在Windows环境,可以使用VirsualSVN直接实现类似功能,但Linux环境没有现成的功能,下面的文章提供了一种经过验证的实现方法!
使用AD作为验证SVN用户的方式有很大的好处,最主要的是不需要为SVN单独创建用户了,最终用户也只需要记住域用户和密码即可。但这种方式还是无法无天解决授权的问题,仍然需要通过authz文件来定义哪些目录开放给哪些域组或域用户。
下面是配置SVN的linux服务器来支持AD验证的过程:
1. preparing. 准备工作
* confirm AD connection is OK. 确认AD的连接正常。
*所有文件内容可参见附件。
/etc/hosts
192.168.18.104 demo
192.168.18.104 demo.home.com
/etc/resolv.conf
nameserver 192.168.18.104
* start svn
sudo svnserve -d -r /testsvn
sudo svnserve -d -r /testsvn/repos
- It will be report error when run "svn ls svn://xxx/repos": svn: 服务器报告认证错误: SASL(-1): generic failure: checkpass failed
2. follow steps of http://michaelcamden.me/?p=27 or "SVN Authentication using svnserve sasl ldap.docx"
example of config files
*/testsvn/repos/conf/svnserve.conf
[general]
anon-access = none
auth-access = write
[sasl]
use-sasl = true
*/usr/lib/sasl2/svn.conf
pwcheck_method: saslauthd
auxprop_plugin: ldap
mech_list: PLAIN LOGIN
ldapdb_mech: PLAIN LOGIN
*/etc/default/saslauthd
START=yes
DESC="SASL Authentication Daemon"
NAME="saslauthd"
MECHANISMS="ldap"
MECH_OPTIONS=""
THREADS=5
OPTIONS="-c -m /var/run/saslauthd"
*/etc/saslauthd.conf
ldap_servers: ldap://demo.home.com
ldap_default_domain: demo.home.com
ldap_search_base:DC=demo,DC=home,DC=com
ldap_bind_dn: CN=administrator,CN=Users,DC=demo,DC=home,DC=com
ldap_password: Windows2k
ldap_use_sasl: no
ldap_mech: PLAIN
ldap_auth_method: bind
ldap_filter: sAMAccountName=%u
3. check commands
*restart sasl service:
sudo /etc/init.d/saslauthd restart
*test ldap search
ldapsearch -x -w Windows2k -D "cn=william,cn=Users,DC=demo,DC=home,DC=com" -b 'cn=william,CN=Users,DC=demo,DC=home,DC=com' -h demo.home.com
# extended LDIF
#
# LDAPv3
# base <cn=william,CN=Users,DC=demo,DC=home,DC=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# william, Users, demo.home.com
dn: CN=william,CN=Users,DC=demo,DC=home,DC=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: william
distinguishedName: CN=william,CN=Users,DC=demo,DC=home,DC=com
instanceType: 4
whenCreated: 20090507194733.0Z
whenChanged: 20110716162211.0Z
displayName: william
uSNCreated: 13948
uSNChanged: 167984
name: william
objectGUID:: Y6QNKtXBmUKIxwq2ECTquw==
userAccountControl: 512
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 129553304504218750
lastLogoff: 0
lastLogon: 129553304724375000
pwdLastSet: 129553069315156250
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAAyWTYl9QXgiiGOMgsVwQAAA==
accountExpires: 9223372036854775807
logonCount: 53
sAMAccountName: william
sAMAccountType: 805306368
userPrincipalName: william@demo.home.com
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=demo,DC=home,DC=com
mail: william@demo.home.com
# search result
search: 2
result: 0 Success
# numResponses: 2
# numEntries: 1
*Login to repository:
tanghs@ubuntu:/testsvn/repos/conf$ sudo svn ls svn://192.168.18.109/repos
认证领域: <svn://192.168.18.109:3690> 2c49c88d-208a-44ad-aab8-34e66158eaaa
“root”的密码:
认证领域: <svn://192.168.18.109:3690> 2c49c88d-208a-44ad-aab8-34e66158eaaa
用户名: william
“william”的密码:
-----------------------------------------------------------------------
注意! 你的密码,对于认证域:
<svn://192.168.18.109:3690> 2c49c88d-208a-44ad-aab8-34e66158eaaa
只能明文保存在磁盘上! 如果可能的话,请考虑配置你的系统,让 Subversion
可以保存加密后的密码。请参阅文档以获得详细信息。
你可以通过在“/home/tanghs/.subversion/servers”中设置选项“store-plaintext-passwords”为“yes”或“no”,
来避免再次出现此警告。
-----------------------------------------------------------------------
保存未加密的密码(yes/no)? y
请输入 'yes' 或 'no': yes
tanghs-test1/
test.txt
其实在网上搜索这个主题,已经有很多文章了,而且Subversion和TortoiseSVN的文档上也有相关介绍。但在我自己配置的过程中,发现它们好像都不完全对。所以我觉得有必要把自己摸索的过程写出来,供大家参考。不过已经有那么多“前车之鉴”了,我的方法是否真的有用,只能靠老天保佑了。
要想配置成功,首先要保证Apache、Svn和mod_auth_sspi这几个模块的版本是匹配的。我最开始就是在这上面栽的跟头。Apache有很多个版本(以2.0.x和2.2.x最常见),作为对应,每个版本的svn都有一些子版本与其匹配。例如1.4.5版的svn就有针对2.0.x和2.2.x的两个子版本。不幸的是,网上搜到的svn下载链接多是指向针对Apache 2.0.x的那个子版本,当把它用在最新版(目前是2.2.6)的Apache上时,出问题就是必然的了。实际上,当使用2.2.x版的Apache时,我们应该到,点击左侧的文件夹(等以后有了新版的apache,可能就是其它对应的文件夹了),然后在右侧的文件列表中下载对应得svn(我下载的是)。mod_auth_sspi我们也下载针对2.2.x版apache的那个就可以了。
以下是我的安装配置过程,它是针对apache2.2.6和svn1.4.5的,如果你用的是其它版本,可能一些细节上会有所不同。
分别安装apache和svn(svn就是把压缩包解开就行),然后把svn\bin文件夹下的mod_dav_svn.so、mod_authz_svn.so、libdb44.dll和intl3_svn.dll拷贝到apache的modules文件夹下,mod_auth_sspi中的mod_auth_sspi.so也拷贝到那去。
最后是修改apache的配置文件httpd.conf,经过我的试验,最后确定使用下面配置文件就行了(其中背景标红的内容你可能需要根据你的实际情况进行修改)。
ThreadsPerChild 250 |
最后如果大家觉得手工编辑那个权限控制文件(authz)很麻烦的话,也有一个取巧的办法,就是使用visualsvn server,虽然它目前还不支持域认证,但是我们可以借用它的权限管理界面。操作如下(假设版本库的根目录是e:\svn,并且权限控制文件的名字这时必须用authz):
1) 按前面的操作安装好apache和svn,但不要启动apache
2) 把e:\svn改名为e:\svn1
3) 并安装visualsvn server,安装时指定版本库根目录为e:\svn
4) 停掉并禁用visualsvn server的服务(VisualSVNServer),删除e:\svn
5) 把e:\svn1的名字改回e:\svn
6) 启动apache
7) 启动visualsvn server的管理界面,把要使用这个版本库的所有人的域帐号都添加到它的用户列表中去(密码不会被实际使用,随便设或留空都行)。
8) 万事ok了,设置权限吧!