Linux环境使用AD验证SVN用户

在Windows环境,可以使用VirsualSVN直接实现类似功能,但Linux环境没有现成的功能,下面的文章提供了一种经过验证的实现方法!

使用AD作为验证SVN用户的方式有很大的好处,最主要的是不需要为SVN单独创建用户了,最终用户也只需要记住域用户和密码即可。但这种方式还是无法无天解决授权的问题,仍然需要通过authz文件来定义哪些目录开放给哪些域组或域用户。

下面是配置SVN的linux服务器来支持AD验证的过程: 

1. preparing. 准备工作
* confirm AD connection is OK. 确认AD的连接正常。

*所有文件内容可参见附件。

/etc/hosts
192.168.18.104  demo
192.168.18.104  demo.home.com

/etc/resolv.conf
nameserver 192.168.18.104

* start svn
sudo svnserve -d -r /testsvn

sudo svnserve -d -r /testsvn/repos
 - It will be report error when run "svn ls svn://xxx/repos": svn: 
服务器报告认证错误: SASL(-1): generic failure: checkpass failed

2. follow steps of http://michaelcamden.me/?p=27 or "SVN Authentication using svnserve sasl ldap.docx"
example of config files
*/testsvn/repos/conf/svnserve.conf
[general]
anon-access = none
auth-access = write
[sasl]
use-sasl = true

*/usr/lib/sasl2/svn.conf
pwcheck_method: saslauthd
auxprop_plugin: ldap
mech_list: PLAIN LOGIN
ldapdb_mech: PLAIN LOGIN

*/etc/default/saslauthd
START=yes
DESC="SASL Authentication Daemon"
NAME="saslauthd"
MECHANISMS="ldap"
MECH_OPTIONS=""
THREADS=5
OPTIONS="-c -m /var/run/saslauthd"

*/etc/saslauthd.conf
ldap_servers: ldap://demo.home.com

ldap_default_domain: demo.home.com

ldap_search_base:DC=demo,DC=home,DC=com

ldap_bind_dn: CN=administrator,CN=Users,DC=demo,DC=home,DC=com

ldap_password: Windows2k
ldap_use_sasl: no
ldap_mech: PLAIN

ldap_auth_method: bind

ldap_filter: sAMAccountName=%u

3. check commands
*restart sasl service:
sudo /etc/init.d/saslauthd restart

*test ldap search
ldapsearch -x -w Windows2k -D "cn=william,cn=Users,DC=demo,DC=home,DC=com" -b 'cn=william,CN=Users,DC=demo,DC=home,DC=com' -h demo.home.com
# extended LDIF
#
# LDAPv3
# base <cn=william,CN=Users,DC=demo,DC=home,DC=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# william, Users, demo.home.com
dn: CN=william,CN=Users,DC=demo,DC=home,DC=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: william
distinguishedName: CN=william,CN=Users,DC=demo,DC=home,DC=com
instanceType: 4
whenCreated: 20090507194733.0Z
whenChanged: 20110716162211.0Z
displayName: william
uSNCreated: 13948
uSNChanged: 167984
name: william
objectGUID:: Y6QNKtXBmUKIxwq2ECTquw==
userAccountControl: 512
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 129553304504218750
lastLogoff: 0
lastLogon: 129553304724375000
pwdLastSet: 129553069315156250
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAAyWTYl9QXgiiGOMgsVwQAAA==
accountExpires: 9223372036854775807
logonCount: 53
sAMAccountName: william
sAMAccountType: 805306368
userPrincipalName: [email protected]
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=demo,DC=home,DC=com
mail: [email protected]

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

*Login to repository:
tanghs@ubuntu:/testsvn/repos/conf$ sudo svn ls svn://192.168.18.109/repos
认证领域: <svn://192.168.18.109:3690> 2c49c88d-208a-44ad-aab8-34e66158eaaa
“root”的密码: 
认证领域: <svn://192.168.18.109:3690> 2c49c88d-208a-44ad-aab8-34e66158eaaa
用户名: william
“william”的密码: 

-----------------------------------------------------------------------
注意!  你的密码,对于认证域:

   <svn://192.168.18.109:3690> 2c49c88d-208a-44ad-aab8-34e66158eaaa

只能明文保存在磁盘上!  如果可能的话,请考虑配置你的系统,让 Subversion
可以保存加密后的密码。请参阅文档以获得详细信息。

你可以通过在“/home/tanghs/.subversion/servers”中设置选项“store-plaintext-passwords”为“yes”或“no”,
来避免再次出现此警告。
-----------------------------------------------------------------------
保存未加密的密码(yes/no)? y
请输入 'yes' 或 'no': yes
tanghs-test1/
test.txt

其实在网上搜索这个主题,已经有很多文章了,而且Subversion和TortoiseSVN的文档上也有相关介绍。但在我自己配置的过程中,发现它们好像都不完全对。所以我觉得有必要把自己摸索的过程写出来,供大家参考。不过已经有那么多“前车之鉴”了,我的方法是否真的有用,只能靠老天保佑了。
要想配置成功,首先要保证Apache、Svn和mod_auth_sspi这几个模块的版本是匹配的。我最开始就是在这上面栽的跟头。Apache有很多个版本(以2.0.x和2.2.x最常见),作为对应,每个版本的svn都有一些子版本与其匹配。例如1.4.5版的svn就有针对2.0.x和2.2.x的两个子版本。不幸的是,网上搜到的svn下载链接多是指向针对Apache 2.0.x的那个子版本,当把它用在最新版(目前是2.2.6)的Apache上时,出问题就是必然的了。实际上,当使用2.2.x版的Apache时,我们应该到,点击左侧的文件夹(等以后有了新版的apache,可能就是其它对应的文件夹了),然后在右侧的文件列表中下载对应得svn(我下载的是)。mod_auth_sspi我们也下载针对2.2.x版apache的那个就可以了。
以下是我的安装配置过程,它是针对apache2.2.6和svn1.4.5的,如果你用的是其它版本,可能一些细节上会有所不同。
分别安装apache和svn(svn就是把压缩包解开就行),然后把svn\bin文件夹下的mod_dav_svn.so、mod_authz_svn.so、libdb44.dll和intl3_svn.dll拷贝到apache的modules文件夹下,mod_auth_sspi中的mod_auth_sspi.so也拷贝到那去。
最后是修改apache的配置文件httpd.conf,经过我的试验,最后确定使用下面配置文件就行了(其中背景标红的内容你可能需要根据你的实际情况进行修改)。 

ThreadsPerChild 250
            MaxRequestsPerChild 0

            ServerRoot "C:/Program Files/Apache Software Foundation/Apache2.2"
            ServerName svnserver.mydomain.net:8080
            ServerSignature Off
            ServerTokens Prod
            DocumentRoot "htdocs"
            Listen 8080

            LoadModule sspi_auth_module modules/mod_auth_sspi.so
            #LoadModule auth_basic_module modules/mod_auth_basic.so
            #LoadModule auth_digest_module modules/mod_auth_digest.so
            #LoadModule authn_file_module modules/mod_authn_file.so
            LoadModule authz_svn_module modules/mod_authz_svn.so
            LoadModule dir_module modules/mod_dir.so
            LoadModule deflate_module modules/mod_deflate.so
            LoadModule mime_module modules/mod_mime.so
            LoadModule setenvif_module modules/mod_setenvif.so
            LoadModule dav_module modules/mod_dav.so
            LoadModule dav_svn_module modules/mod_dav_svn.so

            <Directory />
              Options FollowSymLinks
              AllowOverride None
            </Directory>

            <IfModule dir_module>
                DirectoryIndex index.html
            </IfModule>

            ErrorLog "e:/svn/server.log"
            LogLevel error

            DefaultType text/plain

            <IfModule mime_module>
                TypesConfig conf/mime.types
                AddType application/x-compress .Z
                AddType application/x-gzip .gz .tgz
                AddType application/x-x509-ca-cert .crt
                AddType application/x-pkcs7-crl .crl
            </IfModule>

注意“/svn/”中最后的斜杠是必须的否则列不出版本库列表
            # 
访问时的url也要带着它想要去掉它可搜索RedirectMatch
            <Location /svn/>
                 # configure SVN
                DAV svn
                 SVNListParentPath on
                 # 
版本库的根目录
                 SVNParentPath e:/svn
                 # 
权限控制文件
                 AuthzSVNAccessFile e:/svn/authz
                 # 
认证时的提示信息(中文不好使)
                AuthName "My Subversion"
                 # 
使用域认证
                AuthType SSPI
                 SSPIAuth On
                 SSPIAuthoritative On
                 # 
指定使用那个域
                 SSPIDomain mydomain.net
                 # 
是否省略掉用户id的域名部分(好像只是影响svn的一些日志记录)
                 SSPIOmitDomain On
                 # 
是否允许非IE客户端(必须打开)
                 SSPIOfferBasic On
                 # 
基本认证(非域认证方式)具有更高的优先级?
                 SSPIBasicPreferred Off
                 # 
用户名大小写
                 SSPIUsernameCase lower
                 # 
用户必须通过认证
                Require valid-user
            </Location>

最后如果大家觉得手工编辑那个权限控制文件(authz)很麻烦的话,也有一个取巧的办法,就是使用visualsvn server,虽然它目前还不支持域认证,但是我们可以借用它的权限管理界面。操作如下(假设版本库的根目录是e:\svn,并且权限控制文件的名字这时必须用authz):
1) 按前面的操作安装好apache和svn,但不要启动apache
2) 把e:\svn改名为e:\svn1
3) 并安装visualsvn server,安装时指定版本库根目录为e:\svn
4) 停掉并禁用visualsvn server的服务(VisualSVNServer),删除e:\svn
5) 把e:\svn1的名字改回e:\svn
6) 启动apache
7) 启动visualsvn server的管理界面,把要使用这个版本库的所有人的域帐号都添加到它的用户列表中去(密码不会被实际使用,随便设或留空都行)。
8) 万事ok了,设置权限吧!

 

你可能感兴趣的:(AD验证SVN用户)