Есть ли возможность получить групповую авторизацию в файле subversion authz?
Насколько я понимаю, группы должны быть определены в файле подрывной аутентификации. Но есть ли возможность определить группы ldap в файле authz?
У меня есть репозитории man svn, и у каждого репозитория есть свой файл authz. Я и некоторые администраторы используют плагин trac для управления доступом к этим репозиториям, например:
[groups]
dev = persona, personb, personc, persond
buildmanager = persone
doc_writer = personf
reader = personx
[/]
@dev = rw
[/doc]
@doc_writer = rw
и так далее.
Теперь я хочу что-то вроде этого:
[/]
@ldap_group_1 = rw
Есть ли возможность получить это?
1 ответ
Предисловие
С помощью SVNPath вместо SVNParentPath для большого набора репозиториев и, таким образом, отделенного администрирования и управления не очень хорошая идея (из моего POV). С SVNParentPath вы можете иметь унифицированную конфигурацию Apache для любого количества (динамически изменяющихся) репозиториев на сервер и одного (более простого в управлении) файла authz.
В случае LDAP-бэкэнда я вижу только одну причину для конфигураций разделения для разных репозиториев - на этапе аутентификации auth_ldap использует свойство "пользователь принадлежат к специальному, уникальному для этого репозитория, группе" как условие аутентификации (см. AuthLDAPURL а также Require возможности в документах Apache). В случае использования принадлежности к разным группам позднее, при авторизации для доступа к частям репо, монолитная конфигурация и authz-файл представляются более привлекательными и надежными
Лицо
- Да, группы могут быть определены внутри файла authz
- Нет, совместимость authz-групп с любыми другими внешними источниками авторизации не поддерживается (сейчас)
- Вы можете (и действительно имеете) создавать и поддерживать связь между LDAP- и authz-группами вручную
- Хорошая новость - такой инструмент уже был создан и опубликован как группы LDAP для моста Subversion Authz Groups
- Я ответил на частично похожий вопрос немного глубже некоторое время назад