Làm cách nào để hạn chế quyền truy cập kho lưu trữ qua WebSVN?

8

Tôi có nhiều kho lưu trữ lật đổ được phục vụ thông qua Apache 2.2 và WebDAV. Tất cả chúng đều nằm ở một vị trí trung tâm và tôi đã sử dụng bài viết debian-ad dùng.org này làm cơ sở (tôi đã bỏ việc sử dụng xác thực cơ sở dữ liệu cho một tệp htpasswd đơn giản).

Kể từ đó, tôi cũng đã bắt đầu sử dụng WebSVN . Vấn đề của tôi là không phải tất cả người dùng trên hệ thống đều có thể truy cập các kho lưu trữ khác nhau và thiết lập mặc định của WebSVN là cho phép bất kỳ ai có thể xác thực.

Theo tài liệu của WebSVN, cách tốt nhất để giải quyết vấn đề này là sử dụng hệ thống truy cập đường dẫn của subversion, vì vậy tôi đã tìm cách tạo nó, bằng cách sử dụng lệnh AuthzSVNAccessFile.

Khi tôi làm điều này, tôi tiếp tục nhận được tin nhắn "403 Bị cấm".

Các tập tin của tôi trông như sau:

Tôi có cài đặt chính sách mặc định trong một tệp:

<Location /svn/>
  DAV svn
  SVNParentPath  /var/lib/svn/repository

  Order deny,allow
  Deny from all
</Location>

Mỗi kho lưu trữ có một tệp chính sách như dưới đây:

<Location /svn/sysadmin/>
    Include  /var/lib/svn/conf/default_auth.conf
    AuthName "Repository for sysadmin"
    require user joebloggs jimsmith mickmurphy
</Location>

Tệp default_auth.conf chứa nội dung này:

SVNParentPath      /var/lib/svn/repository
AuthType           basic
AuthUserFile       /var/lib/svn/conf/.dav_svn.passwd
AuthzSVNAccessFile /var/lib/svn/conf/svnaccess.conf

Tôi không hoàn toàn chắc chắn lý do tại sao tôi cần SVNParentPath thứ hai trong default_auth.conf, nhưng tôi chỉ nói thêm rằng hôm nay tôi nhận được thông báo lỗi do thêm lệnh AuthzSVNAccessFile.

Với một tập tin truy cập hoàn toàn cho phép

[/]
joebloggs = rw

hệ thống hoạt động tốt (và về cơ bản là không thay đổi), nhưng ngay khi tôi bắt đầu cố gắng thêm bất kỳ loại hạn chế nào như

[sysadmin:/]
joebloggs = rw

thay vào đó, tôi lại nhận được lỗi 'Quyền bị từ chối'. Các mục nhật ký tệp là:

[Thu May 28 10:40:17 2009] [error] [client 89.100.219.180] Access denied: 'joebloggs' GET websvn:/
[Thu May 28 10:40:20 2009] [error] [client 89.100.219.180] Access denied: 'joebloggs' GET svn:/sysadmin

Tôi cần làm gì để làm việc này? Đã cấu hình apache sai, hoặc sự hiểu biết của tôi về tệp svnaccess.conf không chính xác?

Nếu tôi đi sai hướng này, tôi không có sự gắn bó đặc biệt nào với cách tiếp cận tổng thể của mình, vì vậy hãy thoải mái đưa ra các lựa chọn thay thế.

CẬP NHẬT (20090528-1600):

Tôi đã cố gắng thực hiện câu trả lời này , nhưng tôi vẫn không thể làm cho nó hoạt động đúng.

Tôi biết hầu hết các cấu hình là chính xác, như tôi đã thêm

[/]
joebloggs = rw

khi bắt đầu và 'joebloggs' sau đó có tất cả quyền truy cập chính xác.

Khi tôi cố gắng đi đến kho lưu trữ cụ thể, làm một cái gì đó như

[/]
joebloggs = rw

[sysadmin:/]
mickmurphy = rw

sau đó tôi đã nhận được quyền từ chối lỗi đối với mickmurphy (joebloggs vẫn hoạt động), với một lỗi tương tự như những gì tôi đã có trước đây

[Thu May 28 10:40:20 2009] [error] [client 89.100.219.180] Access denied: 'mickmurphy' GET svn:/sysadmin

Ngoài ra, tôi đã quên giải thích trước đó rằng tất cả các kho lưu trữ của tôi ở bên dưới

/var/lib/svn/repository

CẬP NHẬT (20090529-1245):

Vẫn không có may mắn để làm việc này, nhưng tất cả các dấu hiệu dường như đang chỉ ra vấn đề là với kiểm soát truy cập đường dẫn trong lật đổ không hoạt động đúng. Giả định của tôi là tôi chưa cấu hình apache hoặc svn để nhận dạng đúng cấu trúc kho lưu trữ của mình.

Điều này là do mục '[/]' dường như hoạt động hoàn hảo.

Nó cũng xảy ra với tôi rằng đây là câu hỏi có thể thuộc về StackOverflow tốt hơn?

CẬP NHẬT (20090603-1740):

Để trả lời một trong những ý kiến ​​cho câu hỏi này, thiết lập WebDAV của tôi để lật đổ chính nó được cung cấp vị trí / svn / repos nhưng websvn được đặt thành / websvn.

apache-2.2  permissions  svn 
kaybenleroll
nguồn
Websvn của bạn chạy ở địa chỉ nào? Trong thiết lập hiện tại của tôi, websvn là tại / websvn, trong khi đó chính kho lưu trữ là tại / svn
Sander Rijken
chào kaybenleroll bạn có thể giúp tôi về điều này? stackoverflow.com/questions/13541629/...
Juned

Câu trả lời:

5

Vấn đề có lẽ liên quan đến việc phân chia cấu hình giữa hai chỉ thị vị trí, nhưng tôi không chắc chắn.

Thay vì xác định quyền ở hai nơi (cấu hình apache và tệp authz), chỉ cần xác định chúng trong tệp authz. Thích như vậy:

httpd.conf

<Location /svn>
  DAV svn
  SVNParentPath /var/lib/svn/repository

  Require valid-user
  AuthType Basic
  AuthName "Subversion Repository"
  AuthUserFile /path/to/.htpasswd

  SVNPathAuthz on
  AuthzSVNAccessFile /path/to/svn.authz
</Location>

svn.authz

[groups]
sysadmins = joebloggs jimsmith mickmurphy

# By default, nobody has any permissions
[/]
* = 

# sysadmins get access to the sysadmin repository
[sysadmin:/]
@sysadmins = rw

Rõ ràng, bạn cũng sẽ cần những người dùng thích hợp trong tệp htpasswd.

Alex J
nguồn
Bạn có thể giúp tôi về điều này ? stackoverflow.com/questions/13541629/...
Juned
4

Không biết bạn có giải quyết được vấn đề này hay không, nhưng đây là quy trình phù hợp với tôi.

Hãy quên việc sử dụng các lệnh apache, thay vào đó hãy chỉnh sửa tệp config.php của WebSVN và bao gồm / bỏ ghi chú lệnh sau:

$ config-> useAuthenticationFile ('/ path / to / your / authz / file');

Không, không bao giờ giải quyết đầy đủ. Tôi sẽ thử ý tưởng của bạn. :)
kaybenleroll
+1 Tôi đã có cùng một vấn đề và điều này đã khắc phục hoàn toàn! Cảm ơn!
John Virgolino
2

cái này hiệu quả với tôi

user1 chỉ có thể thấy "/" và "/ project1" user3 chỉ có thể thấy "/ project1"

[các nhóm]

nhóm = user1, user2

nhómb = user3, user4

[/]

@groupa = rw

[/dự án 1]

@groupb = rw

1

Tôi đã phải vật lộn với điều này khá nhiều, và cấu hình duy nhất phù hợp với tôi là như sau:

Authz file
------
[groups]
group1=user1
group2=user2

#Read and write for everyone defined in some group, others denied
[/]
@group1=rw
@group2=rw
*=

[project1:/]
@group1=rw
*=

[project2:/]
@group2=r
*=
----end authz file

Kết quả là, nhóm1 đã đọc và ghi quyền truy cập vào dự án1 và nhóm2 có quyền truy cập đọc vào dự án2. Mọi người khác không có quyền truy cập vào bất kỳ dự án.

Tôi nên nhấn mạnh rằng "project1" và "project2" là các dự án bên trong kho lưu trữ được định nghĩa trong tệp cấu hình Apache subversion.conflà.

Subversion.conf
----
LoadModule dav_module         modules/mod_dav.so
LoadModule dav_svn_module     modules/mod_dav_svn.so
LoadModule authz_svn_module   modules/mod_authz_svn.so

<Location /svn>
   DAV svn
   SVNParentPath /var/www/svn
   AuthType Basic
   AuthName "Name of the root repositories"
   Require valid-user
</Location>

<Location /svn/repos>
   AuthName "Subversion subrepository"
   AuthUserFile /var/www/svn/repos/conf/passwdfile
#Authz control
   AuthzSVNAccessFile /var/www/svn/repos/conf/authz
</Location>

-----end

Vấn đề hiện tại của tôi là, không thể liệt kê các dự án tại kho lưu trữ /svn/repos(mặc dù chúng có thể được truy cập đúng cách). SVNListParentPathvề chỉ thị, bất kể bạn đặt nó ở đâu, nó không giúp ích gì.

Hiện tại tôi /var/www/svnkhông phải là một kho lưu trữ, mà chỉ là một thư mục trong hệ thống tập tin máy chủ. /var/www/svn/reposlà một kho lưu trữ được tạo ra vớisvnadmin create

Marko Kosunen
nguồn
0

Bạn nên đọc tài liệu websvn và mọi thứ sẽ rõ ràng :)

Cũng lưu ý rằng bạn không nên sử dụng lệnh AuthzSVNAccessFile để xác định tệp truy cập.

Bây giờ bạn đã xác định xác thực của mình, bạn sẽ được hỏi tên người dùng và mật khẩu để truy cập thư mục WebSVN. Tất cả những gì còn lại là cấu hình WebSVN để sử dụng tệp truy cập Subversion của bạn để kiểm soát quyền truy cập. Thêm dòng này vào tập tin config.php của bạn:

$ config-> useAuthenticationFile ('/ path / to / accessfile');

Bartek
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.