D盘

workspace
posts - 165, comments - 53, trackbacks - 0, articles - 0
  IT博客 :: 首页 :: 新随笔 :: 联系 :: 聚合  :: 管理

SVN 权限管理

Posted on 2008-07-04 12:57 巴西木 阅读(1894) 评论(1)  编辑 收藏 引用
主要参考:
svn权限管理
svn的权限管理涉及到一下文档:
passwd文档   --   /conf目录下   用于存放本svn库的用户名和密码,用 = 分割,左边是用户名,右边是密码(明文)。
authz   --   /conf目录下   用于存放本svn库的访问授权信息。
SVNserve.conf   /conf目录下   用于存放本svn库的全局访问控制信息。
最重要的是authz文档,他定义了两部分的内容:
1,对组成员的定义,
2,对目录的授权定义,
能够针对一个单一用户授权,也能够针对在[groups]里面定义的一个组授权,还能够用*通配符来对任何的用户授权,
授权的选项有:只读访问('r'),读写访问('rw'),或无权防问('').
authz文档中能够对任意多个目录进行权限控制,一下是个例子:
[groups]
# 注释行,定义了admin和ph两个组连同两个组的成员
admin = harry,sally
ph = hy,jim
[/foo/bar]
harry = rw
# 以*为键值意味着对任何人都进行权限控制
* =
# 以@为键值意味着对前面定义的组进行授权
@admin = rw

本文来自ChinaUnix博客,假如查看原文请点:http://blog.chinaunix.net/u/19637/showart_416193.html

主要文件内容参考了这个:

SVN篇之Windows XP+apache+SVN配置及权限管理
2008-06-23 09:03


配置SubversionSubversion有两种运行方式,一种是基于Apache Http Server,另外一种是Subversion Standalone Server。下面我讲解的是基于Apache Http Server的Subversion,这样做几个好处:A.能使用WebDAV协议。B.能使用浏览器作为客户端工具浏览源码仓库。C.可以很容易的支持到SSPI(Windows域认证)和LDAP(AD?),这些都是Apache本身就支持的。D.能得到比较完善的Apache安全认证系统,比如SSL加密连接。
1.         安装Subversionsvn-1.2.3-setup.exe)安装路径为:D\Subversion
2.         检查d:\apache\apache2\modules下是不是已经有了mod_dav_svn.so和mod_authz_svn.so,libdb42.dll3个文件,如果没有,从D\Subversion\bin下复制这3个到d:\apache\apache2\modules。如图:
3.         搜索d:\apache\apache2\conf\httpd.conf配置文件中的
LoadModule dav_svn_module "C:/Program Files/Subversion/bin/mod_dav_svn.so"
LoadModule authz_svn_module "C:/Program Files/Subversion/bin/mod_authz_svn.so"

LoadModule dav_fs_module modules/mod_dav_fs.so
把前面的注释#去掉,如图:
注意:
请先安装Apache,然后再安装Subversion,在安装Subversion过程中它会自动拷贝相应文件到相应目录中,并且修改http.conf文件,然后重新启动apache服务使修改生效。但是我发现现在这个版本的Subversion安装文件可能有个bugapachehttp.conf的配置文件中#LoadModule dav_fs_module modules/mod_dav_fs.so注释没有去掉,所以大家还是小心检查一下。如果你是先安装的Subversion,然后再安装的Apache的,那么上述的步骤一个也不能漏,都需要自己手动完成。
4.         打开d:\apache\apache2\conf\httpd.conf配置文件在末尾处加入以下参数:
<Location /svn>
DAV svn #指定以SVN访问
SVNPath d:\svndata\test #指定根目录位置,此时只要输入http://127.0.0.1/svn就可以直接访问
AuthType Basic
AuthName "Windy SVN"
AuthUserFile d:\svndata\test\passwd #指定用户认证的文件位置
AuthzSVNAccessFile d:\svndata\test\conf\authz #指定授权认真的文件位置
Require valid-user
</Location>
5.         建立仓库
打开CMD命令行界面,"开始" -> "运行" -> "cmd" -> "回车"
C:\Documents and Settings\administrator> d:   //进入D盘(因为我们要在D盘下创建仓库)
D:\> md svndata   //创建一个名叫svndata的目录
D:\> cd D:\Subversion\bin   //进入subversion/bin目录
D:\Subversion\bin > svnadmin create d:\svndata\test   //用svnadmin命令创建名为test的仓库(这条命令成功后,在test下会出现很多文件夹和文件)
D:\Subversion\bin >cd\ //退出到D盘根目录
D:\> cd D:\Apache\Apache2\bin   //进入apache\bin目录
创建用户
l   使用MD5加密,创建用户和passwd文件(passwdapache中的htpasswd创建)
D:\ \Apache\Apache2\bin > htpasswd -cm d:\svndata\test\passwd user1   //用htpasswd命令创建第一个用户(user1),同时生成密码认证文件,c参数为create,m参数为MD5加密方式
New password: ******
Re-type new password: ******
Adding password for user user1   //加入用户成功
C:\Program Files\Apache Group\Apache2\bin> htpasswd -m d:\svndata\test\passwd user2   //用htpasswd命令创建第二个用户(user2),注意如果在这时加入c参数会覆盖掉之前创建的用户及文件。
New password: ******
Re-type new password: ******
Adding password for user user2   //加入用户成功
l   直接在apache配置文件中指定passwd用户认证文件(passwd可以事先在passwd中创建)
打开d:\apache\apache2\conf\httpd.conf配置文件在末尾处修改以下参数:
<Location /svn>
DAV svn
SVNPath d:\svndata\test
AuthType Basic
AuthName "Windy SVN"
AuthUserFile d:\svndata\test\conf\passwd
AuthzSVNAccessFile d:\svndata\test\conf\authz
Require valid-user
</Location>
重新启动apache,进行测试。
用IE打开http://localhost/svn,这时应该可以看到
Subversion权限管理配置以前面的配置为标准引用一个实际的例子:
厦门央瞬公司是一家电子元器件设备供应商,其中有个ARM部门,专门负责ARM芯片的方案设计、销售,并在北京、上海各设立了一个办事处。对于工作日志,原先采用邮件方式发给经理,但是这种方式有个缺点,那就是不具备连续性,要看以前的日志必须一封一封邮件去查看,很麻烦。于是就想到利用 Subversion, 让员工在自己电脑上编辑日志,然后利用svn传送回来,既方便员工自己编写日志,又方便对日志的归档处理,而且提交日志的时候只需要执行一下 svn commit 即可,比发送邮件还要简单的多。
部门文档的目录结构如下::
test                 部门名称
     ├─diary           工作日志目录
     │   ├─headquarters     总部工作日志目录
     │   ├─beijing         北京办日志目录
     │   └─shanghai         上海办日志目录
     ├─ref             公司公共文件参考目录
     └─temp             临时文件目录
人员情况
   - morson,公司总经理,不习惯使用电脑,更喜欢传统的纸与笔,以及面对面的交流
   - michael,arm事业部的部门经理,没事的时候喜欢弄点儿新技术,用svn来管理日志,就是他想出来的主意
   - scofield,北京办人员,老员工,为人油滑难管
   - lincon,上海办人员,老员工,大老实人一个
   - linda,总部协调员、秘书,文笔不错,长得也不错
   - rory,单片机技术员,技术支持
访问权限需求分析
   - 允许总经理、部门经理读取所有文件。顺便给他们开放写权限,以便体现对他们职位的尊重,虽然对于某些文件来说,他们若拥有“写”权限其实也没什么用处
   - 除部门经理外,所有其他人员,均只能看到本办事处人员工作日志
   - 不允许匿名访问
   - ref目录只允许经理和秘书读写,对其他人只读
   - temp目录人人都可以随意读写
在服务器端d:\svndata\test\conf配置svnserve.conf
[general]
     password-db = passwd.conf
     anon-access = none
     auth-access = write
     authz-db = authz.conf
在服务器端d:\svndata\test\conf配置passwd.conf进行用户创建
[users]
     morson = ShowMeTheMoney
     michael = mysecretpassword
     scofield = hellolittilekiller
     lincon = asyouknows111
     rory = 8809117
     linda = IlikeWorldCup2006
在服务器端d:\svndata\test\conf配置authz.conf进行用户创建
[groups]
g_vip = morson
g_manager = michael
g_beijing = scofield
g_shanghai = lincon
g_headquarters = rory, linda
g_docs = linda

[/]
@g_manager = rw
* = r

[/diary/headquarters]
@g_manager = rw
@g_headquarters = rw
@g_vip = r
* =

[/diary/beijing]
@g_manager = rw
@g_beijing = rw
@g_vip = r
* =

[/diary/shanghai]
@g_manager = rw
@g_shanghai = rw
@g_vip = r
* =

[/ref]
@g_manager = rw
@g_docs = rw
* = r

[/temp]
* = rw
Subversion仓库的访问这样SVN的配置权限设置完毕,如果你想checkout服务器SVN的文件,你还需要开启svnserver服务
开启server服务
运行命令cmd,进入命令提示符中
C:\Documents and Settings\administrator> d:   //进入D盘(因为我们要在D盘下创建仓库)
D:\> cd D:\Subversion\bin >svnserver –d –r d:\svndata\test //启动svnserver服务
现在你只需要使用客户端的checkout命令,然后地址栏中输入svn://127.0.0.1/就可以获取服务器SVN的内容




下面这个很全:

svn 权限
2007-10-26 17:13

1    背景假设

厦门央瞬公司是一家电子元器件设备供应商,其中有个ARM部门,专门负责ARM芯片的方案设计、销售,并在北京、上海各设立了一个办事处。对于工作日志,原先采用邮件方式发给经理,但是这种方式有个缺点,那就是不具备连续性,要看以前的日志必须一封一封邮件去查看,很麻烦。于是就想到利用 Subversion, 让员工在自己电脑上编辑日志,然后利用svn传送回来,既方便员工自己编写日志,又方便对日志的归档处理,而且提交日志的时候只需要执行一下 svn update 即可,比发送邮件还要简单的多。

  • svn服务器相关信息

    • 服务器地址: 192.168.0.1
    • 服务器OS: MS Windows 2000 Server Edition 中文版
    • 代码库本地目录: D:\svn\arm

  • arm部门文档的目录结构如下:

    arm                    部门名称
                ├─diary              工作日志目录
                │     ├─headquarters       总部工作日志目录
                │     ├─beijing            北京办日志目录
                │     └─shanghai           上海办日志目录
                ├─ref                公司公共文件参考目录
                └─temp               临时文件目录

  • 人员情况

    • morson,公司总经理,其实他不必亲自看任何东西,就连部门经理们的每周总结都不一定看。但是为了表示对他的尊敬,以及满足一下他的权力欲,还是给他开放了“阅读所有文档”的权限
    • michael,arm事业部的部门经理,没事的时候喜欢弄点儿新技术,用svn来管理日志,就是他相处来的主意
    • scofield,北京办人员,老员工,为人油滑难管
    • lincon,上海办人员,老员工,大老实人一个
    • linda,总部协调员、秘书,文笔不错,长得也不错
    • rory,单片机技术员,技术支持

  • 访问权限需求分析

    • 允许总经理读取所有文件
    • 除部门经理外,所有其他人员,均只能看到本办事处人员工作日志
    • 不允许匿名访问
    • ref目录只允许经理和秘书写,对其他人只读
    • temp目录人人都可以写

2    建立代码库

在服务器 D:\svn 目录下,建立 arm 代码库,命令如下:

D:\svn>svnadmin create arm

在客户机 F:\temp 目录下,建立好上述目录结构

用命令 F:\temp>svnimportarmsvn://192.168.0.1/arm 导入结构

【注意点:关于导入时候的细微差别】

3    编辑代码库基础配置文件

编辑代码库 arm\conf\svnserve.conf 文件,如下:

[general]
            password-db = passwd.conf
            anon-access = none
            auth-access = write
            authz-db = authz.conf

4    管理用户帐号

新建代码库 arm\conf\passwd.conf 文件,如下:

[users]
            morson = ShowMeTheMoney
            michael = mysecretpassword
            scofield = hellolittilekiller
            lincon = asyouknows111
            rory = 8809117
            linda = IlikeWorldCup2006

5    建立目录访问权限控制文件

新建代码库 arm\conf\authz.conf 文件,内容如下:

[groups]
            g_vip = morson
            g_manager = michael
            g_beijing = scofield
            g_shanghai = lincon
            g_headquarters = rory, linda
            g_docs = linda
            [arm:/]
            @g_manager = rw
            * = r
            [arm:/diary/headquarters]
            @g_manager = rw
            @g_headquarters = rw
            @g_vip = r
            * =
            [arm:/diary/beijing]
            @g_manager = rw
            @g_beijing = rw
            @g_vip = r
            * =
            [arm:/diary/shanghai]
            @g_manager = rw
            @g_shanghai = rw
            @g_vip = r
            * =
            [arm:/ref]
            @g_manager = rw
            @g_docs = rw
            * = r
            [arm:/temp]
            * = rw

6    测试

在服务器上,打开一个 DOS Prompt 窗口,输入如下指令:

svn co svn://127.0.0.1/arm --no-auth-cache --username rory --password 8809117

我们应该得到如下目录结构:

arm
            ├─diary
            │     └─headquarters
            ├─ref
            └─temp

然后修改ref目录下任意文件并提交,服务器将会报错“Access deni”

深入

本章将详细介绍前一章所涉及的两个配置文件, svnserve.conf 和 authz.conf,通过对配置逐行的描述,来阐明其中的一些细节含义。

这里首先要注意一点,任何配置文件的有效配置行,都不允许存在前置空格,否则程序会无法识别。也就是说,如果你直接从本文的纯文本格式中拷贝了相关的配置行过去,需要手动将前置的4个空格全部删除。当然了,如果你觉得一下子要删除好多行的同样数目的前置空格是一件苦差使,那么也许 UltraEdit 的“Column Mode”编辑模式,可以给你很大帮助呢。

1    svnserve.conf

arm\conf\svnserve.conf 文件,是 svnserve.exe 这个服务器进程的配置文件,我们逐行解释如下。

首先,我们告诉 svnserve.exe,用户名与密码放在 passwd.conf 文件下。当然,你可以改成任意的有效文件名,比如默认的就是 passwd:

password-db = passwd.conf

接下来这两行的意思,是说只允许经过验证的用户,方可访问代码库。 那么哪些是“经过验证的”用户呢?噢,当然,就是前面说那些在 passwd.conf 文件里面持有用户名密码的家伙。这两行的等号后面,目前只允许 read write none 三种值,你如果想实现一些特殊的值,比如说“read-once”之类的,建议你自己动手改源代码,反正它也是自由软件:

anon-access = none
            auth-access = write

接下来就是最关键的一句呢,它告诉 svnserve.exe,项目目录访问权限的相关配置是放在 authz.conf 文件里:

authz-db = authz.conf

当然,svn 1.3.2 引入本功能的时候,系统默认使用 authz 而不是 authz.conf 作为配置文件。不过由于鄙人是处女座的,有着强烈的完美主义情结,看着 svnserve.conf 有后缀而 passwd 和 authz 没有就是不爽,硬是要改了。

2    authz.conf 之用户分组

arm\conf\authz.conf 文件的配置段,可以分为两类,``[group]`` 是一类,里面放置着所有用户分组信息。其余以 [arm:/] 开头的是另外一类,每一段就是对应着项目的一个目录,其目录相关权限,就在此段内设置。

首先,我们将人员分组管理,以便以后由于人员变动而需要重新设置权限时候,尽量少改动东西。我们一共设置了5个用户分组,分组名称统一采用 g_ 前缀,以方便识别。当然了,分组成员之间采用逗号隔开:

[groups]
            # 任何想要查看所有文档的非本部门人士
            g_vip = morson
            # 经理
            g_manager = michael
            # 北京办人员
            g_beijing = scofield
            # 上海办人员
            g_shanghai = lincon
            # 总部一般员工
            g_headquarters = rory, linda
            # 小秘,撰写文档
            g_docs = linda

注意到没有, linda 这个帐号同时存在“总部”和“文档员”两个分组里面,这可不是我老眼昏花写错了,是因为 svnserve.exe 允许我这样设置。它意味着,这个家伙所拥有的权限,将会比他的同事 rory 要多一些,这样的确很方便。具体多了哪些呢?请往下看!

3    authz.conf 之项目根目录

接着,我们对项目根目录做了限制,该目录只允许arm事业部的经理才能修改,其他人都只能眼巴巴的看着:

[arm:/]
            @g_manager = rw
            * = r
  • [arm:/] 表示这个目录结构的相对根节点,或者说是 arm 项目的根目录
  • 这里的 @ 表示接下来的是一个组名,不是用户名。你当然也可以将 @g_manager=rw 这一行替换成 michael=rw ,而表达的意义完全一样。
  • * 表示“除了上面提到的那些人之外的其余所有人”,也就是“除了部门经理外的其他所有人”,当然也包括总经理那个怪老头
  • * = r 则表示“那些人只能读,不能写”

4    authz.conf 之项目子目录

然后,我们要给总部人员开放日志目录的读写权限:

[arm:/diary/headquarters]
            @g_manager = rw
            @g_headquarters = rw
            @g_vip = r
            * =
  • 我敢打赌,设计svn的家伙们,大部分都是在 unix/linux 平台下工作,所以他们总喜欢使用 / 来标识子目录,而完全忽视在 MS Windows 下是用 \ 来做同样的事情。所以这儿,为了表示 arm\diary\headquarters 这个目录,我们必须使用 [arm:/diary/headquarters] 这样的格式。
  • 这里最后一行的 *= 表示,除了经理、总部人员、特别人士之外,任何人都被禁止访问本目录。这一行是否可以省略呢?
  • 之所以这儿需要将 @g_vip=r 一句加上,就是因为存在上述这个解释。如果说你没有明确地给总经理授予读的权力,则他会和其他人一样,被 * 给排除在外。
  • 如果众位看官中间,有谁玩过防火墙配置的话,可能会感觉上述的配置很熟悉。不过这里有一点与防火墙配置不一样,那就是各个配置行之间,没有 先后顺序 一说。也就是说,如果我将本段配置的 *= 这一行挪到最前面,完全不影响整个配置的最终效果。
  • 请注意这儿,我们并没有给 arm\diary 目录设置权限,就直接跳到其子目录下进行设置了。我当然是故意这样的,因为我想在这儿引入“继承”的概念。
  • 权限具备继承性 任何子目录,均可继承其父目录的所有权限,除非它自己被明确设置了其他的权限。也就是说,在 arm 目录设置权限后, arm\diary 目录没有进行设置,就意味着它的权限与 arm 目录一样,都是只有经理才有权读写,其他人只能干瞪眼。
  • 【 * = 是否可以省略】【用例子引入覆盖】【单用户权限的继承问题】【父目录权限集成与全面覆盖问题】

现在来看看

好了,我们现在掌握了“继承”的威力,它让我们节省了不少敲键盘的时间。可是现在又有一个问题了,

属性具备覆盖性质子目录若设置了属性,则完全覆盖父目录。

5    authz.conf 的其他注意点

  1. 父目录的 r 权限,对子目录 w 权限的影响

把这个问题专门提出来,是因为在1.3.1及其以前的版本里面,有个bug,即为了子目录的写权限,项目首目录必须具备读权限。因此现在使用了1.3.2版本,就方便了那些想在一个代码库存放多个相互独立的项目的管理员,来分配权限了。比如说央舜公司建立一个大的代码库用于存放所有员工日志,叫做 diary,而arm事业部只是其中一个部门,则可以这样做:

[diary:/]
            @g_chief_manager = rw
            [diary:/arm]
            @g_arm_manager = rw
            @g_arm = r

这样,对于所有arm事业部的人员来说,就可以将 svn://192.168.0.1/diary/arm 这个URL当作根目录来进行日常操作,而完全不管它其实只是一个子目录,并且当有少数好奇心比较强的人想试着 checkout 一下 svn://192.168.0.1/diary 的时候,马上就会得到一个警告“Access deni”,哇,太酷了。

  1. 默认权限

如果说我对某个目录不设置任何权限,会怎样?马上动手做个试验,将:

[diary:/]
            @g_chief_manager = rw

改成:

[diary:/]
            # @g_chief_manager = rw

这样就相当于什么都没有设置。在我的 svn 1.3.2 版本上,此时是禁止任何访问。也就是说,如果你想要让某人访问某目录,你一定要显式指明这一点。这个策略,看起来与防火墙的策略是一致的。

  1. 只读权限带来的一个小副作用

若设置了:

[arm:/diary]
            * = r

则svnserve认为,任何人,都不允许改动diary目录,包括删除和改名,和新增。

也就是说,如果你在项目初期创建目录时候,一不小心写错目录名称,比如因拼写错误写成 dairy,以后除非你改动 authz.conf 里面的这行设置,否则无法利用 svn mv 命令将错误的目录更正。

改进

1    对中文目录的支持

上午上班的时候,Morson 来到 Michael 的桌子前面,说道:“你是否可以将我们的北京办、上海办目录,改成用中文的,看着那些拼音我觉得很难受?” Michael 心想,还好这两天刚了解了一些与 unicode 编码相关的知识,于是微笑地回答:“当然可以,你明天下午就可以看到中文目录名称了。”

  1. 使用 svn mv 指令,将原来的一些目录改名并 commit 入代码库,改名后的目录结构如下:

    arm
                ├─工作日志
                │     ├─总部人员
                │     ├─北京办
                │     └─上海办
                ├─公司公共文件参考目录
                └─临时文件存放处

  2. 修改代码库的 authz.conf 文件,将相应目录逐一改名

  3. 使用 UltraEdit 将 authz.conf 文件转换成不带 BOM 的 UTF-8 格式

    将配置文件转换成 UTF-8 格式之后,Subversion 就能够正确识别中文字符了。但是这里需要注意一点,即必须保证 UTF-8 文件不包含 BOM 。BOM 是 Byte Order Mark 的缩写,指 UNICODE 文件头部用于指明高低字节排列顺序的几个字符,通常是 FFFE ,而将之用 UTF-8 编码之后,就是 EFBBBF 。由于 UTF-8 文件本身不存在字节序问题,所以对 UTF-16 等编码方式有重大意义的 BOM,对于 UTF-8 来说,只有一个作用——表明这个文件是 UTF-8 格式。由于 BOM 会给文本处理带来很多难题,所以现在很多软件都要求使用不带 BOM 的 UTF-8 文件,特别是一些处理文本的软件,如 PHP、 UNIX 脚本文件等,svn 也是如此。

目前常用的一些文本编辑工具中,MS Windows 自带的“记事本”里面,“另存为”菜单保存出来的 UTF-8 格式文件,会自动带上 BOM 。新版本 UltraEdit 提供了选项,允许用户选择是否需要 BOM,而老版本的不会添加 BOM。请各位查看一下自己常用的编辑器的说明文件,看看它是否支持这个功能。

利用 UltraEdit ,我们可以将 BOM 去掉。方法是,首先利用“UTF-8 TO ASCII”菜单将文件转换成本地编码,通常是GB2312码,然后再使用“ASCII TO UTF-8(UNICODE Editing)”来转换到 UTF-8 即可。

Feedback

# re: SVN 权限管理  回复  更多评论   

2008-07-25 10:25 by 巴西木
经常有朋友问到Subversion是否可以对中文目录进行权限控制,如果可以,该如何配置。

经过测试,发现subversion是可以很好地控制中文目录的权限的。

方法很简单,就是将你的权限控制文件的格式转换为无BOM的UTF-8格式,
将权限文件改成UTF-8格式,我使用的是UltraEdit的菜单"ASCII to UTF-8 (Unicode Editing)"。


《Subversion之路--利用 svnserve.exe 实现精细的目录访问控制》
只有注册用户登录后才能发表评论。