据我所知,必须在 subversion authz 文件中定义组。但是是否有可能在 authz 文件中定义 ldap 组?
我有 man svn 存储库,每个存储库都有其 authz 文件。我和一些管理员正在使用 trac 插件来管理对这些存储库的访问,例如:
[groups]
dev = persona, personb, personc, persond
buildmanager = persone
doc_writer = personf
reader = personx
[/]
@dev = rw
[/doc]
@doc_writer = rw
等等。
现在我想要的是这样的:
[/]
@ldap_group_1 = rw
有可能得到这个吗?
答案1
前言
使用SVNPath而不是SVNParentPath来管理一大组存储库,从而将管理和管理分开,这不是一个好主意(从我的角度来看)。使用 SVNParentPath,您可以为每个服务器的任意数量(动态变化)的存储库和单个(更易于管理)的 authz 文件进行统一的 Apache 配置。
对于 LDAP 后端,我只能看到对不同存储库进行分离配置的一个原因 - 在身份验证阶段,auth_ldap 使用属性“用户属于特殊的、此存储库唯一的、组”作为身份验证条件(请参阅Apache 文档中的AuthLDAPURL可能性Require)。如果稍后使用属于不同组,在授权访问存储库的各个部分时,单片配置和 authz 文件似乎更有吸引力和更可靠
脸
- 是的,团体能在 authz 文件中定义
- 否,authz-groups 与任何其他的互操作性外部的授权源不受支持(现在)
- 您可以(并且确实)手动创建并支持 LDAP 和 authz 组之间的链接
- 好消息 - 此类工具已经创建并发布为LDAP 组与 Subversion Authz 组桥接
- 我已回答前段时间对部分类似的问题进行了更深入的探讨