Linux環境使用AD驗證SVN用戶

在Windows環境，可以使用VirsualSVN直接實現類似功能，但Linux環境沒有現成的功能，下面的文章提供了一種經過驗證的實現方法！

使用AD作爲驗證SVN用戶的方式有很大的好處，最主要的是不需要爲SVN單獨創建用戶了，最終用戶也只需要記住域用戶和密碼即可。但這種方式還是無法無天解決授權的問題，仍然需要通過authz文件來定義哪些目錄開放給哪些域組或域用戶。

下面是配置SVN的linux服務器來支持AD驗證的過程： 

1. preparing. 準備工作
* confirm AD connection is OK. 確認AD的連接正常。

*所有文件內容可參見附件。

/etc/hosts
192.168.18.104  demo
192.168.18.104  demo.home.com

/etc/resolv.conf
nameserver 192.168.18.104

* start svn
sudo svnserve -d -r /testsvn

sudo svnserve -d -r /testsvn/repos
 - It will be report error when run "svn ls svn://xxx/repos": svn: 服務器報告認證錯誤: SASL(-1): generic failure: checkpass failed

2. follow steps of http://michaelcamden.me/?p=27 or "SVN Authentication using svnserve sasl ldap.docx"
example of config files
*/testsvn/repos/conf/svnserve.conf
[general]
anon-access = none
auth-access = write
[sasl]
use-sasl = true

*/usr/lib/sasl2/svn.conf
pwcheck_method: saslauthd
auxprop_plugin: ldap
mech_list: PLAIN LOGIN
ldapdb_mech: PLAIN LOGIN

*/etc/default/saslauthd
START=yes
DESC="SASL Authentication Daemon"
NAME="saslauthd"
MECHANISMS="ldap"
MECH_OPTIONS=""
THREADS=5
OPTIONS="-c -m /var/run/saslauthd"

*/etc/saslauthd.conf
ldap_servers: ldap://demo.home.com

ldap_default_domain: demo.home.com

ldap_search_base:DC=demo,DC=home,DC=com

ldap_bind_dn: CN=administrator,CN=Users,DC=demo,DC=home,DC=com

ldap_password: Windows2k
ldap_use_sasl: no
ldap_mech: PLAIN

ldap_auth_method: bind

ldap_filter: sAMAccountName=%u

3. check commands
*restart sasl service:
sudo /etc/init.d/saslauthd restart

*test ldap search
ldapsearch -x -w Windows2k -D "cn=william,cn=Users,DC=demo,DC=home,DC=com" -b 'cn=william,CN=Users,DC=demo,DC=home,DC=com' -h demo.home.com
# extended LDIF
#
# LDAPv3
# base <cn=william,CN=Users,DC=demo,DC=home,DC=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# william, Users, demo.home.com
dn: CN=william,CN=Users,DC=demo,DC=home,DC=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: william
distinguishedName: CN=william,CN=Users,DC=demo,DC=home,DC=com
instanceType: 4
whenCreated: 20090507194733.0Z
whenChanged: 20110716162211.0Z
displayName: william
uSNCreated: 13948
uSNChanged: 167984
name: william
objectGUID:: Y6QNKtXBmUKIxwq2ECTquw==
userAccountControl: 512
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 129553304504218750
lastLogoff: 0
lastLogon: 129553304724375000
pwdLastSet: 129553069315156250
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAAyWTYl9QXgiiGOMgsVwQAAA==
accountExpires: 9223372036854775807
logonCount: 53
sAMAccountName: william
sAMAccountType: 805306368
userPrincipalName: [email protected]
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=demo,DC=home,DC=com
mail: [email protected]

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

*Login to repository:
tanghs@ubuntu:/testsvn/repos/conf$ sudo svn ls svn://192.168.18.109/repos
認證領域: <svn://192.168.18.109:3690> 2c49c88d-208a-44ad-aab8-34e66158eaaa
“root”的密碼: 
認證領域: <svn://192.168.18.109:3690> 2c49c88d-208a-44ad-aab8-34e66158eaaa
用戶名: william
“william”的密碼: 

-----------------------------------------------------------------------
注意!  你的密碼，對於認證域:

   <svn://192.168.18.109:3690> 2c49c88d-208a-44ad-aab8-34e66158eaaa

只能明文保存在磁盤上!  如果可能的話，請考慮配置你的系統，讓 Subversion
可以保存加密後的密碼。請參閱文檔以獲得詳細信息。

你可以通過在“/home/tanghs/.subversion/servers”中設置選項“store-plaintext-passwords”爲“yes”或“no”，
來避免再次出現此警告。
-----------------------------------------------------------------------
保存未加密的密碼(yes/no)? y
請輸入 'yes' 或 'no': yes
tanghs-test1/
test.txt

其實在網上搜索這個主題，已經有很多文章了，而且Subversion和TortoiseSVN的文檔上也有相關介紹。但在我自己配置的過程中，發現它們好像都不完全對。所以我覺得有必要把自己摸索的過程寫出來，供大家參考。不過已經有那麼多“前車之鑑”了，我的方法是否真的有用，只能靠老天保佑了。
要想配置成功，首先要保證Apache、Svn和mod_auth_sspi這幾個模塊的版本是匹配的。我最開始就是在這上面栽的跟頭。Apache有很多個版本（以2.0.x和2.2.x最常見），作爲對應，每個版本的svn都有一些子版本與其匹配。例如1.4.5版的svn就有針對2.0.x和2.2.x的兩個子版本。不幸的是，網上搜到的svn下載鏈接多是指向針對Apache 2.0.x的那個子版本，當把它用在最新版（目前是2.2.6）的Apache上時，出問題就是必然的了。實際上，當使用2.2.x版的Apache時，我們應該到，點擊左側的文件夾（等以後有了新版的apache，可能就是其它對應的文件夾了），然後在右側的文件列表中下載對應得svn（我下載的是）。mod_auth_sspi我們也下載針對2.2.x版apache的那個就可以了。
以下是我的安裝配置過程，它是針對apache2.2.6和svn1.4.5的，如果你用的是其它版本，可能一些細節上會有所不同。
分別安裝apache和svn（svn就是把壓縮包解開就行），然後把svn\bin文件夾下的mod_dav_svn.so、mod_authz_svn.so、libdb44.dll和intl3_svn.dll拷貝到apache的modules文件夾下，mod_auth_sspi中的mod_auth_sspi.so也拷貝到那去。
最後是修改apache的配置文件httpd.conf，經過我的試驗，最後確定使用下面配置文件就行了（其中背景標紅的內容你可能需要根據你的實際情況進行修改）。 

ThreadsPerChild 250
            MaxRequestsPerChild 0

            ServerRoot "C:/Program Files/Apache Software Foundation/Apache2.2"
            ServerName svnserver.mydomain.net:8080
            ServerSignature Off
            ServerTokens Prod
            DocumentRoot "htdocs"
            Listen 8080

            LoadModule sspi_auth_module modules/mod_auth_sspi.so
            #LoadModule auth_basic_module modules/mod_auth_basic.so
            #LoadModule auth_digest_module modules/mod_auth_digest.so
            #LoadModule authn_file_module modules/mod_authn_file.so
            LoadModule authz_svn_module modules/mod_authz_svn.so
            LoadModule dir_module modules/mod_dir.so
            LoadModule deflate_module modules/mod_deflate.so
            LoadModule mime_module modules/mod_mime.so
            LoadModule setenvif_module modules/mod_setenvif.so
            LoadModule dav_module modules/mod_dav.so
            LoadModule dav_svn_module modules/mod_dav_svn.so

            <Directory />
              Options FollowSymLinks
              AllowOverride None
            </Directory>

            <IfModule dir_module>
                DirectoryIndex index.html
            </IfModule>

            ErrorLog "e:/svn/server.log"
            LogLevel error

            DefaultType text/plain

            <IfModule mime_module>
                TypesConfig conf/mime.types
                AddType application/x-compress .Z
                AddType application/x-gzip .gz .tgz
                AddType application/x-x509-ca-cert .crt
                AddType application/x-pkcs7-crl .crl
            </IfModule>

# 注意“/svn/”中最後的斜槓是必須的, 否則列不出版本庫列表
            # 訪問時的url也要帶着它, 想要去掉它可搜索RedirectMatch
            <Location /svn/>
                 # configure SVN
                DAV svn
                 SVNListParentPath on
                 # 版本庫的根目錄
                 SVNParentPath e:/svn
                 # 權限控制文件
                 AuthzSVNAccessFile e:/svn/authz
                 # 認證時的提示信息(中文不好使)
                AuthName "My Subversion"
                 # 使用域認證
                AuthType SSPI
                 SSPIAuth On
                 SSPIAuthoritative On
                 # 指定使用那個域
                 SSPIDomain mydomain.net
                 # 是否省略掉用戶id的域名部分(好像只是影響svn的一些日誌記錄)
                 SSPIOmitDomain On
                 # 是否允許非IE客戶端(必須打開)
                 SSPIOfferBasic On
                 # 基本認證(非域認證方式)具有更高的優先級?
                 SSPIBasicPreferred Off
                 # 用戶名大小寫
                 SSPIUsernameCase lower
                 # 用戶必須通過認證
                Require valid-user
            </Location>

最後如果大家覺得手工編輯那個權限控制文件（authz）很麻煩的話，也有一個取巧的辦法，就是使用visualsvn server，雖然它目前還不支持域認證，但是我們可以借用它的權限管理界面。操作如下（假設版本庫的根目錄是e:\svn，並且權限控制文件的名字這時必須用authz）：
1） 按前面的操作安裝好apache和svn，但不要啓動apache
2） 把e:\svn改名爲e:\svn1
3） 並安裝visualsvn server，安裝時指定版本庫根目錄爲e:\svn
4） 停掉並禁用visualsvn server的服務（VisualSVNServer），刪除e:\svn
5） 把e:\svn1的名字改回e:\svn
6） 啓動apache
7） 啓動visualsvn server的管理界面，把要使用這個版本庫的所有人的域帳號都添加到它的用戶列表中去（密碼不會被實際使用，隨便設或留空都行）。
8） 萬事ok了，設置權限吧！