Vous pouvez installer le contrôleur sur un serveur linux, windows ou macOS. C’est du java avec une base de données MongoDB. Il tourne très bien sur un serveur qui héberge aussi mon nextcloud, deluge, samba, etc. Mais mon « souci » est qu’il fonctionne sur un port alternatif et je voudrais le rendre disponible sur le port HTTPS où tourne déjà mon Apache avec nextcloud, un proxy pour deluge-web, let’s encrypt, etc.

L’accès à la gestion des clients et AP du contrôleur se fait via une page web principalement. Il existe aussi une application android. Il faut bien comprendre que sans contrôleur, on ne sait pas manager les AP. Donc ces AP ne disposent pas d’une page web d’administration comme les autres AP du marché grand public ou semi-pro.

L’application Android permet toutefois de faire un mode disvovery et faire une simple installation AP pour un seul réseau. Mais pour ce qui est de diffuser 2 SSID simultanés, de passer par un portail captif, etc. Il vous faut un contrôleur.

Pour lier un AP au contrôleur Unifi à distance, cela se fait soit via Unifi-discover sur pc (il faut être sur le même réseau ethernet layer2) ou via une app android Unifi. Les méthodes sont décrites sur la guideline d’Ubiquiti.

Je vous livre ma configuration d’Apache pour se connecter en HTTPS pour sécuriser l’accès à distance au contrôleur Unifi. Et ce sera avec une URL plus classe que http://unify.domain.com:8080/inform

Installer le paquet Unifi nécessaire

Vous pouvez récupérer le paquet le plus récent du software Unifi. Un paquet deb est dispo pour ceux qui sont sous Debian ou Ubuntu.

dpkg -i /disk/upload/unifi_sysvinit_all.deb
unifi depends on mongodb-server (>= 2.4.10) | mongodb-10gen (>= 2.4.14) | mongodb-org-server (>= 2.6.0); however:
Package mongodb-server is not installed.
Package mongodb-10gen is not installed.
Package mongodb-org-server is not installed.
unifi depends on openjdk-7-jre-headless | java8-runtime-headless; however:
Package openjdk-7-jre-headless is not installed.
Package java8-runtime-headless is not installed.
apt-get -f install

L’accès se fait via : https://localhost:8443
Attention que le premier réseau utilisable dans l’AP est en mode untagged

L’url pour joindre un second contrôleur : controller inform URL http://unify.domain.com:8080/inform

Mettre un proxy revers apache pour du WSS sur /wss et du http à la racine :

SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/unify.domain.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/unify.domain.com/privkey.pem

# Encoded slashes need to be allowed
AllowEncodedSlashes NoDecode

# Container uses a unique non-signed certificate
SSLProxyEngine On
SSLProxyVerify None
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
# keep the host
ProxyPreserveHost On

# static html, js, images, etc. served from loolwsd
# loleaflet is the client part of LibreOffice Online
ProxyPass /wss wss://127.0.0.1:8443/wss retry=0
ProxyPassReverse /wss wss://127.0.0.1:8443/wss
ProxyPass / https://127.0.0.1:8443/ retry=0
ProxyPassReverse / https://127.0.0.1:8443/
ProxyPreserveHost On

L’accès au contrôleur Unifi se fait maintenant via https://unify.domain.com

L’article Configurer son contrôleur Ubiquiti UniFi dans son proxy Apache est apparu en premier sur Mon linux.

Générer certificat

openssl genrsa -out /etc/apache2/apache.key
openssl req -new -x509 -days 3650 -key /etc/apache2/apache.key -out /etc/apache2/apache.cert

Attention : mettre le nom de la machine / nom de domaine pour « Common Name »
On peut utiliser un wildcard (joker) du type *.example.com
Il est possible d’associer plusieurs noms alternatifs à un certificat en utilisant subjectAltName

Editer l’écoute apache

vim /etc/apache2/ports.conf : NameVirtualHost *:443

 Utiliser un certificat dans la config virtualhost

    SSLEngine on
    SSLCertificateFile /chemin/vers/www.example.com.cert
    SSLCertificateKeyFile /chemin/vers/www.example.com.key

Obtenir le certificat d’un site

openssl s_client -showcerts -connect imap.googlemail.com:993 </dev/null

Décrypter un certificat avec la clé privée protégée par un mot de passe.

openssl rsa -in ssl.key -out ssl.key

Certificat signé par un CA valide

Il est possible d’avoir un certificat SSL émis par une CA (certificate authority) reconnue des navigateurs. J’y ai consacré un article à propos de startssl qui propose un certificat SSL d’un an gratuitement.

L’article Notes sur la création de certificats SSL autosignés est apparu en premier sur Mon linux.

[crit] (22)Invalid argument: alloc_listener: failed to get a socket for (empty) Syntax error on line 9 of /etc/apache2/ports.conf: Listen setup failed Action 'start' failed.

Starting web server: apache2no listening sockets available

Invalid argument: alloc_listener: failed to get a socket for 0.0.0.0

Il s’agit d’un problème lié au vserver et la librairie libapr1, utilisée par Apache, qui fait des appels noyau… Ce qui est embêtant pour mon vserver…

Il faut recompiler cette librairie.

Je me suis inspiré du sujet suivant et j’ai eu quelques soucis en chemin : debian – Apache in linux-vserver won’t start, can’t create socket – Server Fault.

Attention que les dépenses sont importantes ~900Mo, veillez à supprimer les paquets de développement par après si c’est un serveur en production.

Réinstaller la libapr1 nécessaire à Apache

$ apt-get install debhelper autoconf autotools-dev uuid-dev doxygen libtool

Pour compiler les sources :

$ apt-get source libapr1
$ tar -xf apr_1.4.6.orig.tar.gz
$ cd apr-1.4.6
$ tar -xf ../apr_1.4.6-3+deb7u1.debian.tar.gz
$ dpkg-buildpackage

Dans mon cas, j’ai eu un souci à la compilation sur le vserver, il y avait besoin de l’environnement /dev/shm, la compilation s’arrêtait sans cela…

if grep -q APR_HAS_POSIXSEM_SERIALIZE.*0 build-i386/include/apr.h ;\
then \
echo "WARNING: This is Linux but configure did not detect POSIX semaphores." ;\
if [ "" = "" ] ;\
then \
echo "ERROR: POSIX semaphores not usable and /dev/shm not mounted." ;\
echo "ERROR: Aborting." ;\
echo "HINT: If you are using pbuilder or cowbuilder, add /dev/shm to BINDMOUNTS" ;\
echo "HINT: in pbuilderrc" ;\
exit 1 ;\
fi ;\
fi
WARNING: This is Linux but configure did not detect POSIX semaphores.
ERROR: POSIX semaphores not usable and /dev/shm not mounted.
ERROR: Aborting.
HINT: If you are using pbuilder or cowbuilder, add /dev/shm to BINDMOUNTS
HINT: in pbuilderrc
make: *** [build-i386/config.status] Erreur 1
dpkg-buildpackage: erreur: debian/rules build a produit une erreur de sortie de type 2

J’ai donc modifié le fichier fstab du vserver dans la configuration du serveur hote :

$ vim /etc/vservers/SERVER/fstab

none    /dev/shm    tmpfs    size=50m,mode=1777    0 0

Et j’ai redémarré le vserver. Pour info, il existe des commandes pour le faire à chaud également.

Après compilation réussie :

$ dpkg -i libapr1_1.4.6-3+deb7u1_i386.deb
$ /etc/init.d/apache2 start
[ ok ] Starting web server: apache2.

Notre serveur Apache démarre correctement

Nettoyage des paquets inutiles

On supprime les paquets qui avaient était nécessaires pour la compilation :

$ apt-get remove debhelper autoconf autotools-dev uuid-dev doxygen libtool && apt-get autoremove && apt-get clean

L’article Apache refuse de démarrer dans un vserver à cause du socket est apparu en premier sur Mon linux.

Il permet également de sécuriser les systèmes qui sont placés derrière ce proxy. En étant en frontal sur le web et en présentant son « interface ». Le proxy apparait comme un Apache aux yeux des bots de scan. On peut même laisser sa signature exprès pour que les bots n’aillent pas plus loin. Il sera identifié comme serveur Apache par un scan externe.

Explications du reverse proxy Apache

Le client doit accéder l’application Pyload par exemple. Celle-ci fonctionne sur le server2 sur le port 8080. Faire un simple DNAT sur le firewall est possible, mais quand on a plusieurs applications et une seule adresse IP, cela devient impossible…

Avec le reverse proxy Apache, le client accède à l’application en tapant http://MON_DOMAINE_OU_IP/application et les requêtes sont redirigées vers http://server2:8080. Cela est invisible pour lui. Vous pouvez faire de même pour toutes vos applications sur vos différents serveurs, même pour des serveurs IIS de Windows…

Mise en place

Pour la gestion du proxy Apache, les paquets suivants sont nécessaires :

$ apt-get install apache2 libapache2-mod-proxy-html

Pour activer la gestion de proxy, il faut activer le module Apache :

$ a2enmod proxy_http

Pour la gestion de proxy html avec réécriture des url dans le contenu des pages html vous aurez besoin d’activer les modules Apache :

$ a2enmod proxy_html headers

Beaucoup d’application, comme Pyload, ne sont pas codées en liens relatifs, mais en liens absolus… Et sans utiliser les modules en question, vous vous retrouveriez avec des liens externes en http://10.xxx.xxx.xxx/applications/qqch par exemple…

D’abord, configurer ce qui est autorisé dans le fichier du site (surtout utile pour ProxyRequests). Pour ma part, aucune restrictions, cela se configure comme un « Directory ».

$ vim /etc/apache2/sites_enabled/000-default
<Proxy *>
Order allow,deny
Allow from all
</Proxy>

Voici la configuration d’exemple pour l’application Pyload. Ceci est valide pour Apache v2.1+. Pour les versions moins récentes, la configuration est donnée après.

ProxyPass /pyload/ http://127.0.0.1:8081/
ProxyPassReverse /pyload/ http://127.0.0.1:8081/
ProxyHTMLURLMap http://127.0.0.1:8081 /pyload
<Location /pyload/>
ProxyHTMLEnable On                                     #### v2.1 min
ProxyHTMLExtended on
ProxyPassReverse /
ProxyHTMLURLMap / /pyload/
RequestHeader unset Accept-Encoding
</Location>

ProxyHTMLLogVerbose On # pour afficher de quoi debugger

Pour Apache plus vieux que le 2.1 :

ProxyPass /pyload/ http://127.0.0.1:8081/
ProxyPassReverse /pyload/ http://127.0.0.1:8081/
ProxyHTMLURLMap http://127.0.0.1:8081 /pyload
<Location /pyload/>
SetOutputFilter proxy-html                            #### older 2.1
ProxyPassReverse /
ProxyHTMLURLMap / /pyload/
RequestHeader unset Accept-Encoding
</Location>

Certaines applications on besoin de règles de réécriture des url. Il faut activer le module « rewrite » d’Apache. Voici une configuration d’exemple :

ProxyPass /pyload/ http://127.0.0.1:8081/
ProxyPassReverse /pyload/ http://127.0.0.1:8081/
RewriteRule ^/pyload$ /pyload/ [R]
ProxyHTMLURLMap http://127.0.0.1:8081 /pyload
<Location /pyload/>
    SetOutputFilter proxy-html
    ProxyPassReverse /
    ProxyHTMLURLMap / /pyload/
    RequestHeader unset Accept-Encoding
</Location>

Problème courant

Lorsque l’on utilise un domaine pour le proxy de notre application comme « http://test.monlinux.net« , on a généralement aucun problème. Mais lorsque l’on prend un sous-dossier comme « http://192.168.1.2/pyload« , des problèmes peuvent apparaitre avec les liens des css, javascript ajax, etc.

Une grande partie des problèmes d’intégration sont liés à l’application. Il faut parfois chercher les bonnes options pour le proxy Apache, mais jusqu’ici aucune application bien conçue ne m’a posé problème.

Plus d’infos sur le mod_proxy via le site d’Apache.

N’hésitez pas à faire un test de benchmark de vos applications web en directe et à travers le reverse proxy pour vérifier les performances. Vous verrez que le mod_proxy ne change presque rien et que la réécriture des url change un peu la donne par contre…

L’article Apache en mode reverse proxy est apparu en premier sur Mon linux.

$ apache2ctl configtest.conf
    Syntax OK
$ apache2 -S

Pour tester la performance de votre application ou pour des tests de performances de charge, Apache dispose d’un outil de Benchmark. Il est fourni de base avec Apache mais peut aussi être installé indépendamment via le paquet « apache2-utils » sur votre pc.

$ ab -n 1000 -c 30 http://votresite.tld/

• -n est le nombre de requêtes à effectuer en même temps
• -c est le nombre de fois qu’on va effectuer cette « session » de requêtes

L’article Apache – test de configuration et benchmark est apparu en premier sur Mon linux.

Mais chaque nouvel utilisateur reçoit un message d’avertissement de sécurité et ce n’est pas professionnel.

Cela peut être dangereux. En effet, n’importe qui se plaçant entre le nouvel utilisateur et le serveur peut faire une attaque MITM et générer un certificat auto-signé pour se faire passer pour le serveur distant. Le nouvel utilisateur n’y verra que du feu s’il ne vérifie pas l’emprunte du certificat.

Il faut donc penser à utiliser un certificat signé par une autorité valide (CA). La plupart sont payantes mais il en existe des gratuits.

Je travaille avec StartSSL, qui permet d’avoir un certificat de niveau 1 gratuitement. Il faut penser à le renouveler tous les ans.

Attention qu’après avoir créé le certificat, il faut attendre 48h avant de le mettre en place sur votre serveur Apache.

En effet, le certificat n’est pas directement reconnu par les navigateurs comme firefox, chrome etc. Ces navigateurs utilisent une base de données. Si vous n’attendez pas ce délai, vous risquez d’avoir un message d’erreur jusqu’au moment où votre certificat aura été transmis à tous les serveurs de base de données des navigateurs.

Après avoir mis VOS informations personnels et pas celle de votre société, vous recevez un mail avec un code de validation du type :

Il est à recopier pour poursuivre VOTRE identification pour VOTRE certificat personnel. Ce n’est pas encore ici qu’on parle de votre certificat de site.

A cette étape, votre certificat personnel qui vous identifie VOUS, sera installé sur votre navigateur. On vous averti bien de le sauvegarder ailleurs!

Il faut aller dans les paramètres > options avancées > Certificats > afficher les certificats. Vous sélectionnez votre certificat et vous exporter/sauvegarder.

Sauvegardez le avec une extension .p12

Étape 2 – authentifier le domaine

Il faut vérifier que l’on est bien le détenteur du domaine avec une confirmation par mail sur l’adresse portmaster@test.tld par exemple.

Ensuite on pourra créer des certificats pour les sous-domaines, comme par exemple www.test.tld.

On utilise un mot de passe pour l’exportation de la clé. Le certificat généré demandera un mot de passe pour son utilisation.

Il faudra utiliser openssl pour retirer ce mot de passe pour mettre le certificat dans Apache, sinon vous devrez rentrer le mot de pase à chaque redémarrage d’Apache

openssl rsa -in ssl_passwd.key -out ssl.key

Étape 3 – création du certificat du site

Il ne reste qu’à créer le certificat proprement dit, on choisi le sous domaine concerné. Cela peut être www.test.tld et implicitement test.tld.

Le certificat est créé, il n’y a plus qu’à mettre le certificat et la clé privée sur le serveur Apache.

Rappel pour les options à utiliser pour un certificat dans la configuration virtualhost :

SSLEngine on
SSLCertificateFile /chemin/vers/www.example.com.cert
SSLCertificateKeyFile /chemin/vers/www.example.com.key

L’article Obtenir un certificat SSL valide gratuitement est apparu en premier sur Mon linux.