问题标签 [authz]

如果现在组文档的成员尝试签出文档，则它不起作用。我希望 doc 的成员能够查看 sub-dir doc，禁止其他任何内容。任何想法如何实现这一目标？

亲切的问候罗尼

[更新]

客户端：svn，版本 1.5.4 (r33841) 服务器：svn，版本 1.4.6 (r28521)

通过 svn+ssh:/user@host/fullpath-to-repos 访问

• 1 完美工作两年
• 2 可能是 - 请参阅上面的版本号（我会立即联系我们的管理员）
• 3 没有？只是 ssh
• 4 没有
• 5 不

[更新]

• 使用客户端版本 svn 1.4.6 (r28521) 也不起作用 - 相同的错误
• 我使用普通的命令行访问。svn co svn+ssh://....

[更新]

• 服务器：Linux 2.6.16.60-0.39.3-default9 i686 athlon i386 GNU/Linux - suse 10？或者我认为的类似的东西
• 客户端：Kubuntu 9.04
• 通过 OpenSSH SSH 客户端连接
• 服务器拒绝来自 localhost 的 svn:// 连接 - 任何连接 --- 必须尽快在家中尝试使用副本

[更新 4] * 这不是我自己的服务器，我不能用它做我想做的事。这是一台非常古老的服务器，至少运行了 10 年，拥有数百名用户。标准的东西应该工作。如果我遗漏了什么，请纠正我。

[更新5] 信不信由你。我使用了错误的路径，现在一切正常，很抱歉浪费了您的时间。我会为他的努力向 FoxyBOA 提供赏金。

简而言之，如何根据应用程序名称或 JAR 名称限制对连接池 X 的访问？一个简单的用例可能会有所帮助...

一个商业网络应用程序（称为 WEB_APP_A）使用池 Y 来执行基本的查询 SQL。此网络应用程序的一些用户还可以访问数据库中的一些敏感数据。此代码由 JAR 文件（称为 HR_JAR）提供，可以在需要的地方放入该文件。此 JAR 使用池 X 进行所有连接。

我们不希望 WEB_APP_A 的开发人员使用池 X。我们只希望 HR_JAR 使用池 X。这是为了防止 WEB_APP_A 的开发人员意外或故意滥用 X 提供的访问池。

一些考虑：

1. 这是遗留代码，所以 HR_JAR 将继续存在
2. 我们在 Weblogic 9.2 上运行
3. 我们不能在源代码中保存密码
4. 我们已经研究了 JDBC 资源的 weblogic 用户级 authn/authz 但这引出了一个问题；我们如何保护我们用来成为每个应用程序/jar 用户的用户信用？

想法？想法？我可以详细说明我尝试过的方法，但我想要新的想法。

我已经在我的网络服务器上安装了 Trac。首先，它看起来很安全，因为它立即将我的存储库暴露给了世界。Trac 如何访问我的存储库而不提供一些凭据来访问受 authz 保护的存储库？其次，我可以在svn的authz中使用相同的用户或组来作为Trac中的用户和组使用吗？

我的所有项目都有一个svn存储库。在 svn 中，我还有一个目录，其中包含项目直接引用的已编译库（如 .dll、.swc）。

我希望另一个开发人员为我做一个项目，我不想向他打开我的整个 svn 树。如果只是无法提交，我只会在 authz 中设置读取权限，但我不希望他看到我的所有其他源代码。

我不希望他进行两次检查，一次用于项目，一次用于库文件夹，因为如果我尝试检查并编译它，所有相对路径都会搞砸。

所以想要遵循：这个用户对trunk的结帐应该导致一个结帐，其中包含所有到这个用户相关目录的文件夹结构，省略所有不相关的。

即：如果我的 svn svn checkout 看起来像这样：

我希望他的结帐看起来像这样：

那可能吗？如果是：如何？

任何帮助表示赞赏！

编辑：我在 Windows 环境中使用 svnserve（没有 apache）

有没有人想出一种方法来允许远程用户在 VisualSVN 服务器中更改自己的密码？我们让它在“独立”（非 ActiveDirectory）模式下运行，我发现这个优秀产品的唯一缺点是用户无法设置或更改他们的密码。

这是我可以忍受的事情，但是永远不会改变的密码的安全隐患是众所周知的。我确信必须可以添加该功能，但我对 VisualSVN 使用的任何技术都没有一点天赋 - 所以只是想知道是否有人做过？

更新 2010-12-21

我决定自己来实现这一点。我希望得到一些帮助的第一个障碍是密码加密。我发现 VisualSVN 有一个名为的密码文件，htpasswd其中包含以下格式的用户列表：

JoePublic:$apr1$lpq$kF8nZjjuFxgJBExK8ruf20

JoePublic 是用户名，我认为冒号是分隔符，其余的是某种密码哈希。在这种情况下使用的实际密码是ForgetMeNot.

这似乎不是 MD5 或 SHA 哈希，但我在这方面不是很世俗，所以很可能是。鉴于上述信息，任何人都可以推断出正在使用的算法吗？

假设我想阻止某些用户访问我的 SVN 存储库中的某些文件夹。我只是做：

但是，如果该文件夹从 SecretFolder 重命名为 NewSecretFolder 会怎样？用户 some_poor_sap 是否能够访问 /SecretFolder 的历史记录？

我使用 authz 文件来限制对 svn 服务器（projA、projB）的访问。我想对主干和分支使用相同的限制。有没有一种很好的方法，而不是复制/粘贴配置：

由于我有很多项目和分支，因此这种配置变得难以维护。

我有一个客户端的颠覆服务器，它使用 MySQL 数据库对员工进行身份验证，并使用 AuthUserFile (htpasswd) 将其他用户（供应商）验证到他们的存储库中。

我需要授予员工完全访问权限，* = rw并且只访问供应商的子树。（像这样）：

不幸的是，尽管有更多限制性规则，SVN auth 的设计似乎级联* = rw到所有内容，例如 vendor_user =

如果有人有建议，我将不胜感激！

我正在尝试使用AuthzAccessCheck的 PInvoke在我的 c# 应用程序中工作并继续遇到错误代码 87 : invalid parameter。作为初始测试，我一直在尝试遵循此处找到的示例代码中的 GetAccess 例程的基本结构。

我已经尝试了所有我能想到的变体来让它工作，在这一点上我几乎被卡住了。谁能帮助解释我可能做错了什么？

这是完整的测试代码：

[这是我已经在这里问过的问题的一个稍微更具体的版本：如何查询 Active Directory 对象的有效权限？- 希望我在这里收到的答案能帮助我更好地理解和判断我在那里收到的答案。]

非常具体地说，我目前正在寻找一种方法来验证当前用户是否对给定的 Active Directory 对象（例如另一个用户）具有特定于 Exchange 的“发送为”权限（这是所谓的“扩展权限” ）（即邮箱）、启用邮件的公用文件夹或分发列表。通过组成员资格间接授予（或拒绝）的权限也被考虑在内，这一点很重要。从中长期来看，我非常想了解更多关于 Windows 安全模型及其 API 的信息。这个任务只是我的出发点。

在研究如何最好地在 Delphi 中实现一些可用的 C++ 示例时，我偶然发现了JWSCL（JEDI Windows 安全代码库）。但是，尽管最近似乎有一些与 AD 相关的代码的贡献，但 JWSCL 博客和 wiki 上的一些文档仍然指出“Active Directory 支持”尚未添加。

但是，这可能只是过时文档的问题吗？即使没有，我真的需要这个来完成这个特定的任务吗？我已经能够检索SECURITY_DESCRIPTOR我要检查使用的对象的属性IDirectoryObject.GetAttributes。获得该 SD 后，我检查 AD 对象的权限是否仍然有影响？尽管据说缺少 AD 支持，但我不能将它与已经存在的代码一起使用吗？
如果是这样，怎么做？

我已经尝试修改JWSCL 附带的GetEffectiveRightsFromAclWithAuthZ示例，但我已经无法从我的指针创建TJwSecurityDescriptor对象。PSECURITY_DESCRIPTOR简单地将其传递给TJwSecurityDescriptor.Create()失败并带有EJwsclInvalidSIDException.

有任何想法吗？我什至在正确的轨道上吗？