如何在 ubuntu 11.04 上配置 ldap 服务器?(用于 subversion 和 trac)

如何在 ubuntu 11.04 上配置 ldap 服务器?(用于 subversion 和 trac)

我在 ec2 上有一个 Ubuntu 服务器 11.04(我提到这一点,是因为当涉及到 LDAP 配置时,这个版本与以前的 ubuntu 版本相比似乎有所变化)。

我想将其配置为带有 trac 的 subversion 服务器,用于私有存储库(即用户必须具有用户名:密码和权限才能查看或提交到 svn,以及查看或在 trac 中进行更改)。

因为我想确保它是安全的,所以我首先选择了 svn+ssh 选项,这意味着我必须为每个需要访问 svn 的人创建一个 linux 用户。但我找不到一种方法来为 trac 使用相同的用户 - 这意味着我必须为我在 linux 机器上创建的每个用户在 trac 中手动创建一个用户,这可能会导致 svn 和 trac 之间的密码不同 - 简而言之:一团糟。

所以我决定去实现一个 openldap 服务器,这样将来就可以选择使用 ldap 用户来实现其他功能。

我发现的唯一一个可以配置 openldap 部分的指南是这个(“导游“)。

然而,当我到达 kerberos 部分时 - 我遇到了一些问题,我不知道如何回答,然后我遇到了错误,所以没有 kerberos。

一些说明:

  • 服务器最终将类似于svn.myserver.com。但是,目前还没有它的 DNS 记录。

  • 考虑到前面的说明,我svn.myserver.com在配置 openldap 时使用了名称,如导游以上(我没有完成指南的前两部分,所以我不得不运行命令sudo dpkg-reconfigure slapd来重新配置,并且dc=svn,dc=myserver,dc=com在各处使用 而不是dc=danbishop,dc=orgsvn.myserver.com而不是danbishop.org)。

  • 在 kerberos 部分导游,运行sudo apt-get install krb5-kdc krb5-admin-server命令时,我被问到以下问题:

    • 我写的境界SVN.MYSERVER.COM
    • 关于服务器的一些内容 - 我写过localhost
    • 关于管理员服务器的一些内容 - 我写localhost

    问题解决后,继续配置kerberos,出现一些File or directory not found错误,还有一条an error has occured, see log信息。但是,我没有找到任何日志文件。

可能有更好的方法可以做到这一点,也可能有另一种解决方案可以实现我想要的效果(svn、trac 和其他未来应用程序的统一用户管理),但由于 svn 和错误跟踪功能应该可以长期存在,并且不会造成任何困难,所以对我来说,选择正确的解决方案并以正确的方式进行配置非常重要(我确信正确的方法不止一种,但我不想选择糟糕的方法)。

我会真的谢谢您的帮助,因为我已经为此折腾了好几天了,感觉自己在浪费时间。

答案1

关于 Kerberos 的一个提示:在配置 Kerberos 之前,您必须正确设置 DNS,否则可能会遇到各种麻烦。因此,请先创建相关的 DNS 条目,并且在完成此操作之前不要继续。

话虽如此,我并不认为 Kerberos 在您的案例中是必需的。它仍然是一件众所周知的复杂的事情,要让它正常工作,我认为结果不值得这么麻烦。首先,它对于提供单点登录解决方案很有用,因此如果您做对了,您登录到您的(系统)用户帐户,并且“神奇地”所有使用 Kerberos 的服务都可以在无需登录的情况下工作。

因此,如果您将系统配置为通过 PAM 对 LDAP 进行身份验证,并对 Trac 执行相同操作,那么就应该没问题。

答案2

我将使用 Likewise-open 加入域并配置 kerberos 并在 dav_svn.conf 中添加使用

  <Location /svn>
    DAV svn
    SVNParentPath /srv/svn
    AuthzSVNAccessFile /etc/subversion/svn.conf
    SVNPathAuthz off
    Require valid-user
    AuthName "Domain Login"
    AuthType Kerberos
    KrbMethodNegotiate off
    KrbSaveCredentials off
    KrbVerifyKDC off

在 svn.conf 中添加您想要拥有 repos 权限的用户。请注意将域名大写,如下所示[电子邮件保护] kerberos 希望如此

相关内容