyCheckPeerCN et SSLProxyCheckPeerExpire sont maintenant d�finies par d�faut � On, et les requ�tes mandat�es vers des serveurs HTTPS poss�dant des certificats non conformes ou p�rim�s �choueront donc avec un code d'erreur 502 (Bad gateway).
• htpasswd utilise maintenant par d�faut les condens�s MD5 sur toutes les plates-formes.
• La directive NameVirtualHost n'a plus aucun effet, si ce n'est l'�mission d'un avertissement. Toute combinaison adresse/port apparaissant dans plusieurs serveurs virtuels est trait�e implicitement comme un serveur virtuel bas� sur le nom.
• mod_deflate n'effectue plus de compression s'il s'aper�oit que la quantit� de donn�es ajout�e par la compression est sup�rieure � la quantit� de donn�es � compresser.
• Les pages d'erreur multilingues de la version 2.2.x ne fonctionneront qu'apr�s avoir �t� corrig�es pour respecter la nouvelle syntaxe de l'�l�ment #if expr= du module mod_include, ou si la directive SSILegacyExprParser a �t� activ�e pour le r�pertoire contenant les pages d'erreur.
• La fonctionnalit� fournie par mod_authn_alias dans les pr�c�dentes versions (en fait la directive AuthnProviderAlias) est maintenant fournie par mod_authn_core.
• Les directives RewriteLog et RewriteLogLevel ont �t� supprim�es. Leur fonctions sont maintenant assur�es par la directive LogLevel qui permet de d�finir un niveau de journalisation appropri� pour le module mod_rewrite. Voir aussi la section journalisation de mod_rewrite.

Modules tiers

Tous les modules tiers doivent �tre recompil�s pour la version 2.4 avant d'�tre charg�s.

De nombreux modules tiers con�us pour la version 2.2 fonctionneront sans changement avec le serveur HTTP Apache version 2.4. Certains n�cessiteront cependant des modifications ; se reporter � la vue d'ensemble Mise � jour de l'API.

Probl�mes de mise � jour courants

• Erreurs au d�marrage :
  • Invalid command 'User', perhaps misspelled or defined by a module not included in the server configuration - chargez le module mod_unixd
  • Invalid command 'Require', perhaps misspelled or defined by a module not included in the server configuration, ou Invalid command 'Order', perhaps misspelled or defined by a module not included in the server configuration - chargez le module mod_access_compat, ou mettez � jour vers la version 2.4 les directives d'autorisation.
  • Ignoring deprecated use of DefaultType in line NN of /path/to/apache2.conf - supprimez la directive DefaultType et remplacez-la par les directives de configuration appropri�es.
  • Invalid command 'AddOutputFilterByType', perhaps misspelled or defined by a module not included in the server configuration - la directive AddOutputFilterByType qui �tait jusqu'alors impl�ment�e par le module core, l'est maintenant par le module mod_filter, qui doit donc �tre charg�.
• Erreurs de traitement des requ�tes :
  • configuration error: couldn't check user: /path - chargez le module mod_authn_core.
  • Les fichiers .htaccess ne sont pas trait�s - V�rifiez la pr�sence d'une directive AllowOverride appropri�e ; sa valeur par d�faut est maintenant None.