Trac安装2 - 账户管理中我们可以看到,Trac中可以很方便的进行账户管理,包括用户建立(甚至可注册)、账户信息更改等。搭建Git Http服务器告诉我们如何搭建一个Git的http服务托管。现在,如果能把Trac中的账户信息用作Git Http服务的认证该多好啊:给新人开一个Trac账户,指定相应的授权,那么他就可以检出/更新Git库了!下面就来实现这个想法吧。
原理
Trac的账户信息是存储在DB中的(比如MySQL),实际上,我们需要Apache2利用DB中存储的信息来做授权。 Apache的MySQL认证 告诉我们,这很还是简单的(遗憾的是目前只能用MySQL)。
但是,我们的Case还要稍微麻烦一点:
问题1)Trac中账户密码的加密方式可以自由选择,超出了Apache MySQL认证的支持(参考Trac 账户管理插件加密方式);
问题2) Trac中账户信息不是简单的user专用表(选择SessionStore方式保存Auth信息时,账户信息在表session_attributes中),没有特定的username和password列。
对于问题1,我们需要做的是:指定Trac账户管理插件使用Apache MySQL认证支持的方式进行密码加密,比如MD5。而对于问题2,我想到的方案是:在MySQL中建立独立的用户信息表,利用MySQL触发器同步Trac账户的信息到此表中。
为了让Git使用到Trac中的用户权限设置,本例子中我们除了监控trac库中的session_attributes表外,也监控permissions表。下面我们就看一下配置过程:
配置Trac
1. 选择AuthStore为SesstionStore,具体参考Trac安装2 - 账户管理
2. 选择密码加密(hash)方式为“crypt”(注意MD5中明确告诉我们,Trac账户管理插件不是简单的md5密码,而是 用户名 + “::” + 密码)
配置MySQL
1. 创建用户信息表:
/*简单起见,这里将Git用户表建在Trac的库中,实际操作请自建另外的库*/
CREATE TABLE gituser(
username char(100),
passwd char(100),
primary key (username)
);
2.创建MySQL触发器,同步Trac账户信息到我们自己创建的Git用户表中:
use trac_database; /*切换到trac库中*/
/*初始化gituser数据*/
INSERT INTO gituser (SELECT username, SUBSTRING(password, 2) FROM session_attributes where name="password");
/*监听trac账户权限记录的新建,将满足权限的用户同步到git用户表中*/
delimiter //
CREATE TRIGGER sync_user_on_insert AFTER INSERT ON permissions
FOR EACH ROW
BEGIN
IF action='BROSWER_VIEW' THEN
INSERT INTO gituser (SELECT sid, SUBSTRING(value, 2) FROM session_attributes WHERE sid=NEW.username);
END IF;
END;//
delimiter ;
/*监听trac账户记录的更改,将更改后的账户信息同步到git用户表中*/
CREATE TRIGGER sync_user_on_update AFTER UPDATE ON session_attributes
FOR EACH ROW
UPDATE gituser SET username=NEW.sid, password=SUBSTRING(NEW.password, 2) WHERE username=OLD.sid;
/*监听trac账户权限记录的删除,将满足权限的用户记录从git用户表中删除*/
delimiter //
CREATE TRIGGER sync_user_on_delete AFTER DELETE ON permissions
FOR EACH ROW
BEGIN
IF action='BROSWER_VIEW' THEN
DELETE FROM gituser WHERE username=OLD.username;
END IF;
END;//
delimiter ;
配置Apache2的MySQL认证
1. 安装并激活MySQL认证插件:
sudo apt-get install libapache2-mod-auth-mysql
cd /etc/apache2/mods-enabled
sudo ln -s ../mods-available/auth_mysql.load .
2. 配置Git Http及其认证:
SetEnv GIT_PROJECT_ROOT /my_repos_root_path
SetEnv GIT_HTTP_EXPORT_ALL
ScriptAlias /repos/ /usr/lib/git-core/git-http-backend/
<Directory /repos>
Options Indexes FollowSymLinks MultiViews
AuthType Basic
AuthName "restricted git zone by apache"
AuthUserFile /dev/null
AuthBasicAuthoritative Off
AuthMYSQL on
AuthMySQL_Authoritative on
AuthMySQL_DB trac_db
Auth_MySQL_Host localhost
Auth_MySQL_User dbuser
Auth_MySQL_Password dbuserpwd
AuthMySQL_Password_Table gituser
AuthMySQL_Username_Field username
AuthMySQL_Password_Field password
AuthMySQL_Empty_Passwords off
#AuthMySQL_Encryption_Types SHA1Sum
AuthMySQL_Encryption_Types PHP_MD5 #注意此处必须和Trac账户管理的加密方式吻合,事实上,只有这个可用
#Auth_MySQL_Encrypted_Passwords on
# Standard auth stuff
Require valid-user
</Directory>