svn apache ldap group access

Fejlesztés

Sziasztok,

Sikerült belőni az svn-t hogy apache-on keresztül ldap-ból authentikáljon.Azonban meg kellene oldanom,hogy az authentikációt követően lekérdezze az SVN az ldap-ból hogy a felhasználó milyen csoportban van, és ennek megfelelően férjen hozzá, a repository-hoz.Egyenlőre találtam egy python script-et amit bridge-ként lehetne használni, de nem akar működni :-( Python-ul meg nem tudok....

  • 1622 megtekintés

( Vudumen | 2009. 06. 10., sze – 08:44 )

Apache config:

AuthType Basic
AuthName "Valami"
AuthzLDAPAuthoritative on
AuthBasicProvider ldap
AuthLDAPURL ldap://1.2.3.4:389/dc=office,dc=valami,dc=com?uid?sub?(objectClass=posixAccount)
AuthLDAPGroupAttribute memberUid
AuthLDAPGroupAttributeIsDN off
Require ldap-group cn=csoport,dc=groups,dc=office,dc=valami,dc=com

Ha ezen felul a repon beluli autorizaciot szeretnel akkor az svn-es authz filet kell megcsinalnod es megetetned az apache-csal:

AuthzSVNAccessFile /var/lib/svn/repository/conf/authz

Megpróbálkozhatsz Location-nel beallitgatni a jogosultsagokat Apache-ban meg, ez nem tudom mukodik-e (nem teszteltem).

Ez csak authentikáció nem ? Ebből honnan tudja az svn, hogy az authentikált felhasználónak melyik repo-hoz van írási hozzáférése ?
Bocs most jött meg az üzenet második fele :-) Viszont így sem tudom, hogy veszem ki az ldap-ból a csoportot,és adom át az authzsvn fájlnak.

--
r@g3

Azt majd szepen felkonfiguralod, h mihez van joga. Apache autentikacional ez a sor ami a lenyeges:
Require ldap-group cn=csoport,dc=groups,dc=office,dc=valami,dc=com

Ha meg kifejezetten svn-rol van szo es azon belul a jogosultsagok akkor arra az svn authz-je jo megoldas lehet mint irtam. Az SVN felcsatolasanal (apache config) igy hivatkozol ra:
AuthzSVNAccessFile /var/lib/svn/repository/conf/authz

Igen SVN-ről lenne szó.Leírom, hogy mit is kellene megcsinálni.
Tehát van 3 repository,amit beregisztrált fejlesztők tudnak módosítani, a többiek csak olvasni.Idáig megy is a dolog.
De, Fejleszto1 csak az 1,3 repot írhatja.Fejleszto2 pedig csak a 2-est.Igen ám, de ezt nem kézzel kellene beállítani az AuthzSVNAccessFile-ban, hanem ha már ldap-ból megy az auth. akkor onnan olvassa ki hogy milyen csoportban van benne.

--
r@g3

Nem erted. A authz fajlban a csoport-repo hozzarendelest adod meg, a ldap-bol jonnek a group infok. Sajnos a svn nem tudja a csoport-repo hozzarendelest a ldap-ban tarolni, nyilvan, mert nem is feladata neki. Ugyanakkor ket lehetoseged is van 1) ssh-n at oldod meg az egeszet unix jogokkal 2) irsz valamilyen nyelven egy svnserve wrappert, az eredeti svnserve-t odebbrakod, es ezt teszed meg svnserve nevu futtathato fajlnak. Ott meg csinalsz, ami jol esik.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Na igen, ezek biztos szép megoldások, de sajnos tudásom nem elég svnserve wrapper irásához, illetve ssh-n át nem tudom miként oldjam meg.Egyébiránt ebből az derül ki, hogy a jelenleg elérhető eszközökkel (svn,ldap,apache) nem lehet megoldani.Az becsülendő, hogy te rendelkezel ilyen tudással.

--
r@g3

A "Require ldap-group" direktívával azt érheted el, hogy az összes ldap csoport közül, csak az adott csoportban lévő usereket authentikálhatja az apache! Azaz ne férjenek hozzá az svn-hez mondjuk a titkárság, vezetőség, stb csoport tagjai.

Geri, ez még nem egészen az amit keresel ;)

--
\\-- blog --//

Nyugi és olvass!

Azt írja, hogy nem kézzel szeretné az authz fájlt szerkeszteni.
De ha te egyből tudod a választ akkor bátran írd meg és nem görcsölünk tovább ;-)

Egyébként pedig teljesen jogos a felvetése és engem is érdekel.
Hirtelen ezt Googliztam össze:

Nexus: http://www.sonatype.com/books/nexus-book/reference/index.html
Ebben van svn és ldap mappelés és magyar fejlesztője (Tamas Cservenak) is van.

Webappz - http://webappz.hu/ && http://sys-admin.hu/