[SuSE 9.2] apache2 & https Bereich einrichten
Guten Abend, ich würde nun eigentlich ganz gerne für squirrelmail nicht nur eine Passwortabfrage via .htaccess einrichten, sondern das Ganze noch per HTTPS laufen lassen. Leider erscheint aber immer nur die Fehlerseite 403: Zugriff verweigert! Der Zugriff auf das angeforderte Verzeichnis ist nicht möglich. Entweder ist kein Index-Dokument vorhanden oder das Verzeichnis ist zugriffsgeschützt. Sofern Sie dies für eine Fehlfunktion des Servers halten, informieren Sie bitte den Webmaster hierüber. Error 403 Zertifikate habe ich erstellt, diese werden auch benutzt, eine funktionierende .htaccess ist gleichfalls vorhanden, und in dem besagten Verzeichnis (/srv/www/vhosts/squirrelmail/) liegen sowohl eine index.html, index.shtml als auch index.php. In /var/log/apache2/mail.err steht dazu: [Thu Dec 30 19:19:56 2004] [error] [client 84.133.xxx.yyy] client denied by server configuration: /srv/www/vhosts/mail/ [Thu Dec 30 19:19:56 2004] [error][client 84.133.xxx.yyy] client denied by server configuration: /srv/www/vhosts/mail/favicon.ico Die Berechtigungen scheinen zu stimmen, da ein Zugriff via HTTP auf selbiges Verzeichnis (dann aber unter dem Namen mail2!) funzt ... dann wird auch die .htaccess abgearbeitet. Habt ihr eine Idee? Danke & Gruß Torsten
Hallo Torsten, hallo Leute, Am Donnerstag, 30. Dezember 2004 19:33 schrieb Torsten E.:
ich würde nun eigentlich ganz gerne für squirrelmail nicht nur eine Passwortabfrage via .htaccess einrichten, sondern das Ganze noch per HTTPS laufen lassen. [...] [Thu Dec 30 19:19:56 2004] [error] [client 84.133.xxx.yyy] client denied by server configuration: /srv/www/vhosts/mail/
Die Berechtigungen scheinen zu stimmen, da ein Zugriff via HTTP auf selbiges Verzeichnis (dann aber unter dem Namen mail2!) funzt ... dann wird auch die .htaccess abgearbeitet.
Habt ihr eine Idee?
Vermutlich hast Du für http in der vHost-Definiton des https-vHost
keinen Block
Hallo Christian, Hi Liste, Christian Boltz scribbled on 30.12.2004 21:02:
Hallo Torsten, hallo Leute,
Am Donnerstag, 30. Dezember 2004 19:33 schrieb Torsten E.:
[...]
Vermutlich hast Du für http in der vHost-Definiton des https-vHost keinen Block
Allow from all AllowOverride .... </Directory> Ein solcher Block in einer der Dateien in /etc/apache2/vhosts.d hilft nicht, da er üblicherweise in der *:80-vHost-Definition eingeschlossen ist und somit nur für diesen vHost gilt. [1]
naja, ich habe das Ganze etwas anders aufgebaut ...:
/etc/apache2/httpd.conf:
#Include /etc/apache2/vhosts.d/*.conf
Include /etc/apache2/vhosts.d/default.conf
(Dabei kann ich dann später bei der Nutzung von vhosts die
Ladereihenfolge bestimmen.)
/etc/apache2/vhosts/default.conf:
Guten Rutsch!
Dito!!
Christian Boltz
Gruß Torsten
[1] Bei folgender Config gilt das bei <Directory> angegebene nur für exakt diesen vHost:
Ich denke, genau dies habe ich aber doch beachtet ...
Hallo Torsten, hallo Leute, Am Donnerstag, 30. Dezember 2004 21:50 schrieb Torsten E.:
Christian Boltz scribbled on 30.12.2004 21:02:
Am Donnerstag, 30. Dezember 2004 19:33 schrieb Torsten E.: [...] Vermutlich hast Du für http in der vHost-Definiton des https-vHost keinen Block
Allow from all AllowOverride .... </Directory> Ein solcher Block in einer der Dateien in /etc/apache2/vhosts.d hilft nicht, da er üblicherweise in der *:80-vHost-Definition eingeschlossen ist und somit nur für diesen vHost gilt. [1]
naja, ich habe das Ganze etwas anders aufgebaut ...: /etc/apache2/httpd.conf: #Include /etc/apache2/vhosts.d/*.conf Include /etc/apache2/vhosts.d/default.conf (Dabei kann ich dann später bei der Nutzung von vhosts die Ladereihenfolge bestimmen.)
Kannst Du auch ohne Deine default.conf - die Dateien werden in alphabetischer Reihenfolge eingebunden. Für den default-vHost nimmst Du als Dateiname einfach aaa_irgendwas.conf ;-)
/etc/apache2/vhosts/default.conf: [...] Beim http Zugriff bekomme ich die index.html angezeigt, beim https Zugriff nur Dokument 403 ...
Die beiden Dateien: /etc/apache2/vhosts.d/mail.???.dyndns.org
[...] DocumentRoot /srv/www/vhosts/mail.???.dyndns.org ScriptAlias /cgi-bin/ "/srv/www/vhosts/mail.???.dyndns.org/cgi-bin/"
BTW: Statt dieses ScriptAlias kannst Du auch Options +ExecCGI für das Verzeichnis setzen. Besser ist allerdings, die CGIs außerhalb des DocumentRoot zu lagern und mit ScriptAlias einzubinden.
[...]
Allow from all </Directory>
[...]
Allow from all </Directory>
Somit hast Du _innerhalb des VirtualHost_ den Zugriff auf /srv/www/vhosts/mail.???.dyndns.org/ erlaubt...
IndexOptions </VirtualHost>
... und mit dem vHost endet auch die Zugriffsfreigabe. Um es nochmal deutlich zu machen: die obigen <Directory>-Blocks gelten _nur innerhalb dieses vHosts_!
DocumentRoot "/srv/www/vhosts/mail.???.dyndns.org" ServerName webmail.???.dyndns.org ServerAdmin webmaster@???.dyndns.org [diverse SSL-Optionen] SSLOptions +StdEnvVars </Directory>
Da finde ich nirgends ein "Allow from All". Ergänze mal:
</VirtualHost>
[1] Bei folgender Config gilt das bei <Directory> angegebene nur für exakt diesen vHost:
Ich denke, genau dies habe ich aber doch beachtet ...
Nö, Dein <Directory>-Block steht _innerhalb_ eines vHosts. Hat übrigens auch Vorteile, da man so z. B. Symlinks auf Inhalte anderer vHosts nutzlos machen kann ;-) Gruß Christian Boltz -- Er wollte den Wert verändern. 0/1 sind zwei verschiedene Werte. Er kann also egal welchen Wert er vorher hatte den Wert ändern. ;-) [dfroehling in suse-programming]
Hallo Christian, Danke für Deine Mühen! Christian Boltz scribbled on 02.01.2005 19:54:
Hallo Torsten, hallo Leute, Am Donnerstag, 30. Dezember 2004 21:50 schrieb Torsten E.:
Christian Boltz scribbled on 30.12.2004 21:02:
Am Donnerstag, 30. Dezember 2004 19:33 schrieb Torsten E.:
[...]
Ich denke, genau dies habe ich aber doch beachtet ...
Nö, Dein <Directory>-Block steht _innerhalb_ eines vHosts.
Das fiel mir heute morgen so gegen 02:00 Uhr denn auch auf ...
Hat übrigens auch Vorteile, da man so z. B. Symlinks auf Inhalte anderer vHosts nutzlos machen kann ;-)
Haha ... sehr witzig ... ,-) Aber im Ernst: ich hätte ruhig mal eher ein 'httpd2 -S' laufen lassen sollen ... das hätte mir edliche Tage an Zeit erspart. Aus irgendeinem Grunde hatte ich nicht nur in der default.conf einen Aufruf des SSL vhosts, sondern auch in der httpd.conf - und da jene deutlich eher geladen wird, konnte ich an meiner erstellte vhosts.conf ändern was ich wollte, da Resultat war immer das Gleiche (einen Schreibfehler habe ich auch noch gefunden, nachdem ich sämtliche Konfigurationsdateien ausgedruckt hatte). Aber seit etwa 03:00 Uhr (nicht 15:00 Uhr) läuft es ... :-)
Gruß
Christian Boltz
Gruß Torsten (der sich nun erst einmal wieder einen Bergbock gönnt ;-))
Hallo Torsten, hallo Leute, Am Sonntag, 2. Januar 2005 20:34 schrieb Torsten E.:
Christian Boltz scribbled on 02.01.2005 19:54:
Am Donnerstag, 30. Dezember 2004 21:50 schrieb Torsten E.:
Ich denke, genau dies habe ich aber doch beachtet ...
Nö, Dein <Directory>-Block steht _innerhalb_ eines vHosts.
Das fiel mir heute morgen so gegen 02:00 Uhr denn auch auf ...
;-)
Hat übrigens auch Vorteile, da man so z. B. Symlinks auf Inhalte anderer vHosts nutzlos machen kann ;-)
Haha ... sehr witzig ... ,-)
Das war durchaus als Sicherheitstipp zu verstehen und ernst gemeint - auch wenn es in Deinem Fall anders interpretiert werden könnte ;-)
[...] Aber seit etwa 03:00 Uhr (nicht 15:00 Uhr) läuft es ... :-)
Dann war die Nachtschicht ja nicht umsonst ;-) Gruß Christian Boltz -- Windows hatte für mich auch etwas gutes ... ... Microsoft schaffte es zumindest mein Interesse an Linux zu wecken ;-) [Michael Meyer in suse-linux]
participants (2)
-
Christian Boltz
-
Torsten E.