Debian/Apache HOWTO

<body background="../../../images/top.png" bgcolor="#FFFFFF"> <table width="100%" cellspacing="0" cellpadding="0" summary=""> <tr> <td align="left" valign="top" rowspan="2" width="99%"><img src="../../../images/toptext_Johannes-Linux-talks.png" alt= "Johannes Linux talks" width="348" height="53" /></td> <td rowspan="2" align="center" valign="bottom"><img src="../../../images/dieseseite.en.png" alt="This page:" width="59" height="19" /></td> <td rowspan="2"><img src="../../../images/transparentpixel.png" alt="  " width="20" height="1" align="bottom" border="0" /></td> <td align="center" valign="top"><a href="apache_inhalt.en.html" target="_parent"><img src="../../../images/empty.png" alt="no frames" border="0" width="23" height="30" /></a></td> <td rowspan="2"><img src="../../../images/transparentpixel.png" alt="  " width="20" height="1" align="bottom" border="0" /></td> <td align="center" valign="top"> <div title="Size: 1.1 MB"><a href="apache.en.pdf" target="_blank"><img src="../../../images/pdffile.png" alt="-->" border="0" width="30" height="30" /></a></div> </td> <td rowspan="2"><img src="../../../images/transparentpixel.png" alt="  " width="20" height="1" align="bottom" border="0" /></td> <td align="center" valign="top"><a href="apache.de.html" target="_top"><img src="../../../images/germanflag.png" alt= "-->" border="0" width="27" height="23" /></a></td> </tr> <tr> <td align="center" valign="bottom"><script type="text/javascript" language="JavaScript"> //<![CDATA[  //]]> </script> <script type="text/javascript" language="JavaScript"> //<![CDATA[  //]]> </script> <a href="apache_inhalt.en.html" target="_parent" onmouseover= "ro_imgOver('ro_img_unknown1', 'without frameset'); return true" onmouseout= "ro_imgNormal('ro_img_unknown1'); return true" onfocus="ro_imgOver('ro_img_unknown1', 'without frameset'); return true" onblur="ro_imgNormal('ro_img_unknown1'); return true"><img name="ro_img_unknown1" src= "../../../images/noframes-std.en.png" alt="without frameset" width="95" height="19" border="0" /></a></td> <td align="center" valign="bottom"> <div title="Size: 1.1 MB"><script type="text/javascript" language="JavaScript"> //<![CDATA[  //]]> </script> <a href="apache.en.pdf" target="_blank" onmouseover= "ro_imgOver('ro_img_unknown2', 'save as PDF'); return true" onmouseout="ro_imgNormal('ro_img_unknown2'); return true" onfocus="ro_imgOver('ro_img_unknown2', 'save as PDF'); return true" onblur= "ro_imgNormal('ro_img_unknown2'); return true"><img name="ro_img_unknown2" src="../../../images/PDF-std.en.png" alt= "save as PDF" width="71" height="19" border="0" /></a></div> </td> <td align="center" valign="bottom"><script type="text/javascript" language="JavaScript"> //<![CDATA[  //]]> </script> <a href="apache.de.html" target="_top" onmouseover= "ro_imgOver('ro_img_unknown3', 'auf Deutsch'); return true" onmouseout="ro_imgNormal('ro_img_unknown3'); return true" onfocus="ro_imgOver('ro_img_unknown3', 'auf Deutsch'); return true" onblur= "ro_imgNormal('ro_img_unknown3'); return true"><img name="ro_img_unknown3" src="../../../images/Sprache-std.en.png" alt="auf Deutsch" width="69" height="19" border="0" /></a></td> </tr> </table> <div align="center"> <h1 class="subject">Debian/Apache HOWTO</h1> </div> <br /> <p align="center"><strong>Johannes Franken<br /></strong><kbd><jfranken@jfranken.de></kbd></p> <br /> <br /> <br /> <table summary=""> <tr> <td bgcolor="#FFAAAA" class="border"><strong>Caution:</strong><br /> Please note: Most of this document is in german, because the english translation is still in progress.</td> </tr> </table> <p>This page explains the basics of webservers. It also demonstrates how to install and configure Apache version 2 under Debian GNU/Linux 3.1.</p> <h1>Contents</h1> <ol type="1"> <li><a href="#ToC1"><strong>Basics</strong></a> <ol type="a"> <li><a href="#ToC2"><strong>Webserver</strong></a></li> <li><a href="#ToC3"><strong>Apache</strong></a></li> </ol> </li> <li><a href="#ToC4"><strong>Installation</strong></a></li> <li><a href="#ToC5"><strong>Konfiguration</strong></a></li> <li><a href="#ToC6"><strong>Starten und stoppen</strong></a></li> <li><a href="#ToC7"><strong>Webseiten einspielen</strong></a></li> <li><a href="#ToC8"><strong>VirtualHosts</strong></a> <ol type="a"> <li><a href="#ToC9"><strong>"Name-based, virtual hosts"</strong></a></li> <li><a href="#ToC10"><strong>"IP-based, virtual hosts"</strong></a></li> </ol> </li> <li><a href="#ToC11"><strong>https</strong></a> <ol type="a"> <li><a href="#ToC12"><strong>Server-Zertifikate erstellen</strong></a></li> <li><a href="#ToC13"><strong>Server-Zertifikate beglaubigen lassen</strong></a></li> <li><a href="#ToC14"><strong>VirtualHost-Konfiguration</strong></a></li> </ol> </li> <li><a href="#ToC15"><strong>Zugriffsschutz</strong></a> <ol type="a"> <li><a href="#ToC16"><strong>Authentisierung per IP-Adresse</strong></a></li> <li><a href="#ToC17"><strong>Authentisierung per Passwort</strong></a></li> <li><a href="#ToC18"><strong>Authentisierung per Client-Zertifikat</strong></a> <ol type="i"> <li><a href="#ToC19"><strong>Eine Root-CA einrichten</strong></a></li> <li><a href="#ToC20"><strong>Client-Zertifikate erstellen</strong></a></li> <li><a href="#ToC21"><strong>Client-Zertifikate autorisieren</strong></a> <ol> <li><a href="#ToC22"><strong>Zertifikate über ihre Eigenschaften referenzieren</strong></a></li> <li><a href="#ToC23"><strong>Zertifikate über eine <kbd>htpasswd</kbd>-Datei direkt referenzieren</strong></a></li> </ol> </li> </ol> </li> <li><a href="#ToC24"><strong>Kombinationen</strong></a> <ol type="i"> <li><a href="#ToC25"><strong>IP-Adresse und Passwort/Zertifikat erforderlich</strong></a></li> <li><a href="#ToC26"><strong>Passwort/Zertifikat nur "von draussen" erforderlich</strong></a></li> </ol> </li> </ol> </li> <li><a href="#ToC27"><strong>Apache-Module</strong></a> <ol type="a"> <li><a href="#ToC28"><strong>deflate</strong></a></li> <li><a href="#ToC29"><strong>server-status</strong></a></li> <li><a href="#ToC30"><strong>server-info</strong></a></li> <li><a href="#ToC31"><strong>libphp4 (PHP-Interpretierer)</strong></a></li> <li><a href="#ToC32"><strong>mod_perl (Perl-Interpretierer)</strong></a></li> <li><a href="#ToC33"><strong>mod_jk ("Tomcat-Modul")</strong></a></li> </ol> </li> <li><a href="#ToC34"><strong>Java Applicationserver</strong></a> <ol type="a"> <li><a href="#ToC35"><strong>Eine Java Virtual Machine installieren [Sun J2SE 5.0]</strong></a></li> <li><a href="#ToC36"><strong>Einen Java-EE-kompatiblen Applicationserver installieren [Geronimo 1.0 und Tomcat 5.5]</strong></a></li> <li><a href="#ToC37"><strong>Alternativ: Nur einen Servlet-Container installieren [Tomcat 4.1]</strong></a></li> <li><a href="#ToC38"><strong>Tomcat in den Apache Webserver einbinden [mod-jk2]</strong></a></li> </ol> </li> </ol> <div class="pagebreak"> </div>  <h1><a name="ToC1">Basics</a></h1> <h2><a name="ToC2">Webserver</a></h2> <p>A "webserver" is a program, which receives an HTTP-query (e.g. from some webbrowser over an internet) and sends back data provided for the queried URL.</p> This data can be either <ol> <li>static (stored in files) or</li> <li>dynamic (generated by other programs).</li> </ol> <p>The first webserver ("W3 demon") was developed by Tim Berners-Lee in 1989. Today, there are hundreds of implementations, which differ in their</p> <ul> <li>speed of operation</li> <li>dependability</li> <li>expandability and</li> <li>their supported operating systems.</li> </ul> <br /> <table summary=""> <tr> <td bgcolor="#FFFFAA" class="border"><strong>More about:</strong><br /> see <ul> <li><a target="_blank" href="http://www.ietf.org/rfc/rfc2616.txt">http://www.ietf.org/rfc/rfc2616.txt</a> (HTTP/1.1-Protokoll)</li> <li><a target="_blank" href="http://en.wikipedia.org/wiki/Webserver">http://en.wikipedia.org/wiki/Webserver</a></li> </ul> </td> </tr> </table> <p>The following webservers are part of the Debian 3.1 distribution:</p> <div align="center"> <table border="1" summary=""> <tr> <th bgcolor="#DDDDFF">Debian-package</th> <th bgcolor="#DDDDFF">Description</th> </tr> <tr> <td><kbd>aolserver</kbd></td> <td>AOL Web Server 3 (Program)</td> </tr> <tr> <td><kbd>aolserver4</kbd></td> <td>AOL Web Server 4 (Program)</td> </tr> <tr> <td><kbd>apache</kbd></td> <td>versatile, high-performance HTTP server</td> </tr> <tr> <td><kbd>apache2</kbd></td> <td>next generation, scalable, extendable web server</td> </tr> <tr> <td><kbd>boa</kbd></td> <td>Lightweight and high performance webserver</td> </tr> <tr> <td><kbd>caudium</kbd></td> <td>An extensible webserver written in Pike</td> </tr> <tr> <td><kbd>dhttpd</kbd></td> <td>minimal secure webserrver without cgi-bin support</td> </tr> <tr> <td><kbd>micro-httpd</kbd></td> <td>A really small http server</td> </tr> <tr> <td><kbd>roxen4</kbd></td> <td>The Roxen Challenger Webserver</td> </tr> <tr> <td><kbd>thttpd</kbd></td> <td>tiny/turbo/throttling HTTP server</td> </tr> <tr> <td><kbd>webfs</kbd></td> <td>a lightweight web server for static content</td> </tr> <tr> <td><kbd>zope</kbd></td> <td>open source web application server</td> </tr> </table> <em>Table: Webservers in the Debian distrubution</em></div> <p>This talk is primarily concerned with <kbd>apache2</kbd>, which means version 2.0 of the "Apache"-webserver.0</p> <div class="pagebreak"> </div>  <h2><a name="ToC3">Apache</a></h2> Apache is open source software, works most efficiently and reliably. Its modular design leads to a wide scope of services, which surpass every other webserver on the market. So it's no wonder, that about 60% of all websites are running on Apache.<br /> <table summary=""> <tr> <td bgcolor="#FFFFAA" class="border"><strong>More about "Apache":</strong><br /> A short overview on the apache webserver is available at <a target="_blank" href= "http://en.wikipedia.org/wiki/Apache_HTTP_Server">Wikipedia</a> and <a target="_blank" href= "http://httpd.apache.org/docs/misc/FAQ.html">Apache Foundation</a>.</td> </tr> </table> <br /> <p>Apache foundation is currently (December 2005) providing its HTTP-Server in three different versions:</p> <ul> <li><strong>Version 1.3.34</strong> ist die letzte Version der "alten Baureihe". Obwohl Sie nicht mehr weiterentwickelt wird, ist sie immer noch auf vielen Servern im Einsatz. Sie sollten 1.3er-Versionen nur noch einsetzen, wenn Sie ein Modul benötigen, das für die Version 2 noch nicht zur Verfügung steht.</li> <li><strong>Version 2.0.55</strong> ist die "aktuelle" Version der 2.0er-Baureihe und Gegenstand dieses Vortrags. Im Vergleich zu den 1.3er-Versionen arbeitet sie etwas schneller und ist flexibler in der Konfiguration.</li> <li><strong>Version 2.2.0</strong> ist die allerneueste Version (erschienen: 30.11.2005). Sie bietet zwar einige neue Möglichkeiten, ist aber für einen Praxiseinsatz noch nicht hinreichend getestet.</li> </ul> Ab Version 2.0 greift der Apache-Kern nicht mehr direkt (über System-Calls), sondern über eines der "Multi-Processing-Module" (MPM) auf das Betriebssystem zu. <p align="center"><img src="apache/mpm.png" alt="" width="644" height="713" /><br /> <em>Figure: Apache-Architektur (ab Version 2)</em></p> <p>Es gibt ein MPM für jedes unterstützte Betriebssystem und für Unix-Systeme sogar fünf verschiedene.</p> Unter Debian 3.1 stehen Ihnen drei MPM zur Auswahl. Wählen Sie das MPM aus, das die Anforderungen an Ihren Webserver am besten trifft. <div align="center"> <table border="1" summary=""> <tr> <th bgcolor="#DDDDFF">Debian-Paket</th> <th bgcolor="#DDDDFF">Beschreibung</th> </tr> <tr> <td valign="top"><kbd>apache2-mpm-prefork</kbd></td> <td>ist das "normale" MPM (wie bei Apache 1.3). Jede Anfrage wird von einem separaten Prozess bearbeitet und alle Prozesse laufen unter demselben Unix-User.<br /> <table summary=""> <tr> <td bgcolor="#FFFFAA" class="border"><strong>More about:</strong><br /> see <a target="_blank" href= "http://httpd.apache.org/docs-2.0/mod/prefork.html">http://httpd.apache.org/docs-2.0/mod/prefork.html</a></td> </tr> </table> </td> </tr> <tr> <td valign="top"><kbd>apache2-mpm-worker</kbd></td> <td>arbeitet schneller als das <kbd>prefork</kbd>-MPM und benötigt weniger Speicher als dieses. Anfragen werden auf die Threads mehrerer Prozesse verteilt, die alle unter demselben Unix-User laufen. Dieses MPM wird automatisch installiert, wenn Sie bei der Installation von Apache kein anderes MPM angeben. Leider funktionieren einige Module (z.B. PHP) nicht mit diesem MPM.<br /> <table summary=""> <tr> <td bgcolor="#FFFFAA" class="border"><strong>More about:</strong><br /> see <a target="_blank" href= "http://httpd.apache.org/docs-2.0/mod/worker.html">http://httpd.apache.org/docs-2.0/mod/worker.html</a></td> </tr> </table> </td> </tr> <tr> <td valign="top"><kbd>apache2-mpm-perchild</kbd></td> <td>ist eine Variante des <kbd>worker</kbd>-MPM, bei der die Prozesse unter unterschiedlichen Unix-Usern laufen können. Dieses MPM soll ungewollte Übergriffe auf gemeinsam genutzten Webservern verhindern, doch leider arbeitet es noch nicht zuverlässig.<br /> <table summary=""> <tr> <td bgcolor="#FFFFAA" class="border"><strong>More about:</strong><br /> see <a target="_blank" href= "http://httpd.apache.org/docs-2.0/mod/perchild.html">http://httpd.apache.org/docs-2.0/mod/perchild.html</a></td> </tr> </table> </td> </tr> </table> <em>Tabelle: Beschreibung der erhältlichen MPM</em></div> <br /> <br /> <table summary=""> <tr> <td bgcolor="#FFFFAA" class="border"><strong>More about:</strong><br /> siehe <a target="_blank" href="http://httpd.apache.org/docs-2.0/mpm.html">http://httpd.apache.org/docs-2.0/mpm.html</a> (kurze MPM-Einführung)<br /> und <a target="_blank" href="http://httpd.apache.org/docs-2.0/de/mod/">http://httpd.apache.org/docs-2.0/de/mod/</a> (Links zu den Beschreibungen der MPMs).</td> </tr> </table> <div class="pagebreak"> </div>  <h1><a name="ToC4">Installation</a></h1> Installieren Sie die neueste Version des Apache-Webservers:<br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>aptitude update</strong> [...] $ <strong>aptitude install apache2</strong> [...] Die folgenden Pakete werden zusätzlich installiert: apache2-common apache2-mpm-worker apache2-utils libapr0 libexpat1 openssl ssl-cert 0 Pakete aktualisiert, 7 zusätzlich installiert, 0 werden entfernt und 0 nicht aktualisiert. Muss 2193kB/2193kB an Archiven herunterladen. Nach dem Entpacken werden 5368kB zusätzlich belegt sein. Wollen Sie fortsetzen? [Y/n/?] <strong>Y</strong> [...] Starting web server: Apache2. </pre></td> </tr> </table> <em>Listing: Installation von Apache2</em></div> <br /> <p>Wie Sie sehen, wählt <kbd>aptitude</kbd> das <kbd>worker</kbd>-MPM aus. Wenn Sie später zusätzlich PHP installieren, können Sie beobachten, dass das <kbd>worker</kbd>-MPM automatisch gegen das <kbd>prefork</kbd>-MPM ausgetauscht wird.</p> <p>Begeben Sie sich an einen anderen Rechner und testen Sie mit einem Browser, ob Ihr frisch installierter Webserver antwortet:</p> <a name="apacheworks"></a> <p align="center"><img src="apache/apacheworks.png" alt="" width="884" height="500" /><br /> <em>Figure: Apache antwortet</em></p> <div class="pagebreak"> </div>  <h1><a name="ToC5">Konfiguration</a></h1> <p>Die Debian-Pakete legen bei der Installation eine gebrauchsfertige Grundkonfiguration an. Diese besteht aus mehreren Konfigurationsdateien, die sich in folgenden Verzeichnissen befinden:</p> <p align="center"><img src="apache/apache2etc.png" alt="" width="181" height="126" /><br /> <em>Figure: Apache2-Konfigurations-Verzeichnisse</em></p> <p>Die von anderen Distributionen bekannte, zentrale Konfigurationsdatei <kbd>/etc/httpd/conf/httpd.conf</kbd> heißt unter Debian <kbd>/etc/apache2/apache2.conf</kbd>. Sie enthält im Wesentlichen <kbd>Include</kbd>-Anweisungen auf die anderen Konfigurationsdateien sowie einige grundlegende Konfigurationsanweisungen, die Sie vermutlich niemals ändern müssen.</p> <p>Beschreibung der includeten Konfigurationsdateien:</p> <div align="center"> <table border="1" summary=""> <tr> <th bgcolor="#DDDDFF"><kbd>/etc/apache2/</kbd></th> <th bgcolor="#DDDDFF">Beschreibung</th> </tr> <tr> <td valign="top"><kbd>conf.d/*</kbd></td> <td>Hier können Sie (oder andere Debian-Pakete) Dateien anlegen, die weitere Konfigurationsanweisungen enthalten. Alle Dateien/Links in diesem Verzeichnis werden automatisch included.<br /> <table summary=""> <tr> <td bgcolor="#FFAAAA" class="border"><strong>Caution:</strong><br /> In der Debian-Konfiguration ignoriert Apache Dateien, deren Dateiname mit einem Punkt oder <kbd>#</kbd>-Zeichen beginnt. Daher können Sie Konfigurationsdateien durch entsprechendes Umbenennen "auskommentieren".</td> </tr> </table> </td> </tr> <tr> <td valign="top"><kbd>httpd.conf</kbd></td> <td>Eine leere Datei (zur Kompatibilität mit Apache 1.3).</td> </tr> <tr> <td valign="top"><kbd>mods-enabled/*.load<br /> mods-enabled/*.conf</kbd></td> <td>Symlinks auf gleichnamige Dateien im Verzeichnis <kbd>mods-available</kbd>. Alle Dateien/Links in diesem Verzeichnis werden automatisch included. Sie können die Symlinks für alle Module, die Apache laden soll, mit dem Programm <kbd>a2enmod</kbd> anlegen und mit <kbd>a2dismod</kbd> entfernen (Beispiel: siehe <a href= "#a2enmod">unten</a>).</td> </tr> <tr> <td valign="top"><kbd>ports.conf</kbd></td> <td>Anweisungen zur Konfiguration der IP-Adressen und TCP-Ports, auf denen Apache lauschen soll.</td> </tr> <tr> <td valign="top"><kbd>sites-enabled/*</kbd></td> <td>Symlinks auf gleichnamige Dateien im Verzeichnis <kbd>sites-available</kbd>. Alle Dateien/Links in diesem Verzeichnis werden automatisch included. Sie können die Symlinks für alle VirtualHosts, auf denen Apache antworten soll, mit dem Programm <kbd>a2ensite</kbd> anlegen und mit <kbd>a2dissite</kbd> entfernen (Beispiel: siehe <a href="#a2ensite">unten</a>).<br /> <table summary=""> <tr> <td bgcolor="#FFAAAA" class="border"><strong>Caution:</strong><br /> Auch hier werden Dateien, deren Dateiname mit einem Punkt oder #-Zeichen beginnt, ignoriert.</td> </tr> </table> </td> </tr> </table> <em>Tabelle: Includete Apache2-Konfigurationsdateien</em></div> <br /> Die folgenden Konfigurationsdateien werden <em>nicht</em> automatisch included: <div align="center"> <table border="1" summary=""> <tr> <th bgcolor="#DDDDFF"><kbd>/etc/apache2/</kbd></th> <th bgcolor="#DDDDFF">Beschreibung</th> </tr> <tr> <td valign="top"><kbd>mods-available/*.load<br /> mods-available/*.conf</kbd></td> <td valign="top">Dateien, die Lade- und Konfigurations-Anweisungen für Apache-Module enthalten.</td> </tr> <tr> <td valign="top"><kbd>sites-available/*</kbd></td> <td>Dateien, die Konfigurations-Anweisungen für VirtualHosts enthalten.</td> </tr> </table> <em>Tabelle: weitere Konfigurationsdateien</em></div> <br /> Das folgende Listing zeigt die VirtualHost-Konfigurationsdatei, die standardmäßig verwendet wird und die Sie auf jeden Fall anpassen sollten: <a name="default"></a> <div align="center"> <table summary=""> <tr> <td valign="top" align="right"> <pre style="background:#ffffff"> 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 </pre></td> <td align="left" valign="top" bgcolor="#DDDDFF" class="border"> <pre> NameVirtualHost * <VirtualHost *> ServerAdmin webmaster@localhost DocumentRoot /var/www/ <Directory /> Options FollowSymLinks AllowOverride None </Directory> <Directory /var/www/> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all # This directive allows us to have apache2's default start page # in /apache2-default/, but still have / go to the right place RedirectMatch ^/$ /apache2-default/ </Directory> ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ <Directory "/usr/lib/cgi-bin"> AllowOverride None Options ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny Allow from all </Directory> ErrorLog /var/log/apache2/error.log # Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. LogLevel warn CustomLog /var/log/apache2/access.log combined ServerSignature On Alias /doc/ "/usr/share/doc/" <Directory "/usr/share/doc/"> Options Indexes MultiViews FollowSymLinks AllowOverride None Order deny,allow Deny from all Allow from 127.0.0.0/255.0.0.0 ::1/128 </Directory> </VirtualHost> </pre></td> </tr> </table> <em>Listing: <kbd>/etc/apache2/sites-available/default</kbd></em></div> <br /> <br /> <table summary=""> <tr> <td bgcolor="#FFFFAA" class="border"><strong>More about:</strong><br /> Genaue Beschreibungen aller Konfigurationsanweisungen finden Sie auf <a target="_blank" href= "http://httpd.apache.org/docs-2.0/de/mod/quickreference.html">http://httpd.apache.org/docs-2.0/de/mod/quickreference.html</a>.</td> </tr> </table> <p>Bevor Sie Ihre Webseiten auf den Server kopieren, sollten Sie die <a href= "#apacheworks">Apache-Begrüßungsseite</a> wie folgt deaktivieren: Kommentieren Sie einfach die <kbd>RedirectMatch</kbd>-Anweisung in Zeile 17 der VirtualHost-Konfiguraitonsdatei mit einem <kbd>#</kbd>-Zeichen aus. Anschließend aktivieren Sie die geänderte Konfiguration, wie im nächsten Abschnitt beschrieben.</p> <div class="pagebreak"> </div>  <h1><a name="ToC6">Starten und stoppen</a></h1> Sie können den Apache-Webserver mit dem Skript <kbd>/etc/init.d/apache2</kbd> starten, stoppen und dazu bringen, die Konfigurationsdateien neu einzulesen. Unter Debian sollte man dieses Script aber über <kbd>invoke-rc.d</kbd> aufrufen.<br /> <br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>invoke-rc.d apache2 start</strong> Starting web server: Apache2. $ <strong>invoke-rc.d apache2 stop</strong> Stopping apache 2.0 web server.... $ <strong>invoke-rc.d apache2 restart</strong> # entspr. -reload und stop+start Starting apache 2.0 web server.... $ <strong>invoke-rc.d apache2 reload</strong> Reloading apache 2.0 configuration.... </pre></td> </tr> </table> <em>Listing: Apache starten und stoppen</em></div> <br /> <p>Beim Aufruf mit den Parametern <kbd>restart</kbd> oder <kbd>force-reload</kbd> beendet das <kbd>apache2</kbd>-Skript alle Apache-Prozesse und startet sie anschließend neu.</p> <br /> <table summary=""> <tr> <td bgcolor="#FFAAAA" class="border"><strong>Caution:</strong><br /> Wenn die Konfigurationsdatei schwere Fehler enthält, bleibt der Apache beim <kbd>restart</kbd> oder <kbd>force-reload</kbd> beendet.</td> </tr> </table> <p>Beim Aufruf mit dem Parameter <kbd>reload</kbd> weist das <kbd>apache2</kbd>-Skript den (unter <kbd>root</kbd> laufenden) Haupt-Prozess des Apache-Webservers an, seine Konfigurationsdateien neu einzulesen und die Kindprozesse nach Abschluss ihrer aktuellen Client-Verbindungen neu zu starten.</p> <div class="pagebreak"> </div>  <h1><a name="ToC7">Webseiten einspielen</a></h1> In der Konfigurationsdatei (siehe <a href="#default">Listing</a>) erkennen Sie an den Anweisungen <kbd>DocumentRoot</kbd> (Zeile 5) und <kbd>ScriptAlias</kbd> (Zeile 20), dass Apache Ihre Webseiten in <kbd>/var/www/</kbd> und CGI-Scripts in <kbd>/usr/lib/cgi-bin/</kbd> sucht. Testen Sie dies, bevor Sie Ihre Webseiten einspielen, indem Sie hier eine einfache Startseite und ein CGI-Script anlegen und diese im Browser aufrufen.<br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>cd /var/www</strong> $ <strong>cat <<EOF >index.html <HTML><BODY> click <a href= "/cgi-bin/ps">here</a> for ps </BODY></HTML> EOF</strong> $ <strong>chmod 664 index.html</strong> $ <strong>cd /usr/lib/cgi-bin</strong> $ <strong>cat <<EOF >ps #!/bin/sh echo Content-Type: text/html echo echo '<html><body><pre>' ps -ef # <-- Beispiel fuer ein Unix-Kommmando echo '</pre></body></html>' EOF</strong> $ <strong>chmod 775 ps</strong> </pre></td> </tr> </table> <em>Listing: Eine Webseite und ein CGI-Script anlegen</em></div> <br /> <br /> <table summary=""> <tr> <td bgcolor="#FFAAAA" class="border"><strong>Caution:</strong><br /> Die Webseiten-Dateien, CGI-Scripts und Verzeichnisse müssen für den User <kbd>www-data</kbd> oder die Gruppe <kbd>www-data</kbd> oder für <em>alle</em> lesbar und ggf. auch ausführbar sein.</td> </tr> </table> <div class="pagebreak"> </div>  <h1><a name="ToC8">VirtualHosts</a></h1> Wenn Sie auf einem physischen Server mehrere Websites gleichzeitig betreiben möchten, muss Apache bei jedem http-Request feststellen, an welche Website der Request gerichtet ist. Je nach Konfiguration achtet Apache dabei entweder auf <ul> <li>die angesprochene IP-Adresse ("IP-based, virtual host") oder</li> <li>den im Request enthaltenen Hostnamen ("Name-based, virtual host").</li> </ul> <h2><a name="ToC9">"Name-based, virtual hosts"</a></h2> <p>Mit "Name based, virtual hosts" können Sie nach dem Einrichten entsprechender DNS-Einträge und Site-Konfigurationsdateien beliebig viele Websites auf derselben IP-Adresse betreiben. "Name based, virtual hosts" sind jedoch nicht für https geeignet und man sieht ihnen von außen (z.B. am PTR-Record) leicht an, dass mehrere Websites auf derselben Hardware laufen.</p> Um einen "Name-based, virtual host" einzurichten, gehen Sie bitte folgendermaßen vor: <ol> <li>Legen Sie im DNS einen A-Record an, der dem virtuellen Hostnamen eine IP-Adresse zuordnet.</li> <li>Erstellen Sie eine Konfigurationsdatei unter <kbd>/etc/apache2/sites-available</kbd>.<br /> Das folgende Beispiel zeigt die Konfigurationsdatei für die Websites <kbd>http://debian2.jfranken.de</kbd>, <kbd>http://debian2</kbd> und <kbd>http://debian2.jfranken</kbd>: <div align="center"> <table summary=""> <tr> <td valign="top" align="right"> <pre style="background:#ffffff"> 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 </pre></td> <td align="left" valign="top" bgcolor="#DDDDFF" class="border"> <pre> NameVirtualHost * <VirtualHost *> ServerName debian2 ServerAlias debian2.jfranken.de debian2.jfranken DocumentRoot /var/www2 ServerAdmin webmaster@jfranken.de # Logfiles: CustomLog /var/log/apache2/access2.log combined ErrorLog /var/log/apache2/error2.log LogLevel warn # Umleitungs-Beispiele: ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ Alias /Dokumentationen /usr/share/doc Redirect /doc http://debian2/Dokumentationen <Location /> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all </Location> </VirtualHost> </pre></td> </tr> </table> <em>Listing: /etc/apache2/sites-available/debian2</em></div> <br /> Das <kbd>*</kbd>-Zeichen bei den Anweisungen <kbd>NameVirtualHost</kbd> und <kbd><Virtualhost></kbd> bewirkt, dass Apache diese Website auf allen IP-Adressen anbietet, die mit Listen-Anweisungen (z.B. in <kbd>/etc/apache2/ports.conf</kbd>) benannt wurden. Wenn Ihnen das zu weit geht, können Sie statt des *-Zeichens in beiden Anweisungen eine oder mehrere IP-Adressen (ggf. mit TCP-Port) (z.B. <kbd>192.168.143.1:80 192.168.143.2:80</kbd>) angeben.<br /> <br /></li> <li>Aktivieren Sie die neue Konfiguration: <a name="a2ensite"></a><br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>a2ensite debian2</strong> Site debian2 installed; run /etc/init.d/apache2 reload to enable. $ <strong>tail -0f /var/log/apache2/error.log &</strong> [1] 2186 $ <strong>invoke-rc.d apache2 reload</strong> Reloading apache 2.0 configuration.... [Wed Jul 06 16:56:52 2005] [notice] Graceful restart requested, doing restart [Wed Jul 06 16:56:52 2005] [notice] Apache/2.0.54 (Debian GNU/Linux) PHP/4.3.10-15 configured -- resuming normal operations </pre></td> </tr> </table> <em>Listing: Aktivieren des neuen VirtualHosts</em></div> <br /></li> </ol> <h2><a name="ToC10">"IP-based, virtual hosts"</a></h2> Es gibt komplexere Konfigurationen (z.B. in Verbindung mit mehreren Netzschnitstellen oder https-VirtualHosts), die sich nicht mehr mit den bequem einzurichtenden "Name-based, virtual hosts", sondern nur noch mit "IP-based, virtual hosts" abbilden lassen. <p>Für jeden "IP-based, virtual host" benötigen Sie eine IP-Adresse, die sich von den IP-Adressen aller anderen VirtualHosts auf diesem Server unterscheidet. Die IP-Adresse kann auf einer separaten Schnittstelle (z.B. <kbd>eth1</kbd>) liegen oder als weitere ("virtuelle" oder "Alias"-) Adresse (z.B. <kbd>eth0:1</kbd>) auf einer bereits verwendeten Netzschnittstelle mitlaufen.</p> <p>Die Konfiguration eines "IP-based, virtual hosts" unterscheidet sich in einigen Punkten von der eines "Name based, virtual host":</p> Beim "IP-based, virtual hosts"... <ul> <li>... tragen Sie Im DNS zusätzlich zu dem A-Record des Hostnamens den PTR-Record der IP-Adresse ein.</li> <li>... entfällt die <kbd>NameVirtualHost-Anweisung</kbd> entfällt.</li> <li>... sollten Sie in der <kbd><VirtualHost></kbd>-Anweisung an Stelle des *-Zeichens die IP-Adressen (ggf. mit TCP-Port) der Website angeben.</li> </ul> <p>Ein Beispiel einer derartigen Konfigurationsdatei finden Sie im Listing <a href="#debian1">unten</a>.</p> <br /> <table summary=""> <tr> <td bgcolor="#FFFFAA" class="border"><strong>More about:</strong><br /> Weitere Informationen zur Konfiguration von VirtualHosts finden Sie auf <a target="_blank" href= "http://httpd.apache.org/docs-2.0/vhosts/">http://httpd.apache.org/docs-2.0/vhosts/</a>.</td> </tr> </table> <div class="pagebreak"> </div>  <h1><a name="ToC11">https</a></h1> <p>"https" bezeichnet die Protokoll-Kombination "http-over-SSL". Dabei baut der Browser einen SSL-Kanal zu einem TCP-Port (meist Port 443) des Webservers auf und überträgt darüber http.</p> Der SSL-Kanal sichert die <ul> <li>Vertraulichkeit (Daten sind vor Mitschneiden geschützt)</li> <li>Integrität (Daten können unterwegs nicht manipuliert werden)</li> <li>Authentizität (Schutz vor gefälschten Webservern)</li> </ul> der http-Kommunikation, die er überträgt. <p>Zusätzlich werden die Daten komprimiert, was Netzverkehr spart.</p> <br /> <table summary=""> <tr> <td bgcolor="#FFFFAA" class="border"><strong>More about:</strong><br /> <ul> <li><strong>SSL</strong> ("Secure Sockets Layer") wurde eine zeitlang <strong>TLS</strong> ("Transport Layer Security") genannt.</li> <li><a target="_blank" href= "http://www.bsi.de/fachthem/verwpki/dokumente/BSI-SSL-Studie_34.pdf">http://www.bsi.de/fachthem/verwpki/dokumente/BSI-SSL-Studie_34.pdf</a> (Einführung in SSL, Unterschiede zwischen SSL und TLS)</li> <li><a target="_blank" href="http://www.ietf.org/rfc/rfc2818.txt">http://www.ietf.org/rfc/rfc2818.txt</a> (HTTP over TLS)</li> <li><a target="_blank" href= "http://de.wikipedia.org/wiki/Transport_Layer_Security">http://de.wikipedia.org/wiki/Transport_Layer_Security</a> (Übersicht SSL)</li> </ul> </td> </tr> </table> <h2><a name="ToC12">Server-Zertifikate erstellen</a></h2> <p>Bevor Sie https auf Ihrem Webserver aktivieren können, benötigen Sie neben einer entsprechenden Apache-Konfiguration ein signiertes Server-Zertifikat (auch "SSL"- oder "X509"-Zertifikat genannt).</p> Das Server-Zertifikat erstellen und signieren Sie zunächst selbst:<br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>cd /etc/apache2/ssl</strong> $ <strong>openssl req -new -x509 -nodes -out debian1.jfranken.de.crt -keyout debian1.jfranken.de.key</strong> Generating a 1024 bit RSA private key .....++++++ .......++++++ writing new private key to 'debian1.jfranken.de.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [DE]: State or Province Name (full name) [Hessen]: Locality Name (eg, city) [Frankfurt]: Organization Name (eg, company) [Franken EDV-Konzepte]: Organizational Unit Name (eg, section) []:<strong>Web-Team</strong> Common Name (eg, YOUR name) []:<strong>debian1.jfranken.de</strong> Email Address []: </pre></td> </tr> </table> <em>Listing: Ein selbstsigniertes Serverzertifikat erstellen</em></div> <br /> <br /> <table summary=""> <tr> <td bgcolor="#FFAAAA" class="border"><strong>Caution:</strong><br /> Bei der Frage nach dem "Common Name" müssen Sie den Hostnamen Ihres Webservers <em>exakt</em> so angeben, wie er später in die Adresszeile des Webbrowsers eingegeben wird.</td> </tr> </table> <p>Wenn Sie mehrere Zertifikate erstellen müssen, lohnt es sich, Default-Werte für das Land, das Bundesland, den Ort und den Firmennamen in der Datei <kbd>/etc/ssl/openssl.cnf</kbd> einzutragen.</p> <h2><a name="ToC13">Server-Zertifikate beglaubigen lassen</a></h2> <p>Damit Browser beim Aufruf Ihrer Website keine Warnung anzeigen, sollten Sie Ihr Zertifikat von einer Zertifizierungsstelle (CA) beglaubigen (d.h. signieren) lassen, deren Zertifikat bereits im Browser hinterlegt ist. Hierzu müssen Sie eine Signierungsanfrage (CSR) an die entsprechende CA senden. Einige CA (z.B. cacert.org) stellen signierte Zertifikate kostenlos zur Verfügung, während andere (z.B. VeriSign) jährlich eine Gebühr für die Verlängerung ihrer Signatur verlangen.</p> <br /> <table summary=""> <tr> <td bgcolor="#FFAAAA" class="border"><strong>Caution:</strong><br /> Einige Browserhersteller (z.B. Microsoft) vertrauen nur "kommerziellen" CAs. Daher müssen Nutzer des Internet-Explorers das Root-Zertifikat und die CRL von <a target="_blank" href= "https://www.cacert.org/index.php?id=3">https://www.cacert.org/index.php?id=3</a> importieren, bevor sie die Serverzertifikate der "kostenlosen" cacert.org prüfen können.</td> </tr> </table> <br /> <p>Wenn Sie Ihr Zertifikat von einer Zertifizierungsstelle signieren lassen möchten, erstellen Sie mit <kbd>openssl</kbd> eine CSR zu dem Zertifikat:</p> <br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>cd /etc/apache2/ssl</strong> $ <strong>openssl x509 -x509toreq -signkey debian1.jfranken.key -in debian1.jfranken.crt</strong> Getting request Private Key Generating certificate request [...] -----BEGIN CERTIFICATE REQUEST----- MIIBXTCBxwIBADAeMRwwGgYDVQQDExNkZWJpYW4xLmpmcmFua2VuLmRlMIGfMA0G CSqGSIb3DQEBAQUAA4GNADCBiQKBgQCvLg7abZr3ZkTMIFFrCF+g7j7InDNb9bdQ wZrgoHUwujpH53DUku+aR0HTNoaOouOkja/uQu5OF/fBNYRjR7a7bzq41yhG0h2x WqqdgJ2HLDgdotdGWPC5tZt4rc+OvEC01gCnzdkgMjEQ6FcBVR1JdTSmQhXQA95O QWx519UlyQIDAQABoAAwDQYJKoZIhvcNAQEEBQADgYEAmXgXQUeZJAjBZl8NBVvp YCUjx5/shrpMmUVcffKQu0dazS7SIbn6S9VN6Mh2DcOdbnOByIiNHNz+oUqZN33R HT/9x6Uw3KJUOMwVYYh5kPexz7NP1bnmD21awVVpXMysIh4L51FZg5pQztvAVE5P NYHa2SQpT+V6mMoX1ubmoBE= -----END CERTIFICATE REQUEST----- </pre></td> </tr> </table> <em>Listing: Eine Signierungsanfrage (CSR) erstellen</em></div> <br /> <p>Die CSR (den Abschnitt ab <kbd>-----BEGIN</kbd>) kopieren Sie in die Zwischenablage und senden sie per E-Mail oder Webformular an die CA:</p> <p align="center"><img src="apache/cacert1.png" alt="" width="1400" height="931" /><br /> <em>Figure: Eingabeformular einer Certification Authority (CA)</em></p> <p>Im Gegenzug sendet Ihnen die CA Ihr signiertes Zertifikat zurück (siehe <a href="#abb69">Abbildung</a>), mit dem Sie das selbstsignierte Zertifikat in <kbd>/etc/apache2/ssl/debian1.jfranken.de.crt</kbd> ersetzen:</p> <p align="center"><img src="apache/cacert2.png" alt="" width="777" height="734" /><br /> <em>Figure: Das von der CA signierte Zertifikat</em></p> <h2><a name="ToC14">VirtualHost-Konfiguration</a></h2> <p>Legen Sie im Verzeichnis <kbd>/etc/apache2/sites-available</kbd> eine Konfigurationsdatei für den VirtualHost an, den Sie per https erreichen möchten:</p> <a name="debian1"></a> <div align="center"> <table summary=""> <tr> <td valign="top" align="right"> <pre style="background:#ffffff"> 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 </pre></td> <td align="left" valign="top" bgcolor="#DDDDFF" class="border"> <pre> Listen 192.168.134.2:443 <VirtualHost 192.168.134.2:443> ServerName debian1.jfranken.de DocumentRoot /var/www2 ServerAdmin webmaster@jfranken.de # SSL SSLEngine On SSLCipherSuite HIGH:MEDIUM SSLCertificateFile /etc/apache2/ssl/debian1.jfranken.de.crt SSLCertificateKeyFile /etc/apache2/ssl/debian1.jfranken.de.key # Logfiles: CustomLog /var/log/apache2/access-debian1.jfranken.de combined ErrorLog /var/log/apache2/error-debian1.jfranken.de LogLevel warn <Location /> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all </Location> </VirtualHost> </pre></td> </tr> </table> <em>Listing: /etc/apache2/sites-available/debian1</em></div> <p>Aktivieren Sie die neue Konfiguration:</p> <a name="a2enmod"></a><br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>a2ensite debian1</strong> Site debian1 installed; run /etc/init.d/apache2 reload to enable. $ <strong>a2enmod ssl</strong> Module ssl installed; run /etc/init.d/apache2 force-reload to enable. $ <strong>tail -0f /var/log/apache2/error* &</strong> [1] 3402 $ <strong>invoke-rc.d apache2 force-reload</strong> Forcing reload of apache 2.0 web server: Apache2 ==> /var/log/apache2/error.log <== [Wed Jul 06 22:15:22 2005] [notice] caught SIGTERM, shutting down [Wed Jul 06 22:15:23 2005] [notice] Apache/2.0.54 (Debian GNU/Linux) PHP/4.3.10-15 mod_ssl/2.0.54 OpenSSL/0.9.7e configured -- resuming normal operations $ <strong>kill %%</strong> [1]+ Beendet tail -0f /var/log/apache2/error.log /var/log/apache2/error-debian1.jfranken.de </pre></td> </tr> </table> <em>Listing: Apache für https konfigurieren</em></div> <br /> <div class="pagebreak"> </div>  <h1><a name="ToC15">Zugriffsschutz</a></h1> Sie können Ihre Website vor unberechtigtem Zugriff schützen, indem Sie Apache so konfigurieren, dass er unautorisierte Zugriffe auf bestimmte Dateien oder Verzeichnisse ablehnt. Die Autorisierung bezieht sich auf eine Authentisierung (Identifikation) des Clients, die der Webserver mittels eines Authentifizierungs-Mechanismus (z.B. Passwortvergleich) authentifizieren (überprüfen) kann. Man unterscheidet zwischen <ul> <li>starker Authentisierung, die sich auf fest verdrahtete Eigenschaften des Clients bezieht (z.B. IP-Adresse oder Hardware-Dongles), und</li> <li>schwacher Authentisierung, auf die der Anwender Einfluss nehmen kann (z.B. durch Eingeben von Passwörtern oder Installieren von Client-Zertifikaten).</li> </ul> <h2><a name="ToC16">Authentisierung per IP-Adresse</a></h2> Wenn Sie Webseiten vor Zugriffen unberechtigter Clients schützen möchten, ersetzen Sie in der Konfigurationsdatei des entspr. VirtualHosts bei der Anweisung <kbd>Allow from all</kbd> das <kbd>all</kbd> durch eine Liste berechtigter IP-Adressen, -Netze oder Domains. Apache lehnt dann alle unberechtigten Clients mit der Meldung <kbd>403 Forbidden</kbd> ab. <p align="center"><img src="apache/403.png" alt="" width="599" height="307" /><br /> <em>Figure: 403 Forbidden</em></p> <strong>Beispiel:</strong> Ersetzen Sie die Zeilen 10-18 der Datei <kbd>/etc/apache2/sites-available/default</kbd> (siehe <a href="#default">oben</a>) mit den folgenden:<br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> <Directory /var/www/> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny # Einzelne IP-Adressen freischalten Allow from 192.168.134.2 192.168.134.3 # Ganze IP-Netze freischalten Allow from 192.168.1 192.168.2 Allow from 10.1.0.0/16 Allow from 10.2.0.0/255.255.0.0 # Freischalten fast aller Rechner einer DNS-Domain: Allow from apache.org Deny from foo.apache.org </Directory> </pre></td> </tr> </table> <em>Listing: Anweisungen zur starken Authentifizierung</em></div> <br /> <br /> <table summary=""> <tr> <td bgcolor="#FFFFAA" class="border"><strong>More about:</strong><br /> Die Dokumentation der <kbd>Order</kbd>-, <kbd>Allow</kbd>- und <kbd>Deny</kbd>-Anweisungen finden Sie auf <a target= "_blank" href= "http://httpd.apache.org/docs/2.0/mod/mod_access.html">http://httpd.apache.org/docs/2.0/mod/mod_access.html</a>.</td> </tr> </table> <h2><a name="ToC17">Authentisierung per Passwort</a></h2> Wenn Sie Webseiten nur Anwendern zugänglich machen möchten, die eine vorher festgelegte Kombination aus Username und Passwort kennen, ergänzen Sie in der Konfigurationsdatei des entspr. VirtualHosts (z.B. <kbd>/etc/apache2/sites-available/default</kbd>, siehe <a href="#default">Listing</a>) die bestehenden <kbd>Allow from</kbd>-Anweisungen mit den folgenden:<br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> AuthType Basic AuthName "Geschuetzter Bereich" AuthUserFile /etc/apache2/htpasswd Require valid-user </pre></td> </tr> </table> <em>Listing: Anweisungen zur Passwortabfrage (Autorisierung aller bekannten User)</em></div> <br /> <p>Dies bewirkt, dass der Webserver auf alle Anfragen (außer denen, die eine in <kbd>/etc/apache2/htpasswd</kbd> vorkommende Username/Passwort-Kombination enthalten) mit einer 401-Seite antwortet.</p> <p align="center"><img src="apache/401.png" alt="" width="630" height="384" /><br /> <em>Figure: 401 Authorization Required</em></p> <p>Den ersten Eintrag der Passwortdatei legen Sie mit dem Kommando <kbd>htpasswd -c /etc/apache2/htpasswd <em>Username</em></kbd> an.<br /> Bei weiteren Einträgen lassen Sie das <kbd>-c</kbd> weg (sonst verlieren Sie alle bisherigen Einträge).<br /> Mit <kbd>htpasswd -D /etc/apache2/htpasswd <em>Username</em></kbd> löschen Sie einen Eintrag aus der Passwortdatei.</p> Sie können statt <em>aller</em> User (<kbd>Require valid-user</kbd>) einzelne User explizit autorisieren:<br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> Require user1 user2 user3 </pre></td> </tr> </table> <em>Listing: Explizite Autorisierung mehrerer User</em></div> <br /> <br /> oder die Benutzer in Gruppen zusammenfassen die Gruppen autorisieren:<br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> # Anweisungen in der Apache-Konfigurationsdatei: AuthGroupFile /etc/apache2/htgroups Require group Vertrieb # Einträge in /etc/apache2/htgroups: Vertrieb: User1 User2 IT: User2 User3 User4 </pre></td> </tr> </table> <em>Listing: Autorisierung von Benutzergruppen</em></div> <br /> <br /> <table summary=""> <tr> <td bgcolor="#FFFFAA" class="border"><strong>More about:</strong><br /> Die Dokumentation der vorgestellten Konfigurationsanweisungen finden Sie auf:<br /> <a target="_blank" href= "http://httpd.apache.org/docs/2.0/mod/core.html#authtype">http://httpd.apache.org/docs/2.0/mod/core.html#authtype</a><br /> <a target="_blank" href= "http://httpd.apache.org/docs/2.0/mod/core.html#authname">http://httpd.apache.org/docs/2.0/mod/core.html#authname</a><br /> <a target="_blank" href= "http://httpd.apache.org/docs/2.0/mod/mod_auth.html">http://httpd.apache.org/docs/2.0/mod/mod_auth.html</a><br /> <a target="_blank" href= "http://httpd.apache.org/docs/2.0/mod/core.html#require">http://httpd.apache.org/docs/2.0/mod/core.html#require</a></td> </tr> </table> <h2><a name="ToC18">Authentisierung per Client-Zertifikat</a></h2> Apache bietet die Möglichkeit, Zugriffe nur den Clients zu gewähren, die über ein berechtigtes Client-Zertifikat (auch "SSL-", "X509-" oder "User-"Zertifikat genannt) verfügen. Dazu muss ein entsprechendes Client-Zertifikat vorher <ol> <li>hergestellt,</li> <li>mit dem Schlüssel einer CA, deren Zertifikat auf dem Webserver hinterlegt ist, signiert,</li> <li>auf dem Webserver autorisiert und</li> <li>in den Browser importiert</li> </ol> worden sein. <p>Es gibt verschiedene Tools, die diese Aufgaben automatisieren. Der folgende Abschnitt beschreibt das <em>manuelle</em> Ausführen der erforderlichen Schritte.</p> <h3><a name="ToC19">Eine Root-CA einrichten</a></h3> <p>Zum Signieren von Zertifikaten benötigen Sie die Dienste einer CA. Im einfachsten Fall ist dies eine lokale Root-CA, die Sie mit folgenden Befehlen auf dem Webserver anlegen:</p> <br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>cd /etc/ssl</strong> $ <strong>echo 1001 > serial</strong> $ <strong>touch index.txt</strong> $ <strong>mkdir newcerts csr</strong> $ <strong>vi openssl.cnf</strong> # openssl.cnf wie folgt bearbeiten: # dir auf /etc/ssl setzen # countryName_default = DE # stateOrProvinceName_default = Hessen # 0.organizationName_default = Franken EDV-Konzepte # localityName_default = Frankfurt $ <strong>openssl req -new -x509 -keyout private/cakey.pem -out cacert.pem</strong> Generating a 1024 bit RSA private key ..........++++++ ........................++++++ writing new private key to 'privkey.pem' Enter PEM pass phrase: Verifying - Enter PEM pass phrase: ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [DE]: State or Province Name (full name) [Hessen]: Locality Name (eg, city) [Frankfurt]: Organization Name (eg, company) [Franken EDV-Konzepte]: Organizational Unit Name (eg, section) []:<strong>CA</strong> Common Name (eg, YOUR name) []:<strong>Franken CA</strong> Email Address []:<strong>ca@jfranken.de</strong> </pre></td> </tr> </table> <em>Listing: Anlegen einer Root-CA</em></div> <br /> <p>Dabei entsteht das Root-Zertifikat Ihrer CA (<kbd>cacert.pem</kbd>) sowie ein per Passphrase geschützer Schlüssel (<kbd>cakey.pem</kbd>).</p> <br /> <table summary=""> <tr> <td bgcolor="#FFAAAA" class="border"><strong>Caution:</strong><br /> Bewahren Sie die Passphrase an einem sicheren Ort auf. Sie benötigen die Passphrase später zum Signieren und Zurückziehen von Client-Zertifikaten.</td> </tr> </table> <p>Legen Sie eine "Certificate-Revocation-List" (<kbd>cacert.crl</kbd>) an, in der Sie später die Zertifikate vermerken können, die Apache als "ungültig" betrachten soll. Auf diese Weise können Sie ausgestellte Zertifkate vor dem Ablauf ihrer Gültigkeit annulieren.</p> <br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>openssl ca -gencrl -out cacert.crl</strong> </pre></td> </tr> </table> <em>Listing: Anlegen der CRL</em></div> <br /> <p>Sie können das Zertifikat und die CRL im Web veröffentlichen, damit Clients sie importieren können:</p> <br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>cp /etc/ssl/cacert.pem /var/www/FrankenCA-Root-Zertifikat.crt</strong> $ <strong>ln -sf /etc/ssl/cacert.crl /var/www/FrankenCA-Revocationlist.crl</strong> </pre></td> </tr> </table> <em>Listing: Veröffentlichen der Root-CA/CRL</em></div> <br /> <br /> <table summary=""> <tr> <td bgcolor="#FFAAAA" class="border"><strong>Caution:</strong><br /> Veröffentlichen Sie niemals den Schlüssel (<kbd>cakey.pem</kbd>).</td> </tr> </table> <h3><a name="ToC20">Client-Zertifikate erstellen</a></h3> Bevor Sie ein Client-Zertifikat herstellen können, müssen Sie zuerst die Informationen über den zukünftigen Nutzer in Form einer Zertifikatsanforderung (CSR-Datei) notieren:<br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>cd /etc/ssl</strong> $ <strong>openssl req -new -nodes -out csr/jfranken.csr -keyout private/jfranken.key</strong> Generating a 1024 bit RSA private key ...............++++++ ....++++++ writing new private key to 'private/jfranken.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [DE]: State or Province Name (full name) [Hessen]: Locality Name (eg, city) [Frankfurt]: Organization Name (eg, company) [Franken EDV-Konzepte]: Organizational Unit Name (eg, section) []:<strong>IT-Abteilung</strong> Common Name (eg, YOUR name) []:<strong>Johannes Franken</strong> Email Address []:<strong>jfranken@jfranken.de</strong> Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: </pre></td> </tr> </table> <em>Listing: Erstellen einer Client-Zertifikatsanforderung (CSR-Datei)</em></div> <br /> <p>Erstellen Sie das Client-Zertifikat (PEM-Datei), indem Sie die Zertifikatsanforderung mit dem Schlüssel Ihrer CA signieren. Hierzu benötigen Sie die Passphrase des Schlüssels.</p> <br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>openssl ca -in csr/jfranken.csr</strong> Using configuration from /usr/lib/ssl/openssl.cnf Enter pass phrase for /etc/ssl/private/cakey.pem: Check that the request matches the signature Signature ok Certificate Details: Serial Number: 4097 (0x<font color="red">1001</font>) Validity Not Before: Jul 24 22:01:36 2005 GMT Not After : Jul 24 22:01:36 2006 GMT Subject: countryName = DE stateOrProvinceName = Hessen organizationName = Franken EDV-Konzepte organizationalUnitName = IT-Abteilung commonName = Johannes Franken emailAddress = jfranken@jfranken.de X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 53:23:97:FC:B5:E4:8D:7A:3E:B2:05:4C:C5:33:74:27:F4:F5:48:2D X509v3 Authority Key Identifier: keyid:E2:93:41:5C:89:C9:3C:81:42:6D:3C:76:CF:49:1F:8A:91:5F:4E:FC DirName:/C=DE/ST=Hessen/L=Frankfurt/O=Franken EDV-Konzepte/OU=CA /CN=Franken CA/emailAddress=jfranken@jfranken.de serial:B0:1F:97:8F:4A:C3:84:07 Certificate is to be certified until Jul 24 22:01:36 2006 GMT (365 days) Sign the certificate? [y/n]:<strong>y</strong> 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries [...] Data Base Updated </pre></td> </tr> </table> <em>Listing: Erstellen eines Client-Zertifikats (PEM-Datei)</em></div> <br /> <p>Das Zertifikat liegt nun in <kbd>/etc/apache2/ssl/newcerts/<font color="red">1001</font>.pem</kbd>. Der Dateiname ergibt sich aus der hexadezimalen Seriennummer des Zertifikats. Wandeln Sie die PEM-Datei in das PFX-Format (auch PKCS12- oder P12-Format genannt) um, das für Browser bekömmlicher ist:</p> <br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>openssl pkcs12 -export \ -in newcerts/1001.pem \ -inkey private/jfranken.key \ -certfile cacert.pem \ -name "Johannes Franken => FrankenEDV" \ -out newcerts/1001.p12</strong> Enter Export Password: Verifying - Enter Export Password: </pre></td> </tr> </table> <em>Listing: Umwandeln PEM- zu PFX-Datei</em></div> <br /> <p>Die PFX-Datei wurde mit einem Passwort verschlüsselt und liegt in <kbd>/etc/apache2/ssl/newcerts/1001.p12</kbd>. Geben Sie die Datei und das Passwort an den berechtigen User weiter.</p> <h3><a name="ToC21">Client-Zertifikate autorisieren</a></h3> <p>Aktivieren Sie zunächst SSL (wie <a href="#debian1">oben</a> beschrieben) und die Abfrage von Client-Zertifikaten (mit folgenden Zeilen) in der Konfigurationsdatei des VirtualHosts:</p> <a name="dnbeispiel"></a><br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> # Client-Zertifikatsabfrage aktivieren: SSLCACertificateFile /etc/ssl/cacert.pem SSLCARevocationFile /etc/ssl/cacert.crl SSLVerifyClient require SSLUserName SSL_CLIENT_S_DN_CN </pre></td> </tr> </table> <em>Listing: Client-Zertifikatsabfrage aktivieren</em></div> <br /> In der Konfigurationsdatei des VirtualHosts können Sie z.B. mit <kbd><Directory></kbd>-Blocks für jedes Verzeichnis festlegen, welche Zertifikate zum Zugriff erforderlich sind. Dabei können Sie die Zertifikate entweder <ol> <li>über ihre <em>Eigenschaften</em> (z.B. "OU='IT-Abteilung'") oder</li> <li><em>direkt</em>, d.h. über den gesamten DN (siehe Beispiel <a href="#dnbeispiel">unten</a>)</li> </ol> referenzieren. <h4><a name="ToC22">Zertifikate über ihre Eigenschaften referenzieren</a></h4> Fügen Sie der Konfigurationsdatei des VirtualHosts folgende Zeilen hinzu:<br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> <Location /> SSLOptions +ExportCertData SSLRequire (%{SSL_CLIENT_S_DN_OU} in {"IT-Abteilung", "Vorstand"}) # [...] </Location> </pre></td> </tr> </table> <em>Listing: SSLRequire-Beispiel</em></div> <br /> <br /> <table summary=""> <tr> <td bgcolor="#FFFFAA" class="border"><strong>More about:</strong><br /> Die Dokumentation und weitere Beispiele zur <kbd>SSLRequire</kbd>-Anweisung finden Sie auf <a target="_blank" href= "http://httpd.apache.org/docs/2.0/en/mod/mod_ssl.html#sslrequire">http://httpd.apache.org/docs/2.0/en/mod/mod_ssl.html#sslrequire</a>.</td> </tr> </table> <h4><a name="ToC23">Zertifikate über eine <kbd>htpasswd</kbd>-Datei direkt referenzieren</a></h4> Fügen Sie der Konfigurationsdatei des VirtualHosts folgende Zeilen hinzu:<br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> <Location /> SSLOptions +FakeBasicAuth AuthName "Snake Oil Authentication" AuthType Basic AuthUserFile /etc/apache2/htpasswd.debian1 require valid-user # [...] </Location> </pre></td> </tr> </table> <em>Listing: FakeBasicAuth-Beispiel</em></div> <br /> <p>Schreiben Sie die DNs aller erlaubten Zertifikate in die Datei <kbd>/etc/apache2/htpasswd.debian1</kbd> und hängen Sie jeweils <kbd>:xxj31ZMTZzkVA</kbd> an.</p> <br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> /C=DE/ST=Hessen/O=Franken EDV-Konzepte/OU=IT-Abteilung/CN=Johannes \ Franken/emailAddress=jfranken@jfranken.de:xxj31ZMTZzkVA </pre></td> </tr> </table> <em>Listing: <kbd>/etc/apache2/htpasswd.debian</kbd></em></div> <br /> <p>Der Passwordhash <kbd>xxj31ZMTZzkVA</kbd> ist eine Verschlüsselung des Wortes <kbd>password</kbd> (probieren Sie mal <kbd>openssl passwd -crypt -salt xx password</kbd>) und im <kbd>FakeBasicAuth</kbd>-Modus das Erkennungszeichen dafür, dass dieser Eintrag ein Client-Zertifikat referenziert.</p> <h2><a name="ToC24">Kombinationen</a></h2> <h3><a name="ToC25">IP-Adresse und Passwort/Zertifikat erforderlich</a></h3> Wenn Sie Ihre Website besonders gut schützen möchten, können Sie den Zugriff nur den Clients erteilen, die <dl> <dt><em>sowohl</em></dt> <dd>über ein passendes Passwort oder Client-Zertifikat verfügen (schwache Authentisierung)</dd> <dt><em>als auch</em></dt> <dd>von einer freigeschalteten IP-Adresse aus anrufen (starke Authentisierung).</dd> </dl> Hierzu erweitern Sie die <kbd><Directory></kbd>- oder <kbd><Location></kbd>-Blocks der Konfigurationsdatei Ihres VirtualHosts (z.B. <kbd>/etc/apache2/sites-available/default</kbd>, siehe <a href="#default">Listing</a>) wie folgt:<br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> <Location /> # z.B. alles unterhalb "/" schützen # [...] Satisfy All # Sowohl starke als auch schwache Auth. erforderlich # Starke Authentisierung: Order Allow, Deny # das bedeutet: "Deny" ist Default-Policy. Allow from 192.168.134.2 192.168.134.3 Allow from 10.1.0.0/16 # Schwache Authentisierung: AuthType Basic AuthName "Geschuetzter Bereich" AuthUserFile /etc/apache2/htpasswd Require valid-user # [...] </Location> </pre></td> </tr> </table> <em>Listing: IP-Adresse und Passwort erforderlich</em></div> <br /> <h3><a name="ToC26">Passwort/Zertifikat nur "von draussen" erforderlich</a></h3> Wenn Sie Ihre Website nur bei Zugriffen von "draussen" mit einem Passwort/Zertifikat schützen möchten, erweitern Sie die <kbd><Directory></kbd>- oder <kbd><Location></kbd>-Blocks der Konfigurationsdatei Ihres VirtualHosts (z.B. <kbd>/etc/apache2/sites-available/default</kbd>, siehe <a href="#default">Listing</a>) wie folgt:<br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> <Location /> # z.B. alles unterhalb "/" schützen # [...] Satisfy Any # Entweder starke oder schwache Auth. erforderlich # Starke Authentisierung: Order Allow, Deny # das bedeutet: "Deny" ist Default-Policy. Allow from 192.168.134.2 192.168.134.3 Allow from 10.1.0.0/16 # Schwache Authentisierung: AuthType Basic AuthName "Geschuetzter Bereich" AuthUserFile /etc/apache2/htpasswd Require valid-user # [...] </Location> </pre></td> </tr> </table> <em>Listing: IP-Adresse oder Passwort erforderlich</em></div> <br /> <br /> <table summary=""> <tr> <td bgcolor="#FFFFAA" class="border"><strong>More about:</strong><br /> Die Dokumentation der <kbd>satisfy</kbd>-Anweisung finden Sie auf:<br /> <a target="_blank" href= "http://httpd.apache.org/docs/2.0/mod/core.html#satisfy">http://httpd.apache.org/docs/2.0/mod/core.html#satisfy</a></td> </tr> </table> <div class="pagebreak"> </div>  <h1><a name="ToC27">Apache-Module</a></h1> Sie können die Funktionalität des Apache Webservers durch das Laden sog. "Module" erweitern. Wenn Sie <kbd>apache2 -l</kbd> aufrufen, erhalten Sie eine Liste der <em>statischen</em> (d.h. bereits in den Apache einkompilierten) Module:<br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>apache2 -l</strong> Compiled in modules: core.c mod_access.c mod_auth.c mod_log_config.c mod_logio.c mod_env.c mod_setenvif.c prefork.c http_core.c mod_mime.c mod_status.c mod_autoindex.c mod_negotiation.c mod_dir.c mod_alias.c mod_so.c </pre></td> </tr> </table> <em>Listing: Statische Module</em></div> <br /> <p>Einige <em>dynamische</em> Module (DSOs) sind in Form von <kbd>mod_*.so</kbd>-Dateien im Debian-Paket <kbd>apache2-common</kbd> enthalten und somit bereits auf Ihrer Festplatte installiert. Sie können diese Module mit den Programmen <kbd>a2enmod</kbd> und <kbd>a2dismod</kbd> auflisten, auswählen und abschalten:</p> <br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>a2enmod</strong> Which module would you like to enable? Your choices are: actions asis auth_anon auth_dbm auth_digest auth_ldap cache cern_meta cgid cgi dav_fs dav deflate disk_cache expires ext_filter file_cache headers imap include info ldap mem_cache mime_magic php4 proxy_connect proxy_ftp proxy_http proxy rewrite speling ssl suexec unique_id userdir usertrack vhost_alias Module name? </pre></td> </tr> </table> <em>Listing: a2enmod</em></div> <br /> <br /> <table summary=""> <tr> <td bgcolor="#FFFFAA" class="border"><strong>More about:</strong><br /> <kbd>a2enmod</kbd> und <kbd>a2dismod</kbd> ersetzen das von Debian/Apache-1.3 bekannte <kbd>apache-modconf</kbd>-Kommando.</td> </tr> </table> <br /> <p>Eine Liste zusätzlicher Apache-Module, die als Debian-Pakete auf den Debian-FTP-Servern bereitstehen, können Sie mit <kbd>aptitude</kbd> ausgeben:</p> <br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>aptitude update</strong> [...] $ <strong>aptitude search apache2-mod-</strong> p libapache2-mod-auth-kerb - Apache2 module for Kerberos p libapache2-mod-auth-mysql - Apache 2 module for MySQL [...] </pre></td> </tr> </table> <em>Listing: Liste verfügbarer Apache-Module</em></div> <br /> <p>Die folgenden Abschnitte befassen sich mit der Konfiguration einiger häufig eingesetzter Module.</p> <div class="pagebreak"> </div>  <h2><a name="ToC28">deflate</a></h2> <p>Das Modul <kbd>mod_deflate</kbd> ermöglicht dem Apache-Webserver, Antworten vor der Übertragung zu komprimieren. Bei langsamen Internet-Verbindungen kann dies die Darstellung von Webseiten beschleunigen.</p> <p>Sie können die Kompression global aktivieren oder auf einzelne VirtualHosts, Verzeichnisse, Dateitypen, Browser usw. einschränken.</p> Legen die Datei <kbd>/etc/apache2/mods-available/deflate.conf</kbd> mit folgendem Inhalt an, um die Kompression global zu aktivieren (mit Ausnahme von Bilddateien und bei veralteten Browsern, welche die Komprimierung nicht beherrschen): <div align="center"> <table summary=""> <tr> <td valign="top" align="right"> <pre style="background:#ffffff"> 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 </pre></td> <td align="left" valign="top" bgcolor="#DDDDFF" class="border"> <pre> # Das Filtermodul aktivieren. SetOutputFilter DEFLATE # Einige Browser verstehen kein gzip: BrowserMatch ^Mozilla/4 gzip-only-text/html BrowserMatch ^Mozilla/4\.0[678] no-gzip # Andere schon... BrowserMatch \bMSIE !no-gzip !gzip-only-text/html # Bilddateien nicht komprimieren SetEnvIfNoCase Request_URI \.(?:gif|jpe?g|png)$ no-gzip dont-vary # "Vary: Accept-Encoding"-Header einfuegen (wichtig bei Proxys) # (benötigt das headers-Modul) Header append Vary User-Agent env=!dont-vary </pre></td> </tr> </table> <em>Listing: /etc/apache2/mods-available/deflate.conf</em></div> <p>Aktivieren Sie die Module im Apache:</p> <br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>a2enmod headers</strong> Module headers installed; run /etc/init.d/apache2 force-reload to enable. $ <strong>a2enmod deflate</strong> Module deflate installed; run /etc/init.d/apache2 force-reload to enable. $ <strong>invoke-rc.d apache2 force-reload</strong> Forcing reload of apache 2.0 web server... </pre></td> </tr> </table> <em>Listing: Die deflate-Konfiguration aktivieren</em></div> <br /> <br /> <table summary=""> <tr> <td bgcolor="#FFFFAA" class="border"><strong>More about:</strong><br /> siehe <a target="_blank" href= "http://httpd.apache.org/docs-2.0/mod/mod_deflate.html">http://httpd.apache.org/docs-2.0/mod/mod_deflate.html</a></td> </tr> </table> <div class="pagebreak"> </div>  <h2><a name="ToC29">server-status</a></h2> Das <kbd>server-status</kbd>-Modul zeigt die aktuelle Auslastung des Webservers sowie die Werte einiger Zähler an: <p align="center"><img src="apache/server-status.png" alt="" width="890" height="830" /><br /> <em>Figure: /server-status?refresh=1</em></p> <p>Bevor Sie das <kbd>server-status</kbd>-Modul aufrufen können, müssen Sie es konfigurieren:</p> <br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>touch /etc/apache2/mods-available/status.load</strong> $ <strong>cat > /etc/apache2/mods-available/status.conf <<EOF <Location /server-status> SetHandler server-status # Wenn Sie die Seite vor fremden Augen schützen möchten: Order deny,allow Deny from all Allow from .IHRE.DOMAIN.COM </Location> EOF</strong> $ <strong>a2enmod status</strong> Module status installed; run /etc/init.d/apache2 force-reload to enable. $ <strong>invoke-rc.d apache2 force-reload</strong> Forcing reload of apache 2.0 web server... </pre></td> </tr> </table> <em>Listing: server-status konfigurieren</em></div> <br /> <p>Weil das <kbd>server-status</kbd>-Modul bereits in den Apache einkompiliert ist, benötigen Sie keine <kbd>LoadModule</kbd>-Anweisung. Die leere <kbd>status.load</kbd>-Datei ist für <kbd>a2enmod</kbd> erforderlich.</p> <br /> <table summary=""> <tr> <td bgcolor="#FFFFAA" class="border"><strong>More about:</strong><br /> siehe <a target="_blank" href= "http://httpd.apache.org/docs-2.0/mod/mod_status.html">http://httpd.apache.org/docs-2.0/mod/mod_status.html</a></td> </tr> </table> <div class="pagebreak"> </div>  <h2><a name="ToC30">server-info</a></h2> Mit dem <kbd>server-info</kbd>-Modul können Sie die Konfiguration des laufenden Apache und aller Module anzeigen. <p align="center"><img src="apache/server-info.png" alt="" width="929" height="898" /><br /> <em>Figure: /server-info</em></p> <p>Bevor Sie das <kbd>server-info</kbd>-Modul aufrufen können, müssen Sie es konfigurieren:</p> <br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>cat > /etc/apache2/mods-available/info.conf <<EOF <Location /server-info> SetHandler server-info # Wenn Sie die Seite vor fremden Augen schützen möchten: Order deny,allow Deny from all Allow from .IHRE.DOMAIN.COM </Location> EOF</strong> $ <strong>a2enmod info</strong> Module info installed; run /etc/init.d/apache2 force-reload to enable. $ <strong>invoke-rc.d apache2 force-reload</strong> Forcing reload of apache 2.0 web server... </pre></td> </tr> </table> <em>Listing: server-info konfigurieren</em></div> <br /> <p>Die Datei <kbd>mods-available/info.load</kbd> (aus dem <kbd>apache2-common</kbd>-Paket) wird beim <kbd>a2enmod</kbd> automatisch nach <kbd>mods-enabled</kbd> gelinkt.</p> <br /> <table summary=""> <tr> <td bgcolor="#FFFFAA" class="border"><strong>More about:</strong><br /> siehe <a target="_blank" href= "http://httpd.apache.org/docs-2.0/mod/mod_info.html">http://httpd.apache.org/docs-2.0/mod/mod_info.html</a></td> </tr> </table> <div class="pagebreak"> </div>  <h2><a name="ToC31">libphp4 (PHP-Interpretierer)</a></h2> <p>PHP ist eine Skriptsprache, die aufgrund ihrer vielen Funktionsbibliotheken sehr beliebt und weit verbreitet ist. Das Apache-Modul <kbd>mod_php4</kbd> interpretiert PHP-Code, der in Webseiten untergebracht ist.</p> <p>Installation des Apache-Moduls und Anlegen einer Testdatei:</p> <br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>aptitude install libapache2-mod-php4</strong> [...] Die folgenden Pakete werden zusätzlich automatisch installiert: libzzip-0-12 php4-common Die folgenden Pakete werden zusätzlich installiert: libapache2-mod-php4 libzzip-0-12 php4-common 0 Pakete aktualisiert, 3 zusätzlich installiert, 0 werden entfernt und 0 nicht aktualisiert. Muss 1813kB an Archiven herunterladen.Nach dem Entpacken werden 3521kB zusätzlich belegt sein. Wollen Sie fortsetzen? [Y/n/?] <strong>Y</strong> [...] Forcing reload of apache 2.0 web server... $ <strong>echo '<?php phpinfo() ?>' >> /var/www/test.php</strong> </pre></td> </tr> </table> <em>Listing: Installation von PHP4</em></div> <br /> <p>Leider ist PHP4 nicht kompatibel zum <kbd>worker</kbd>-MPM. Daher wird das Debian-Paketsystem Ihren Webserver bei der Installation des PHP-Moduls automatisch auf das (langsamere) <kbd>prefork</kbd>-MPM umrüsten, wenn auf bisher das <kbd>worker</kbd>-MPM installiert war.</p> <p>Rufen Sie die Testdatei im Browser auf. Die <kbd>phpinfo()</kbd>-Funktion gibt eine Liste der einkompilierten und verfügbaren PHP-Module aus:</p> <p align="center"><img src="apache/phpinfo.png" alt="" width="772" height="842" /><br /> <em>Figure: Aufruf der PHP-Testdatei</em></p> <p>Sie können den PHP-Interpreter und die PHP-Module in der Datei <kbd>/etc/php4/apache2/php.ini</kbd> konfigurieren.<br /></p> <table summary=""> <tr> <td bgcolor="#FFAAAA" class="border"><strong>Caution:</strong><br /> Änderungen an der <kbd>php.ini</kbd> werden erst nach einem Neustart des Webservers (z.B. mit <kbd>apache2ctl graceful</kbd>) aktiv.</td> </tr> </table> <h3>PHP-Module und PEAR</h3> <p>Eine Liste der als Debian-Pakete verfügbaren PHP-Module erhalten Sie mit <kbd>aptitude search ^php{4,}-</kbd> :</p> <br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>aptitude search ^php{4,}-</strong> p php-auth - PHP PEAR modules for creating an authentication system [...] p php4-xslt - XSLT module for php4 v php4-yaz - </pre></td> </tr> </table> <em>Listing: Verfügbare Debian-paketierte PHP-Module</em></div> <br /> <p>Besonders hervorzuheben ist das PEAR-Paket, das den Zugriff auf eine grosse Sammlung weiterer PHP-Module ermöglicht.</p> Installation des PEAR-Pakets:<br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>aptitude install php4-pear</strong> [...] Die folgenden Pakete werden zusätzlich automatisch installiert: php4-cli Die folgenden Pakete werden zusätzlich installiert: php4-cli php4-pear 0 Pakete aktualisiert, 2 zusätzlich installiert, 0 werden entfernt und 0 nicht aktualisiert. Muss 1859kB an Archiven herunterladen. Nach dem Entpacken werden 4944kB zusätzlich belegt sein. Wollen Sie fortsetzen? [Y/n/?] <strong>y</strong> [...] Richte php4-pear ein (4.3.10-15) ... $ <strong>apache2ctl graceful</strong> </pre></td> </tr> </table> <em>Listing: Installation von PEAR</em></div> <br /> <p>Die unter PEAR veröffentlichten PHP-Module können Sie mit dem <kbd>pear</kbd>-Kommando verwalten. Mit dem <kbd>pear</kbd>-Kommando können Sie z.B.</p> <ul> <li>eine Liste bereits installierter PEAR-Module ausgeben (<kbd>pear list</kbd>)</li> <li>Eine Liste von Modulen ausgeben, die Sie aus dem Internet laden können (<kbd>pear list-all</kbd>)</li> <li>Die Beschreibung eines Moduls aus dem Internet ausgeben (<kbd>pear remote-info Image_Barcode</kbd>)</li> <li>Ein Modul aus dem Internet installieren (<kbd>pear install <em>Modulname</em></kbd>)</li> <li>Alle PEAR-Module automatisch auf den aktuellen Stand bringen (<kbd>pear upgrade-all</kbd>)</li> </ul> Wenn Sie <kbd>pear</kbd> ohne Parameter aufrufen, erhalten Sie eine Liste aller Möglichkeiten. <div class="pagebreak"> </div>  <h2><a name="ToC32">mod_perl (Perl-Interpretierer)</a></h2> Mit dem Apache-"Perl"-Modul können die Ladezeit von CGI-Scripts, die in der Programmiersprache Perl geschrieben sind, wesentlich reduzieren. Das Modul bewirkt, dass der Perl-Interpretierer beim Start des Webservers in den Webserver integriert und nicht mehr bei jedem Aufruf eines CGI-Scripts erneut geladen wird. <p><br /> <strong>Installation:</strong><br /></p> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>aptitude install libapache2-mod-perl2</strong> [...] Die folgenden Pakete werden zusätzlich installiert: libapache2-mod-perl2 libcompress-zlib-perl libdevel-symdump-perl libfont-afm-perl libhtml-format-perl libhtml-parser-perl libhtml-tagset-perl libhtml-tree-perl libmailtools-perl libperl5.8 libtimedate-perl liburi-perl libwww-perl Die folgenden Pakete werden aktualisiert: perl perl-base perl-modules Die folgenden Pakete werden EMPFOHLEN, aber NICHT installiert: perl-doc 3 Pakete aktualisiert, 13 zusätzlich installiert, 0 werden entfernt und 0 nicht aktualisiert. Muss 8603kB an Archiven herunterladen. Nach dem Entpacken werden 8434kB zusätzlich belegt sein. Wollen Sie fortsetzen? [Y/n/?] <strong>y</strong> [...] Hole:7 http://ftp.freenet.de stable/main libapache2-mod-perl2 1.999.21-1 [642kB] [...] Richte libapache2-mod-perl2 ein (1.999.21-1) ... Module perl installed; run /etc/init.d/apache2 force-reload to enable. [...] </pre></td> </tr> </table> <em>Listing: Installation von <kbd>mod_perl</kbd></em></div> <br /> <br /> <table summary=""> <tr> <td bgcolor="#FFAAAA" class="border"><strong>Caution:</strong><br /> Wenn Sie Debian in der Version "Sarge" einsetzen, werden Sie feststellen, dass die Version 1.999 von <kbd>libapache2_mod_perl2</kbd> defekt ist ("<kbd>Can't locate Apache.pm in @INC</kbd>"). Ich empfehle Ihnen das Upgrade auf einen Backport der Version 2.0 aus Debian "Etch".</td> </tr> </table> <br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>wget http://packages.aquabolt.com/dists/sarge/main/binary-i386/libapache2-mod-perl2_2.0.1-4.0.aquabolt.2_i386.deb</strong> $ <strong>wget http://packages.aquabolt.com/dists/sarge/main/binary-i386/libcgi-pm-perl_3.15-0.aquabolt.1_i386.deb</strong> $ <strong>dpkg -r libapache2-mod-perl2</strong> $ <strong>dpkg -i libcgi-pm-perl_3.15-0.aquabolt.1_i386.deb</strong> $ <strong>dpkg -i libapache2-mod-perl2_2.0.1-4.0.aquabolt.2_i386.deb</strong> $ <strong>a2enmod perl</strong> </pre></td> </tr> </table> <em>Listing: Upgrade auf <kbd>mod_perl</kbd> 2.0 (nur bei Debian Sarge erforderlich)</em></div> <br /> <br /> <strong>Konfiguration:</strong><br /> Sie müssen Apache mitteilen, welche Dateien er an <kbd>mod_perl</kbd> übergeben soll. Das geht z.B. mit <kbd><Directory></kbd>-, <kbd><Location></kbd>- und <kbd><Files></kbd>-Anweisungen. <p>Die folgende Konfiguration bewirkt, dass Apache alle Dateien mit der Endung <kbd>.pl</kbd> an mod_perl übergibt.</p> <br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>cat <<EOF > /etc/apache2/mods-available/perl.conf PerlModule ModPerl::Registry <Files *.pl> AddHandler perl-script .pl PerlSendHeader On PerlResponseHandler ModPerl::Registry Options +ExecCGI </Files> EOF</strong> </pre></td> </tr> </table> <em>Listing: Konfiguration von <kbd>mod_perl</kbd></em></div> <br /> Aktivieren Sie die neue Konfiguration:<br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>tail -0f /var/log/apache2/error.log &</strong> [1] 2402 $ <strong>invoke-rc.d apache2 force-reload</strong> Forcing reload of apache 2.0 web server... [Sun Jan 22 19:40:33 2006] [notice] caught SIGTERM, shutting down. [Sun Jan 22 19:40:35 2006] [notice] Apache/2.0.55 (Debian) PHP/4.4.0-4 mod_ssl/2.0.55 OpenSSL/0.9.8a mod_perl/2.0.1 Perl/v5.8.7 configured -- resuming normal operations $ <strong>kill %%</strong> [1]+ Beendet tail -0f /var/log/apache2/error.log </pre></td> </tr> </table> <em>Listing: Restart des Webservers</em></div> <br /> Sie können folgendes Perl-Script zum Testen verwenden:<br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>cat <<EOF >/usr/lib/cgi-bin/test.pl #!/usr/local/bin/perl -w use strict; use CGI; sleep 10; my $q = CGI->new; print $q->header, $q->start_html, $q->h1('Hello World!'), 'This is perl', $q->end_html; EOF</strong> </pre></td> </tr> </table> <em>Listing: Anlegen eines Perl-CGI-Scripts</em></div> <br /> <p>Wenn Sie das Script im Browser aufrufen, erscheint nach zehn Sekunden die Meldung "Hello World!". Rufen Sie während der Wartezeit auf dem Webserver <kbd>ps -ef|grep perl</kbd> auf. Wenn die Liste <em>keinen</em> <kbd>test.pl</kbd>-Prozess enthält, ist <kbd>mod_perl</kbd> korrekt installiert.</p> <br /> <table summary=""> <tr> <td bgcolor="#FFFFAA" class="border"><strong>More about:</strong><br /> see <a target="_blank" href="http://perl.apache.org/">http://perl.apache.org/</a></td> </tr> </table> <div class="pagebreak"> </div>  <h2><a name="ToC33">mod_jk ("Tomcat-Modul")</a></h2> Die Installation von <kbd>mod_jk</kbd> wird <a href="#mod_jk">weiter unten</a> beschrieben. <div class="pagebreak"> </div>  <h1><a name="ToC34">Java Applicationserver</a></h1> <p>Immer mehr Anwendungen werden in der Programmiersprache "Java" erstellt. Dieser Abschnitt beschreibt die Installation der Komponenten, die zur Integration von <em>Java-Anwendungen</em> in den Apache-Webserver benötigt werden.</p> Die Java-Anwendung kommuniziert mit den Browsern über ein <kbd>servlet</kbd>-Objekt, das über einen Servlet-Container (hier: "Tomcat") im Netz bereitgestellt wird. <h2><a name="ToC35">Eine Java Virtual Machine installieren [Sun J2SE 5.0]</a></h2> <p>Java-Anwendungen werden nicht direkt vom Betriebssystem. sondern von einer Software ("Java Virtual Machine", JVM) ausgeführt, welche die speziellen Eigenschaften der zugrundeliegenden Hardware und des Betriebssystems abstrahiert. Es gibt verschiedene JVM-Implementierungen, von denen einige als Open-Source-Software erhältlich sind, während andere zu einem der drei Java-Standards kompatibel sind.</p> <p>Die Firma Sun Microsystems hat folgende Java-Standards definiert:</p> <ul> <li>"Java2 Standard Edition" (J2SE) für Workstations</li> <li>"Java2 Micro Edition" (J2ME) für PDAs und Mobiltelefone</li> <li>"Java2 Enterprise Edition" (J2EE) für Applicationserver</li> </ul> Das Debian-Projekt bietet aus lizenzrechtlichen Gründen auf seinen FTP- und Webservern nur OpenSource-JVM an (die bisher zu keinem der Java-Standards kompatibel sind). <div align="center"> <table border="1" summary=""> <tr> <th bgcolor="#DDDDFF">Server</th> <th bgcolor="#DDDDFF">Debian-Paket</th> <th bgcolor="#DDDDFF">Beschreibung</th> </tr> <tr> <td rowspan="3" valign="top"><kbd>ftp.debian.org</kbd><br /> (Sarge)</td> <td><kbd>gcj-4.0</kbd></td> <td>The GNU compiler for Java(TM)</td> </tr> <tr> <td><kbd>kaffe</kbd></td> <td>A JVM to run Java bytecode</td> </tr> <tr> <td><kbd>sablevm</kbd></td> <td>Free implementation of Java Virtual Machine (JVM) second edition</td> </tr> </table> <em>Tabelle: OpenSource-JVM, die als Debian-Paket erhältlich sind</em></div> <br /> Wenn Sie Wert auf eine Standard-konforme Umgebung legen, sollten Sie eine JVM von Sun oder IBM als Debian-Paket vom Server <kbd>ftp.debian-unofficial.org</kbd> installieren. <div align="center"> <table border="1" summary=""> <tr> <th bgcolor="#DDDDFF">Server</th> <th bgcolor="#DDDDFF">Debian-Paket</th> <th bgcolor="#DDDDFF">Beschreibung</th> </tr> <tr> <td rowspan="4" valign="top"><kbd>ftp.debian-<br /> unofficial.org</kbd></td> <td><kbd>ibm-j2se5.0-jdk-binary</kbd></td> <td>IBM Java 2 Standard Edition J2SE Development Kit (JDK)</td> </tr> <tr> <td><kbd>ibm-j2se5.0-jre-binary</kbd></td> <td>IBM Java 2 Standard Edition J2SE Runtime Environment (JRE)</td> </tr> <tr> <td><kbd>sun-j2se5.0-jdk-binary</kbd></td> <td>Sun Java 2 Platform Standard Edition 5.0 Development Kit (JDK)</td> </tr> <tr> <td><kbd>sun-j2se5.0-jre-binary</kbd></td> <td>Sun Java 2 Platform Standard Edition 5.0 Runtime Environment (JRE)</td> </tr> </table> <em>Tabelle: Kommerzielle JVM, die als Debian-Paket erhältlich sind</em></div> <br /> Sun und IBM bieten ihre JVM in zwei Varianten an: <ul> <li>als "Java Runtime Engine" (JRE, enthält nur den Interpretierer) und</li> <li>als "Java Development Kit" (JDK, enthält neben der JRE eine Entwicklungsumgebung mit Compilern und Dokumentation).</li> </ul> <strong>Installation des Sun JDK:</strong><br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>echo 'deb http://ftp.debian-unofficial.org/debian sarge main contrib non-free restricted ' >> /etc/apt/sources.list</strong> $ <strong>aptitude update</strong> [...] $ <strong>aptitude install sun-j2se5.0-jdk-binary</strong> [...] Die folgenden Pakete werden zusätzlich installiert: libasound2 libglib1.2 libgtk1.2 libgtk1.2-common libxi6 sun-j2se5.0-jdk-binary 0 Pakete aktualisiert, 6 zusätzlich installiert, 0 werden entfernt und 0 nicht aktualisiert. Muss 65,8MB an Archiven herunterladen. Nach dem Entpacken werden 148MB zusätzlich belegt sein. Wollen Sie fortsetzen? [Y/n/?] <strong>y</strong> [...] Richte sun-j2se5.0-jdk-binary ein (1.5.0.06+debian-1.unofficial.sarge.1) ... * configuring alternatives: done. $ <strong>java -version</strong> java version "1.5.0_06" Java(TM) 2 Runtime Environment, Standard Edition (build 1.5.0_06-b05) Java HotSpot(TM) Client VM (build 1.5.0_06-b05, mixed mode, sharing) </pre></td> </tr> </table> <em>Listing: Installation des Sun JDK</em></div> <br /> Auf dem <kbd>unofficial</kbd>-Server liegen die J2SE-Versionen 1.4, 5.0 und 6.0 (wahlweise inkl. der <kbd>jce</kbd> Kryptographie-Tools). Im Zweifel wählen Sie die Version 1.4. <h2><a name="ToC36">Einen Java-EE-kompatiblen Applicationserver installieren [Geronimo 1.0 und Tomcat 5.5]</a></h2> <p>Die "Java Platform Enterprise Edition" (Java EE) ist eine von SUN Microsystems herausgegebene Spezifikation eines Java-Applicationservers.</p> Die Java EE Version 5 ist der direkte Nachfolger der "Java 2 Platform Enterprise Edition" (J2EE) Version 1.4.<br /> <table summary=""> <tr> <td bgcolor="#FFFFAA" class="border"><strong>More about:</strong><br /> see <a target="_blank" href="http://www.wikipedia.de/wiki/J2EE">http://www.wikipedia.de/wiki/J2EE</a></td> </tr> </table> <br /> Es gibt verschiedene Implementierungen J2EE-kompatibler Applicationserver, z.B. <ul> <li><strong>OpenSource:</strong> Apache Geronimo, JBoss, JOnAS, Sun GlassFish</li> <li><strong>Kommerziell:</strong> IBM WebSphere, BEA Weblogic, Oracle Application Server, SAP Web Application Server</li> </ul> Interessant: IBM vertreibt den Geronimo Applicationsrever auch unter dem Produktnamen "IBM WebSphere CE" (für "Community Edition"). <p><strong>Installation von Apache Geronimo:</strong><br /></p> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>cd /usr/local</strong> $ <strong>wget http://mirror.serversupportforum.de/apache/geronimo/1.0/geronimo-tomcat-j2ee-1.0.tar.gz</strong> [...] $ <strong>tar xzf geronimo-tomcat-j2ee-1.0.tar.gz</strong> $ <strong>cat >>geronimo-1.0/bin/setenv.sh <<EOF #!/bin/sh export JAVA_HOME=/usr/lib/sun-j2se5.0-jdk EOF</strong> </pre></td> </tr> </table> <em>Listing: Geronimo/Tomcat installieren</em></div> <br /> Sie könnten Geronimo nun über das Shellscript <kbd>/usr/local/geronimo-1.0/bin/geronimo.sh</kbd> starten. Besser ist es jedoch, ein <a href="apache/geronimo-1.0" target="_blank">Initscript</a> anzulegen:<br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>cd /etc/init.d</strong> $ <strong>wget http://www.jfranken.de/homepages/johannes/vortraege/apache/geronimo-1.0</strong> [...] $ <strong>chmod 755 geronimo-1.0</strong> $ <strong>update-rc.d geronimo-1.0 defaults 98 15</strong> Adding system startup for /etc/init.d/geronimo-1.0 ... /etc/rc0.d/K15geronimo-1.0 -> ../init.d/geronimo-1.0 /etc/rc1.d/K15geronimo-1.0 -> ../init.d/geronimo-1.0 /etc/rc6.d/K15geronimo-1.0 -> ../init.d/geronimo-1.0 /etc/rc2.d/S98geronimo-1.0 -> ../init.d/geronimo-1.0 /etc/rc3.d/S98geronimo-1.0 -> ../init.d/geronimo-1.0 /etc/rc4.d/S98geronimo-1.0 -> ../init.d/geronimo-1.0 /etc/rc5.d/S98geronimo-1.0 -> ../init.d/geronimo-1.0 </pre></td> </tr> </table> <em>Listing: Geronimo-Initscript anlegen</em></div> <br /> Das Initscript standardisiert den Aufruf und bewirkt, dass der Applicationserver beim Booten automatisch gestartet und beim Herunterfahren sauber beendet wird:<br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>invoke-rc.d geronimo-1.0 start</strong> Starting Java application server: Geronimo-1.0 . $ <strong>invoke-rc.d geronimo-1.0 restart</strong> Stopping Java application server: Geronimo-1.0 . Starting Java application server: Geronimo-1.0 . $ <strong>invoke-rc.d geronimo-1.0 stop</strong> Stopping Java application server: Geronimo-1.0 . </pre></td> </tr> </table> <em>Listing: Geronimo starten und stoppen</em></div> <br /> Auf Port 8080 bietet Geronimo Ihnen eine Administrationskonsole: <p align="center"><img src="apache/console1.png" alt="" width="594" height="665" /><br /> <em>Figure: Geronimo-Login (http://server:8080/console)</em></p> <p align="center"><img src="apache/console2.png" alt="" width="840" height="857" /><br /> <em>Figure: Geronimo-Konsole</em></p> Die Portnummern sind in der Datei <kbd>/usr/local/geronimo-1.0/var/config/config.xml</kbd> konfiguriert. <h2><a name="ToC37">Alternativ: Nur einen Servlet-Container installieren [Tomcat 4.1]</a></h2> Wenn Ihre Web-Anwendung keine "Enterprise Java Beans" (EJBs) benötigt, reicht die Installation eines Servlet-/JSP-Containers wie z.B. Tomcat, Jetty (beides OpenSource) oder Resin (kommerziell). <p><strong>Installation von Tomcat</strong> (als Debian-Paket verfügbar):<br /></p> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>aptitude install tomcat4-webapps</strong> [...] Die folgenden Pakete werden zusätzlich automatisch installiert: libant1.6-java libbcel-java libcommons-beanutils-java libcommons-collections-java libcommons-dbcp-java libcommons-digester-java libcommons-fileupload-java libcommons-logging-java libcommons-modeler-java libcommons-pool-java libjaxp1.2-java liblog4j1.2-java libmx4j-java libregexp-java libservlet2.3-java libtomcat4-java libxerces2-java tomcat4 [...] 0 Pakete aktualisiert, 19 zusätzlich installiert, 0 werden entfernt und 0 nicht aktualisiert. Muss 8856kB an Archiven herunterladen. Nach dem Entpacken werden 34,1MB zusätzlich belegt sein. Wollen Sie fortsetzen? [Y/n/?] <strong>y</strong> [...] Richte tomcat4 ein (4.1.31-3) ... Lege Systembenutzer tomcat4 an... Adding new user `tomcat4' (103) with group `nogroup'. Erstelle kein Homeverzeichnis. Installing /var/lib/tomcat4/conf/tomcat-users.xml. Installing /var/lib/tomcat4/conf/jk2.properties Could not start Tomcat 4.1 servlet engine because no Java Development Kit (JDK) was found. Please download and install JDK 1.3 or higher and set JAVA_HOME in /etc/default/tomcat4 to the JDK's installation directory. Richte tomcat4-webapps ein (4.1.31-3) ... $ <strong>echo JAVA_HOME=/usr/lib/sun-j2se5.0-jdk/ >> /etc/default/tomcat4</strong> $ <strong>invoke-rc.d tomcat4 start</strong> Starting Tomcat 4.1 servlet engine using Java from /usr/lib/sun-j2se5.0-jdk/: tomcat4. </pre></td> </tr> </table> <em>Listing: Tomcat installieren</em></div> <br /> Informationen zu den Pfaden und Konfigurationsvorgaben finden Sie in der Logdatei:<br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>cat /var/log/tomcat4/catalina_*.log</strong> Using CATALINA_BASE: /var/lib/tomcat4 Using CATALINA_HOME: /usr/share/tomcat4 Using CATALINA_TMPDIR: /var/lib/tomcat4/temp Using JAVA_HOME: /usr/lib/sun-j2se5.0-jdk/ Using Security Manager 26.01.2006 20:01:49 org.apache.coyote.http11.Http11Protocol init INFO: Initializing Coyote HTTP/1.1 on http-8180 Starting service Tomcat-Standalone Apache Tomcat/4.1 26.01.2006 20:01:53 org.apache.coyote.http11.Http11Protocol start INFO: Starting Coyote HTTP/1.1 on http-8180 26.01.2006 20:01:53 org.apache.jk.common.ChannelSocket init INFO: JK2: ajp13 listening on /0.0.0.0:8009 26.01.2006 20:01:53 org.apache.jk.server.JkMain start INFO: Jk running ID=0 time=3/215 config=/var/lib/tomcat4/conf/jk2.properties Using CATALINA_BASE: /var/lib/tomcat4 Using CATALINA_HOME: /usr/share/tomcat4 Using CATALINA_TMPDIR: /var/lib/tomcat4/temp Using JAVA_HOME: /usr/lib/sun-j2se5.0-jdk/ Using Security Manager 26.01.2006 20:07:38 org.apache.coyote.http11.Http11Protocol init INFO: Initializing Coyote HTTP/1.1 on http-8180 Starting service Tomcat-Standalone Apache Tomcat/4.1 26.01.2006 20:07:40 org.apache.coyote.http11.Http11Protocol start INFO: Starting Coyote HTTP/1.1 on http-8180 26.01.2006 20:07:40 org.apache.jk.common.ChannelSocket init INFO: JK2: ajp13 listening on /0.0.0.0:8009 26.01.2006 20:07:40 org.apache.jk.server.JkMain start INFO: Jk running ID=0 time=2/90 config=/var/lib/tomcat4/conf/jk2.properties </pre></td> </tr> </table> <em>Listing: Tomcat-Logfile ("Catalina.out")</em></div> <br /> Tomcat enthält einen eigenen Webserver ("Coyote"), der auf Port 8180 lauscht: <p align="center"><img src="apache/coyote.png" alt="" width="838" height="742" /><br /> <em>Figure: Tomcat antwortet</em></p> <a name="mod_jk"></a> <h2><a name="ToC38">Tomcat in den Apache Webserver einbinden [mod-jk2]</a></h2> Sie können den Apache-Webserver als <em>Reverse-Proxy</em> einsetzen mit dem Vorteil, dass Apache <ul> <li>statischen Content (z.B. Icons) selbst ausliefert,</li> <li>die Authentifizierung/Autorisierung und die Verschlüsselung übernimmt,</li> <li>die Anfragen auf mehrere Tomcat-Instanzen verteilt, die auf verschiedenen Applicationservers liegen (Loadbalancing)</li> <li>eine Netz-Trennung zwischen dem Webserver (DMZ) und dem Applicationserver (Intranet) ermöglicht.</li> </ul> <p align="center"><img src="apache/tomcat.png" alt="" width="993" height="745" /><br /> <em>Figure: Kommunikations-Schema (Tomcat)</em></p> Die folgende Abbildung zeigt ein Beispiel für die Architektur einer hochverfügbaren Internet-Anwendung, bei der die Webserver hinter Loadbalancern in einer DMZ stehen und die Zugriffe auf Applicationservers im Intranet verteilen. <p align="center"><img src="apache/tomcat2.png" alt="" width="545" height="644" /><br /> <em>Figure: Beispiel-Architektur (mod_jk)</em></p> Aktivieren Sie das Jakarta-Modul (<kbd>mod_jk</kbd>), damit der Apache Webserver Anfragen an Tomcat weiterleiten kann:<br /> <div align="center"> <table summary=""> <tr> <td bgcolor="#DDDDFF" class="border" align="left"> <pre> $ <strong>aptitude install libapache2-mod-jk2</strong> [...] Die folgenden Pakete werden zusätzlich installiert: libapache2-mod-jk2 0 Pakete aktualisiert, 1 zusätzlich installiert, 0 werden entfernt und 0 nicht aktualisiert. Muss 157kB an Archiven herunterladen. Nach dem Entpacken werden 705kB zusätzlich belegt sein. [...] Richte libapache2-mod-jk2 ein (2.0.4-3) ... Module jk2 installed; run /etc/init.d/apache2 force-reload to enable. $ <strong>cp /usr/share/doc/libapache2-mod-jk2/examples/workers2.properties /etc/apache2/</strong> $ <strong>vi /etc/apache2/workers2.properties</strong> $ <strong>invoke-rc.d apache2 force-reload</strong> Forcing reload of web server: Apache2 </pre></td> </tr> </table> <em>Listing: Installation von <kbd>mod_jk</kbd></em></div> <br /> Die Standardkonfiuration blendet den Tomcat im Documentroot unter <kbd>/examples</kbd> und <kbd>/jkstatus</kbd> ein: <p align="center"><img src="apache/jkworks.png" alt="" width="687" height="377" /><br /> <em>Figure: Jakarta antwortet</em></p> <p align="center"><img src="apache/jkstatus.png" alt="" width="802" height="903" /><br /> <em>Figure: jkstatus</em></p> <div class="noprint"> <hr /> <table width="100%" summary=""> <tr> <td align="left" valign="middle"><font size="-2">$Id: apache.wml,v 1.47 2007/03/07 10:10:01 jfranken Exp $ <a href= "apache.log.html">[ChangeLog]</a><br /> $Id: template.inc,v 1.82 2010-09-04 12:58:17 jfranken Exp $ <a href="../../../template.log.html">[ChangeLog]</a><br /> © Johannes Franken. <a href="../../../impressum/rechtliches.en.html" target="_parent">Imprint and disclaimer</a></font></td> <td align="right" valign="middle"><a href="http://validator.w3.org/check/referer" target="w3c"><img border="0" src= "../../../images/valid-xhtml10.png" alt="Valid XHTML 1.0!" width="88" height="31" /></a></td> </tr> </table> </div> <hr /> <h1>Navigation:</h1> <font size="1"><script type="text/javascript" language="JavaScript"> //<![CDATA[  //]]> </script> <script type="text/javascript" language="JavaScript"> //<![CDATA[  //]]> </script> <a href="../../../startseite.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_startseite', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_startseite'); return true" onfocus="nb_imgOver('nb_img1_startseite', 0, ''); return true" onblur= "nb_imgNormal('nb_img1_startseite'); return true"><img name="nb_img1_startseite" src= "../../../images/startseite-std.en.png" border="0" alt="Home" width="52" height="26" /></a><br /> <a href="../../../unternehmen.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_unternehmen', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_unternehmen'); return true" onfocus="nb_imgOver('nb_img1_unternehmen', 0, ''); return true" onblur= "nb_imgNormal('nb_img1_unternehmen'); return true"><img name="nb_img1_unternehmen" src= "../../../images/unternehmen-std.en.png" border="0" alt="Company" width="80" height="26" /></a><br /> <a href="../../../homepages.en.html" target="_top" onmouseover="nb_imgOver('nb_img1_homepages', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_homepages'); return true" onfocus= "nb_imgOver('nb_img1_homepages', 0, ''); return true" onblur= "nb_imgNormal('nb_img1_homepages'); return true"><img name="nb_img1_homepages" src= "../../../images/homepages-std.en.png" border="0" alt="Homepages" width="98" height="26" /></a> <script type= "text/javascript" language="JavaScript"> //<![CDATA[  //]]> </script> <script type="text/javascript" language="JavaScript"> //<![CDATA[  //]]> </script><br /> <img src="../../../images/transparentpixel.png" alt=" " width="10" height="1" align="bottom" border="0" /><a href= "../../../homepages/johannes.en.html" target="_top" onmouseover="nb_imgOver('nb_img1_johannes', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_johannes'); return true" onfocus="nb_imgOver('nb_img1_johannes', 0, ''); return true" onblur="nb_imgNormal('nb_img1_johannes'); return true"><img name="nb_img1_johannes" src= "../../../images/johannes-std.en.png" border="0" alt="Johannes" width="76" height="26" /></a> <script type= "text/javascript" language="JavaScript"> //<![CDATA[  //]]> </script> <script type="text/javascript" language="JavaScript"> //<![CDATA[  //]]> </script><br /> <img src="../../../images/transparentpixel.png" alt="  " width="20" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/vortraege.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_vortraege', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_vortraege'); return true" onfocus="nb_imgOver('nb_img1_vortraege', 0, ''); return true" onblur= "nb_imgNormal('nb_img1_vortraege'); return true"><img name="nb_img1_vortraege" src= "../../../images/vortraege-std.en.png" border="0" alt="Talks" width="46" height="26" /></a> <script type= "text/javascript" language="JavaScript"> //<![CDATA[  //]]> </script> <script type="text/javascript" language="JavaScript"> //<![CDATA[  //]]> </script><br /> <img src="../../../images/transparentpixel.png" alt="   " width="30" height="1" align="bottom" border= "0" /><img src="../../../images/apache-sel.en.png" alt="apache*" width="58" height="26" /><br /> <img src="../../../images/transparentpixel.png" alt="   " width="30" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/vortraege/bind.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_bind', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_bind'); return true" onfocus= "nb_imgOver('nb_img1_bind', 0, ''); return true" onblur="nb_imgNormal('nb_img1_bind'); return true"><img name= "nb_img1_bind" src="../../../images/bind-std.en.png" border="0" alt="bind" width="35" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="   " width="30" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/vortraege/flypaper.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_flypaper', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_flypaper'); return true" onfocus="nb_imgOver('nb_img1_flypaper', 0, ''); return true" onblur= "nb_imgNormal('nb_img1_flypaper'); return true"><img name="nb_img1_flypaper" src="../../../images/flypaper-std.en.png" border="0" alt="flypaper" width="66" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="   " width="30" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/vortraege/lsof.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_lsof', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_lsof'); return true" onfocus= "nb_imgOver('nb_img1_lsof', 0, ''); return true" onblur="nb_imgNormal('nb_img1_lsof'); return true"><img name= "nb_img1_lsof" src="../../../images/lsof-std.en.png" border="0" alt="lsof" width="29" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="   " width="30" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/vortraege/linux1.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_linux1', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_linux1'); return true" onfocus= "nb_imgOver('nb_img1_linux1', 0, ''); return true" onblur="nb_imgNormal('nb_img1_linux1'); return true"><img name= "nb_img1_linux1" src="../../../images/linux1-std.en.png" border="0" alt="Linux 1" width="61" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="   " width="30" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/vortraege/linux2.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_linux2', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_linux2'); return true" onfocus= "nb_imgOver('nb_img1_linux2', 0, ''); return true" onblur="nb_imgNormal('nb_img1_linux2'); return true"><img name= "nb_img1_linux2" src="../../../images/linux2-std.en.png" border="0" alt="Linux 2" width="62" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="   " width="30" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/vortraege/linux3.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_linux3', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_linux3'); return true" onfocus= "nb_imgOver('nb_img1_linux3', 0, ''); return true" onblur="nb_imgNormal('nb_img1_linux3'); return true"><img name= "nb_img1_linux3" src="../../../images/linux3-std.en.png" border="0" alt="Linux 3" width="62" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="   " width="30" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/vortraege/vi.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_vi', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_vi'); return true" onfocus= "nb_imgOver('nb_img1_vi', 0, ''); return true" onblur="nb_imgNormal('nb_img1_vi'); return true"><img name="nb_img1_vi" src="../../../images/vi-std.en.png" border="0" alt="vi" width="15" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="   " width="30" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/vortraege/lamp.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_lamp', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_lamp'); return true" onfocus= "nb_imgOver('nb_img1_lamp', 0, ''); return true" onblur="nb_imgNormal('nb_img1_lamp'); return true"><img name= "nb_img1_lamp" src="../../../images/lamp-std.en.png" border="0" alt="LAMP" width="58" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="   " width="30" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/vortraege/make.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_make', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_make'); return true" onfocus= "nb_imgOver('nb_img1_make', 0, ''); return true" onblur="nb_imgNormal('nb_img1_make'); return true"><img name= "nb_img1_make" src="../../../images/make-std.en.png" border="0" alt="make" width="48" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="   " width="30" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/vortraege/mirroring.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_mirroring', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_mirroring'); return true" onfocus="nb_imgOver('nb_img1_mirroring', 0, ''); return true" onblur= "nb_imgNormal('nb_img1_mirroring'); return true"><img name="nb_img1_mirroring" src= "../../../images/mirroring-std.en.png" border="0" alt="Mirroring" width="78" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="   " width="30" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/vortraege/netcat.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_netcat', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_netcat'); return true" onfocus= "nb_imgOver('nb_img1_netcat', 0, ''); return true" onblur="nb_imgNormal('nb_img1_netcat'); return true"><img name= "nb_img1_netcat" src="../../../images/netcat-std.en.png" border="0" alt="netcat" width="55" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="   " width="30" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/vortraege/ntpd.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_ntpd', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_ntpd'); return true" onfocus= "nb_imgOver('nb_img1_ntpd', 0, ''); return true" onblur="nb_imgNormal('nb_img1_ntpd'); return true"><img name= "nb_img1_ntpd" src="../../../images/ntpd-std.en.png" border="0" alt="Time-sync" width="86" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="   " width="30" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/vortraege/rcs.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_rcs', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_rcs'); return true" onfocus= "nb_imgOver('nb_img1_rcs', 0, ''); return true" onblur="nb_imgNormal('nb_img1_rcs'); return true"><img name= "nb_img1_rcs" src="../../../images/rcs-std.en.png" border="0" alt="rcs" width="25" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="   " width="30" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/vortraege/squid.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_squid', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_squid'); return true" onfocus= "nb_imgOver('nb_img1_squid', 0, ''); return true" onblur="nb_imgNormal('nb_img1_squid'); return true"><img name= "nb_img1_squid" src="../../../images/squid-std.en.png" border="0" alt="squid" width="42" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="   " width="30" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/vortraege/solaris.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_solaris', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_solaris'); return true" onfocus= "nb_imgOver('nb_img1_solaris', 0, ''); return true" onblur="nb_imgNormal('nb_img1_solaris'); return true"><img name= "nb_img1_solaris" src="../../../images/solaris-std.en.png" border="0" alt="Solaris" width="52" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="   " width="30" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/vortraege/ssh1.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_ssh1', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_ssh1'); return true" onfocus= "nb_imgOver('nb_img1_ssh1', 0, ''); return true" onblur="nb_imgNormal('nb_img1_ssh1'); return true"><img name= "nb_img1_ssh1" src="../../../images/ssh1-std.en.png" border="0" alt="ssh 1" width="41" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="   " width="30" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/vortraege/ssh2.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_ssh2', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_ssh2'); return true" onfocus= "nb_imgOver('nb_img1_ssh2', 0, ''); return true" onblur="nb_imgNormal('nb_img1_ssh2'); return true"><img name= "nb_img1_ssh2" src="../../../images/ssh2-std.en.png" border="0" alt="ssh 2" width="42" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="   " width="30" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/vortraege/ssh3.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_ssh3', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_ssh3'); return true" onfocus= "nb_imgOver('nb_img1_ssh3', 0, ''); return true" onblur="nb_imgNormal('nb_img1_ssh3'); return true"><img name= "nb_img1_ssh3" src="../../../images/ssh3-std.en.png" border="0" alt="ssh 3" width="42" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="   " width="30" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/vortraege/tcpip1.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_tcpip1', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_tcpip1'); return true" onfocus= "nb_imgOver('nb_img1_tcpip1', 0, ''); return true" onblur="nb_imgNormal('nb_img1_tcpip1'); return true"><img name= "nb_img1_tcpip1" src="../../../images/tcpip1-std.en.png" border="0" alt="tcp/ip 1" width="67" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="   " width="30" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/vortraege/tcpip2.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_tcpip2', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_tcpip2'); return true" onfocus= "nb_imgOver('nb_img1_tcpip2', 0, ''); return true" onblur="nb_imgNormal('nb_img1_tcpip2'); return true"><img name= "nb_img1_tcpip2" src="../../../images/tcpip2-std.en.png" border="0" alt="tcp/ip 2" width="68" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="  " width="20" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/books.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_books', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_books'); return true" onfocus= "nb_imgOver('nb_img1_books', 0, ''); return true" onblur="nb_imgNormal('nb_img1_books'); return true"><img name= "nb_img1_books" src="../../../images/books-std.en.png" border="0" alt="Books" width="54" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="  " width="20" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/j_fotos.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_j_fotos', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_j_fotos'); return true" onfocus= "nb_imgOver('nb_img1_j_fotos', 0, ''); return true" onblur="nb_imgNormal('nb_img1_j_fotos'); return true"><img name= "nb_img1_j_fotos" src="../../../images/j_fotos-std.en.png" border="0" alt="Photos" width="60" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="  " width="20" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/leisure.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_leisure', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_leisure'); return true" onfocus= "nb_imgOver('nb_img1_leisure', 0, ''); return true" onblur="nb_imgNormal('nb_img1_leisure'); return true"><img name= "nb_img1_leisure" src="../../../images/leisure-std.en.png" border="0" alt="Leisure" width="58" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="  " width="20" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/j_humor.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_j_humor', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_j_humor'); return true" onfocus= "nb_imgOver('nb_img1_j_humor', 0, ''); return true" onblur="nb_imgNormal('nb_img1_j_humor'); return true"><img name= "nb_img1_j_humor" src="../../../images/j_humor-std.en.png" border="0" alt="Humor" width="60" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="  " width="20" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/kenntnisse.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_kenntnisse', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_kenntnisse'); return true" onfocus="nb_imgOver('nb_img1_kenntnisse', 0, ''); return true" onblur= "nb_imgNormal('nb_img1_kenntnisse'); return true"><img name="nb_img1_kenntnisse" src= "../../../images/kenntnisse-std.en.png" border="0" alt="Experiences" width="97" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="  " width="20" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/j_lebenslauf.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_j_lebenslauf', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_j_lebenslauf'); return true" onfocus="nb_imgOver('nb_img1_j_lebenslauf', 0, ''); return true" onblur= "nb_imgNormal('nb_img1_j_lebenslauf'); return true"><img name="nb_img1_j_lebenslauf" src= "../../../images/j_lebenslauf-std.en.png" border="0" alt="Vitae" width="45" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="  " width="20" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/j_wunschliste.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_j_wunschliste', 0, ''); return true" onmouseout= "nb_imgNormal('nb_img1_j_wunschliste'); return true" onfocus="nb_imgOver('nb_img1_j_wunschliste', 0, ''); return true" onblur="nb_imgNormal('nb_img1_j_wunschliste'); return true"><img name="nb_img1_j_wunschliste" src= "../../../images/j_wunschliste-std.en.png" border="0" alt="Wishlist" width="64" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt="  " width="20" height="1" align="bottom" border= "0" /><a href="../../../homepages/johannes/j_pgp.en.html" target="_top" onmouseover= "nb_imgOver('nb_img1_j_pgp', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_j_pgp'); return true" onfocus= "nb_imgOver('nb_img1_j_pgp', 0, ''); return true" onblur="nb_imgNormal('nb_img1_j_pgp'); return true"><img name= "nb_img1_j_pgp" src="../../../images/j_pgp-std.en.png" border="0" alt="PGP" width="42" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt=" " width="10" height="1" align="bottom" border="0" /><a href= "../../../homepages/beate.en.html" target="_top" onmouseover="nb_imgOver('nb_img1_beate', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_beate'); return true" onfocus="nb_imgOver('nb_img1_beate', 0, ''); return true" onblur="nb_imgNormal('nb_img1_beate'); return true"><img name="nb_img1_beate" src="../../../images/beate-std.en.png" border="0" alt="Beate" width="51" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt=" " width="10" height="1" align="bottom" border="0" /><a href= "../../../homepages/sarah.en.html" target="_top" onmouseover="nb_imgOver('nb_img1_sarah', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_sarah'); return true" onfocus="nb_imgOver('nb_img1_sarah', 0, ''); return true" onblur="nb_imgNormal('nb_img1_sarah'); return true"><img name="nb_img1_sarah" src="../../../images/sarah-std.en.png" border="0" alt="Sarah" width="48" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt=" " width="10" height="1" align="bottom" border="0" /><a href= "../../../homepages/hannah.en.html" target="_top" onmouseover="nb_imgOver('nb_img1_hannah', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_hannah'); return true" onfocus="nb_imgOver('nb_img1_hannah', 0, ''); return true" onblur="nb_imgNormal('nb_img1_hannah'); return true"><img name="nb_img1_hannah" src="../../../images/hannah-std.en.png" border="0" alt="Hannah" width="64" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt=" " width="10" height="1" align="bottom" border="0" /><a href= "../../../homepages/lena.en.html" target="_top" onmouseover="nb_imgOver('nb_img1_lena', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_lena'); return true" onfocus="nb_imgOver('nb_img1_lena', 0, ''); return true" onblur= "nb_imgNormal('nb_img1_lena'); return true"><img name="nb_img1_lena" src="../../../images/lena-std.en.png" border="0" alt="Lena" width="41" height="26" /></a><br /> <img src="../../../images/transparentpixel.png" alt=" " width="10" height="1" align="bottom" border="0" /><a href= "../../../homepages/kids.en.html" target="_top" onmouseover="nb_imgOver('nb_img1_kids', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_kids'); return true" onfocus="nb_imgOver('nb_img1_kids', 0, ''); return true" onblur= "nb_imgNormal('nb_img1_kids'); return true"><img name="nb_img1_kids" src="../../../images/kids-std.en.png" border="0" alt="Siblings" width="60" height="26" /></a><br /> <a href="../../../gaestebuch.en.html" target="_top" onmouseover="nb_imgOver('nb_img1_gaestebuch', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_gaestebuch'); return true" onfocus= "nb_imgOver('nb_img1_gaestebuch', 0, ''); return true" onblur= "nb_imgNormal('nb_img1_gaestebuch'); return true"><img name="nb_img1_gaestebuch" src= "../../../images/gaestebuch-std.en.png" border="0" alt="Guestbook" width="91" height="26" /></a><br /> <a href="../../../impressum.en.html" target="_top" onmouseover="nb_imgOver('nb_img1_impressum', 0, ''); return true" onmouseout="nb_imgNormal('nb_img1_impressum'); return true" onfocus= "nb_imgOver('nb_img1_impressum', 0, ''); return true" onblur= "nb_imgNormal('nb_img1_impressum'); return true"><img name="nb_img1_impressum" src= "../../../images/impressum-std.en.png" border="0" alt="About" width="54" height="26" /></a></font><br /> <br /> <br /> <form method="get" action="http://www.google.com/custom" target="jfrankeninhalt"><img src= "../../../images/transparentpixel.png" alt=" " width="190" height="2" align="bottom" border="0" /><br /> <img src="../../../images/transparentpixel.png" alt=" " width="8" height="1" align="bottom" border="0" /><img src= "../../../images/google16x16.png" alt="" width="16" height="19" /><img src="../../../images/transparentpixel.png" alt= " " width="8" height="1" align="bottom" border="0" /><input type="image" name="sa" value="Search" src= "../../../images/Suche.en.png" alt="Search:" /><br /> <img src="../../../images/transparentpixel.png" alt=" " width="32" height="1" align="bottom" border="0" /><input type= "text" name="q" size="10" maxlength="255" value="" style= "color:#ddddff;border-color:#ddddff;background:#112277" /><input type="hidden" name="cof" value= "T:000000;LW:540;ALC:112277;L:http://www.jfranken.de/images/toptext_FRANKEN--IT-CONCEPTS.png;LC:112277;LH:53;BGC:ffffff;AH:left;VLC:112277;AWFID:ec81011eb1f53f99;" /><input type="hidden" name="domains" value="www.jfranken.de" /><br /> <input type="hidden" name="sitesearch" value="www.jfranken.de" /></form> <script type="text/javascript" language="JavaScript"> //<![CDATA[ function ro_imgNormal(imgName) { if (document.images) { document[imgName].src = eval(imgName + '_n.src'); self.status = ''; } } function ro_imgOver(imgName, descript) { if (document.images) { document[imgName].src = eval(imgName + '_o.src'); self.status = descript; } } //]]> </script><br /> <img src="../../../images/transparentpixel.png" alt=" " width="190" height="2" align="bottom" border="0" /><br /> <img src="../../../images/transparentpixel.png" alt=" " width="8" height="1" align="bottom" border="0" /><img src= "../../../images/feed-icon-16x16.png" alt="" width="16" height="19" /><img src="../../../images/transparentpixel.png" alt=" " width="8" height="1" align="bottom" border="0" /><img src="../../../images/NewsFeeds.png" alt="NewsFeeds" width="67" height="19" /><br /> <img src="../../../images/transparentpixel.png" alt=" " width="32" height="1" align="bottom" border="0" /> <script type="text/javascript" language="JavaScript"> //<![CDATA[  //]]> </script><a href="http://www.jfranken.de/feed-rss2.en.xml" target="_blank" onmouseover= "ro_imgOver('ro_img_unknown4', 'RSS2-Feed'); return true" onmouseout="ro_imgNormal('ro_img_unknown4'); return true" onfocus="ro_imgOver('ro_img_unknown4', 'RSS2-Feed'); return true" onblur= "ro_imgNormal('ro_img_unknown4'); return true"><img name="ro_img_unknown4" src="../../../images/feed-rss2.png" alt= "RSS2-Feed" width="70" height="15" border="0" /></a><br /> <img src="../../../images/transparentpixel.png" alt=" " width="32" height="1" align="bottom" border="0" /> <script type="text/javascript" language="JavaScript"> //<![CDATA[  //]]> </script><a href="http://www.jfranken.de/feed-atom1.en.xml" target="_blank" onmouseover= "ro_imgOver('ro_img_unknown5', 'ATOM1-Feed'); return true" onmouseout="ro_imgNormal('ro_img_unknown5'); return true" onfocus="ro_imgOver('ro_img_unknown5', 'ATOM1-Feed'); return true" onblur= "ro_imgNormal('ro_img_unknown5'); return true"><img name="ro_img_unknown5" src="../../../images/feed-atom1.png" alt= "ATOM1-Feed" width="70" height="15" border="0" /></a><br /> <img src="../../../images/transparentpixel.png" alt=" " width="32" height="1" align="bottom" border="0" /> <script type="text/javascript" language="JavaScript"> //<![CDATA[  //]]> </script><a href="../../../impressum/feeds.en.html" target="_parent" onmouseover= "ro_imgOver('ro_img_unknown6', 'Subscribe'); return true" onmouseout="ro_imgNormal('ro_img_unknown6'); return true" onfocus="ro_imgOver('ro_img_unknown6', 'Subscribe'); return true" onblur= "ro_imgNormal('ro_img_unknown6'); return true"><img name="ro_img_unknown6" src="../../../images/Subscribe.en.png" alt= "Subscribe" width="65" height="19" border="0" /></a> </body>