在Windows環境,可以使用VirsualSVN直接實現類似功能,但Linux環境沒有現成的功能,下面的文章提供了一種經過驗證的實現方法!
使用AD作爲驗證SVN用戶的方式有很大的好處,最主要的是不需要爲SVN單獨創建用戶了,最終用戶也只需要記住域用戶和密碼即可。但這種方式還是無法無天解決授權的問題,仍然需要通過authz文件來定義哪些目錄開放給哪些域組或域用戶。
下面是配置SVN的linux服務器來支持AD驗證的過程:
1. preparing. 準備工作
* confirm AD connection is OK. 確認AD的連接正常。
*所有文件內容可參見附件。
/etc/hosts
192.168.18.104 demo
192.168.18.104 demo.home.com
/etc/resolv.conf
nameserver 192.168.18.104
* start svn
sudo svnserve -d -r /testsvn
sudo svnserve -d -r /testsvn/repos
- It will be report error when run "svn ls svn://xxx/repos": svn: 服務器報告認證錯誤: SASL(-1): generic failure: checkpass failed
2. follow steps of http://michaelcamden.me/?p=27 or "SVN Authentication using svnserve sasl ldap.docx"
example of config files
*/testsvn/repos/conf/svnserve.conf
[general]
anon-access = none
auth-access = write
[sasl]
use-sasl = true
*/usr/lib/sasl2/svn.conf
pwcheck_method: saslauthd
auxprop_plugin: ldap
mech_list: PLAIN LOGIN
ldapdb_mech: PLAIN LOGIN
*/etc/default/saslauthd
START=yes
DESC="SASL Authentication Daemon"
NAME="saslauthd"
MECHANISMS="ldap"
MECH_OPTIONS=""
THREADS=5
OPTIONS="-c -m /var/run/saslauthd"
*/etc/saslauthd.conf
ldap_servers: ldap://demo.home.com
ldap_default_domain: demo.home.com
ldap_search_base:DC=demo,DC=home,DC=com
ldap_bind_dn: CN=administrator,CN=Users,DC=demo,DC=home,DC=com
ldap_password: Windows2k
ldap_use_sasl: no
ldap_mech: PLAIN
ldap_auth_method: bind
ldap_filter: sAMAccountName=%u
3. check commands
*restart sasl service:
sudo /etc/init.d/saslauthd restart
*test ldap search
ldapsearch -x -w Windows2k -D "cn=william,cn=Users,DC=demo,DC=home,DC=com" -b 'cn=william,CN=Users,DC=demo,DC=home,DC=com' -h demo.home.com
# extended LDIF
#
# LDAPv3
# base <cn=william,CN=Users,DC=demo,DC=home,DC=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# william, Users, demo.home.com
dn: CN=william,CN=Users,DC=demo,DC=home,DC=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: william
distinguishedName: CN=william,CN=Users,DC=demo,DC=home,DC=com
instanceType: 4
whenCreated: 20090507194733.0Z
whenChanged: 20110716162211.0Z
displayName: william
uSNCreated: 13948
uSNChanged: 167984
name: william
objectGUID:: Y6QNKtXBmUKIxwq2ECTquw==
userAccountControl: 512
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 129553304504218750
lastLogoff: 0
lastLogon: 129553304724375000
pwdLastSet: 129553069315156250
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAAyWTYl9QXgiiGOMgsVwQAAA==
accountExpires: 9223372036854775807
logonCount: 53
sAMAccountName: william
sAMAccountType: 805306368
userPrincipalName: [email protected]
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=demo,DC=home,DC=com
mail: [email protected]
# search result
search: 2
result: 0 Success
# numResponses: 2
# numEntries: 1
*Login to repository:
tanghs@ubuntu:/testsvn/repos/conf$ sudo svn ls svn://192.168.18.109/repos
認證領域: <svn://192.168.18.109:3690> 2c49c88d-208a-44ad-aab8-34e66158eaaa
“root”的密碼:
認證領域: <svn://192.168.18.109:3690> 2c49c88d-208a-44ad-aab8-34e66158eaaa
用戶名: william
“william”的密碼:
-----------------------------------------------------------------------
注意! 你的密碼,對於認證域:
<svn://192.168.18.109:3690> 2c49c88d-208a-44ad-aab8-34e66158eaaa
只能明文保存在磁盤上! 如果可能的話,請考慮配置你的系統,讓 Subversion
可以保存加密後的密碼。請參閱文檔以獲得詳細信息。
你可以通過在“/home/tanghs/.subversion/servers”中設置選項“store-plaintext-passwords”爲“yes”或“no”,
來避免再次出現此警告。
-----------------------------------------------------------------------
保存未加密的密碼(yes/no)? y
請輸入 'yes' 或 'no': yes
tanghs-test1/
test.txt
其實在網上搜索這個主題,已經有很多文章了,而且Subversion和TortoiseSVN的文檔上也有相關介紹。但在我自己配置的過程中,發現它們好像都不完全對。所以我覺得有必要把自己摸索的過程寫出來,供大家參考。不過已經有那麼多“前車之鑑”了,我的方法是否真的有用,只能靠老天保佑了。
要想配置成功,首先要保證Apache、Svn和mod_auth_sspi這幾個模塊的版本是匹配的。我最開始就是在這上面栽的跟頭。Apache有很多個版本(以2.0.x和2.2.x最常見),作爲對應,每個版本的svn都有一些子版本與其匹配。例如1.4.5版的svn就有針對2.0.x和2.2.x的兩個子版本。不幸的是,網上搜到的svn下載鏈接多是指向針對Apache 2.0.x的那個子版本,當把它用在最新版(目前是2.2.6)的Apache上時,出問題就是必然的了。實際上,當使用2.2.x版的Apache時,我們應該到,點擊左側的文件夾(等以後有了新版的apache,可能就是其它對應的文件夾了),然後在右側的文件列表中下載對應得svn(我下載的是)。mod_auth_sspi我們也下載針對2.2.x版apache的那個就可以了。
以下是我的安裝配置過程,它是針對apache2.2.6和svn1.4.5的,如果你用的是其它版本,可能一些細節上會有所不同。
分別安裝apache和svn(svn就是把壓縮包解開就行),然後把svn\bin文件夾下的mod_dav_svn.so、mod_authz_svn.so、libdb44.dll和intl3_svn.dll拷貝到apache的modules文件夾下,mod_auth_sspi中的mod_auth_sspi.so也拷貝到那去。
最後是修改apache的配置文件httpd.conf,經過我的試驗,最後確定使用下面配置文件就行了(其中背景標紅的內容你可能需要根據你的實際情況進行修改)。
ThreadsPerChild 250 |
最後如果大家覺得手工編輯那個權限控制文件(authz)很麻煩的話,也有一個取巧的辦法,就是使用visualsvn server,雖然它目前還不支持域認證,但是我們可以借用它的權限管理界面。操作如下(假設版本庫的根目錄是e:\svn,並且權限控制文件的名字這時必須用authz):
1) 按前面的操作安裝好apache和svn,但不要啓動apache
2) 把e:\svn改名爲e:\svn1
3) 並安裝visualsvn server,安裝時指定版本庫根目錄爲e:\svn
4) 停掉並禁用visualsvn server的服務(VisualSVNServer),刪除e:\svn
5) 把e:\svn1的名字改回e:\svn
6) 啓動apache
7) 啓動visualsvn server的管理界面,把要使用這個版本庫的所有人的域帳號都添加到它的用戶列表中去(密碼不會被實際使用,隨便設或留空都行)。
8) 萬事ok了,設置權限吧!