- Forgot to include modified helpviewer ;-(

[gosa.git] / doc / guide / admin / es / manual_gosa_es_apache.tex

\chapter{Apache y PHP}\r
\section{Introducción a Apache}\r
\r
GOsa es una aplicación escrita en el lenguaje de programación PHP y pensada para uso a través de páginas web.\r
\r
Aunque todo el mundo conoce lo que es una página web, no viene de menos repasar algunos puntos:\r
\r
\begin{description}\r
\item[WWW]\r
La World Wide Web (Red alrededor del mundo) es el motor de lo que conocemos como internet, es un espacio de información donde cada recurso está identificado por su URI (Identificador de Recurso Universal /  Universal Resource Identifier), este define el protocolo necesario para acceder a la información, el equipo que la posee y donde está colocada.\r
\r
La WWW es la gran revolución de nuestra época, es una fuente enorme de información. Y como tal todas las aplicaciones están siendo orientadas a ella. GOsa usa WWW por una sencilla razón, distribuye el programa, una aplicación orientada a internet es capaz de ser usada desde cualquier lugar y prácticamente en cualquier momento. GOsa no necesita estar siendo ejecutado en la misma máquina que lo tiene, mas \r
aun cada uno de los servidores que controla pueden estar en máquinas diferentes y en remotos lugares.\r
\r
\item[HTTP]\r
\htmladdnormallink{HTTP}{http://www.w3.org/Protocols/}\cite{2616} es el acrónimo de Protocolo de Transferencia de Texto / HyperText Transfer Protocol, cuyo propósito mas importante es la publicación y recepción de "páginas Web".\r
\r
Es un protocolo de nivel de aplicación ideado para sistemas distribuidos de información hipermedia. Ha estado siendo usada para la WWW desde 1990, la versión actual es HTTP/1.1.\r
\r
El funcionamiento práctico se puede reducir a un cliente que realiza una petición y a un servidor que gestiona esa petición y realiza una respuesta.\r
\r
\item[HTML]\r
Si la petición del cliente y la respuesta del servidor son correctas, la respuesta del servidor contendrá algún tipo de hipermedia, el mas habitual es \htmladdnormallink{HTML}{http://www.w3.org/TR/1998/REC-html40-19980424/} (Lenguaje de marcas de hipertexto /  HyperText Markup Language), un lenguaje pensado para la publicación con contenidos y para una fácil navegación por ellos. Es un protocolo en constante desarrollo, la versión actual es HTML4.01 y en publicación XHTML2.0\r
\end{description}\r
\r
\htmladdnormallink{APACHE}{http://httpd.apache.org/} es el servidor HTTP mas utilizado que \htmladdnormallink{ existe }{http://news.netcraft.com/archives/web_server_survey.html}, seguro, eficiente y extensible.\r
\r
En este manual nos centraremos en este servidor, ya que es el mas usado y tiene una licencia calificada de opensource.\r
\r
Mas información sobre este servidor en \htmladdnormallink{http://httpd.apache.org/docs-2.0/}{http://httpd.apache.org/docs-2.0/}\r
 \r
\section{Introducción a PHP}\r
\r
PHP (PHP: Hypertext Preprocessor), es un lenguaje de interpretado alto nivel, especialmente pensado para el diseño de páginas webs. Su sintaxis es una mezcla de C, Perl y Java. Es embebido en las páginas HTML y es ejecutado por el servidor HTTP.\r
\r
PHP está ampliamente extendido y tiene un numeroso grupo de desarrolladores, una \htmladdnormallink{ extensa documentación }{http://www.php.net/docs.php} y numerosos sitios webs con documentación y ejemplos.\r
\r
\newpage\r
\r
\section{Instalación }\r
\subsection{Descargando e Instalando Apache}\r
\label{down_apache}\r
Al igual que en el capítulo anterior, Apache está en prácticamente todas las distribuciones, aunque veremos su instalación desde las fuentes. Nos vamos a centrar por ahora en las versiones mas avanzadas de apache, la serie 2.0.XX considerada estable.\r
\r
Se recomienda instalar los mismos paquetes que se necesitan para openLDAP\ref{down_ldap}.\r
\r
Se puede descargar de: \htmladdnormallink{http://httpd.apache.org/download.cgi}{http://httpd.apache.org/download.cgi}, la versión que vamos a descargar en /usr/src es la httpd-2.0.XX.tar.gz\r
\r
Ejecutamos \htmladdnormallink{./configure}{http://warping.sourceforge.net/gosa/contrib/es/configure-apache.sh} con las siguientes opciones.\r
\r
\begin{itemize}\r
\item[]Generales\\\r
\begin{tabular}{|ll|}\hline \r
--enable-so & $\rightarrow$ Soporte de Objetos Dinámicos Compartidos (DSO)\\\r
--with-program-name=apache2 & \\\r
--with-dbm=db42 & $\rightarrow$ Versión de la Berkeley DB que vamos a usar\\\r
--with-external-pcre=/usr & \\\r
--enable-logio & $\rightarrow$ Registro de entrada y salida\\\r
--with-ldap=yes & \\\r
--with-ldap-include=/usr/include & \\\r
--with-ldap-lib=/usr/lib & \\\r
\hline \end{tabular}\r
 \r
\item[]Soporte suexec\\\r
\begin{tabular}{|ll|}\hline\r
--with-suexec-caller=www-data & \\\r
--with-suexec-bin=/usr/lib/apache2/suexec2 & \\\r
--with-suexec-docroot=/var/www & \\\r
--with-suexec-userdir=public\_html & \\\r
--with-suexec-logfile=/var/log/apache2/suexec.log & \\\r
\hline \end{tabular}\r
\r
\item[]\r
\begin{longtable}{|ll|}\r
\hline\r
\multicolumn{2}{|c|}{\textbf{Módulos}}\\\r
\hline\r
\endfirsthead\r
\hline\r
\endhead\r
\hline\r
\multicolumn{2}{|c|}{Continue $\ldots$}\\\r
\hline\r
\endfoot\r
\hline\r
\multicolumn{2}{|c|}{\textbf{End}}\\\r
\hline\r
\endlastfoot\r
--enable-userdir=shared & $\rightarrow$ mod\_userdir, módulo para directorios de usuario\\\r
--enable-ssl=shared & $\rightarrow$ mod\_ssl, módulo de conectividad segura SSL\\\r
--enable-deflate=shared & $\rightarrow$ mod\_deflate, módulo para comprimir la información enviada\\\r
--enable-ldap=shared & $\rightarrow$ mod\_ldap\_userdir, módulo para caché y conexiones ldap\\\r
--enable-auth-ldap=shared & $\rightarrow$ mod\_ldap, módulo de autentificación en ldap\\\r
--enable-speling=shared & $\rightarrow$ mod\_speling, módulo para la corrección de fallos en URL\\\r
--enable-include=shared & $\rightarrow$ mod\_include, módulo para la inclusión de otras configuraciones\\\r
--enable-rewrite=shared & $\rightarrow$ mod\_rewrite, permite la manipulación de URL\\\r
--enable-cgid=shared & $\rightarrow$ CGI script\\\r
--enable-vhost-alias=shared & $\rightarrow$ módulo de alias de dominios virtuales\\\r
--enable-info=shared & $\rightarrow$ Información del servidor\\\r
--enable-suexec=shared & $\rightarrow$ Cambia el usuario y el grupo de los procesos\\\r
--enable-unique-id=shared & $\rightarrow$ Identificador único por petición\\\r
--enable-usertrack=shared & $\rightarrow$ Seguimiento de la sesión de usuario\\\r
--enable-expires=shared & $\rightarrow$ Módulo para el envío de la cabecera de expiración\\\r
--enable-cern-meta=shared & $\rightarrow$ Ficheros meta tipo CERN\\\r
--enable-mime-magic=shared & $\rightarrow$ Determina automáticamente el tipo MIME\\\r
--enable-headers=shared & $\rightarrow$ Control cabeceras HTTP\\\r
--enable-auth-anon=shared & $\rightarrow$ Acceso a usuarios anónimos\\\r
--enable-proxy=shared & $\rightarrow$ Permite el uso de Apache como proxy\\\r
--enable-dav=shared & $\rightarrow$ Capaz de manejar el protocolo WebDav\\\r
--enable-dav-fs=shared & $\rightarrow$ Proveedor DAV para el sistema de archivos\\\r
--enable-auth-dbm=shared & $\rightarrow$ Autentificación basada en base de datos DBM\\\r
--enable-cgi=shared & $\rightarrow$ Permite CGI scripts\\\r
--enable-asis=shared & $\rightarrow$ Tipos de archivos como son\\\r
--enable-imap=shared & $\rightarrow$ Mapas de imágenes en el lado de servidor\\\r
--enable-ext-filter=shared & $\rightarrow$ Módulo para filtros externos\\\r
--enable-authn-dbm=shared & \\\r
--enable-authn-anon=shared & \\\r
--enable-authz-dbm=shared & \\\r
--enable-auth-digest=shared & $\rightarrow$ Colección de autentificaciones según RFC2617\\\r
--enable-actions=shared & $\rightarrow$ Activa acciones según peticiones\\\r
--enable-file-cache=shared & $\rightarrow$ Cache de archivos\\\r
--enable-cache=shared & $\rightarrow$ Cache dinámico de archivos\\\r
--enable-disk-cache=shared & $\rightarrow$ Cache de disco\\\r
--enable-mem-cache=shared & $\rightarrow$ Cache de memoria\\\r
\hline \end{longtable}\r
\end{itemize}\r
\r
Una vez configurado, hacemos:\\\r
\\\r
\begin{tabular}{|l|}\hline \r
\#make \&\& make install\\\r
\hline \end{tabular}\r
\newpage\r
\r
\r
\subsection{ Instalando PHP sobre Apache}\r
\r
Se puede descargar de \htmladdnormallink{http://www.php.net/downloads.php}{http://www.php.net/downloads.php} siendo la versión necesaria a la fecha de este manual para utilizar GOsa la 4.3.XX, ya que las versiones 5.0.XX aún no están soportadas. Las descargaremos en /usr/src.\r
\r
Para poder compilar los módulos necesarios además de necesitar las librerías de desarrollo de la seccion Servidores \ref{servidores}, además de las mismas que para openLDAP\ref{down_ldap} y Apache\ref{down_apache} necesitaremos alguna librería mas:\r
\r
\begin{itemize}\r
\item[libbz2]\r
La podemos descargar de \htmladdnormallink{http://sources.redhat.com/bzip2/}{http://sources.redhat.com/bzip2/} para módulo de compresión BZ2.\r
\item[e2fsprogs]\r
Se puede descargar de \htmladdnormallink{http://e2fsprogs.sourceforge.net}{http://e2fsprogs.sourceforge.net} para acceso al sistema de archivos.\r
\item[expat]\r
Se descarga de \htmladdnormallink{http://expat.sourceforge.net/}{http://expat.sourceforge.net/}, es un parser XML.\r
\item[zziplib]\r
Bajarla de \htmladdnormallink{http://zziplib.sourceforge.net/}{http://zziplib.sourceforge.net/}, acceso a archivos ZIP.\r
\item[zlib]\r
Desde \htmladdnormallink{http://www.gzip.org/zlib/}{http://www.gzip.org/zlib/} para compresión GZ.\r
\item[file]\r
Desde \htmladdnormallink{http://www.darwinsys.com/freeware/file.html}{http://www.darwinsys.com/freeware/file.html} control de archivos.\r
\item[sed]\r
De \htmladdnormallink{http://www.gnu.org/software/sed/sed.html}{http://www.gnu.org/software/sed/sed.html}, una de las herramientas mas potentes para manipulación de texto.\r
\item[libcurl]\r
Potente herramienta para manejar archivos remotos, la bajaremos de \htmladdnormallink{http://curl.haxx.se/}{http://curl.haxx.se/} .\r
\item[gettext]\r
Herramienta GNU para soporte de varios idiomas, la descargamos de \htmladdnormallink{http://www.gnu.org/software/gettext/gettext.html}{http://www.gnu.org/software/gettext/gettext.html} .\r
\item[libgd]\r
Para la manipulación y creación de imágenes desde: \htmladdnormallink{http://www.boutell.com/gd/}{http://www.boutell.com/gd/} .\r
\item[libjpeg]\r
Manipulación de imágenes JPEG de \htmladdnormallink{http://www.ijg.org/}{http://www.ijg.org/} .\r
\item[libpng]\r
Manipulación imágenes PNG de \htmladdnormallink{http://www.libpng.org/pub/png/libpng.html}{http://www.libpng.org/pub/png/libpng.html} .\r
\item[mcal]\r
Librería para el acceso a Calendarios remotos, se baja de \htmladdnormallink{http://mcal.chek.com/}{http://mcal.chek.com/} .\r
\item[libmysql]\r
Soporte para la famosísima base de datos, es imprescindible para php, se baja de \htmladdnormallink{http://www.mysql.com/}{http://www.mysql.com/}\r
\end{itemize}\r
\r
Una configuración recomendada será:\r
\r
\r
\begin{itemize}\r
\item[]Apache2\\\r
\begin{tabular}{|ll|}\hline \r
--prefix=/usr --with-apxs2=/usr/bin/apxs2 & \\\r
--with-config-file-path=/etc/php4/apache2 & \\\r
\hline \end{tabular}\r
\r
\r
 \r
\item[]Opciones de compilación\\\r
\begin{tabular}{|ll|}\hline\r
--enable-memory-limit & \# Compilado con límite de memoria\\\r
--disable-debug & \# Compilar sin símbolos de depuración\\\r
--disable-static & \# Sin librerías estáticas\\\r
--with-pic & \# Usar objetos PIC y no PIC\\\r
--with-layout=GNU & \\\r
--enable-sysvsem & \# Soporte sysvmsg \\\r
--enable-sysvshm & \# Soporte semáforos System V \\\r
--enable-sysvmsg & \# Soporte memoria compartida System V \\\r
--disable-rpath & \# Desactiva poder pasar rutas a librerías adiciones al binario\\\r
--without-mm & \# Desactivar el soporte de sesiones por memoria\\\r
\hline \end{tabular}\r
\r
\item[]De sesión\\\r
\begin{tabular}{|ll|}\hline\r
--enable-track-vars & \\\r
--enable-trans-sid & \\\r
\hline \end{tabular}\r
\r
\item[]Soporte\\\r
\begin{tabular}{|ll|}\hline\r
--enable-sockets & \# Soporte de sockets\\\r
--with-mime-magic=/usr/share/misc/file/magic.mime & \\\r
--with-exec-dir=/usr/lib/php4/libexec & \\\r
\hline \end{tabular}\r
\r
\item[]pear\\\r
\begin{tabular}{|ll|}\hline\r
--with-pear=/usr/share/php & Donde vamos a instalar PEAR\\\r
\hline \end{tabular}\r
  \r
\item[]Funciones\\\r
\begin{tabular}{|ll|}\hline\r
--enable-ctype & Soporte funciones de control de caracteres \\\r
--with-iconv & Soporte funciones iconv\\\r
--with-bz2 & Soporte Compresión BZ2\\\r
--with-regex=php & Tipo de librería de expresiones regulares\\\r
--enable-calendar & Funciones para conversión de calendario\\\r
--enable-bcmath & Soporte de matemáticas de precisión arbitraria\\\r
--with-db4 & DBA: Soporte Berkeley DB versión 4\\\r
--enable-exif & Soporte funciones exif, para lectura metadata JPG y TIFF\\\r
--enable-ftp & Soporte funciones FTP \\\r
--with-gettext & Soporte Localización\\\r
--enable-mbstring & \\\r
--with-pcre-regex=/usr & \\\r
--enable-shmop & Funciones de memoria compartida\\\r
--disable-xml --with-expat-dir=/usr & Usa el xml de expat en vez del que viene con php\\\r
--with-xmlrpc & \\\r
--with-zlib & \\\r
--with-zlib-dir=/usr & \\\r
--with-imap=shared,/usr & Soporte imap genérico\\\r
--with-kerberos=/usr & Imap con autentificación kerberos\\\r
--with-imap-ssl & Imap con acceso seguro SSL\\\r
--with-openssl=/usr & \\\r
--with-zip=/usr & \\\r
--enable-dbx & Capa de abstracción a base de datos\\\r
\hline \end{tabular}\r
\r
\item[]Módulos externos\\\r
\begin{tabular}{|ll|}\hline\r
--with-curl=shared,/usr & Manejo remoto de archivos\\\r
--with-dom=shared,/usr --with-dom-xslt=shared,/usr --with-dom-exslt=shared,/usr & Con xmlrpc ya integrado\\\r
--with-gd=shared,/usr --enable-gd-native-ttf & Soporte de manejo de gráficos\\\r
--with-jpeg-dir=shared,/usr & Soporte GD para jpeg\\\r
--with-png-dir=shared,/usr & Soporte GD para png\\\r
--with-ldap=shared,/usr & Soporte para ldap\\\r
--with-mcal=shared,/usr & Soporte de calendarios\\\r
--with-mhash=shared,/usr & Módulo para varios algoritmos de generación de claves\\\r
--with-mysql=shared,/usr & Soporte de base de datos Mysql\\    \r
\hline \end{tabular}\r
\end{itemize}\r
Posteriormente hacemos:\\\r
\\\r
\begin{tabular}{|l|}\hline \r
\#make \&\& make install\\\r
\hline \end{tabular}\r
\newpage\r
\section{ Configuración Apache2}\r
\r
La configuración de apache se guardara en el directorio /etc/apache2 en los siguientes ficheros y directorios:\r
\begin{itemize}\r
\item[]Archivo apache2.conf:\\\r
COnfiguración principal de apache2, tiene la configuración necesaria para arrancar apache.\\\r
No necesitamos editar este archivo.\r
\item[]Archivo ports.conf\\\r
Que puertos escucha apache, necesitamos dos, el puerto 80 para HTTP y el 443 para HTTPS, editaremos el ficheros, dejandolo como esto:\r
\begin{tabular}{|l|}\hline\r
Listen 80,443\\\r
\hline \end{tabular}\r
\item[]Directorio conf.d:\\\r
Directorio para configuraciones especiales, no lo necesitamos.\r
\item[]Directorios mods-available y mods-enabled:\\\r
Este directorio tiene todos los módulos que podemos usar de apache2, para poder usar un módulo es necesario enlazar este al directorio mods-enabled.\r
\item[]Directorios sites-available y sites-enabled:\\\r
En sites-available debemos configurar los sitios que vamos a usar.\\\r
Por ejemplo vamos a crear el sitio no seguro gosa, que vamos a usar para redirigir las peticiones a un servidor seguro.\r
\r
La configuración de GOsa (sites-available/gosa) puede ser parecida a esta::\\\r
\begin{tabular}{|l|}\hline\r
\noindent NameVirtual *\\\r
<VirtualHost *>\\\r
\verb|    |ServerName gosa.chaosdimension.org\\\r
\\\r
\verb|    |Redirect /gosa https://gosa.chaosdimension.org/gosa\\\r
\\\r
\verb|    |CustomLog /var/log/apache/gosa.log combined\\\r
\verb|    |ErrorLog /var/log/apache/gosa.log\\\r
\\\r
</VirtualHost>\\\r
\hline \end{tabular}\r
\r
Una vez sea guardada, podemos activarla haciendo esto:\\\r
\\\r
\begin{tabular}{|l|}\hline \r
\#>ln -s /etc/apache2/mods-available/suphp.conf /etc/apache2/mods-enabled/suphp.conf\\\r
\hline \end{tabular}\r
\\\r
\item[]Directorio ssl:\\\r
Directorio de configuración de Secure Socket Layer, esto lo veremos en la siguiente sección.\r
\end{itemize}\r
\newpage\r
\subsection{ Seguridad}\r
\r
La seguridad es uno de los puntos mas importantes al configurar un servidor apache, necesitaremos un entorno seguro donde no permitir que los usuarios manipulen y accedan a codigo o programas.\r
\r
La formas de conseguir esto es usando encriptación, con lo que buscamos que los usuarios y el servidor se comuniquen de forma que nadie mas pueda acceder a los datos. Esto se consigue con encriptación.\r
\r
La otra manera de asegurar el sistema es que si existe algún fallo en el sistema o en el código, y un intruso intenta ejecutar codigo, este se vea incapacitado, ya que existen poderosas limitaciones, como no permitir que ejecute comandos, lea el codigo de otros script, no pueda modificar nada y tenga un usuario con muy limitados recursos.\r
\subsubsection{ Certificados SSL}\r
\r
\noindent Existe amplia documentación sobre encriptación y concretamente sobre SSL, un sistema de encriptación con clave publica y privada.\\\r
\\\r
\noindent Como el paquete openSSL ya lo tenemos instalado a partir de los pasos anteriores, debemos crear los certificados que usaremos en nuestro servidor web.\\\r
\\\r
\noindent Supongamos que guardamos el certificado en /etc/apache2/ssl/gosa.pem\\\r
\\\r
\begin{tabular}{|l|}\hline \r
\#>FILE=/ect/apache2/ssl/gosa.pem\\\r
\#>export RANDFILE=/dev/random\\\r
\#>openssl req -new -x509 -nodes -out \$FILE -keyout /etc/apache2/ssl/apache.pem\\\r
\#>chmod 600 \$FILE\\\r
\#>ln -sf \$FILE /etc/apache2/ssl/`/usr/bin/openssl x509 -noout -hash < \$FILE`.0\\\r
\hline \end{tabular}\r
\\\r
\noindent Con esto hemos creado un certificado que nos permite el acceso SSL a nuestras páginas.\\\r
\\\r
\noindent Si lo que queremos es una configuración que nos permita no solo que el tráfico esté encriptado, sino que además el cliente garantice que es un usuario válido, debemos provocar que el servidor pida una certificación de cliente. \\\r
\\\r
\noindent En este caso seguiremos un procedimiento mas largo, primero la creación de una certificación de CA:\\\r
\\\r
\begin{tabular}{|l|}\hline \r
\#>CAFILE=/ect/apache2/ssl/gosa.ca\\\r
\#>KEY=/etc/apache2/ssl/gosa.key\\\r
\#>REQFILE=/etc/apache2/ssl/gosa.req\\\r
\#>CERTFILE=/ect/apache2/ssl/gosa.cert\\\r
\#>DAYS=365\\\r
\#>export RANDFILE=/dev/random\\\r
\#>openssl req -x509 -keyout \$CAKEY -out \$CAFILE \$DAYS\\\r
\hline \end{tabular}\r
\\\r
\noindent Después de varias cuestiones tendremos una CA, ahora hacemos un requerimiento a la CA creada:\\\r
\\\r
\begin{tabular}{|l|}\hline \r
\#>openssl req -new -keyout \$REQFILE -out \$REQFILE \$DAYS\\\r
\hline \end{tabular}\r
\\\r
\noindent Firmamos el nuevo certificado:\\\r
\\\r
\begin{tabular}{|l|}\hline \r
\#>openssl ca -policy policy\_anything -out \$CERFILE -infiles \$REQFILE\\\r
\hline \end{tabular}\r
\\\r
\noindent Y creamos un pkcs12 para configurar la certificación en los clientes:\\\r
\\\r
\begin{tabular}{|l|}\hline \r
\#>openssl pkcs12 -export -inkey \$KEY -in \$CERTFILE -out certificado\_cliente.pkcs12\\\r
\hline \end{tabular}\r
\\\r
\noindent Este certificado se puede instalar en el cliente, y en el servidor web mediante la configuración explicada en el siguiente punto, nos dará la seguridad de que solo accederán aquellos clientes que nosotros deseamos y que su comunicación será estrictamente confidencial.\\\r
\r
\r
\r
\subsubsection{ Configurando mod-SSL}\r
\r
\r
\noindent El módulo SSL viene de serie con apache2, esto simplificara nuestro trabajo. Para saber si está ya configurado:\\\r
\\\r
\begin{tabular}{|l|}\hline \r
\#> if [ -h /etc/apache2/mods-enabled/ssl.load ]; then echo "módulo instalado";else echo "módulo no instalado"; fi\\\r
\hline \end{tabular}\r
\\\r
\noindent Para activarlo haremos lo siguiente:\\\r
\\\r
\begin{tabular}{|l|}\hline \r
\#>ln -s /etc/apache2/mods-available/ssl.conf /etc/apache2/mods-enabled/ssl.conf\\\r
\#>ln -s /etc/apache2/mods-available/ssl.load /etc/apache2/mods-enabled/ssl.load\\\r
\hline \end{tabular}\r
\\\r
\noindent Esto configurará el módulo en apache2 y se podrá utilizar después de recargar el servidor con:\\\r
\\\r
\begin{tabular}{|l|}\hline \r
\#>/etc/init.d/apache2 restart\\\r
\hline \end{tabular}\r
\\\r
\\\r
\noindent Para el caso de querer solo una configuración para comunicación encriptada, crearemos en /etc/apache2/sites-available, gosa-ssl:\\\r
\\\r
\begin{tabular}{|l|}\hline \r
\noindent NameVirtual *:443\\\r
<VirtualHost *:443>\\\r
\verb|    |ServerName gosa.chaosdimension.org\\\r
\\\r
\verb|    |alias /gosa /usr/share/gosa/html\\\r
\\\r
\verb|    |DocumentRoot /var/www/gosa.chaosdimension.org\\\r
\verb|    |CustomLog /var/log/apache/gosa.log combined\\\r
\verb|    |ErrorLog /var/log/apache/gosa.log\\\r
\\\r
\verb|    |SSLEngine On\\\r
\verb|    |SSLCertificateFile    /etc/apache2/ssl/gosa.cert\\\r
\verb|    |SSLCertificateKeyFile /etc/apache2/ssl/gosa.key\\\r
\verb|    |SSLCertificateChainFile /etc/apache2/ssl/gosa.cert\\\r
\verb|    |SSLCertificateKeyFile /etc/apache2/ssl/gosa.key\\\r
\verb|    |SSLCACertificateFile /etc/apache2/ssl/gosa.ca\\\r
\verb|    |SSLCACertificatePath /etc/apache2/ssl/\\\r
\verb|    |SSLLogLevel error\\\r
\verb|    |SSLLog /var/log/apache2/ssl-gosa.log\\\r
\\\r
</VirtualHost>\\\r
\hline \end{tabular}\r
\\\r
\noindent Para una comunicación encriptada en la cual verificamos el certificado del cliente:\r
\\\r
\begin{tabular}{|l|}\hline \r
\noindent NameVirtual *:443\\\r
<VirtualHost *:443>\\\r
\verb|    |ServerName gosa.chaosdimension.org\\\r
\\\r
\verb|    |alias /gosa /usr/share/gosa/html\\\r
\\\r
\verb|    |DocumentRoot /var/www/gosa.chaosdimension.org\\\r
\verb|    |CustomLog /var/log/apache/gosa.log combined\\\r
\verb|    |ErrorLog /var/log/apache/gosa.log\\\r
\\\r
\verb|    |SSLEngine On\\\r
\verb|    |SSLCertificateFile    /etc/apache2/ssl/gosa.cert\\\r
\verb|    |SSLCertificateKeyFile /etc/apache2/ssl/gosa.key\\\r
\verb|    |SSLCertificateChainFile /etc/apache2/ssl/gosa.cert\\\r
\verb|    |SSLCertificateKeyFile /etc/apache2/ssl/gosa.key\\\r
\verb|    |SSLCACertificateFile /etc/apache2/ssl/gosa.ca\\\r
\verb|    |SSLCACertificatePath /etc/apache2/ssl/\\\r
\verb|    |SSLLogLevel error\\\r
\verb|    |SSLLog /var/log/apache2/ssl-gosa.log\\\r
\\      \r
\verb|    |<Directory /usr/share/gosa >\\\r
\verb|    |\verb|    |SSLVerifyClient require\\\r
\verb|    |\verb|    |SSLVerifyDepth 1\\\r
\verb|    |</Directory>\\\r
</VirtualHost>\\\r
\hline \end{tabular}\r
\r
\subsubsection{ Configurando suphp}\r
\noindent\r
Suphp es un módulo para apache y php que permite ejecutar procesos de php con un usuario diferente del que usa apache para ejecutar las páginas html y php.\r
\r
Consta de dos partes, una es un modulo para apache que "captura" las peticiones de páginas php, comprueba el usuario del archivo, su grupo, y envía la información a la otra parte, que es un ejecutable suid-root que lanza php4-cgi con el usuario que le ha sido indicado, este devuelve el resultado al módulo del apache.\r
\r
La idea es minimizar el daño que se provocaría al ser explotado un posible fallo del sistema, de esta manera el usuario entraría en el sistema con una cuenta no habilitada, sin permisos de ejecución y sin posibilidad de acceso a otro código o sitios web.\r
\r
Suphp se puede descargar de \htmladdnormallink{http://www.suphp.org/Home.html}{http://www.suphp.org/Home.html}, descomprimiendo el paquete en /usr/src y compilando con las siguientes opciones:\r
\\\r
\begin{tabular}{|l|}\hline \r
\#>./configure --prefix=/usr \textbackslash \\\r
\verb|    |--with-apxs=/usr/bin/apxs2 \textbackslash \\\r
\verb|    |--with-apache-user=www-data \textbackslash \\\r
\verb|    |--with-php=/usr/lib/cgi-bin/php4 \textbackslash \\\r
\verb|    |--sbindir=/usr/lib/suphp \textbackslash \\\r
\verb|    |--with-logfile=/var/log/suphp/suphp.log \textbackslash \\\r
\verb|    |-with-setid-mode \textbackslash \\\r
\verb|    |--disable-checkpath \\\r
\hline \end{tabular}\r
\\\r
\noindent Por supuesto necesitaremos tener compilado php para cgi, esto significa volver a compilar php, pero quitando la configuración para apache2 y añadiendo:\\\r
\\\r
\begin{tabular}{|l|}\hline \r
\verb|    |--prefix=/usr --enable-force-cgi-redirect --enable-fastcgi \textbackslash\\\r
\verb|    |--with-config-file-path=/etc/php4/cgi\\\r
\hline \end{tabular}\r
\r
\noindent Para configurarlo en apache haremos igual que para ssl, primero comprobamos si está configurado:\\\r
\\\r
\begin{tabular}{|l|}\hline \r
\#> if [ -h /etc/apache2/mods-enabled/suphp.load ]; then echo "módulo instalado";else echo "módulo no instalado"; fi\\\r
\hline \end{tabular}\r
\\\r
\noindent Para activarlo haremos lo siguiente:\\\r
\\\r
\begin{tabular}{|l|}\hline \r
\#>ln -s /etc/apache2/mods-available/suphp.conf /etc/apache2/mods-enabled/suphp.conf\\\r
\#>ln -s /etc/apache2/mods-available/suphp.load /etc/apache2/mods-enabled/suphp.load\\\r
\hline \end{tabular}\r
\\\r
\noindent Esto configurará el módulo en apache2 y se podrá utilizar después de recargar el servidor con:\\\r
\\\r
\begin{tabular}{|l|}\hline \r
\#>/etc/init.d/apache2 restart\\\r
\hline \end{tabular}\r
\\\r
\r
\noindent La configuración del sitio seguro con suphp incluido quedaría así:\\\r
\\\r
\begin{tabular}{|l|}\hline \r
\noindent NameVirtual *:443\\\r
<VirtualHost *:443>\\\r
\verb|    |ServerName gosa.chaosdimension.org\\\r
\\\r
\verb|    |DocumentRoot /usr/share/gosa/html\\\r
\verb|    |alias /gosa /usr/share/gosa/html\\\r
\verb|    |CustomLog /var/log/apache/gosa.log combined\\\r
\verb|    |ErrorLog /var/log/apache/gosa.log\\\r
\\\r
\verb|    |suPHP\_Engine on\\\r
\\\r
\verb|    |SSLEngine On\\\r
\verb|    |SSLCertificateFile    /etc/apache2/ssl/gosa.cert\\\r
\verb|    |SSLCertificateKeyFile /etc/apache2/ssl/gosa.key\\\r
\verb|    |SSLCertificateChainFile /etc/apache2/ssl/gosa.cert\\\r
\verb|    |SSLCertificateKeyFile /etc/apache2/ssl/gosa.key\\\r
\verb|    |SSLCACertificateFile /etc/apache2/ssl/gosa.ca\\\r
\verb|    |SSLCACertificatePath /etc/apache2/ssl/\\\r
\verb|    |SSLLogLevel error\\\r
\verb|    |SSLLog /var/log/apache2/ssl-gosa.log\\\r
\\      \r
\verb|    |<Directory /usr/share/gosa >\\\r
\verb|    |\verb|    |SSLVerifyClient require\\\r
\verb|    |\verb|    |SSLVerifyDepth 1\\\r
\verb|    |</Directory>\\\r
</VirtualHost>\\\r
\hline \end{tabular}\r
\r
\noindent Debemos decidir que usuario vamos a usar, en este caso voy a crear uno llamado gosa, que me sirva para el fin indicado anteriormente:\\\r
\\\r
\begin{tabular}{|l|}\hline \r
\verb|    |\#useradd -d /usr/share/gosa/html gosa\\\r
\verb|    |\#passwd -l gosa\\\r
\verb|    |\#cd /usr/share/gosa\\\r
\verb|    |\#find /usr/share/gosa -name "*.php" -exec chown gosa {} ";"\\\r
\verb|    |\#find /usr/share/gosa -name "*.php" -exec chmod 600 {} ";"\\\r
\hline \end{tabular}\r
\r
\r
\r
\section{Configuración Php4}\r
\r
La configuración para mod\_php se guardará en el sitio que hallamos puesto en la partes anteriores. En nuestro caso es /etc/php4/apache2.\r
\r
El archivo de configuración siempre es php.ini y en el configuramos los módulos.\r
\r
Una configuración básica será como esta:\r
\begin{center}\r
\begin{longtable}{|l|}\r
\caption{PHP4 Configuration}\\\r
\hline\r
\multicolumn{1}{|c|}{\textbf{PHP4 Configuration}}\\\r
\hline\r
\endfirsthead\r
\hline\r
\endhead\r
\hline\r
\multicolumn{1}{|c|}{Continue $\ldots$}\\\r
\hline\r
\endfoot\r
\hline\r
\multicolumn{1}{|c|}{\textbf{End}}\\\r
\hline\r
\endlastfoot\r
; Engine\\\r
\verb|    |engine   = On ; Activa PHP\\\r
\verb|    |short\_open\_tag = On ; Permite usar <? para simplificar <?php\\\r
\verb|    |asp\_tags  = Off ; No permitimos etiquetas estilo ASP: <\% \%>\\\r
\verb|    |precision  = 14 ; Número de dígitos significantes mostrados en números en coma flotante\\\r
\verb|    |output\_buffering = Off ; Solo permitimos que envie cabecera antes de enviar el contenido.\\\r
\verb|    |implicit\_flush  = Off ; No forzamos a php a que limpie el buffer de salida después de cada bloque.\\\r
\\\r
; Safe Mode\\\r
\verb|    |\label{sm} safe\_mode  = Off ; No queremos el modo seguro\\\r
\verb|    |\label{smed} safe\_mode\_exec\_dir = ; Directorio donde se ejecutara PHP\\\r
\verb|    |\label{smid} safe\_mode\_include\_dir = Directorios donde hará la busqueda PHP de librerías\\\r
\verb|    |\label{smaev} safe\_mode\_allowed\_env\_vars = PHP\_     ; Solo se permite a los usuarios\\\r
\verb|    |\verb|    |\verb|    |;a crear variables del sistema que empiecen por PHP\_\\\r
\verb|    |\label{smpev} safe\_mode\_protected\_env\_vars = LD\_LIBRARY\_PATH  ; Lista de variables del sistema que\\\r
\verb|    |\verb|    |\verb|    |; no pueden ser cambiadas por razones de seguridad\\\r
\verb|    |\label{df} disable\_functions =        ; Funciones que serán desactivadas por razones de seguridad\\\r
\verb|    |\label{auf} allow\_url\_fopen = Yes ; Permitimos que se abran archivos desde PHP\\\r
\verb|    |\label{ob} open\_basedir = ;\\\r
\\\r
; Colores para el modo de síntasis coloreada.\\\r
\verb|    |highlight.string = \#DD0000\\\r
\verb|    |highlight.comment = \#FF8000\\\r
\verb|    |highlight.keyword = \#007700\\\r
\verb|    |highlight.bg  = \#FFFFFF\\\r
\verb|    |highlight.default = \#0000BB\\\r
\verb|    |highlight.html  = \#000000\\\r
\\\r
; Misc\\\r
\verb|    |\label{ep}expose\_php = On  ; Indica en el mensaje del servidor web si está instalado o no.\\\r
\\\r
; Resource Limits ;\\\r
\verb|    |max\_execution\_time = 30     ; Tiempo máximo de ejecución del script.\\\r
\verb|    |memory\_limit = 16M   ; La cantidad máxima permitida de memoria que puede consumir un script.\\\r
\\\r
; Error handling and logging ;\\\r
\verb|    |error\_reporting = E\_ALL; Indicamos que muestre todos los errores y avisos.\\\r
\verb|    |display\_errors = Off ; Que no los imprima en pantalla.\\\r
\verb|    |display\_startup\_errors = Off  ; Que no muestre los errores de arranque de PHP.\\\r
\verb|    |log\_errors  = On ; Que envíe los errores a un fichero.\\\r
\verb|    |track\_errors = On ; Que guarde el último error / aviso para \$php\_errormsg (boolean)\\\r
\verb|    |error\_log = /var/log/php/php4.log ; Fichero que guardará los errores\\\r
\verb|    |warn\_plus\_overloading = Off  ; No avisamos si se usa el operador + con cadenas de texto\\\r
\\\r
; Data Handling ;\\\r
\verb|    |variables\_order  = "EGPCS" ; Esta directiva describe el orden en el cual\\\r
\verb|    |;se registrarán las variables de PHP (Siendo G=GET, P=POST, C=Cookie,\\\r
\verb|    |; E= Sistema, S= Propias de PHP, todas es indicado como EGPCS)\\\r
\verb|    |\label{rg} register\_globals = Off  ; No queremos que se registren las EGPCS como globales.\\\r
\verb|    |register\_argc\_argv = Off  ; No declaramos ARGV y ARGC para su uso en scripts.\\\r
\verb|    |post\_max\_size  = 8M  ; Tamaño máximo de un envío POST que aceptará PHP.\\\r
\r
; Magic quotes\\\r
\verb|    |\label{mqq}magic\_quotes\_gpc = On  ; Comillas añadidas para gpc(información GET/POST/Cookie)\\\r
\verb|    |magic\_quotes\_runtime= Off  ; Comillas añadidas para información generada por el sistema, \\\r
\verb|    |;por ejemplo desde SQL, exec(), etc.\\\r
\verb|    |magic\_quotes\_sybase = Off  ; Usar comillas añadidas al estilo de Sybase \\\r
\verb|    |;(escapa ' con '' en lugar de \textbackslash ')\\\r
\\\r
; Tipo de archivo por defecto de PHP y codificación por defecto.\\\r
\verb|    |default\_mimetype = "text/html"\\\r
\verb|    |default\_charset = "iso-8859-1"\\\r
\\\r
; Rutas y directorios ;\\\r
\verb|    |\label{ip} include\_path = . ;\\\r
\verb|    |doc\_root  =     ; Raíz de las páginas php, mejor dejarlo en blanco.\\\r
\verb|    |user\_dir  =     ; Donde php ejecuta el script, tambien mejor en blanco.\\\r
\verb|    |;extension\_dir = /usr/lib/php4/apache   ; ¿Donde estan los módulos?\\\r
\verb|    |enable\_dl  = Off    ; Permitir o no la carga dinámica de módulos con la función dl().\\\r
\\\r
; Subir ficheros al servidor;\\\r
\verb|    |file\_uploads = On    ; Permitir el subir archivos al servidor.\\\r
\verb|    |upload\_max\_filesize = 2M      ; Tamaño máximo de los archivos que vamos a subir.\\\r
\\\r
; Extensiones dinámicas ;\\\r
\verb|    |extension=gd.so              ; Graficos\\\r
\verb|    |extension=mysql.so   ; Mysql\\\r
\verb|    |extension=ldap.so    ; Ldap\\\r
\verb|    |extension=mhash.so   ; Mhash\\\r
\verb|    |extension=imap.so    ; Imap\\\r
\verb|    |extension=kadm5.so   ; Kerberos\\\r
\verb|    |extension=cups.so    ; Cupsys\\\r
\\\r
; Log del sistema\\\r
\verb|[Syslog]|\\\r
\verb|    |define\_syslog\_variables = Off ; Desactivamos la definición de variables de syslog.\\\r
\\\r
; funciones de correo\\\r
\verb|[mail function]|\\\r
\verb|    |;sendmail\_path =      ;En sistemas Unix, donde esta hubicado sendmail (por defecto es 'sendmail -t -i')\\\r
\\\r
; depuración\\\r
\verb|[Debugger]|\\\r
\verb|    |debugger.host = localhost ; Donde está el depurador.\\\r
\verb|    |debugger.port = 7869 ; En que puerto escucha.\\\r
\verb|    |debugger.enabled = False ; En principio suponemos que no hay depurados.\\\r
\\\r
; Opciones SQL\\\r
\verb|[SQL]|\\\r
\verb|    |sql.safe\_mode = Off ; Modo seguro de sql, en principio estará desactivado.\\\r
\\\r
; Opciones Mysql\\\r
\verb|[MySQL]|\\\r
\verb|    |mysql.allow\_persistent = Off ; Desactivaremos los enlaces persistentes por razones de seguridad.\\\r
\verb|    |mysql.max\_persistent = -1 ; Numero de conexiones persistentes, no se usa por haberlas desactivado.\\\r
\verb|    |mysql.max\_links   = -1 ; Numero máximo de conexiones, -1 es sin limite.\\\r
\verb|    |mysql.default\_port  =  3306; Puerto por defecto del mysql.\\\r
\verb|    |mysql.default\_socket =  ; Nombre de socket que se usaran para conexiones locales MySQL.\\\r
\verb|    |;Si está vacio se usara el que tengamos en la configuración de la compilación del PHP.\\\r
\verb|    |mysql.default\_host  =  ; No configuramos host por defecto.\\\r
\verb|    |mysql.default\_user  =  ; No configuramos usuario por defecto.\\\r
\verb|    |mysql.default\_password =  ; No configuramos una contraseña por defecto.\\\r
\\\r
; Control de sesiones\\\r
\verb|[Session]|\\\r
\verb|    |session.save\_handler      = files   ; Guardamos la información de sesión en ficheros.\\\r
\verb|    |\label{ss} session.save\_path         = /var/lib/php4    ; Donde se van ha guardar los ficheros de sesión.\\\r
\verb|    |session.use\_cookies       = 1       ; Usaremos cookies para el seguimiento de sesión.\\\r
\verb|    |session.name              = PHPSESSID   ; Nombre de la sesión que será usado en el nombre de la cookie.\\\r
\verb|    |session.auto\_start        = 0       ; No iniciamos sesión automáticamente.\\\r
\verb|    |session.cookie\_lifetime   = 0       ; Tiempo de vida de una cookie de sesión o 0 si esperamos a que cierre el navegador.\\\r
\verb|    |session.cookie\_path       = /       ; La ruta para que es válida la cookie.\\\r
\verb|    |session.cookie\_domain     =         ; El dominio para el cual es válida la cookie.\\\r
\verb|    |session.serialize\_handler = php     ; Manipulador usado para serializar los datos.\\\r
\verb|    |session.gc\_probability    = 1       ; Probabilidad en porcentaje de que el recolector de basura se active en cada sesión.\\\r
\verb|    |session.gc\_maxlifetime    = 1440    ; Después de este tiempo en segundos, la información guardada\\\r
\verb|    |; será vista como basura para el recolector de basura.\\\r
\verb|    |session.referer\_check     =         ; Comprueba los Referer HTTP para invalidar URLs externas conteniendo ids\\\r
\verb|    |session.entropy\_length    = 0       ; Número de bytes a leer del fichero de entropía.\\\r
\verb|    |session.entropy\_file      =         ; El fichero que generará la entropía.\\\r
\verb|    |session.cache\_limiter     = nocache ; Sin cache de sessiones.\\\r
\verb|    |session.cache\_expire      = 180     ; Tiempo de expiración del documento.\\\r
\verb|    |session.use\_trans\_sid     = 0       ; Usar sid transportable si está activado en la compilación\\\r
\\\r
\end{longtable}\r
\end{center}\r
\r
\r
\subsection{Seguridad}\r
\r
Php es un poderoso lenguaje de script, permite a su usuario tener bastante control sobre el sistema y a atacantes maliciosos muchas opciones de alcanzar su objetivo.\r
\r
Un administrador de sistemas no debe suponer que un sistema es completamente seguro con solo tener las actualizaciones de seguridad instaladas, un sistema que muestra código al exterior no es seguro, aunque el resultado sea HTML, se expone a ataques de formas muy diversas y a fallos de seguridad desconocidos.\r
\r
Limitar al máximo el acceso que permite php es entonces una necesidad.\r
\r
\subsection{Configurando safe php}\r
\r
PHP tiene un modo llamado \htmladdnormallink{safe-mode}{http://www.php.net/manual/en/features.safe-mode.php} que permite una mayor seguridad, una configuración para Safe mode recomendada es:\\\r
\\\r
\noindent \begin{tabular}{|l|}\hline\r
\verb|    |\ref{mqq} magic\_quotes\_qpc = On\\\r
\verb|    |\ref{auf} allow\_url\_fopen = No\\\r
\verb|    |\ref{rg} register\_globals = Off\\\r
\verb|    |\ref{sm} safe\_mode = On\\\r
\verb|    |\ref{smid} safe\_mode\_include\_dir = "/usr/share/gosa:/var/spool/gosa"\\\r
\verb|    |\ref{smed} safe\_mode\_exec\_dir = "/usr/lib/gosa"\\\r
\verb|    |\ref{smaev} safe\_mode\_allowed\_env\_vars = PHP\_,LANG\\\r
\verb|    |\ref{ob} open\_basedir = "/etc/gosa:/var/spool/gosa:/var/cache/gosa:/usr/share/gosa:/tmp"\\\r
\verb|    |\ref{ip} include\_path = ".:/usr/share/php:/usr/share/gosa:/var/spool/gosa:/usr/share/gosa/safe\_bin"\\\r
\verb|    |\ref{df} disable\_functions = system, shell\_exec, passthru, phpinfo, show\_source\\\r
\hline \end{tabular}\r
\\\r
En el caso de que vayamos a usar SuPHP, debemos dar los siguientes permisos al directorio /var/lib/php4:\\\r
\begin{tabular}{|l|}\hline \r
\#chmod 1777 /var/lib/php4\\\r
\hline \end{tabular}\r
\r
Ya que cada usuario que ejecute PHP guardara la sesión con ese usuario.\r
\r
\r
\section{ Módulos de PHP necesarios}\r
\r
En esta sección se explicaran los pasos para conseguir compilar y usar los módulos necesarios o importantes para GOsa, se recomienda instalar todos los módulos, incluso los que no son necesarios.\r
\r
\subsection{ ldap.so}\r
\r
MÓDULO NECESARIO\r
\r
\indent Este módulo no necesita ninguna configuración especial para funcionar.\r
\r
\indent Solo se conoce un problema: No puede conectarse PHP+Apache con un servidor LDAP que pida Certificado válido. Con lo cual la comunicación será segura, ya que se puede usar SSL, pero no estará garantizada.\r
\r
\subsection{ mysql.so}\r
\r
MÓDULO OPCIONAL\r
\r
\indent Este módulo no necesita ninguna configuración especial para funcionar.\r
\r
\indent Sirve para albergar configuraciones del plugin imap - sieve.\r
\r
\subsection{ imap.so}\r
\r
MÓDULO OPCIONAL\r
\r
\indent El módulo instalado al compilar PHP funcionara, pero tendrá una importante carencia, la función getacl que da control sobre las carpetas, así que necesitaremos un parche y una serie de pasos para compilar el módulo para su uso en GOsa.\r
\r
Nos bajamos el parche de \htmladdnormallink{php4-imap-getacl.patch}{ftp://oss.gonicus.de/pub/gosa/patches/php4-imap-getacl.patch} y lo ponemos en /usr/src, como tenemos las fuentes de PHP en /usr/src, ejecutamos los siguientes comandos:\\\r
\\\r
\noindent \begin{tabular}{|l|}\hline\r
\#cd /usr/src/php4.3-XXX/extensions/imap\\\r
\#make clear\\\r
\#patch -p1 </usr/src/patch/php4-imap-getacl.patch\\\r
\#phpize\\\r
\#./configure\\\r
\#make\\\r
\#make install\\\r
\hline \end{tabular}\r
\r
\r
Esto configurara e instalara correctamente el módulo.\r
\r
\subsection{ gd.so}\r
\r
MÓDULO OPCIONAL\r
\r
\indent Este módulo no necesita ninguna configuración especial para funcionar.\r
\r
\indent El módulo es usado para el manejo de gráficos, tambien usado por el sistema de plantillas smarty.\r
\r
\subsection{cups}\r
\r
MÓDULO OPCIONAL\r
\r
\indent Para utilizar el módulo Cups para la selección de la impresora en Posix, primero debemos descargar las fuentes de cups de \htmladdnormallink{http://www.cups.org/software.php}{http://www.cups.org/software.php} y descomprimirlas en /usr/src, ejecutamos entonces los siguientes comandos:\\\r
\\\r
\noindent \begin{tabular}{|l|}\hline\r
\#cd /usr/src/cups-1.1.XX/scripting/php\\\r
\#phpize\\\r
\#./configure\\\r
\#make\\\r
\#make install\\\r
\#echo \verb|"extension=cups.so" >>| /etc/php4/apache2/php.init\\\r
\#/etc/init.d/apache2 reload\\\r
\hline \end{tabular}\r
\r
\r
\subsection{krb}\r
\r
MÓDULO OPCIONAL\r
\r
\indent Este módulo necesita tener instaladas las fuentes de kerberos del MIT, ya que no se puede compilar con las fuentes de kerberos de Heimdal.\r
\r
\indent El módulo interactuará con los servidores Kerberos para actualizar las claves de los usuarios creados.\r
\r
Se descargara de \htmladdnormallink{PECL}{http://pecl.php.net/kadm5}, y lo descomprimiremos en /usr/src, debemos tener tambien las fuentes del kerberos del MIT, las cuales descomprimiremos en /usr/src, con ello hacemos (sustituimos X.X por las respectivas versiones de los programas):\\\r
\\\r
\noindent \begin{tabular}{|l|}\hline\r
\#cd /usr/src/kadm5-0.X.X/scripting/php\\\r
\#cp config.m4 config.m4.2\\\r
\#sed \verb|s/krb5-1\.2\.4\/src\/include/krb5-1\.X\.X\/src\/lib/| config.m4.2 >config.m4\\\r
\#rm -f config.m4.2\\\r
\#phpize\\\r
\#./configure\\\r
\#make\\\r
\#make install\\\r
\#echo \verb|"extension=kadm5.so" >>| /etc/php4/apache2/php.ini\\\r
\#/etc/init.d/apache2 reload\\\r
\hline \end{tabular}\r
\r
\r