6

我在 Windows Server 2003 上运行 Apache/SVN,通过 LDAP/Active Directory 和平面文件进行身份验证。

除了任何LDAP 用户都可以访问所有内容之外,它工作得很好。我希望能够按用户或组限制 SVN 存储库。

理想情况下,我会得到这样的东西:

<Location /svn/repo1>
  # Restricted to ldap-user1, file-user1, or members of ldap-group1,
  # all others denied
</Location>

<Location /svn/repo2>
  # Restricted to ldap-user2, file-user2, or members of ldap-group2,
  # all others denied
</Location>

真正的技巧可能是我混合了身份验证:LDAP 和文件:

<Location /svn>
  DAV svn
  SVNParentPath C:/svn_repository
  AuthName "Subversion Repository"
  AuthType Basic
  AuthBasicProvider ldap file
  AuthUserFile "svn-users.txt" #file-based, custom users
  AuthzLDAPAuthoritative On
  AuthLDAPBindDN ldapuseraccount@directory.com
  AuthLDAPBindPassword ldappassword
  AuthLDAPURL ldap://directory.com:389/cn=Users,dc=directory,dc=com?sAMAccountName?sub?(objectCategory=person)
  Require valid-user
</Location>

在我的谷歌搜索中,我看到有些人通过authz像这样拉入文件来实现这一点:

<Location /svn>
  ...
  AuthzSVNAccessFile "conf/svn-authz.txt"
</Location

然后,我需要映射 AD 用户。这种方法的任何例子?

4

3 回答 3

8

这实际上比我想象的要容易得多。我将此添加到我的位置:

<Location /svn>
  ...
  AuthzSVNAccessFile "conf/svn-authz.txt"
</Location

在那个文件中,我只是指定了普通的 SVN 权限(此时系统似乎没有区分文件用户和 LDAP 用户):

[groups]
@admin = haren

###
### Deny all but administrators to the tree
###

[/]
* =
@admin = rw


###
### Allow more specific people on a per-repository basis below
###

[repo1:/]
ldap-user1 = rw
file-user1 = rw

[repo2:/]
ldap-user2 = rw
file-user2 = rw

我仍在使用 LDAP 组语法来使该部分正常工作。有任何建议表示赞赏。

于 2009-01-27T18:57:23.227 回答
5

其他有兴趣的人的另一种替代方法:

Require ldap-group cn=SVN Users,cn=Users,dc=company,dc=com

这是假设您在 Active Directory 中创建了一个名为 SVN 用户的组。请注意,该组周围没有双引号。

使用它而不是 Require valid-user

然后你可能不必在任何时候重新启动 apache,只需将用户添加到 AD 中的组

于 2012-11-30T01:47:32.297 回答
0

你不应该使用

Require valid-user

但使用

Require group
于 2009-01-28T09:58:39.770 回答