SVN的权限控制【转】
上一篇 / 下一篇 2009-05-15 09:46:39 / 个人分类:配置管理
前一段时间在学习SVN,发现一个很不错的文档,因此转发一下,以供大家不时之需。
4Bm#`q0a;?!OO Z0^na3aZ[0N;`8X.{7f6puI}0;A-m^ B Qk1E a^4AX0
在Subversion的使用当中,存在“认证”、“授权”两个概念。认证,即authentication,是指用户名与密码的认证。授权,即authorization,是指某用户对某个目录是否具备读、写权限的一种审核。这两者配合作用,就组成了Subversion的整个帐户管理体系。
在实际的工作当中,我们有时候会遇见需要控制项目目录的访问权限的情况,比如说对项目的一些关键模块进行限制,仅允许少数授权人士才可以修改等。由于项目的目录本身就是作为版本库的一个部分被Subversion所收管,所以我们无法利用操作系统的帐户权限体系,来实现授权控制。因此,这个问题就只有让svn自己来解决了。
Subversion提供了面向目录的帐户权限管理功能,通过它,我们就可以很精确地实现项目目录的访问控制。不过在1.2及其以前的版本,我们只能利用mod_authz_svn.so模块,结合Apache服务器来实现目录访问控制,这对于对Apache的配置与使用不是很熟悉的人来说,就不是很方便了。而Subversion终于在1.3版本上,在svnserve.exe服务器里面添加了这一功能,方便了很多人。
本文面向那些Subversion的管理员,或者任何对Subversoin有兴趣的人们。本文假定读者对Subversion有一定的了解,因此不打算对所有涉及到的安装、使用,做一个细节性的描述。若对于文章中描述的其他细节方面有所疑问,请访问“参考文献”一节里面的参考资料。如果你对本文任何地方有什么意见,或者发现本文有着大大小小的错误,请联系zhengxinxing gmail com。
本文是基于Subversion
本文是利用reST格式来编写的,如果你对它感兴趣,请访问http://docutils.sourceforge.net/rst.html。如果想要看到更好的html格式,你可以通篇复制本文到一个文本文件里,然后利用docutils的rst2html.py脚本编译它,当然,首先你必须安装python。
2 实战
本章先直接给出需求及其最终的结果,如果你觉得对配置有什么疑问,或者看不懂,请不要着急,我会在后面的章节详细描述的。
2.1 背景假设
厦门央瞬公司是一家电子元器件设备供应商,其中有个ARM部门,专门负责ARM芯片的方案设计、销售,并在北京、上海各设立了一个办事处。对于工作日志,原先采用邮件方式发给经理,但是这种方式有个缺点,那就是不具备连续性,要看以前的日志必须一封一封邮件去查看,很麻烦。于是就想到利用Subversion, 让员工在自己电脑上编辑日志,然后利用svn传送回来,既方便员工自己编写日志,又方便对日志的归档处理,而且提交日志的时候只需要执行一下svn commit即可,比发送邮件还要简单的多。
- svn服务器相关信息
- 服务器地址:192.168.0.1
- 服务器OS:MS Windows 2000 Server Edition中文版
- 用于存放日志的代码库本地目录:D:\svn\arm
- arm部门文档的目录结构如下:
· arm 部门名称
· ├─diary 工作日志目录
· │ ├─headquarters 总部工作日志目录
· │ ├─beijing 北京办日志目录
· │ └─shanghai 上海办日志目录
· ├─ref 公司公共文件参考目录
· └─temp 临时文件目录
- 人员情况
- morson,公司总经理,不习惯使用电脑,更喜欢传统的纸与笔,以及面对面的交流
- michael,arm事业部的部门经理,没事的时候喜欢弄点儿新技术,用svn来管理日志,就是他想出来的主意
- scofield,北京办人员,老员工,为人油滑难管
- lincon,上海办人员,老员工,大老实人一个
- linda,总部协调员、秘书,文笔不错,长得也不错
- rory,单片机技术员,技术支持
- 访问权限需求分析
- 允许总经理、部门经理读取所有文件。顺便给他们开放写权限,以便体现对他们职位的尊重,虽然对于某些文件来说,他们若拥有“写”权限其实也没什么用处
- 除部门经理外,所有其他人员,均只能看到本办事处人员工作日志
- 不允许匿名访问
- ref目录只允许经理和秘书读写,对其他人只读
- temp目录人人都可以随意读写
2.2 使用svnserve.exe作为Subversion服务器
本节描述如何利用svnserve.exe来作为代码库服务器端,实现上述功能。至于另外一种代码库服务器端,即利用Apache结合mod_dav_svn.so来实现的代码库服务器端,由于其对于本文叙述的内容“实现精细的目录访问权限控制”而言,与前者没有太大的区别,故而略过不提。它们二者只是在初次安装、配置方面存在一些不同,有兴趣的读者,可以参考其他文档,重新实验下述步骤。
在服务器端,打开一个命令行窗口,用CD命令进入Subversion安装目录下的bin目录,运行如下指令:
svnserve -d -r d:\svn
其中的-d参数表示svnserve.exe将会作为一个服务程序运行在后台,而-r参数表示将D:\svn目录指定为代码库的根目录。这样,当客户端使用类似svn://192.168.0.1/foo这样内容的URL来访问服务器时候,其所访问到的真实代码库,其实就是D:\svn\foo
用上述命令行方式启动的svn服务有个小缺点,就是在本试验过程中,服务器端必须要一直开着那个运行了上述命令的DOS窗口,不能关闭它。如果不想看到这个窗口,可以将svnserve安装成windows的一个services,安装方式请参考其他文章。
在服务器端的D:\svn目录下,建立一个名为arm的代码库,命令如下:
D:\svn>svnadmin create arm
使用上述命令之后,如果不出问题的话,在D:\svn目录下就会多出一个叫做arm的目录,其下具备conf、dav、hooks、locks、db等子目录或文件,此即一个名为arm的代码库。从此,通过svn://192.168.0.1/arm这样的URL,我们就可以对这个代码库进行访问了。接下来就要进入本文的正题了,也就是权限配置部分了。
其实进入arm\conf目录你就会发现,它下面已经存在三个写了一些帮助信息和示例的配置文件,以帮助用户尽早掌握其配置方法。这三个默认的配置文件分别是svnserve.conf、passwd、authz。其中后两者没有后缀,对于windows系统的用户来说,看起来总是有些怪异,所以在接下来的章节里面,我将它们两个都给添加了个conf后缀,以便管理。
在服务器端,编辑代码库的arm\conf\svnserve.conf文件,如下:
[general]
password-db = passwd.conf
anon-access = none