Linux环境使用AD验证SVN用户
2013-06-03 16:52
375 查看
在Windows环境,可以使用VirsualSVN直接实现类似功能,但Linux环境没有现成的功能,下面的文章提供了一种经过验证的实现方法!使用AD作为验证SVN用户的方式有很大的好处,最主要的是不需要为SVN单独创建用户了,最终用户也只需要记住域用户和密码即可。但这种方式还是无法无天解决授权的问题,仍然需要通过authz文件来定义哪些目录开放给哪些域组或域用户。下面是配置SVN的linux服务器来支持AD验证的过程: 1. preparing. 准备工作
* confirm AD connection is OK. 确认AD的连接正常。*所有文件内容可参见附件。/etc/hosts
192.168.18.104 demo
192.168.18.104 demo.home.com
/etc/resolv.conf
nameserver 192.168.18.104
* start svn
sudo svnserve -d -r /testsvn
sudo svnserve -d -r /testsvn/repos
- It will be report error when run "svn ls svn://xxx/repos": svn: 服务器报告认证错误: SASL(-1): generic failure: checkpass failed
2. follow steps of http://michaelcamden.me/?p=27 or "SVN Authentication using svnserve sasl ldap.docx"
example of config files
*/testsvn/repos/conf/svnserve.conf
[general]
anon-access = none
auth-access = write
[sasl]
use-sasl = true
*/usr/lib/sasl2/svn.conf
pwcheck_method: saslauthd
auxprop_plugin: ldap
mech_list: PLAIN LOGIN
ldapdb_mech: PLAIN LOGIN
*/etc/default/saslauthd
START=yes
DESC="SASL Authentication Daemon"
NAME="saslauthd"
MECHANISMS="ldap"
MECH_OPTIONS=""
THREADS=5
OPTIONS="-c -m /var/run/saslauthd"
*/etc/saslauthd.conf
ldap_servers: ldap://demo.home.com
ldap_default_domain: demo.home.com
ldap_search_base:DC=demo,DC=home,DC=com
ldap_bind_dn: CN=administrator,CN=Users,DC=demo,DC=home,DC=com
ldap_password: Windows2k
ldap_use_sasl: no
ldap_mech: PLAIN
ldap_auth_method: bind
ldap_filter: sAMAccountName=%u
3. check commands
*restart sasl service:
sudo /etc/init.d/saslauthd restart
*test ldap search
ldapsearch -x -w Windows2k -D "cn=william,cn=Users,DC=demo,DC=home,DC=com" -b 'cn=william,CN=Users,DC=demo,DC=home,DC=com' -h demo.home.com
# extended LDIF
#
# LDAPv3
# base <cn=william,CN=Users,DC=demo,DC=home,DC=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# william, Users, demo.home.com
dn: CN=william,CN=Users,DC=demo,DC=home,DC=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: william
distinguishedName: CN=william,CN=Users,DC=demo,DC=home,DC=com
instanceType: 4
whenCreated: 20090507194733.0Z
whenChanged: 20110716162211.0Z
displayName: william
uSNCreated: 13948
uSNChanged: 167984
name: william
objectGUID:: Y6QNKtXBmUKIxwq2ECTquw==
userAccountControl: 512
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 129553304504218750
lastLogoff: 0
lastLogon: 129553304724375000
pwdLastSet: 129553069315156250
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAAyWTYl9QXgiiGOMgsVwQAAA==
accountExpires: 9223372036854775807
logonCount: 53
sAMAccountName: william
sAMAccountType: 805306368
userPrincipalName: william@demo.home.com
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=demo,DC=home,DC=com
mail: william@demo.home.com
# search result
search: 2
result: 0 Success
# numResponses: 2
# numEntries: 1
*Login to repository:
tanghs@ubuntu:/testsvn/repos/conf$ sudo svn ls svn://192.168.18.109/repos
认证领域: <svn://192.168.18.109:3690> 2c49c88d-208a-44ad-aab8-34e66158eaaa
“root”的密码:
认证领域: <svn://192.168.18.109:3690> 2c49c88d-208a-44ad-aab8-34e66158eaaa
用户名: william
“william”的密码:
-----------------------------------------------------------------------
注意! 你的密码,对于认证域:
<svn://192.168.18.109:3690> 2c49c88d-208a-44ad-aab8-34e66158eaaa
只能明文保存在磁盘上! 如果可能的话,请考虑配置你的系统,让 Subversion
可以保存加密后的密码。请参阅文档以获得详细信息。
你可以通过在“/home/tanghs/.subversion/servers”中设置选项“store-plaintext-passwords”为“yes”或“no”,
来避免再次出现此警告。
-----------------------------------------------------------------------
保存未加密的密码(yes/no)? y
请输入 'yes' 或 'no': yes
tanghs-test1/
test.txt其实在网上搜索这个主题,已经有很多文章了,而且Subversion和TortoiseSVN的文档上也有相关介绍。但在我自己配置的过程中,发现它们好像都不完全对。所以我觉得有必要把自己摸索的过程写出来,供大家参考。不过已经有那么多“前车之鉴”了,我的方法是否真的有用,只能靠老天保佑了。
要想配置成功,首先要保证Apache、Svn和mod_auth_sspi这几个模块的版本是匹配的。我最开始就是在这上面栽的跟头。Apache有很多个版本(以2.0.x和2.2.x最常见),作为对应,每个版本的svn都有一些子版本与其匹配。例如1.4.5版的svn就有针对2.0.x和2.2.x的两个子版本。不幸的是,网上搜到的svn下载链接多是指向针对Apache 2.0.x的那个子版本,当把它用在最新版(目前是2.2.6)的Apache上时,出问题就是必然的了。实际上,当使用2.2.x版的Apache时,我们应该到,点击左侧的文件夹(等以后有了新版的apache,可能就是其它对应的文件夹了),然后在右侧的文件列表中下载对应得svn(我下载的是)。mod_auth_sspi我们也下载针对2.2.x版apache的那个就可以了。
以下是我的安装配置过程,它是针对apache2.2.6和svn1.4.5的,如果你用的是其它版本,可能一些细节上会有所不同。
分别安装apache和svn(svn就是把压缩包解开就行),然后把svn\bin文件夹下的mod_dav_svn.so、mod_authz_svn.so、libdb44.dll和intl3_svn.dll拷贝到apache的modules文件夹下,mod_auth_sspi中的mod_auth_sspi.so也拷贝到那去。
最后是修改apache的配置文件httpd.conf,经过我的试验,最后确定使用下面配置文件就行了(其中背景标红的内容你可能需要根据你的实际情况进行修改)。
最后如果大家觉得手工编辑那个权限控制文件(authz)很麻烦的话,也有一个取巧的办法,就是使用visualsvn server,虽然它目前还不支持域认证,但是我们可以借用它的权限管理界面。操作如下(假设版本库的根目录是e:\svn,并且权限控制文件的名字这时必须用authz):
1) 按前面的操作安装好apache和svn,但不要启动apache
2) 把e:\svn改名为e:\svn1
3) 并安装visualsvn server,安装时指定版本库根目录为e:\svn
4) 停掉并禁用visualsvn server的服务(VisualSVNServer),删除e:\svn
5) 把e:\svn1的名字改回e:\svn
6) 启动apache
7) 启动visualsvn server的管理界面,把要使用这个版本库的所有人的域帐号都添加到它的用户列表中去(密码不会被实际使用,随便设或留空都行)。
8) 万事ok了,设置权限吧!
* confirm AD connection is OK. 确认AD的连接正常。*所有文件内容可参见附件。/etc/hosts
192.168.18.104 demo
192.168.18.104 demo.home.com
/etc/resolv.conf
nameserver 192.168.18.104
* start svn
sudo svnserve -d -r /testsvn
sudo svnserve -d -r /testsvn/repos
- It will be report error when run "svn ls svn://xxx/repos": svn: 服务器报告认证错误: SASL(-1): generic failure: checkpass failed
2. follow steps of http://michaelcamden.me/?p=27 or "SVN Authentication using svnserve sasl ldap.docx"
example of config files
*/testsvn/repos/conf/svnserve.conf
[general]
anon-access = none
auth-access = write
[sasl]
use-sasl = true
*/usr/lib/sasl2/svn.conf
pwcheck_method: saslauthd
auxprop_plugin: ldap
mech_list: PLAIN LOGIN
ldapdb_mech: PLAIN LOGIN
*/etc/default/saslauthd
START=yes
DESC="SASL Authentication Daemon"
NAME="saslauthd"
MECHANISMS="ldap"
MECH_OPTIONS=""
THREADS=5
OPTIONS="-c -m /var/run/saslauthd"
*/etc/saslauthd.conf
ldap_servers: ldap://demo.home.com
ldap_default_domain: demo.home.com
ldap_search_base:DC=demo,DC=home,DC=com
ldap_bind_dn: CN=administrator,CN=Users,DC=demo,DC=home,DC=com
ldap_password: Windows2k
ldap_use_sasl: no
ldap_mech: PLAIN
ldap_auth_method: bind
ldap_filter: sAMAccountName=%u
3. check commands
*restart sasl service:
sudo /etc/init.d/saslauthd restart
*test ldap search
ldapsearch -x -w Windows2k -D "cn=william,cn=Users,DC=demo,DC=home,DC=com" -b 'cn=william,CN=Users,DC=demo,DC=home,DC=com' -h demo.home.com
# extended LDIF
#
# LDAPv3
# base <cn=william,CN=Users,DC=demo,DC=home,DC=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# william, Users, demo.home.com
dn: CN=william,CN=Users,DC=demo,DC=home,DC=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: william
distinguishedName: CN=william,CN=Users,DC=demo,DC=home,DC=com
instanceType: 4
whenCreated: 20090507194733.0Z
whenChanged: 20110716162211.0Z
displayName: william
uSNCreated: 13948
uSNChanged: 167984
name: william
objectGUID:: Y6QNKtXBmUKIxwq2ECTquw==
userAccountControl: 512
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 129553304504218750
lastLogoff: 0
lastLogon: 129553304724375000
pwdLastSet: 129553069315156250
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAAyWTYl9QXgiiGOMgsVwQAAA==
accountExpires: 9223372036854775807
logonCount: 53
sAMAccountName: william
sAMAccountType: 805306368
userPrincipalName: william@demo.home.com
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=demo,DC=home,DC=com
mail: william@demo.home.com
# search result
search: 2
result: 0 Success
# numResponses: 2
# numEntries: 1
*Login to repository:
tanghs@ubuntu:/testsvn/repos/conf$ sudo svn ls svn://192.168.18.109/repos
认证领域: <svn://192.168.18.109:3690> 2c49c88d-208a-44ad-aab8-34e66158eaaa
“root”的密码:
认证领域: <svn://192.168.18.109:3690> 2c49c88d-208a-44ad-aab8-34e66158eaaa
用户名: william
“william”的密码:
-----------------------------------------------------------------------
注意! 你的密码,对于认证域:
<svn://192.168.18.109:3690> 2c49c88d-208a-44ad-aab8-34e66158eaaa
只能明文保存在磁盘上! 如果可能的话,请考虑配置你的系统,让 Subversion
可以保存加密后的密码。请参阅文档以获得详细信息。
你可以通过在“/home/tanghs/.subversion/servers”中设置选项“store-plaintext-passwords”为“yes”或“no”,
来避免再次出现此警告。
-----------------------------------------------------------------------
保存未加密的密码(yes/no)? y
请输入 'yes' 或 'no': yes
tanghs-test1/
test.txt其实在网上搜索这个主题,已经有很多文章了,而且Subversion和TortoiseSVN的文档上也有相关介绍。但在我自己配置的过程中,发现它们好像都不完全对。所以我觉得有必要把自己摸索的过程写出来,供大家参考。不过已经有那么多“前车之鉴”了,我的方法是否真的有用,只能靠老天保佑了。
要想配置成功,首先要保证Apache、Svn和mod_auth_sspi这几个模块的版本是匹配的。我最开始就是在这上面栽的跟头。Apache有很多个版本(以2.0.x和2.2.x最常见),作为对应,每个版本的svn都有一些子版本与其匹配。例如1.4.5版的svn就有针对2.0.x和2.2.x的两个子版本。不幸的是,网上搜到的svn下载链接多是指向针对Apache 2.0.x的那个子版本,当把它用在最新版(目前是2.2.6)的Apache上时,出问题就是必然的了。实际上,当使用2.2.x版的Apache时,我们应该到,点击左侧的文件夹(等以后有了新版的apache,可能就是其它对应的文件夹了),然后在右侧的文件列表中下载对应得svn(我下载的是)。mod_auth_sspi我们也下载针对2.2.x版apache的那个就可以了。
以下是我的安装配置过程,它是针对apache2.2.6和svn1.4.5的,如果你用的是其它版本,可能一些细节上会有所不同。
分别安装apache和svn(svn就是把压缩包解开就行),然后把svn\bin文件夹下的mod_dav_svn.so、mod_authz_svn.so、libdb44.dll和intl3_svn.dll拷贝到apache的modules文件夹下,mod_auth_sspi中的mod_auth_sspi.so也拷贝到那去。
最后是修改apache的配置文件httpd.conf,经过我的试验,最后确定使用下面配置文件就行了(其中背景标红的内容你可能需要根据你的实际情况进行修改)。
ThreadsPerChild 250 MaxRequestsPerChild 0 ServerRoot "C:/Program Files/Apache Software Foundation/Apache2.2" ServerName svnserver.mydomain.net:8080 ServerSignature Off ServerTokens Prod DocumentRoot "htdocs" Listen 8080 LoadModule sspi_auth_module modules/mod_auth_sspi.so #LoadModule auth_basic_module modules/mod_auth_basic.so #LoadModule auth_digest_module modules/mod_auth_digest.so #LoadModule authn_file_module modules/mod_authn_file.so LoadModule authz_svn_module modules/mod_authz_svn.so LoadModule dir_module modules/mod_dir.so LoadModule deflate_module modules/mod_deflate.so LoadModule mime_module modules/mod_mime.so LoadModule setenvif_module modules/mod_setenvif.so LoadModule dav_module modules/mod_dav.so LoadModule dav_svn_module modules/mod_dav_svn.so <Directory /> Options FollowSymLinks AllowOverride None </Directory> <IfModule dir_module> DirectoryIndex index.html </IfModule> ErrorLog "e:/svn/server.log" LogLevel error DefaultType text/plain <IfModule mime_module> TypesConfig conf/mime.types AddType application/x-compress .Z AddType application/x-gzip .gz .tgz AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl </IfModule> # 注意“/svn/”中最后的斜杠是必须的, 否则列不出版本库列表 # 访问时的url也要带着它, 想要去掉它可搜索RedirectMatch <Location /svn/> # configure SVN DAV svn SVNListParentPath on # 版本库的根目录 SVNParentPath e:/svn # 权限控制文件 AuthzSVNAccessFile e:/svn/authz # 认证时的提示信息(中文不好使) AuthName "My Subversion" # 使用域认证 AuthType SSPI SSPIAuth On SSPIAuthoritative On # 指定使用那个域 SSPIDomain mydomain.net # 是否省略掉用户id的域名部分(好像只是影响svn的一些日志记录) SSPIOmitDomain On # 是否允许非IE客户端(必须打开) SSPIOfferBasic On # 基本认证(非域认证方式)具有更高的优先级? SSPIBasicPreferred Off # 用户名大小写 SSPIUsernameCase lower # 用户必须通过认证 Require valid-user </Location> |
1) 按前面的操作安装好apache和svn,但不要启动apache
2) 把e:\svn改名为e:\svn1
3) 并安装visualsvn server,安装时指定版本库根目录为e:\svn
4) 停掉并禁用visualsvn server的服务(VisualSVNServer),删除e:\svn
5) 把e:\svn1的名字改回e:\svn
6) 启动apache
7) 启动visualsvn server的管理界面,把要使用这个版本库的所有人的域帐号都添加到它的用户列表中去(密码不会被实际使用,随便设或留空都行)。
8) 万事ok了,设置权限吧!
相关文章推荐
- Linux环境使用AD验证SVN用户
- Linux环境SVN命令行使用经验总结
- Linux环境SVN命令行使用经验总结(转)
- 在Linux中使用MD5实现用户验证的解决方法
- 在win下svn环境中制作patch供linux下使用
- 在linux环境下尝试使用gcc编译一个程序,并验证-E\-S\-c选项
- AD域环境下利用Supercrypt实现普通用户安装/运行/更新使用管理权限的方法
- 【未搭建好】Linux环境下使用图形化界面的SVN客户端软件-RabbitVCS
- linux中修改环境变量之后导致系统崩溃(用户所有命令不能使用)的解决办法
- 【AD】AD域环境下利用Supercrypt实现普通用户安装/运行/更新使用管理权限的方法
- Linux学习—svn: 无法使用外部编辑器取得日志信息;请尝试设定 $SVN_EDITOR 环境变数
- Linux环境SVN命令行使用经验总结
- AD域用户如何使用内网环境exchange服务器连接和同步邮箱、日历、联系人和任务
- Netscreen防火墙使用AD进行用户验证
- Linux系统中不同用户所使用的$PATH环境变量的区别
- 如何恢复linux的环境变量ubuntu中root用户没有办法使用命令
- Linux从用户层到内核层系列 - TCP/IP协议栈部分系列8: 基础知识之 - Linux环境变量使用Tip
- 实例使用NTLM验证整合Squid及Samba3实现AD域用户认证
- linux使用svn update进行shell脚本提示用户密码