Windows平台下使用Active Directory对Subversion进行权限控制(非完美解决方案)
目前网上找到的Subversion的配置说明中,关于用户权限控制都是基于Apache的User文件的或是基于svnserve.conf文件的,这种配置方式最大的问题在于用户信息保存在独立的文本文件中,维护不便(对用户的添加、修改等必须在服务器上执行,用户自己无法修改密码等),并且无法和其他系统集成。
于是琢磨可不可以用公司现有的Active Directory对Subversion的用户进行权限控制,这样可以解决上面提到的几个问题。
目前已经基本实现了对Subversion使用Active Directory验证,但是还有一些比较重要的问题没有解决,所以是“非完美解决方案”,放在这里抛砖引玉,希望能够有更好的解决方案。
Apache不能直接调用Active Directory的,只能通过Active Directory提供的LDAP方式进行访问,因此需要在Apache中打开对LDAP的支持;
Apache中自带了对LDAP的支持(默认情况下没有打开),但是官方自带的LDAP支持插件在Windows平台下有问题(我这里是经常造成Apache异常退出,服务终止);因此在Windows平台下需要安装第三方的LDAP支持插件才可以。
在网上找了一下,发现Apache的LDAP支持模块有以下几个可供选择(来源:http://nona.net/software/ldap/):
| 名称 | 网址 |
| mod_auth_ldap | http://nona.net/software/ldap/ |
| mod_auth_ldap | http://httpd.apache.org/docs-2.0/mod/mod_auth_ldap.html |
| auth_ldap | http://www.rudedog.org/auth_ldap/ |
| mod_auth_ldap | http://www.muquit.com/muquit/software/mod_auth_ldap/mod_auth_ldap.html |
| mod_authz_ldap | http://authzldap.othello.ch/ |
| mod_ldap | http://www.kie.berkeley.edu/people/jmorrow/mod_ldap/ |
| mod_ldap | http://hpwww.ec-lyon.fr/~vincent/apache/mod_ldap.html |
我使用的是http://www.muquit.com的mod_auth_ldap,对其他的没有试过。
一、 安装(假定已经安装了Apache+Subversion)
1. 安装文件的获取:
mm_mod_auth_ldap for MS Windows binary:从http://www.muquit.com/muquit/software/mod_auth_ldap/mod_auth_ldap.html下载。
由于mm_mod_auth_ldap是基于Sun的iPlanet C SDK 5.08开发的,运行时还需要iPlanet C SDK 5.08的一些DLL,因此还需要自己下载iPlanet C SDK 5.08(http://www.sun.com/download/index.jsp?cat=Application%20Development&tab=3,需要注册才能下载)
2. 安装和设置(来自http://www.chinaunix.net/jh/49/618651.html):
1) 将上面所说的两个压缩包中的DLL文件复制到Apache的modules目录中;
2) 在httpd.conf中加入 LDAP 相关模块的配置,就是增加如下一行:
LoadModule auth_ldap_module modules/mod_auth_ldap.dll
二、 配置
如下是httpd.conf中Subversion段的配置,注意红字的部分就是LDAP的配置信息,具体意义参见注释;其他关于Subversion和Apache的配置资料请参见网上相关文章(例如http://cube316.net/blog/archives/200512/32)。
<Location /svn>
// 常规Subversion配置
DAV svn
SVNListParentPath on
SVNParentPath D:\SVNStore
AuthType Basic
AuthName "Subversion repositories"
# 不能使用svnaccessfile进行配置,原因见后
# AuthzSVNAccessFile conf\svnaccessfile
Require valid-user
# 以下为LDAP配置信息
# LDAP 协议版本,AD提供的LDAP为3
LDAP_Protocol_Version 3
# LDAP 服务器
LDAP_Server 192.168.1.2
# LDAP 服务器端口
LDAP_Port 389
# LDAP 基础DN
Base_DN "dc=MainDC"
# AD 的 LDAP 不允许进行匿名查询,因此需要提供一
# 个 AD 中的用户名及其密码用于 Apache 的LDAP查询
Bind_DN "cn=Administrator,cn=Users,dc=MainDC"
Bind_Pass "password"
# 供 Apache 查询的 AD Object 的属性
UID_Attr "sAMAccountName"
# 允许什么条件的 AD 用户访问 Subversion;
# 这里设置只有scmuser组的用户才可以访问,但是并没
# 有成功,事实上只要是AD中的用户现在都可以访问,
# 不清楚问题出在哪里。
require group "cn=scmuser,ou=groups,dc=MainDC"
</Location>
这样配置的意图是允许SCMUser中所有用户可以存取Subversion,其他的用户则不可以,但是事实上这样配置以后的实际结果是AD中所有用户都可以访问Subversion了,怀疑是require group中的LDAP Filter写的不正确,但是不知道该怎么写,目前就凑合着用了。
三、 问题
使用LDAP可以和其他系统比较好的集成,并且能够方便地对用户进行管理,但是这种方式对于Subversion很有问题,就是使用这种方式后无法使用AuthzSVNAccessFile来对Subversion进行目录级别的权限控制,据网上资料说是因为SVNAccessFile中的用户和组都必须在User文件中定义(参见http://svn.haxx.se/users/archive-2006-02/0586.shtml及其相关讨论),我想如果对Apache的授权模块进行自定义修改的话估计是可以的,不过目前我们对此要求不高,所以还暂时能够使用。
四、参考资料
1. 《开发服务器环境配置安装说明》(http://bbs.chinaunix.net/viewthread.php?tid=618651)
2. 《LDAP authentication module for apache》http://www.muquit.com/muquit/software/mod_auth_ldap/mod_auth_ldap.html
3. 《Subversion Users List Archives》http://svn.haxx.se/users/
》在线作业三)
