Installation GLPI : Configuration sécurisée du dossier racine

yann18 · 2023-05-09 15:42:43

Bonjour,
Non, j'ai relancé plusieurs fois le navigateur et le message apparaît également sur d'autres postes.
J'ai bien redémarré Apache.
A quoi correspondent ces paramètres et où les placez-vous ?

Chico008 · 2023-05-09 17:20:14

dans la balise directory, ce sont mes 2 premières propriété, avant les autres.

pour le navigateur, pas juste le relancer, vider aussi le cache et fichier temporaires au cas ou (on sait jamais)

ligenix · 2023-05-10 22:58:21

Bonsoir,

Je souhaite attirer votre attention sur le répertoire /var/www/html, qui au moins du côté Red hat/Fedora correspond au DocumentRoot qui est configuré par défaut dans le fichier httpd.conf

#
# DocumentRoot: The directory out of which you will serve your
# documents. By default, all requests are taken from this directory, but
# symbolic links and aliases may be used to point to other locations.
#
DocumentRoot "/var/www/html"

#
# Relax access to content within /var/www.
#
<Directory "/var/www">
    AllowOverride None
    # Allow open access:
    Require all granted
</Directory>

D'un point de vue sécurité positionner l'archive glpi dans /var/www/html exposera tout le dossier glpi en lecture depuis la racine du serveur web configuré par défaut, par exemple http://IP/glpi/, si celui est actif et qu'aucune sécurisation spécifique n'a pas été appliquée en dehors du VirtualHost.

Donc le bon niveau est /var/www.

yann18 · 2023-05-12 11:51:14

Bonjour,
Nous avons fini par trouver la solution : d'une part, ce n'était pas le bon fichier de configuration, et nous avons rajouté les lignes suivantes (trouvées sur ce même forum):
<Directory /usr/lib/cgi-bin>
SSLOptions +StdEnvVars
</Directory>
Merci pour vos réponse en tout cas.

Cedric31 · 2023-05-15 21:44:46

Bonjour, tout le monde.
Je profite de ce post pour faire appel à vos lumières.
Je suis néophyte dans l'informatique, veuillez m'excuser par avance du manque de connaissances et du manque de bon sens peut être.

Suite à un problème de place sur le serveur debian ou est installé GLPI 9.5, j'ai voulu faire une installation propre sur debian 11 avec les dernières versions PHP, mdb et apache.

J'ai fait une migration de l'ancien serveur (bdd + export /GLPI).

Le problème c'est que lorsque je veux me connecter à GLPI via simplement l'ip, comme je le faisais avec l'ancien serveur, j'arrive sur la page index of ...
Je suis obligé de cliquer sur le dossier glpi pour que la page de connexion s'affiche.
(J'ai vérifié et modifié à plusieurs le Vhost, notamment le document Root, suivi les recommandations d'installation, vérifié les droits).

J'ai également essayé d'installer d'abord glpi 10 et ensuite copier les dossiers config, files et import bdd. Mais sans succès non plus....

Mes connaissances étant limitées je ne sais plus trop où regarder...

Merci d'avance à ceux qui pourront m'orienter.

Chico008 · 2023-05-16 11:30:48

Bonjour

pour recap les etapes principales
exporter ta BDD actuelle, et l'importer sur la nouvelle
vu la volumetrie, a faire via les consoles des serveurs, via IHM (phpmyadmin) ca passera pas.

recupere les dossiers config et files de ta version actuelle
decompresse la nouvelle version sur ton nouveau serveur, et recolle dedans les dossiers config et files de ton ancienne install.
edit le fichier de conf pour mettre les infos de ta nouvelle BDD (ip, compte, mdp, etc)
install manuellement les eventuels plugin que tu avait (mais en version compatble glpi 10) dans plugins.

connecte toi sur ta v10, tu devrait arriver sur une page d'install/migration
suite les etapes, en principe il va detecter que ta base est dans une ancienne version, et faire la migration.
quand il aura fini, tu pourra acceder normallement a glpi, pense ensuite a supprimer/renommer le dossier install.

tout cela en supposant que ta conf Apache soit correcte bien entendu.
essaie dans un premier une conf standard, comme indiqué dans les pages précédentes, sans SSO ni SSL (que tu pourra mettre plus tard si besoin)

Cedric31 · 2023-05-17 09:37:29

Merci pour votre retour,

Tu confirmes ce que j'ai fais précédemment, je me suis concentré d'avantage sur mon Vhost, et j'ai ajouté "Servername = ip de ma machine", ainsi je suis directement dirigé vers la page d'authentification de glpi lorsque je tape l'ip sur une page web. Sur le principe j'ai un peu de mal à comprendre pourquoi je suis obligé de faire ca, mais je suppose que c'est tant que l'ancien serveur Glpi (ayant le même vhost) est en production, de plus je n'ai rien fait au niveau DNS. Si vous avez la logique, je prend

Pouvez vous aussi me confirmer que conformément aux suggestions de GLPI, il est conseillé de déplacer les dossiers (CONFIG, FILES, LOG) même pour une utilisation en interne ?

Bonne journée.

cyrillem · 2023-05-17 09:49:43

bonjour
je suis dans la meme configuration que vous

Pour déplacer les fichiers config, ce tuto est bien fait
neptunet fr /install-glpi10/

je n'ai pas encore trouvé comment faire le Vhost et ou le mettre
pouvez vous me donner le votre et m'indiquer ou le mettre sur debian11 (on peut echanger si vous souhaitez par MP pour pas polluer votre post)
Cdt

Last edited by cyrillem (2023-05-17 09:57:33)

Cedric31 · 2023-05-17 10:26:42

On peut échanger en mp mais je ne trouve pas comment.

Loiseau2nuit · 2023-05-19 14:49:14

Bonjour,

Sans grande surprise, même problème que tout le monde ici, sur un debian11/nginx.
Dès lors que je fais pointer le root directory sur /var/www/glpi/public, l'appli ne fonctionne pas et renvoit une 404 ... (tout au plus j'ai une login page mùais sans CS ??? Mais une fois authentifié : 404 !)

Si je rétablis le root directory sur /var/www/glpi uniquement, là tout repart comme sur des roulettes, modulo le fameux avertissement de sécurité.

Comme beaucoup ici je n'en suis pas à mon premier galop avec GLPI, j'ai suivi à la lettre le manuel donc, c'est pas pour critiquer ou rajouter de l'huile sur le feu, mais vu le nombre de personnes dans le même cas, il faut se rendre à l'évidence : il y a un problème avec la configuration suggérée ... ?

----------------------------

Hi there,

With no surprise, same problem as everyone here, on a debian11/nginx server.
As soon as I set my root directory to /var/www/glpi/public, the app won't work and goes 404 ... (At least I have a login page but with no CSS at all. But as soon as I'm logged => 404 !)

If I switch back the root directory to /var/www/glpi , everything goes back to normal, except that famous security warning.

Like a lot of people here, this is not my first rodeo with GLPI, I've followed every step in the install process so, not to argue on anything with anyone but, we might get to the evidence that something's wrong with the suggested configuration, might we not ? ?

Last edited by Loiseau2nuit (2023-05-19 14:55:47)

cedric-anne · 2023-05-22 09:22:31

Bonjour,

La configuration proposée se veut la plus simple possible et donc forcément ne couvre pas tous les cas possibles. Je n'ai pas suivi toutes les discussions relatives aux problèmes rencontrés à ce niveau, donc je ne saurai dire ce qui manque ou non dans la documentation. Ce qui est certain, c'est que tout le monde a le droit de proposer d'améliorer cette documentation. Si quelqu'un pense qu'il faut ajouter une section avec des exemples concrets en fonction de cas d'usages précis mais rencontrés régulièrement, il ne faut pas hésiter à écrire la documentation correspondante et la proposer sur le projet Github.

Chico008 · 2023-05-23 13:57:44

Pour ca aussi qu'il est d'une grande aide de poster votre config apache/nginx ou autre
car juste dire que t'a mis le document root ok, mais on voit si dans ta conf t'aurais pas oublier une ligne de conf, ou si y'a un erreur dedans qui expliquerait ton soucis.

beaucoup ont des problèmes, certes, mais beaucoup aussi ont pu resoudre ces soucis et pour qui ca fonctionne tres bien desormais (j'en fait partis)

Loiseau2nuit · 2023-05-23 17:41:38

C'est bon pour nous.

Il a simplement fallu qu'on modifie cette directive dans le vhost nginx, dont l'écriture en commentaire semblait ici poser problème sans que je ne m'explique réellement pourquoi.

Une fois fait, c'était OK

    
# location ~ \.php$ { .../... }
   location ~ ^/index\.php$ { .../... }

Last edited by Loiseau2nuit (2023-05-23 17:41:50)

Aka · 2023-06-09 14:13:00

hello,
Même problème de mon coté :

mon Vhost :

<VirtualHost *:80>
ServerName fusioninventory.asmis.net

DocumentRoot /var/www/glpi/public

# If you want to place GLPI in a subfolder of your site (e.g. your virtual host is serving multiple applications),
# you can use an Alias directive:
# Alias "/glpi" "/var/www/glpi/public"

<Directory /var/www/glpi/public>
Require all granted

RewriteEngine On

# Redirect all requests to GLPI router, unless file exists.
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ index.php [QSA,L]
</Directory>
</VirtualHost>

voici le retour du navigateur :

Ce site est inaccessible
fusioninventory.asmis.net n'autorise pas la connexion.
Voici quelques conseils :

Vérifier la connexion
Vérifier le proxy et le pare-feu
ERR_CONNECTION_REFUSED

Last edited by Aka (2023-06-09 14:13:30)

Chico008 · 2023-06-09 14:16:14

que racontent tes logs apache lors de la tentative de connexion ?

Aka · 2023-06-09 14:40:47

En fait c'est apache qui n'arrive pas a ce lancer ...

░░ L'unité (unit) apache2.service a commencé à démarrer.
juin 09 12:36:17 2023ubuglpi apachectl[1126]: AH00526: Syntax error on line 29 of /etc/apache2/sites-enabled/fusioninventory.conf:
juin 09 12:36:17 2023ubuglpi apachectl[1126]: Invalid command 'RewriteEngine', perhaps misspelled or defined by a module not included in the server configuration
juin 09 12:36:17 2023ubuglpi apachectl[1123]: Action 'start' failed.
juin 09 12:36:17 2023ubuglpi apachectl[1123]: The Apache error log may have more information.
juin 09 12:36:17 2023ubuglpi systemd[1]: apache2.service: Control process exited, code=exited, status=1/FAILURE

Aka · 2023-06-09 14:48:37

C'est bon trouvé !

a2enmod rewrite
systemctl reload apache2

et le tour est joué !

Last edited by Aka (2023-06-09 14:48:50)

Robin MATHE · 2023-06-09 19:03:30

Bonjour,

J'ai également eu le problème qu'apache ne voulait pas se lancer suite à la modification des chemins.

Pour corriger cela j'ai executer la commande suivante "a2enmod rewrite" (après la modification) et tout est rentré dans l'ordre

fabounio · 2023-06-16 10:30:38

pour ma part, quand je fais la modification recommandée (pointage du documenteront dans le sous dossier public et rajout des règles dans les balises directory, non seulement j'ai toujours le message d'erreurs, mais pleins d'éléments sont manquants ou remplacés par des triangles jaunes avec point d'exclamation...
j'ai essayé a peu près toutes les suggestions proposées sur ce fil, sans aucun changement.
Rocky Linux 8.8, apache 2.4, php 8.1... rien de bien exotique.
si vous avez déja eu ca... dans certains logs, il est indiqué qu'il ne trouve pas certains fichiers et on voit que le chemin des fichiers comporte un /../ au beau milieu donc, chemins mal écrits..
je tourne en rond...

Tartiflette-debug · 2023-06-20 10:23:02

Bonjour,

Les actions citées ici m'ont effectivement permis de régler le "problème" de sécurité et d'affichage du message (et je vous en remercie). Cependant, pour une raison que j'ignore, je perd le marketplace en contrepartie... L'échange n'est pas très équitable
Quelqu'un aurait-il une idée ?

Edit: j'ai également perdu la visibilité du temps sur chacune des tâches dans mes tickets

Last edited by Tartiflette-debug (2023-06-20 11:16:14)

28weekslater · 2023-06-22 17:33:49

Bonjour,

suite à un crash d'un disque d'un hyperviseur, je dois réinstaller GLPI.

Je rencontre également ce souci et ce, malgré plusieurs tentatives...

Mon nouveau serveur est installé comme ceci :

Debian 12 / Apache 2.4 / php 8.2 / MariaDB 10.11.3 / GLPI 10.0.7

J'ai bien suivi la procédure d'installation (en m'aidant de ce tuto que j'avais déjà suivi pour une précédente installation pour certaines commandes comme pour déplacer les dossiers files et config, par exemple) mais y a rien à faire, j'ai toujours ce fichu message :

Configuration sécurisée du dossier racine du serveur web
La configuration du dossier racine du serveur web devrait être `/var/www/glpi/public` pour s'assurer que les fichiers non publics ne peuvent être accessibles.
La configuration du dossier racine du serveur web n'est pas sécurisée car elle permet l'accès à des fichiers non publics. Référez-vous à la documentation d'installation pour plus de détails.

J'ai essayé en configurant mon Apache de ces façons :

En ajoutant les lignes suivantes dans le fichier /etc/apache2/sites-available/000-default.conf ou en créant un nouveau fichier de conf Apache /etc/apache2/sites-available/glpi.conf (avec l'alias commenté et dé-commenté, même résultat) :

<VirtualHost *:80>
    ServerName glpi.localhost

    DocumentRoot /var/www/glpi/public

    # If you want to place GLPI in a subfolder of your site (e.g. your virtual host is serving multiple applications),
    # you can use an Alias directive:
    Alias "/glpi" "/var/www/glpi/public"

    <Directory /var/www/glpi/public>
        Require all granted

        RewriteEngine On

        # Redirect all requests to GLPI router, unless file exists.
        RewriteCond %{REQUEST_FILENAME} !-f
        RewriteRule ^(.*)$ index.php [QSA,L]
    </Directory>
</VirtualHost>

J'ai bien activé la configuration avec

a2ensite glpi

et j'ai bien activé le mod rewrite avec

a2enmod rewrite

J'ai relancé Apache je ne sais combien de fois, j'ai redémarré le serveur, vidé mon cache navigateur (et tester en mode "private") mais rien n'y fait...

Là, je ne vous cache pas que je sèche un peu...
Ma configuration est des plus basique vu que je repars de zéro et même si je ne suis pas un "pro webmaster", j'ai déjà installé maintes fois GLPI sur différentes versions de Debian donc il doit y avoir un truc qui m'échappe (ou qu'il manque dans la doc, surtout qu'on est nombreux à remonter le problème au final ).

Please, help

Chico008 · 2023-06-23 10:33:29

le fichier 000-default.conf concerne la conf general et par defaut d'apache, il ne faut rien y ajouter qui concerne un site particulier.
donc remet le par defaut pour commencer si c'est pas fait

toute conf pour un site doit etre dans un fichier separé (type glpi.conf)
qui comprendra toute la conf necessaire a ton site glpi.

pour la conf que tu indiques, si tu accedes a ton glpi par l'adresse http://glpi.localhost, tu peut commencer ta ligne alias /glpi .....
l'alias sert uniquement si tu accedes a ton site par http://serveur/glpi par exemple.

apres chaque modification de conf, il faut bien relancer apache
eventuellement, vide le cache de ton navigateur.

28weekslater · 2023-06-23 12:35:05

Chico008 wrote:

le fichier 000-default.conf concerne la conf general et par defaut d'apache, il ne faut rien y ajouter qui concerne un site particulier.
donc remet le par defaut pour commencer si c'est pas fait
toute conf pour un site doit etre dans un fichier separé (type glpi.conf)
qui comprendra toute la conf necessaire a ton site glpi.
pour la conf que tu indiques, si tu accedes a ton glpi par l'adresse http://glpi.localhost, tu peut commencer ta ligne alias /glpi .....
l'alias sert uniquement si tu accedes a ton site par http://serveur/glpi par exemple.
apres chaque modification de conf, il faut bien relancer apache
eventuellement, vide le cache de ton navigateur.

Merci pour ta réponse Chico008

le fichier 000-default.conf a bien été remis comme il faut, je voulais juste tester (un grand philosophe disait "on sait jamais, sur un malentendu, ça peut marcher" )

pour l'alias, c'est parce que j'attaque mon site comme ceci http://server/glpi

d'ailleurs, même en le commentant, l'attaquer par http://glpi.server ne fonctionne pas du tout (mais ça c'est un truc que je verrai plus tard en approfondissant Apache)

Chico008 · 2023-06-23 13:37:29

si tu utilise un alias, il est plus sage de definir un nom de serveur fixe non ?
comme ca tu attaque par un http://server/glpi
*server peut etre un nom generique pour ton intranet

imaginons que ton serveur racine est http://intra.local
et tu veut glpi sous http://intra.local/glpi, dans ce cas il faut utiliser Alias et pas ServerName

si tu as possibilité d'avoir un dns perso, pour attaquer en glpi.intra.local (avec résolution IP vers ton serveur), dans ce cas ServerName et pas Alias.

pierreL · 2023-06-26 12:17:25

Bonjour,

j'ai le même problème que tcolin et d'autres membres.

tcolin wrote:

Bonjour,
J'ai un soucis depuis la mise à jour
Mes agents n'actualise plus depuis que l'URL a changer puisque l'ancienne URL n'est plus disponible (avant: http://glpi/glpi et maintenant : http://glpi)
Cela m'indique que l'acces à glpi/glpi est refusé
J'ai tenté d'ajouter un alias conformément à la documentation mais en vain (j'ai testé avec et sans les guillemets)
Voici mon fichier de apache glpi.conf:

<VirtualHost *:80>
ServerName glpi.localhost
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html/glpi/public
Alias "/glpi" "/var/www/html/glpi/public"
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
<Directory /var/www/html/glpi/public>
Require all granted
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ index.php [QSA,L]
</Directory>
</VirtualHost>

Sous GLPI 10.0.7, je n'arrive pas à me connecter à GLPI via le navigateur lorsque je définis l'adresse https://nomduserveur/glpi, j'ai le message suivant : "L'accès à "nomduserveur" a été refusé. Vous n'êtes pas autorisé à consulter cette page. HTTP ERROR 403". Lorsque je définis l'adresse https://nomduserveur , c'est ok. Je souhaiterai accéder à GLPI via l'adresse https://nomduserveur/glpi sous GLPI 10.0.7.

Comment faire ?

Je tiens à préciser que j'ai défini la ligne Alias "/glpi" "/var/www/html/glpi/public" dans le fichier de configuration vhost. Et que le dossier glpi soit installé dans /var/www/html/ ou dans /var/www/ ,cela ne change rien. Les droits sont bons sur le dossier GLPI.

Avez vous une solution à ce problème ?

Merci.

Remarque: Lorsque je laisse le chemin : "/var/www/glpi" ou "/var/www/html/glpi" (donc, je retire le mot public) dans le fichier de configuration vhost, j'ai accès à l'écran de connexion, mais un autre message apparaît :"Inventory disabled". J'acitive l'inventaire dans les paramètres de GLPI, je tente de me connecter avec le compte admin, et je reçois ce message: "This XML file does not appear to have any style information associated with it. The document tree is shown below.
<REPLY>
<ERROR>
<![CDATA[ XML not well formed! ]]>
</ERROR>
</REPLY>"

Last edited by pierreL (2023-06-26 13:36:25)

Forum GLPI-Project

Announcement

#26 2023-05-09 15:42:43

Re: Installation GLPI : Configuration sécurisée du dossier racine

#27 2023-05-09 17:20:14

Re: Installation GLPI : Configuration sécurisée du dossier racine

#28 2023-05-10 22:58:21

Re: Installation GLPI : Configuration sécurisée du dossier racine

#29 2023-05-12 11:51:14

Re: Installation GLPI : Configuration sécurisée du dossier racine

#30 2023-05-15 21:44:46

Re: Installation GLPI : Configuration sécurisée du dossier racine

#31 2023-05-16 11:30:48

Re: Installation GLPI : Configuration sécurisée du dossier racine

#32 2023-05-17 09:37:29

Re: Installation GLPI : Configuration sécurisée du dossier racine

#33 2023-05-17 09:49:43

Re: Installation GLPI : Configuration sécurisée du dossier racine

#34 2023-05-17 10:26:42

Re: Installation GLPI : Configuration sécurisée du dossier racine

#35 2023-05-19 14:49:14

Re: Installation GLPI : Configuration sécurisée du dossier racine

#36 2023-05-22 09:22:31

Re: Installation GLPI : Configuration sécurisée du dossier racine

#37 2023-05-23 13:57:44

Re: Installation GLPI : Configuration sécurisée du dossier racine

#38 2023-05-23 17:41:38

Re: Installation GLPI : Configuration sécurisée du dossier racine

#39 2023-06-09 14:13:00

Re: Installation GLPI : Configuration sécurisée du dossier racine

#40 2023-06-09 14:16:14

Re: Installation GLPI : Configuration sécurisée du dossier racine

#41 2023-06-09 14:40:47

Re: Installation GLPI : Configuration sécurisée du dossier racine

#42 2023-06-09 14:48:37

Re: Installation GLPI : Configuration sécurisée du dossier racine

#43 2023-06-09 19:03:30

Re: Installation GLPI : Configuration sécurisée du dossier racine

#44 2023-06-16 10:30:38

Re: Installation GLPI : Configuration sécurisée du dossier racine

#45 2023-06-20 10:23:02

Re: Installation GLPI : Configuration sécurisée du dossier racine

#46 2023-06-22 17:33:49

Re: Installation GLPI : Configuration sécurisée du dossier racine

#47 2023-06-23 10:33:29

Re: Installation GLPI : Configuration sécurisée du dossier racine

#48 2023-06-23 12:35:05

Re: Installation GLPI : Configuration sécurisée du dossier racine

#49 2023-06-23 13:37:29

Re: Installation GLPI : Configuration sécurisée du dossier racine

#50 2023-06-26 12:17:25

Re: Installation GLPI : Configuration sécurisée du dossier racine

Board footer