Wie kann ich einschränken Apache/SVN-Zugriff auf bestimmte Benutzer (LDAP/file-basierte Authentifizierung)?

Ich habe Apache/SVN läuft auf Windows Server 2003 mit Authentifizierung über LDAP/Active Directory und eine flat-Datei.

Ist es großartig, außer, dass alle LDAP-Benutzer Zugriff auf alles. Ich möchte in der Lage sein zu begrenzen SVN-repositories nach Benutzer oder Gruppe.

Ideal, ich würde zu bekommen, so etwas wie dieses:

<Location /svn/repo1>
  # Restricted to ldap-user1, file-user1, or members of ldap-group1,
  # all others denied
</Location>

<Location /svn/repo2>
  # Restricted to ldap-user2, file-user2, or members of ldap-group2,
  # all others denied
</Location>

Der eigentliche trick könnte sein, dass ich die gemischte Authentifizierung: LDAP und Datei:

<Location /svn>
  DAV svn
  SVNParentPath C:/svn_repository
  AuthName "Subversion Repository"
  AuthType Basic
  AuthBasicProvider ldap file
  AuthUserFile "svn-users.txt" #file-based, custom users
  AuthzLDAPAuthoritative On
  AuthLDAPBindDN [email protected]
  AuthLDAPBindPassword ldappassword
  AuthLDAPURL ldap://directory.com:389/cn=Users,dc=directory,dc=com?sAMAccountName?sub?(objectCategory=person)
  Require valid-user
</Location>

In meinem googeln habe ich gesehen, einige Leute erreichen dies, indem Sie in der authz - Datei wie folgt:

<Location /svn>
  ...
  AuthzSVNAccessFile "conf/svn-authz.txt"
</Location

Dann, ich müsste die Karte die AD-Benutzer. Beispiele für diesen Ansatz?

Vielen Dank für Ihre Konfiguration
Können Sie zulassen, dass alle lese - /schreib-Zugriff aber eine?

InformationsquelleAutor Michael Haren | 2009-01-27

8

Dieser war eigentlich viel einfacher als ich dachte, es wäre. Ich fügte das zu meinem Standort:
```
<Location /svn>
  ...
  AuthzSVNAccessFile "conf/svn-authz.txt"
</Location
```
In dieser Datei, die ich gerade angegeben normalen SVN-Berechtigungen (das system scheint nicht zu unterscheiden zwischen Datei-Benutzer und LDAP-Benutzer an dieser Stelle):
```
[groups]
@admin = haren

###
### Deny all but administrators to the tree
###

[/]
* =
@admin = rw


###
### Allow more specific people on a per-repository basis below
###

[repo1:/]
ldap-user1 = rw
file-user1 = rw

[repo2:/]
ldap-user2 = rw
file-user2 = rw
```
Ich bin immer noch Herumspielen mit der LDAP-Gruppe syntax zu bekommen, dass ein Teil der Arbeit. Anregungen gibt es geschätzt.

Hi, funktioniert die access control-Datei gearbeitet, die für LDAP-Benutzer auch?

InformationsquelleAutor Michael Haren
5

Andere Alternative Methode für Interessierte:
```
Require ldap-group cn=SVN Users,cn=Users,dc=company,dc=com
```
Dies wird vorausgesetzt, Sie erstellt eine Gruppe namens SVN-Benutzer in Active directory. Beachten Sie, dass es keine Anführungszeichen um die Gruppe.

Verwenden, statt Require valid-user

Dann haben Sie wahrscheinlich nicht haben, um apache neu starten, wenn Sie irgendwelche änderungen, nur fügen Sie den Benutzer der Gruppe im AD

Hi, wenn dies für einen bestimmten repo-sagen e.g test-repo, was wäre dann die Berechtigung im svn.die acl-Datei für die test-repo? sollte es sein, * = rw oder etwas anderes? Ich habe versucht, das hinzufügen, was Sie erwähnt haben, die zu httpd.conf-Datei für location /repos/test-repo, aber die test-repo nicht gesehen werden, von niemandem, einschließlich Gruppe SVN-Benutzer

InformationsquelleAutor Shiroi98
0

Sollten Sie nicht verwenden
```
Require valid-user
```
aber verwenden
```
Require group
```
Was ist dann die syntax für eine Gruppe? Ist es möglich, seine Informationen in der authz-Datei, damit ich nicht den apache neu starten nach jeder änderung?

InformationsquelleAutor Peter Parker

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.