Académique Documents
Professionnel Documents
Culture Documents
1.1. UNE ARCHITECTURE CLIENT/SERVEUR EVOLUTIVE 4 1.2. INTERACTION ENTRE CLIENT ET SERVEUR 6 1.3. L'IDENTIFICATION DES SERVEURS WEB PAR LE MECANISME DNS 8 1.4. LA STRUCTURE D'UNE URL 9 1.5. HTTP : INTRODUCTION 11 2. ORGANISER LES CONTENUS 2.1. LES REPERTOIRES DE BASE 2.2. LES REPERTOIRES VIRTUELS 2.3. IDENTIFICATION DES CONTENUS 3. ADMINISTRER LE SERVEUR WEB 13 13 13 14 16
3.1. HERITAGE DES PROPRIETES 17 3.2. NOMMER DES OPERATEURS DE SITES WEB 17 3.3. ADMINISTRER LES SITES A DISTANCE 18 3.4. AFFECTER UN NOM AU SITE 19 3.4.1. SYSTEME DE RESOLUTION SUR UN INTRANET 3.4.2. SYSTEME DE RESOLUTION DE NOM SUR INTERNET 3.4.3. ATTRIBUTION DE NOMS D'EN-TETE D'HOTE 3.5. AUTHENTIFICATION DES UTILISATEURS 20 3.5.1. AUTHENTIFICATION DE BASE 3.5.2. AUTHENTIFICATION PAR STIMULATION REPONSE DE NT 3.5.3. AUTHENTIFICATION DE CERTIFICATS CLIENTS SSL 3.6. CONTROLE D'ACCES 23 3.6.1. RESTRICTIONS D'ACCES DES ORDINATEURS 3.6.2. AUTORISATIONS DU SERVEUR WEB 3.6.3. AUTORISATIONS NTFS 3.6.4. AUTORISATION DES CONNEXIONS ANONYMES 3.7. ANALYSER L'ACTIVITE DU SITE 28 3.7.1. FORMAT DES FICHIERS JOURNAUX 3.7.2. MODE D'ENREGISTREMENT DES FICHIERS JOURNAUX 3.7.3. CONVERSION DES FICHIERS JOURNAUX
19 19 20 21 21 21 23 25 25 27 28 30 31
www.espaceista.sup.fr
Page 2 sur 33
www.espaceista.sup.fr
Page 3 sur 33
Le Web constitue l'application client serveur la plus rpandue dans le monde. Ce nouveau modle client/serveur est constitu de clients lgers universels, les navigateurs ou browsers, qui communiquent avec des serveurs Web de plus en plus sophistiqus. Les applications Web de la premire gnration sont trs simples et se contentent dans leur version initiale de servir des pages HTML statiques et en lecture seule. Les documents situs sur les serveurs sont accessibles au moyen des liens hypertexte qui mettent en uvre des mcanismes de nommages universels au travers des URL (Uniform Resource Locator). La localisation des documents s'effectue en 2 temps : une premire tape consacre la recherche du serveur par le mcanisme DNS, puis une recherche du document sur le serveur. Le web que nous connaissons aujourd'hui ne se contente plus de diffuser de l'information lectronique caractre statique. Il constitue une plate-forme applicative client/serveur rellement interactive. Sa dernire volution intgre, notamment dans le domaine de l'Intranet et du commerce lectronique, des technologies de composants rpartis.
www.espaceista.sup.fr
Page 4 sur 33
Web Hypertexte
Web Interactif
F onctionna l s it
Scripts CGI
Formulaires
Temps
< 1994 1995 1996 1997
www.espaceista.sup.fr
Page 5 sur 33
CLIENT
ET SERVEUR
La base de cette architecture reste le protocole HTTP (Hypertext Transfer Protocol) qui assure les fonctions de base. Il est trs rudimentaire et semblable au RPC. Il s'agit d'un protocole sans tat (Stateless) qui : Etablit la connexion. Assure la rception ou la transmission de paramtres, dont le document demand. Met fin la connexion. L'interaction entre le client et le serveur se droule ainsi : 1. Vous choisissez une URL cible En cliquant sur un lien hypertexte ou en saisissant l'adresse dans la barre de contrle de votre navigateur. Le navigateur envoie votre requte au serveur L'URL est insre dans une requte HTTP qui est transmise au serveur. Le serveur traite la requte La demande du client provoque l'tablissement d'une connexion de type socket (sur le port virtuel TCP 80 par dfaut pour le service HTTP) entre celui-ci et le serveur HTTP qui tourne en tche de fond dans l'attente des requtes. Le serveur interprte la demande du client, recherche le fichier HTML demand, expdie celui-ci et ferme la connexion. Le navigateur interprte les commandes HTML Le contenu de la page est affich dans la fentre du navigateur.
2.
3.
4.
www.espaceista.sup.fr
Page 6 sur 33
Client Navigateur
HTTP
Serveur Web
1 Attente d'une requte 2 Emission d'une requte par le client 3 Analyse de la requte 4 Excution de la mthode demande 5 Envoi de la rponse
www.espaceista.sup.fr
Page 7 sur 33
afpalim.tm.fr ?
Processus itratif
194.1.25.130
DNS 1
Base de donnes rpartie
DNS 2
...
DNS x
Zone 2
Cache
Zone X
Cache
Cache
Le systme DNS permet didentifier une machine par un nom reprsentatif de la machine et du rseau sur lequel elle se trouve ; exemple : www.afpalim.tm.fr identifie la machine www sur le rseau afpalim.tm.fr
Le systme est mis en uvre par une base de donnes distribue au niveau mondial Les noms sont grs par un organisme mondial : linterNIC et les organismes dlgus : RIPE, NIC France, NIC Angleterre, etc.
www.espaceista.sup.fr
Page 8 sur 33
URL
Nom du protocole : Il indique quel est le service utiliser pour atteindre la ressource spcifie. Outre le protocole HTTP, les URL sont aussi utilisables pour les autres protocoles applicatifs de l'Internet tels que FTP pour le transfert de fichier, News pour les forum ou mailto pour envoyer un courrier lectronique. Nom du serveur : Identifie le site publi sur le serveur : indique en gnral le nom de domaine de l'hte, mais on peut ventuellement lui substituer l'adresse IP du serveur. Toutefois, un serveur identifi par une adresse IP peut publier plusieurs sites. Numro de port : S'il est omis, c'est le port standard par dfaut qui est utilis. L'adresse IP associe au port TCP constitue le socket TCP qui identifie un point terminal (machine et processus) cible. Dfinition conventionnelle des ports TCP standards Numro de port Processus 20 FTP Transfert de donnes 21 FTP contrle 23 Emulation de terminal Telnet 25 Envoi de courrier lectronique SMTP 80 HTTP
Chemin et nom du document : Indique l'arborescence des rpertoires qui mne au document spcifi dans la dernire partie. Ce nom peut tre suivi du caractre ? et d'une chane de caractres qui permet de passer des paramtres
www.espaceista.sup.fr
Page 9 sur 33
Protocole applicatif
Nom du serveur
http
://www.afpalim.tm.fr
:6850
/chemin/document.ext
www.espaceista.sup.fr
Page 10 sur 33
HTTP (Hyper Text Transfer Protocol) est utilis depuis 1990 sur Internet. HTTP, de part sa simplicit, est extrmement robuste. Il est toutefois peu performant Ainsi il doit tablir une connexion TCP pour chaque requte (pas de session stateless) et il induit donc une charge inutile importante. Par exemple, si une page comporte 3 images, la demande de celle-ci demandera 4 connexions distinctes. Une pour la page, et une pour chaque image insre dans celle-ci. La simplicit, et donc la fiabilit de HTTP, se paie au prix d'une consommation excessive de ressources. HTTP admet 2 mthodes trs courantes et d'autres moins usites. Les plus frquemment utilises sont de trs loin : GET Retourne lobjet demand
POST Demande de stocker linformation (autorise au sein dun script) La commande GET peut tre aussi utilise pour passer des paramtres au serveur. Contrairement la mthode POST o les paramtres sont passs dans l'en-tte de la page, la mthode GET passe ces derniers dans l'URL derrire le point d'interrogation. Ainsi la requte suivante passe au script ASP Client_INS.asp les valeurs des champs de formulaire Nom et Adresse : HTTP://www.Monsite.fr/Client_INS.asp?nom=dutilleul&adresse= brive Parmi les autres on peut citer : HEAD PUT DELETE Retourne des informations sur lobjet Stocker une copie de lobjet (en HTTP 1.1 seulement) Supprimer l objet (en HTTP 1.1 seulement)
Page 11 sur 33
www.espaceista.sup.fr
www.espaceista.sup.fr
Page 12 sur 33
2.1. LES
REPERTOIRES DE BASE
Chaque site Web dispose d'un rpertoire de base qui reprsente l'emplacement central des publications. Le rpertoire de base est mapp sur le nom de domaine du site ou ventuellement sur le nom de l'ordinateur dans le cas d'un Intranet. Il peut disposer d'une page d'accueil, qui peut tre dfinit comme tant une page par dfaut. Ainsi L'URL WWW.mondomaine.fr affichera la page accueil.htm situe dans le rpertoire de base C:\InetPub\wwwroot. Il est possible de modifier le rpertoire de base d'un site Internet dans la console de gestion des services Internet (onglet rpertoire de base des proprits du site). Vous pouvez indiquer : Un rpertoire physique de votre machine Le partage d'un rpertoire distant Une redirection vers une autre URL
2.2. LES
REPERTOIRES VIRTUELS
Si vous souhaitez publier des pages depuis tout rpertoire n'appartenant pas au rpertoire de base, il vous faudra crer des rpertoires virtuels. Un rpertoire virtuel possde un alias qu'utiliseront les navigateurs pour accder aux pages publies
www.espaceista.sup.fr
Page 13 sur 33
2.3. IDENTIFICATION
DES CONTENUS
Vous avez la possibilit d'associer un entte HTTP qui dcrit le contenu de vos publications au format PICS (PlatForm for Internet Content Selection) et qui utilise un systme mis au point par le RSAC (Recreational Software Advisory Council) , permettant au navigateur de filtrer les contenus qui seront affichs dans sa fentre. Il s'agit essentiellement de protger le public de publications trop violentes, traitant de sujets caractre sexuel, Afin d'obtenir un certificat d'accs de votre contenu, il vous faut tablir une demande au RSAC par le biais d'un questionnaire envoyer lectroniquement. Pour obtenir un contrle d'accs sur les contenus choisir l'onglet En-ttes HTTP puis sous contrle d'accs, modifier le contrle d'accs.
www.espaceista.sup.fr
Page 14 sur 33
www.espaceista.sup.fr
Page 15 sur 33
Pour pouvoir publier plusieurs sites sur une mme machine, plusieurs solutions s'offrent vous. Vous pouvez : Spcifier plusieurs adresses IP sur votre carte rseau et associer chacune de ces adresses au nom de domaine d'un site. Mapper plusieurs noms de domaine sur la mme adresse IP en ayant recours la technique des noms d'entte d'hte.
www.espaceista.sup.fr
Page 16 sur 33
Chaque site possde sa propre feuille de proprits modifiable dans la fentre proprits du site. IIS propose un mcanisme d'hritage qui font que les proprits dfinies un niveau suprieur (serveur HTTP, site) seront automatiquement adoptes au niveau infrieur (site, rpertoires, ). Des modifications spcifiques peuvent ensuite tre manuellement apportes ces dernires. 3.2. NOMMER
DES OPERATEURS DE SITES
WEB
Vous pouvez dfinir des comptes utilisateurs NT qui possdent des droits d'administration limits un site Web. Ces oprateurs de sites n'ont pas accs aux paramtres du systme d'exploitation ou aux proprits gnrales concernant IIS. Le recours ces profils est particulirement intressant si vous hbergez sur une mme machine les sites de plusieurs socits. Ainsi, vous avez la possibilit de nommer un responsable par entreprise charg de l'administration du site de celle-ci. L'oprateur de site peut : Dfinir les paramtres d'enregistrement dans le fichier historique Dfinir les permissions d'accs Modifier les paramtres du contrle d'accs L'oprateur de site ne peut pas : Modifier les paramtres relatifs la limitation de bande passante Crer des rpertoires virtuels ou modifier leur chemin
www.espaceista.sup.fr
Page 17 sur 33
IIS offre la possibilit d'administrer les sites distance par le biais d'un gestionnaire de services HTML accessible depuis un simple Browser. L'administration distante se fait via un port d'administration dfinit alatoirement lors de l'installation de IIS, via le navigateur. Il convient donc d'associer l'URL le N de port IP virtuel dans la requte HTTP. L'administrateur doit dans un deuxime temps fournir un profil utilisateur et un mot de passe. Seuls les membres du groupe Administrateurs peuvent administrer un site distance. Il convient au pralable d'installer le gestionnaire de services HTML et de modifier les restrictions d'usage qui, par dfaut, ne sont accords qu' l'ordinateur local.
www.espaceista.sup.fr
Page 18 sur 33
Plusieurs possibilits vous sont offertes pour traduire les noms de vos sites en adresses IP correctes par un systme de rsolution de nom. Systme de rsolution de nom sur un Intranet Systme de rsolution de nom sur Internet Affectation de noms d'en-tte d'hte 3.4.1.SYSTEME DE RESOLUTION SUR UN INTRANET Le choix est fonction de la taille de votre rseau, de la frquence des volutions et de l'homognit ou non du parc. Mappage statique (fixe) des adresses IP sur des rseaux de petite taille et dont la stabilit importante ne demande pas de frquentes mises jour. L'administrateur cr un fichier HOSTS (pour les noms DNS) ou LMHOSTS (pour les noms Netbios) puis entre le nom et l'adresse IP de chaque ordinateur. Mappage dynamique : lorsque le client ouvre une session ou lorsque son bail arrive chance, l'ordinateur DHCP lui alloue une adresse IP et envoie celle-ci au serveur WINS (Windows Internet Name Service) qui enregistrera son nom et son adresse. Un mlange des deux : l'inscription dans les bases Wins peut se faire aussi manuellement pour les serveurs qui disposeraient d'adresses fixes et par un service DHCP pour les clients. Si votre rseau est htrogne il est aussi possible d'associer un serveur DNS, qui contient une base de donnes statique, un serveur Wins. 3.4.2.SYSTEME INTERNET DE RESOLUTION DE NOM SUR
Sur le rseau Internet, la rsolution des noms sera prise en charge par les serveurs DNS (Domain Name System) qui
www.espaceista.sup.fr
Page 19 sur 33
Par dfaut, les utilisateurs ouvrent sur un site Web des sessions en tant qu'utilisateur anonyme du site. Il n'y a donc pas authentification des utilisateurs. L'utilisateur se trouve connect l'aide d'un compte utilisateur Windows NT invit internet IUSRNomOrdinateur dont les accs sont restreints aux rpertoires publis sous IIS. Pour obliger les utilisateurs s'authentifier au moment de leur connexion, il faudra donc interdire les accs anonymes. Les utilisateurs doivent s'authentifier dans deux cas de figure : Lorsque l'accs anonyme est dsactiv Lorsque l'accs anonyme n'a pas les droits suffisants pour accder la ressource demande.
www.espaceista.sup.fr
Page 20 sur 33
Les changes entre le serveur et le client sont encrypts et les risques de voir les pirates se procurer frauduleusement des accs votre site sont donc fortement limits. Toutefois, cette fonctionnalit n'est ce jour prise en charge que par les navigateurs IE au-del de la version 2. C'est donc une technique plutt rserve un usage en Intranet o le type de navigateur peut tre impos. Lorsque les 2 techniques, authentification de base et authentification stimulation rponse NT sont mises en uvre, c'est l'authentification de base qui est prioritaire si le navigateur client la prend en charge. 3.5.3.AUTHENTIFICATION DE CERTIFICATS CLIENTS SSL Le serveur Web de IIS supporte les fonctionnalits du protocole SSL (Secure Socket Layout) et le protocole PCT (Private www.espaceista.sup.fr
Page 21 sur 33
www.espaceista.sup.fr
Page 22 sur 33
RCEPTION
REQUTE
ADRESSE IP AUTORISE ?
Oui
Non
UTILISATEUR AUTORIS ?
Non Oui
PERMISSIONS IIS
Oui
Non
ACCS
AUTORIS
Oui
PERMISSIONS NTFS
Non
ACCS
REFUS
Schma gnral du contrle d'accs 3.6.1.RESTRICTIONS D'ACCES DES ORDINATEURS Vous pouvez dfinir des restrictions des ordinateurs, des groupes d'ordinateurs ou des rseaux entiers en prcisant des rgles d'exclusion d'adresses IP. Ainsi, il est possible de s'assurer que seuls les membres d'un domaine de l'Intranet
www.espaceista.sup.fr
Page 23 sur 33
www.espaceista.sup.fr
Page 24 sur 33
Dfinir les autorisations Web au niveau Rpertoire 3.6.3.AUTORISATIONS NTFS Pour protger les fichiers et rpertoires de tout accs non autoris, les autorisations NTFS permettent de dfinir, pour des utilisateurs particuliers, et non pour tous les utilisateurs www.espaceista.sup.fr
Page 25 sur 33
www.espaceista.sup.fr
Page 26 sur 33
Tout serveur Web possde un compte d'utilisateur anonyme par dfaut IUSR_NomOrdinateur, ou NomOrdinateur correspond au nom du serveur Web. Vous pouvez conserver ce profil, ou crer un nouveau compte d'accs anonyme. Attention : il est impratif que le compte cr appartienne au groupe invit. Dans le menu stratgies il faudra ensuite attribuer le droit ouvrir une session localement cet utilisateur. Pour activer un accs anonyme au serveur Web, slectionnez un site, un rpertoire ou un fichier Web puis slectionnez sa feuille de proprits. Puis sous connexions anonymes et contrle d'authentification, cliquez sur modifier. Cochez la case autoriser les connexions anonymes. Pour modifier le compte de l'utilisateur anonyme, cliquez sur modifier
www.espaceista.sup.fr
Page 27 sur 33
Vous disposez, avec les options d'enregistrement dans le journal de IIS, d'outils de suivi de l'activit des utilisateurs de votre serveur Web. Ces informations peuvent tre stockes dans deux formats, fichiers ASCII (pour tre compatibles avec d'autres systmes) ou dans des bases de donnes compatibles ODBC. Vous pouvez ainsi connatre : L'identit des visiteurs Les pages consultes Les priodes de consultation Les checs de connexion
L'ensemble de ces donnes vous permettra : D'valuer la popularit de votre site De rsoudre les problmes ventuels rencontrs par vos clients D'organiser au mieux les ressources de votre serveur en fonction des informations recueillies. Les journaux crs par IIS peuvent tre lus l'aide d'un simple diteur de texte pour les formats ASCII ou avec des outils d'accs aux bases de donnes pour les formats ODBC. Pour que les transactions sur le site soient enregistres, il faut choisir l'option activer l'enregistrement dans le journal partir de la feuille de proprits de site Web. 3.7.1.FORMAT DES FICHIERS JOURNAUX Il existe 3 formats de fichiers ASCII. Le format Microsoft IIS : il est non personnalisable et enregistre des informations spcifiques telles que le temps de chargement d'un lment, le nombre d'octets envoys, Il s'agit d'un format ASCII avec sparateur.
www.espaceista.sup.fr
Page 28 sur 33
www.espaceista.sup.fr
Page 29 sur 33
Il est possible de prciser IIS la faon dont il doit crer de nouveaux journaux plutt que d'ajouter des enregistrements ceux existants. Il existe 3 critres principaux : La priode : tous les jours, toutes les semaines ou tous les mois. La taille : une fois la taille atteinte, un nouveau journal est cr. L'unicit : 1 seul journal est cr, les donnes sont alors toujours ajoutes ce dernier. Ce fichier n'est accessible qu'aprs arrt du site. Le nom du journal a trait son type et au mode d'enregistrement choisit, ainsi : Un fichier Microsoft IIS a pour prfixe in pour un enregistrement sur une priode ou inetsv pour un enregistrement selon la taille. Un fichier NCSA a pour prfixe nc pour un enregistrement sur une priode ou ncsa pour un enregistrement selon la taille. Un fichier W3C tendu a pour prfixe ex pour un enregistrement sur une priode ou extend pour un enregistrement selon la taille. Un fichier dont l'enregistrement porte sur la journe aura un suffixe de type aammjj. Un fichier dont l'enregistrement porte sur la semaine aura un suffixe de type aammss ou ss est le N de la semaine. Un fichier dont l'enregistrement porte sur le mois aura un suffixe de type aamm. Un fichier dont l'enregistrement est fonction de la taille aura comme suffixe un N d'ordre nn squentiel. Ce qui donne en final des exemples de ce type : inetsv03.log IIS / mode fonction de la taille. www.espaceista.sup.fr
Page 30 sur 33
3.7.3.CONVERSION DES FICHIERS JOURNAUX Un utilitaire convlog est disponible pour convertir les fichiers journaux de votre serveur Web en format NCSA standard. Le convertisseur permet de plus de remplacer les adresses IP par les noms DNS correspondants. Le logiciel convlog est accessible depuis une fentre de commandes DOS et admet les paramtres suivants : - -i qualifie le format d'entre (i IIS, n NCSA, e W3C) - nomfichier.log nom du fichier en entre - -t type de sortie (par dfaut NCSA) suivi du dcalage horaire par rapport GMT ncsa:GMToffset - -I format de date ((0 US, 1 Japonais, 2 Europen) - -o rpertoire de sortie - -x place les entres non HTTP dans un fichier .dmp - -d remplacement des adresses IP par le nom DNS Exemple : convlog i i inetsv10.log d t ncsa:-0500 convertit un fichier IIS au format NCSA avec 5 heures de dcalage par rapport GMT et remplace les adresses IP par les noms de domaine.
www.espaceista.sup.fr
Page 31 sur 33
3.8.
IIS permet un certain nombre de rglages afin d'amliorer les performances de votre serveur. Les performances de vos services peuvent tre observes l'aide de l'analyseur de performances de NT et d'aprs la lecture des enregistrements des journaux d'activit. 3.8.1.LIMITATION DE LA BANDE PASSANTE Si vous publiez plusieurs sites sur votre serveur et qu'ils partagent la mme carte rseau, il peut s'avrer intressant de limiter la bande passante consacre chacun d'entre eux en fonction du trafic qu'ils gnrent. De mme, il peut s'avrer utile de limiter la bande passante de IIS pour permettre d'autres services, une messagerie lectronique par exemple, de pouvoir s'excuter dans de bonnes conditions. Afin de modifier les valeurs de bande passante affectes IIS, affichez la fentre de proprits de l'ordinateur partir de Proprits de site Web, puis slectionnez activer la limitation de bande passante. Saisissez le nombre de ko/s maximal qui pourra tre utilis par IIS dans la boite de texte utilisation maximale du rseau. Afin de modifier les valeurs de bande passante affectes un site Web, affichez la fentre de proprits de ce dernier puis dans la fentre performances, slectionnez activer la limitation de bande passante. Tapez comme prcdemment la quantit maximale affecter ce site. 3.8.2.LIMITATION DES CONNEXIONS Pour limiter l'usage des ressources de votre serveur, et librer ainsi celles-ci pour d'autres services (ou d'autres sites), vous avez la possibilit de limiter le nombre de requtes HTTP
www.espaceista.sup.fr
Page 32 sur 33
www.espaceista.sup.fr
Page 33 sur 33