我使用 mod_dav_svn 和 Kerberos 身份验证 mod_authz_kerb 共享 subversion 存储库。所有这些都有效,但最近它停止了。它对 URL 的顶级文件夹进行用户身份验证,但不对任何子文件夹进行身份验证。
客户端的错误如下:
$ svn list https://myserver/svn/test
projectA/
projectB/
projectC/
projectD/
$ svn list https://myserver/svn/test/projectC
svn: E120190: Unable to connect to a repository at URL 'https://myserver/svn/test/projectC'
svn: E120190: Error running context: An error occurred during authentication
运行第一个命令后,服务器输出已通过 KDC 验证用户身份:
[auth_kerb:debug] [pid 10694] src/mod_auth_kerb.c(1093): [client :57101] kerb_authenticate_user_krb5pwd ret=0 [email protected] authtype=Basic
[authz_svn:info] [pid 10694] [client :57101] Access granted: '[email protected]' OPTIONS (null)
在服务器上运行第二条命令时我得到:
[authz_svn:debug] [pid 10577] mod_authz_svn.c(449): [client :57072] Path to authz file is /opt/svn/generic_acl.conf
[authz_core:debug] [pid 10577] mod_authz_core.c(802): [client :57072] AH01626: authorization result of Require valid-user : denied (no authenticated user yet)
[authz_core:debug] [pid 10577] mod_authz_core.c(802): [client :57072] AH01626: authorization result of <RequireAny>: denied (no authenticated user yet)
对于第二条命令,我没有得到任何涉及密码和 auth_kerb 的提示。
apache 的配置位于 /etc/apache2/conf-enabled/subversion.conf 中:
<Location /svn/test>
Dav svn
SVNPath /srv/svn/test
SVNListParentPath On
SVNAutoVersioning On
AuthName "DOMAIN.CA"
AuthType Kerberos
KrbMethodNegotiate On
KrbMethodK5Passwd On
KrbAuthoritative On
KrbVerifyKDC On
KrbAuthRealms DOMAIN.CA
Krb5KeyTab /etc/krb5.keytab
KrbServiceName HTTP
AuthzSVNAccessFile /opt/svn/generic_acl.conf
Require valid-user
</Location>
我已重新配置指令,以针对与为 Kerberos 配置的相同 Active Directory 使用 Basic/htpasswd 身份验证和 LDAP。这两种替代配置似乎有效。只是最近的 apache/kerberos 模块似乎出了点问题。
任何建议将不胜感激。
我正在使用 Ubuntu 14.04.3、apache 2.4.7-1ubuntu4.5、libapache2-mod-auth-kerb 5.4-2.1
答案1
您的服务器上是否恰好有 shibboleth。Shibboleth 似乎破坏了基本身份验证,因为有效用户不起作用。尝试
ShibCompatValidUser 在 apache conf 中处于开启状态。
http://trwa.ca/2014/10/shibboleth-2-5-apache-2-4-and-breaking-apache-basic-auth/
对我来说,SVNParentPath 似乎不起作用。如果我使用 SVNPath,它会按预期工作(但随后我必须在 apache conf 中为每个 repo 配置一个条目)
我也认为有些东西坏了。几个月前我升级到了 ubuntu 14.04,但现在才开始再次使用 repo。
答案2
对于我来说,降级到以前的版本是可行的:
aptitude install libapache2-mod-svn=1.8.8-1ubuntu3 libapache2-mod-svn=1.8.8-1ubuntu3 libsvn1=1.8.8-1ubuntu3 subversion=1.8.8-1ubuntu3
并将它们搁置(至少直到修复发布为止):
aptitude hold libapache2-mod-svn libapache2-mod-svn libsvn1 subversion