cholet 01/07/18 07:48:04
Modified: htdocs/manual dns-caveats.html.fr
Log:
replace entities with iso-8859-1
Revision Changes Path
1.2 +119 -119 httpd-docs-1.3/htdocs/manual/dns-caveats.html.fr
Index: dns-caveats.html.fr
===================================================================
RCS file: /home/cvs/httpd-docs-1.3/htdocs/manual/dns-caveats.html.fr,v
retrieving revision 1.1
retrieving revision 1.2
diff -u -r1.1 -r1.2
--- dns-caveats.html.fr 2001/05/28 09:01:15 1.1
+++ dns-caveats.html.fr 2001/07/18 14:48:04 1.2
@@ -12,19 +12,19 @@
<!--#include virtual="header.html" -->
<h1 align="CENTER">Apache et le DNS</h1>
-<p>Cette page aurait pu être résumée par la
-phrase : <i>ne demandez pas à Apache d'utiliser le DNS
+<p>Cette page aurait pu être résumée par la
+phrase : <i>ne demandez pas à Apache d'utiliser le DNS
pour la lecture des fichiers de configuration</i>. Si appache
-doit utiliser le DNS pour récupérer ses fichiers de
-configuration, alors votre serveur peut être sujet à
-des problèmes de fiabilité (il peut tout simplement
-ne pas démarrer), ou s'ouvrir à des attaques et des
+doit utiliser le DNS pour récupérer ses fichiers de
+configuration, alors votre serveur peut être sujet à
+des problèmes de fiabilité (il peut tout simplement
+ne pas démarrer), ou s'ouvrir à des attaques et des
vols d'information (y compris des utilisateurs qui pourraient
"voler" des hits d'autres utilisateurs).</p>
<h3>Un exemple simple</h3>
-Considérez ce court extrait de code de configuration :
+Considérez ce court extrait de code de configuration :
<blockquote>
<pre>
@@ -36,23 +36,23 @@
</blockquote>
<p>Pour qu'Apache fonctionne correctement, il a absolument besoin
-d'au moins deux informations pour chaque hôte virtuel : le
+d'au moins deux informations pour chaque hôte virtuel : le
<a href="mod/core.html#servername"><code>ServerName</code></a>
et
-au moins une adresse IP à laquelle ce serveur doit
-répondre. Cet exemple ne fait pas apparaître
+au moins une adresse IP à laquelle ce serveur doit
+répondre. Cet exemple ne fait pas apparaître
d'adresse IP ; Apache doit donc utiliser le DNS pour trouver
-l'adresse correspondant à <code>www.abc.dom</code>. Si
+l'adresse correspondant à <code>www.abc.dom</code>. Si
pour telle ou telle raison, le service de noms de domaines n'est
-pas accessible au moment ou le serveur interprète ses
-fichiers de configuration, alors cet hôte virtuel <b>ne
-pourra pas être configuré</b>. Il ne pourra donc pas
-répondre aux requêtes émises vers cet
-hôte virtuel (les versions d'Apache antérieures
-à la 1.2 n'auraient même pas pu
-démarrer).</p>
+pas accessible au moment ou le serveur interprète ses
+fichiers de configuration, alors cet hôte virtuel <b>ne
+pourra pas être configuré</b>. Il ne pourra donc pas
+répondre aux requêtes émises vers cet
+hôte virtuel (les versions d'Apache antérieures
+à la 1.2 n'auraient même pas pu
+démarrer).</p>
<p>Supposons que le doamine <code>www.abc.dom</code> ait pour
-adresse 10.0.0.1. Considérez alors ce nouvel extrait de
+adresse 10.0.0.1. Considérez alors ce nouvel extrait de
code de configuration :</p>
<blockquote>
@@ -64,21 +64,21 @@
</pre>
</blockquote>
-<p>Apache doit alors effectuer une résolution DNS inverse
-pour trouver le nom <code>ServerName</code> pour cet hôte
-virtuel. Si cette résolution échoue, alors il devra
-partiellement désactiver cet hôte virtuel (les
-versions d'Apache antérieures à la 1.2 n'auraient
-même pas démarré). Si l'hôte virtuel
-est basé sur un nom de domaine alors il sera totalement
-inhibé, si par contre il se base sur une adresse IP, alors
-il tournera probablement. Cependant, si Apache devait à
-générer une URL complète pour ce serveur,
-incluant le nom de domaine, l'URL produite ne pourrait être
-correctement constituée.</p>
+<p>Apache doit alors effectuer une résolution DNS inverse
+pour trouver le nom <code>ServerName</code> pour cet hôte
+virtuel. Si cette résolution échoue, alors il devra
+partiellement désactiver cet hôte virtuel (les
+versions d'Apache antérieures à la 1.2 n'auraient
+même pas démarré). Si l'hôte virtuel
+est basé sur un nom de domaine alors il sera totalement
+inhibé, si par contre il se base sur une adresse IP, alors
+il tournera probablement. Cependant, si Apache devait à
+générer une URL complète pour ce serveur,
+incluant le nom de domaine, l'URL produite ne pourrait être
+correctement constituée.</p>
-<p>Voici un extrait qui élimine ces deux
-problèmes.</p>
+<p>Voici un extrait qui élimine ces deux
+problèmes.</p>
<blockquote>
<pre>
@@ -92,22 +92,22 @@
<h3>Refus de service</h3>
-<p>Il existe (au moins) deux situations où Apache refuse
-de fournir le service. Si vous exécutez une version
-antérieure à la version 1.2 d'Apache, votre serveur
-ne démarrera même pas si l'une des deux
-résolutions DNS mentionnées ci-avant échoue
-pour au moins un hôte virtuel. Dans certain cas, cette
-résolution peut ne même pas être sous votre
-contrôle. Par exemple, si <code>abc.dom</code> est l'un de
-vos clients, lequel contrôle son propre serveur DNS, ce
+<p>Il existe (au moins) deux situations où Apache refuse
+de fournir le service. Si vous exécutez une version
+antérieure à la version 1.2 d'Apache, votre serveur
+ne démarrera même pas si l'une des deux
+résolutions DNS mentionnées ci-avant échoue
+pour au moins un hôte virtuel. Dans certain cas, cette
+résolution peut ne même pas être sous votre
+contrôle. Par exemple, si <code>abc.dom</code> est l'un de
+vos clients, lequel contrôle son propre serveur DNS, ce
dernier peut forcer votre serveur Apache (en version
-antérieure à 1.2) à s'arrêter au
-démarrage en supprimant simplement l'enregistrement du nom
+antérieure à 1.2) à s'arrêter au
+démarrage en supprimant simplement l'enregistrement du nom
<code>www.abc.dom</code>.</p>
<p>Une autre situation est beaucoup plus pernicieuse.
-Considérez cet extrait de code de configuration :</p>
+Considérez cet extrait de code de configuration :</p>
<blockquote>
<pre>
@@ -127,71 +127,71 @@
</pre>
</blockquote>
-<p>Supposez que vous avez assigné 10.0.0.1 au domaine
+<p>Supposez que vous avez assigné 10.0.0.1 au domaine
<code>www.abc.dom</code> et 10.0.0.2 au domaine
<code>www.def.dom</code>. De plus, supposez que
-<code>def.com</code> contrôle son propre service DNS. Avec
-la précédente configuration, vous permettez
-à <code>def.com</code> de "voler" tout le trafic
-destiné à <code>abc.com</code>. Tout ce qu'ils
-auraient à faire pour y parvenir est d'assigner
-<code>www.def.dom</code> à l'adresse 10.0.0.1. Dans la
-mesure où ils contrôlent leur propre DNS, vousne
-pouvez les empêcher de piéger leur enregistrement de
+<code>def.com</code> contrôle son propre service DNS. Avec
+la précédente configuration, vous permettez
+à <code>def.com</code> de "voler" tout le trafic
+destiné à <code>abc.com</code>. Tout ce qu'ils
+auraient à faire pour y parvenir est d'assigner
+<code>www.def.dom</code> à l'adresse 10.0.0.1. Dans la
+mesure où ils contrôlent leur propre DNS, vousne
+pouvez les empêcher de piéger leur enregistrement de
<code>www.def.com</code>.</p>
-<p>Les requêtes arrivant pour 10.0.0.1 (y compris toutes
-celles où les utilisateurs auront tapé une URL de
+<p>Les requêtes arrivant pour 10.0.0.1 (y compris toutes
+celles où les utilisateurs auront tapé une URL de
la forme <code>http://www.abc.dom/qqchose</code>) seront toutes
-servies par l'hôte virtuel <code>def.com</code>. Mieux
+servies par l'hôte virtuel <code>def.com</code>. Mieux
comprendre comment cela est possible demande une discussion plus
-détaillée sur la manière dont Apache traite
-des requêtes arrivant pour des hôtes virtuels. Un
+détaillée sur la manière dont Apache traite
+des requêtes arrivant pour des hôtes virtuels. Un
premier document descrivant ceci est <a href=
"vhosts/details.html">disponible</a>.</p>
<h3>L'adresse du "serveur principal"</h3>
<p>L'addition du <a href="vhosts/name-based.html">support
-d'hôtes virtuels basés sur les noms</a> dans Apache
-1.1 nécessite qu'Apache connaisse les adresses IP de
-l'hôte sur lequel est exécuté httpd. Pour
+d'hôtes virtuels basés sur les noms</a> dans Apache
+1.1 nécessite qu'Apache connaisse les adresses IP de
+l'hôte sur lequel est exécuté httpd. Pour
obtenir cette adresse, il utilise soit le <code>ServerName</code>
-global (si défini) ou appelle la fonction C
+global (si défini) ou appelle la fonction C
<code>gethostname</code> (qui renvoie une information similaire
-à celle donnée par la commande interactive
-"hostname"). Puis il procède à une
-résolution DNS pour cette adresse. Jusqu'à
-présent, il n'y a aucun moyen d'éviter cette
-résolution.</p>
-
-<p>Si vous craignez que cette résolution échoue
-parceque votre serveur DNS est arrêté, alors vous
-popuvez ajouter le nom d'hôte dans le fichier
-<code>/etc/hosts</code> (où il devrait normalement
-déjà figurer, ne serait-ce que pour assurer un
-démarrage correct de la machine). Vous devrez en outre
-vous assurer que votre machine est configurée pour
+à celle donnée par la commande interactive
+"hostname"). Puis il procède à une
+résolution DNS pour cette adresse. Jusqu'à
+présent, il n'y a aucun moyen d'éviter cette
+résolution.</p>
+
+<p>Si vous craignez que cette résolution échoue
+parceque votre serveur DNS est arrêté, alors vous
+popuvez ajouter le nom d'hôte dans le fichier
+<code>/etc/hosts</code> (où il devrait normalement
+déjà figurer, ne serait-ce que pour assurer un
+démarrage correct de la machine). Vous devrez en outre
+vous assurer que votre machine est configurée pour
exploiter le fichier <code>/etc/hosts</code> en cas
-d'échec d'une résolution dynamique. Suivant l'OS
-que vous utilisez, ceci peut être fait en éditant le
-code <code>/etc/resolv.conf</code>, ou peut être
+d'échec d'une résolution dynamique. Suivant l'OS
+que vous utilisez, ceci peut être fait en éditant le
+code <code>/etc/resolv.conf</code>, ou peut être
<code>/etc/nsswitch.conf</code>.</p>
-<p>Si votre machine n'a pas de résolution DNS à
+<p>Si votre machine n'a pas de résolution DNS à
effectuer pour toute autre raison (par exemple parce qu'elle est
-isolée), alors vous pourrez néanmoins faire tourner
+isolée), alors vous pourrez néanmoins faire tourner
Apache en initialisant la variable d'environnement
-<code>HOSTRESORDER</code> à "local". Tout ceci
-dépend de l'OS et des librairies de résolveur que
-vous utilisez. Les CGI sont également affectés
-CGIsauf si vous utilisez la fonctionnalité <a href=
-"mod/mod_env.html"><code>mod_env</code></a> pour contrôler
+<code>HOSTRESORDER</code> à "local". Tout ceci
+dépend de l'OS et des librairies de résolveur que
+vous utilisez. Les CGI sont également affectés
+CGIsauf si vous utilisez la fonctionnalité <a href=
+"mod/mod_env.html"><code>mod_env</code></a> pour contrôler
l'environnement. Il est prudent de consulter les pages de manuel
-ou les FAQ spécifiques à votre OS.</p>
+ou les FAQ spécifiques à votre OS.</p>
-<h3><a name="tips">Astuces pour éviter ces
-problèmes</a></h3>
+<h3><a name="tips">Astuces pour éviter ces
+problèmes</a></h3>
<ul>
<li>utilisez des adresses IP dans les sections
@@ -203,56 +203,56 @@
<li>utilisez des adresses IP dans la clause
<code>BindAddress</code></li>
-<li>assurez vous que tous les hôtes virtuels on un
+<li>assurez vous que tous les hôtes virtuels on un
<code>ServerName</code></li>
-<li>créez un serveur <code><VirtualHost
+<li>créez un serveur <code><VirtualHost
_default_:*></code> qui ne sert aucune page.</li>
</ul>
<h3>Appendice: Directions futures</h3>
-<p>Cette situation vis-à-vis du DNS est largement
-insatisfaisante. Pour Apache 1.2, nous avons travaillé
-pour que le serveur puisse continuer à démarrer
-dans le cas de l'échec d'une résolution DNS, mais
+<p>Cette situation vis-à-vis du DNS est largement
+insatisfaisante. Pour Apache 1.2, nous avons travaillé
+pour que le serveur puisse continuer à démarrer
+dans le cas de l'échec d'une résolution DNS, mais
il est possible que nous puissions en faire plus. Toute
-écriture nécessitant l'usage d'adresses IP
+écriture nécessitant l'usage d'adresses IP
explicites dans le fichier de configuration n'est pas souhaitable
-dans le contexte Internet actuel où la <a href=
+dans le contexte Internet actuel où la <a href=
"http://www.ietf.org/html.charters/pier-charter.html">rotation
-d'adresses</a> est une nécessité.</p>
+d'adresses</a> est une nécessité.</p>
<p>Une parade au vol de service serait d'effectuer une
-résolution DNS inverse sur l'adresse IP renvoyée
-par la résolution directe, et comparer les deux noms. En
-cas de non concordance, cet hôte virtuel serait
-désactivé. Ceci impliquerait que la
-résolution DNS inverse soit correctement configurée
+résolution DNS inverse sur l'adresse IP renvoyée
+par la résolution directe, et comparer les deux noms. En
+cas de non concordance, cet hôte virtuel serait
+désactivé. Ceci impliquerait que la
+résolution DNS inverse soit correctement configurée
(ce qui reste assez connu des administrateurs du fait de l'usage
-commun de la résolution inverse double par les serveurs
+commun de la résolution inverse double par les serveurs
FTP et les transposeurs TCP).</p>
<p>Dans tous les cas, il ne semble pas possible de garantir la
-fiabilité du démarrage d'un serveur web
-gérant des hôtes virtuels lorsque la
-résolution DNS a échoué, sauf si la
-définition de ces hôtes utilise des adresses IP
-explicites. Une solution partielle consistant à ignorer
+fiabilité du démarrage d'un serveur web
+gérant des hôtes virtuels lorsque la
+résolution DNS a échoué, sauf si la
+définition de ces hôtes utilise des adresses IP
+explicites. Une solution partielle consistant à ignorer
certaines portions du fichier de configuration serait encore pire
-que ne pas démarrer du tout, dans certains cas
+que ne pas démarrer du tout, dans certains cas
d'exploitation.</p>
<p>Par l'extension de l'usage de HTTP/1.1, les navigateurs et
-proxies fournissent de plus en plus souvent l'en-tête
-<code>Host</code>, et il deviendra possible d'éviter
-totalement la définition d'hôtes virtuels
-basés sur des adresses IP. Dans ce cas, un serveur Web
-n'aura plus de résolution DNS à effectuer pendant
-la configuration. Mais à la date de Mars 1997, ces
-fonctionnalités n'ont pas été suffisament
-largement déployées pourpouvoir être
-exploitées par des serveurs en situation critique.
+proxies fournissent de plus en plus souvent l'en-tête
+<code>Host</code>, et il deviendra possible d'éviter
+totalement la définition d'hôtes virtuels
+basés sur des adresses IP. Dans ce cas, un serveur Web
+n'aura plus de résolution DNS à effectuer pendant
+la configuration. Mais à la date de Mars 1997, ces
+fonctionnalités n'ont pas été suffisament
+largement déployées pourpouvoir être
+exploitées par des serveurs en situation critique.
<!--#include virtual="footer.html" -->
</p>
</body>
|