MichaelZheng -- 利用 svnserve.exe 实现精细的目录访问控制

-- 原文出处Subversion之路--利用 svnserve.exe 实现精细的目录访问控制(v0.3)

Contents

  1. Subversion之路
    1. to-do list
    2. 前言
    3. 实战
      1. 背景假设
      2. 建立代码库
      3. 编辑代码库配置文件
      4. 管理用户帐号
      5. 建立目录访问权限控制文件
    4. 测试
    5. 深入
      1. svnserve.conf
      2. authz.conf 分组
      3. authz.conf 项目根目录
      4. authz.conf 项目子目录
      5. authz.conf 其他注意点
    6. 参考
  2. 反馈

CPUG联盟::

CPUG::门户plone

BPUG

SPUG

ZPUG

SpreadPython Python宣传

1. Subversion之路

利用 svnserve.exe 实现精细的目录访问控制 

:作者: 郑新星
:联系: zhengxinxing <AT> gmail <DOT> com
:状态: 草稿,编写中
:版本: 0.3
:修订: $Id: The.Road.to.Subversion_authz.txt 57 2006-06-14 13:19:23Z michael $
:版权: 作者保留对本文的一切修改、发布权力。任何人想要转载本文部分或全部内容时,必须保留包括作者、联系、状态、版本、修订、版权,共六项信息。对本文的参考引用,则不受限制。
:献辞: 仅以本文,献给中国广大的自由软件爱好者们
:摘要: 本文从一个实际的例子入手,介绍了如何在 MS Windows 平台上配置 Subversion 自带的 svnserve.exe 服务器,来实现项目目录的访问权限控制的。

1.1. to-do list

- 描述初始建立代码库时候,导入的细节区别 - 配置文件的逐行描述(部分) - 若干问题有待试验

1.2. 前言

在实际的使用中,由于项目的目录本身就是作为版本库的一个部分被svn所收管,所以我们无法利用服务器操作系统的访问权限,来实现项目目录的访问控制。因此,这个问题就只有让svn自己来解决了。

1.3以前的Subversion,只能利用 mod_authz_svn.so 模块,结合Apache服务器来实现目录访问控制,这对Apache的配置与使用不是很熟悉的人来说(比如说作者本人)就不是很方便了。而 Subversion终于在 1.3 版本上,在 svnserve.exe 服务器里面添加了这一功能。本文就是介绍如何配置代码库配置文件,以便让 svnserve.exe 实现精细的目录访问权限控制。

本文面向那些Subversion的管理员,或者任何对Subversoin有兴趣的人们。本文假定读者对Subversion有一定的了解,因此不打算对所有涉及到的安装、使用,做一个细节性的描述。若对于文章中描述的技术细节有疑问,请访问“参考”一节里面的参考资料。如果你对本文任何地方有什么意见,请联系

[email protected]

本文是利用 reST 格式来编写的,如果你对它感兴趣,请访问 http://docutils.sourceforge.net/rst.html

1.3. 实战

首先先简要说明一下配置的步骤,如果你觉得对配置有什么疑问,或者看不懂,请不要着急,我会在后面的章节详细描述的。

1.3.1. 背景假设

厦门央瞬公司是一家电子元器件设备供应商,其中有个ARM部门,专门负责ARM芯片的方案设计、销售,并在北京、上海各设立了一个办事处。

- svn服务器相关信息

  • - 服务器地址: 192.168.0.1 - 服务器OS: MS Windows 2000 Server Edition 中文版

    - 代码库本地目录: D:\svn\arm

- arm部门文档的目录结构如下:: 

    arm                 部门名称
    ├─diary           工作日志目录
    │  ├─headquarters    总部工作日志目录
    │  ├─beijing         北京办日志目录
    │  └─shanghai        上海办日志目录
    ├─ref             公司公共文件参考目录
    └─temp            临时文件目录

- 人员情况

  • - morson,公司总经理,其实他不必亲自看任何东西,就连部门经理们的每周总结都不一定看。但是为了表示对他的尊敬,以及满足一下他的权力欲,还是给他开放了“阅读所有文档”的权限 - michael,arm事业部的部门经理,要可以看到所有人的工作日志 - scofield,北京办人员,老员工,为人油滑难管 - lincon,上海办人员,老员工,大老实人一个 - tchwu,新手,总部协调员、秘书,文笔不错 - rory,单片机技术员,技术支持

- 访问权限需求分析

  • - 除部门经理外,所有其他人员,均只能看到本办事处人员工作日志 - 不允许匿名访问 - ref目录只允许经理和秘书写,对其他人只读 - temp目录人人都可以写

1.3.2. 建立代码库

在服务器 D:\svn 目录下,建立 arm 代码库,命令如下:: 

    D:\svn>svnadmin create arm

在客户机 F:\temp 目录下,建立好上述目录结构

用命令 F:\temp>svn import arm svn://192.168.0.1/arm 导入结构

【注意点:关于导入时候的细微差别】

1.3.3. 编辑代码库配置文件

编辑代码库 arm\conf\svnserve.conf 文件,如下:: 

    [general]
    password-db = passwd.conf
    anon-access = none
    auth-access = write
    authz-db = authz.conf

1.3.4. 管理用户帐号

新建代码库 arm\conf\passwd.conf 文件,如下:: 

    [users]
    morson = ShowMeTheMoney
    michael = mysecretpassword
    scofield = hellolittilekiller
    lincon = asyouknows111
    rory = 8809117
    tchwu = pppPp123

1.3.5. 建立目录访问权限控制文件

新建代码库 arm\conf\authz.conf 文件,内容如下:: 

    [groups]
    g_vip = morson
    g_manager = michael
    g_beijing = scofield
    g_shanghai = lincon
    g_headquarters = rory, tchwu
    g_docs = tchwu

    [arm:/]
    @g_manager = rw
    * = r

    [arm:/diary/headquarters]
    @g_manager = rw
    @g_headquarters = rw
    @g_vip = r
    * =

    [arm:/diary/beijing]
    @g_manager = rw
    @g_beijing = rw
    @g_vip = r
    * =

    [arm:/diary/shanghai]
    @g_manager = rw
    @g_shanghai = rw
    @g_vip = r
    * =

    [arm:/ref]
    @g_manager = rw
    @g_docs = rw
    * = r

    [arm:/temp]
    * = rw

1.4. 测试

在服务器上,打开一个 DOS Prompt 窗口,输入如下指令:: 

    svn co svn://127.0.0.1/arm --no-auth-cache --username rory --password 8809117

我们应该得到如下目录结构:: 

    arm
    ├─diary
    │  └─headquarters
    ├─ref
    └─temp

然后修改ref目录下任意文件并提交,服务器将会报错“Access deni”

1.5. 深入

本章将详细介绍前一章所涉及的两个配置文件, svnserve.conf 和 authz.conf,通过对配置逐行的描述,来阐明其中的一些细节含义。

这里首先要注意一点,任何配置文件的有效配置行,都不允许存在前置空格,否则程序会无法识别。也就是说,如果你直接从本文的纯文本格式中拷贝了相关的配置行过去,需要手动将前置的4个空格全部删除。当然了,如果你觉得一下子要删除好多行的同样数目的前置空格是一件苦差使,那么也许 UltraEdit 的“Column Mode”编辑模式,可以给你很大帮助呢。

其次,任何有效的配置项,都请使用ASCII码来表达。由于 Subversion 天生对中文的支持力度不够,你如果想要使用中文用户名、中文文件目录等,你会很郁闷的发现,它们无法正常工作。希望到了 Subversion 2.0 的版本,可以支持中文。

1.5.1. svnserve.conf

arm\conf\svnserve.conf 文件,是 svnserve.exe 这个服务器进程的配置文件,我们逐行解释如下。

首先,我们告诉 svnserve.exe,用户名与密码放在 passwd.conf 文件下。当然,你可以改成任意的有效文件名,比如默认的就是 passwd:: 

    password-db = passwd.conf

接下来这两行的意思,是说只允许经过验证的用户,方可访问代码库。 那么哪些是“经过验证的”用户呢?噢,当然,就是前面说那些在 passwd.conf 文件里面持有用户名密码的家伙。这两行的等号后面,目前只允许 read write none 三种值,你如果想实现一些特殊的值,比如说“read-once”之类的,建议你自己动手改源代码,反正它也是自由软件:: 

    anon-access = none
    auth-access = write

接下来就是最关键的一句呢,它告诉 svnserve.exe,项目目录访问权限的相关配置是放在 authz.conf 文件里:: 

    authz-db = authz.conf

当然,svn 1.3.2 引入本功能的时候,系统默认使用 authz 而不是 authz.conf 作为配置文件。不过由于鄙人是处女座的,有着强烈的完美主义情结,看着 svnserve.conf 有后缀而 passwd 和 authz 没有就是不爽,硬是要改了。

1.5.2. authz.conf 分组

arm\conf\authz.conf 文件的配置段,可以分为两类,[group] 是一类,里面放置着所有用户分组信息。其余以 [arm:/] 开头的是另外一类,每一段就是对应着项目的一个目录,其目录相关权限,就在此段内设置。

首先,我们将人员分组管理,以便以后由于人员变动而需要重新设置权限时候,尽量少改动东西。我们一共设置了5个用户分组,分组名称统一采用 g_ 前缀,以方便识别。当然了,分组成员之间采用逗号隔开:: 

    [groups]
    # 任何想要查看所有文档的非本部门人士
    g_vip = morson
   
    # 经理
    g_manager = michael

    # 北京办人员
    g_beijing = scofield

    # 上海办人员
    g_shanghai = lincon

    # 总部一般员工
    g_headquarters = rory, tchwu

    # 小秘,撰写文档
    g_docs = tchwu

注意到没有, tchwu 这个帐号同时存在“总部”和“文档员”两个分组里面,这可不是我老眼昏花写错了,是因为 svnserve.exe 允许我这样设置。它意味着,这个家伙所拥有的权限,将会比他的同事 rory 要多一些,这样的确很方便。具体多了哪些呢?请往下看!

1.5.3. authz.conf 项目根目录

接着,我们对项目根目录做了限制,该目录只允许arm事业部的经理才能修改,其他人都只能眼巴巴的看着:: 

    [arm:/]
    @g_manager = rw
    * = r

- [arm:/] 表示这个目录结构的相对根节点,或者说是 arm 项目的根目录

- 这里的 @ 表示接下来的是一个组名,不是用户名。你当然也可以将 @g_manager = rw 这一行替换成 michael = rw ,而表达的意义完全一样。

- * 表示“除了上面提到的那些人之外的其余所有人”,也就是“除了部门经理外的其他所有人”,当然也包括总经理那个怪老头

- * = r 则表示“那些人只能读,不能写”

1.5.4. authz.conf 项目子目录

然后,我们要给总部人员开放日志目录的读写权限:: 

    [arm:/diary/headquarters]
    @g_manager = rw
    @g_headquarters = rw
    @g_vip = r
    * =

- 我敢打赌,设计svn的家伙们,大部分都是在 unix/linux 平台下工作,所以他们总喜欢使用 / 来标识子目录,而完全忽视在 MS Windows 下是用 \ 来做同样的事情。所以这儿,为了表示 arm\diary\headquarters 这个目录,我们必须使用 [arm:/diary/headquarters] 这样的格式。

- 这里最后一行的 * = 表示,除了经理、总部人员、特别人士之外,任何人都被禁止访问本目录。

- 之所以这儿需要将 @g_vip = r 一句加上,就是因为存在上述这个解释。如果说你没有明确地给总经理授予读的权力,则他会和其他人一样,被 * 给排除在外。

- 请注意这儿,我们并没有给 arm\diary 目录设置权限,就直接跳到其子目录下进行设置了。我当然是故意这样的,因为我想在这儿引入“继承”的概念。

- 权限具备继承性 任何子目录,均可继承其父目录的所有权限,除非它自己被明确设置了其他的权限。也就是说,在 arm 目录设置权限后, arm\diary 目录没有进行设置,就意味着它的权限与 arm 目录一样,都是只有经理才有权读写,其他人只能干瞪眼。

- 【行是否具备顺序???】【 * = 是否可以省略】【用例子引入覆盖】

现在来看看

好了,我们现在掌握了“继承”的威力,它让我们节省了不少敲键盘的时间。可是现在又有一个问题了,

属性具备覆盖性质 子目录若设置了属性,则完全覆盖父目录。

1.5.5. authz.conf 其他注意点

  1. 父目录的 r 权限,对子目录 w 权限的影响

另外,在1.3.1及其以前的版本里面,有个bug,即为了子目录的写权限,项目首目录必须具备读权限。因此现在,就方便了那些想在一个代码库存放多个相互独立的项目的管理员,来分配权限了。比如说央舜公司建立一个大的代码库用于存放所有员工日志,叫做 diary,而arm事业部只是其中一个部门,则可以这样做 

[diary:/]
@g_chief_manager = rw

[diary:/arm]
@g_arm_manager = rw
@g_arm = r

这样,对于所有arm事业部的人员来说,就可以将 svn://192.168.0.1/diary/arm 这个URL当作根目录来进行日常操作,而完全不管它其实只是一个子目录,并且当有少数好奇心比较强的人想试着 checkout 一下 svn://192.168.0.1/diary 的时候,马上就会得到一个警告“Access deni”,哇,太酷了。

  1. 默认权限

在没有进行任何设置的时候,默认权限就是禁止任何访问,只有显示开启某项权限,才能使用它

这整个儿的策略,看起来,就像防火墙设置一样的了,难怪我总觉得有些眼熟

  1. 只读权限

若设置了

[arm:/diary]
* = r

则svnserve认为,任何人,都不允许改动diary目录,包括删除和改名,和新增 也就是说,如果你在项目初期忘记写错目录名称(比如写成 dairy),以后除非你改动这个设置,否则无法利用 svn mv 命令将错误的目录更正

1.6. 参考

[ 本帖最后由 郑新星 于 2006-6-15 08:14 编辑 ]

2. 反馈

::-- ZoomQuiet [2006-07-06 07:32:13]