1. дома
  2. Вопрос и ответ
  3. svn права доступа для аутентификации ldap

svn права доступа для аутентификации ldap

2013-09-13 3 views
0

Сервер svn находится на linux и аутентифицируется через LDAP. Это работает отлично, теперь, когда нам нужно установить разрешение доступа для определенных пользователей, но в ldap нет группы. Пожалуйста, дайте мне знать, как этого достичь. Я попробовал файл управления доступом, но он не работает. Существует аналогичный вопрос уже здесь, в stackoverflow, который указан только для использования файла управления доступом, который бесполезен.svn права доступа для аутентификации ldap

источник

2013-09-13 anand

+0

Path-Based Authorization не за работой? Посмотрите здесь: http://stackoverflow.com/questions/484499/how-do-i-restrict-apache-svn-access-to-specific-users-ldap-file-based-authentic –

+0

@FaustoCarvalhoMarquesSilva, я уже проверил, что ответ, и его не работает. – anand

ответ

0

нам нужно установить разрешение на уровне доступа для определенных пользователей

  • Если они списки контроля доступа для различных частей внутри хранилища (не для доступа к хранилищу по себе), вы сусло в любом случае использовать Path-Based Authorization: каждый аутентифицированный пользователь, независимо от метода авторизации, является пользователем, на который можно ссылаться в файле authz

Некоторые системы аутентификации ожидают и несут относительно короткие имена пользователей этих видов мы описываем здесь-гарри, Сэлли, Джо, и так далее. Но другие системы аутентификации, такие как те, которые используютхранилища LDAP или сертификаты SSL-клиентов, могут содержать гораздо более сложные имена пользователей. Например, имя пользователя Гарри в LDAP-защищенной системе может быть CN=Harold Hacker,OU=Engineers,DC=red-bean,DC=com. С именами пользователей, как это, файл доступа может стать довольно раздутым с длинными или неясными именами пользователей, которые легко ошибаться. К счастью, псевдонимы псевдонимов позволяют вам вводить правильный комплекс имя пользователя только один раз, в заявлении, которое присваивает ему более легкий перевариваемый псевдоним.

[aliases] 
harry = CN=Harold Hacker,OU=Engineers,DC=red-bean,DC=com 
sally = CN=Sally Swatterbug,OU=Engineers,DC=red-bean,DC=com 
joe = CN=Gerald I. Joseph,OU=Engineers,DC=red-bean,DC=com

...

После того, как вы определили набор псевдонимов, вы можете обратиться к пользователям в другом месте в файле доступа через их псевдонимы во всех тех же местах вы могли бы вместо этого использовали их фактическое имена пользователей

  • Если вы должны ограничить доступ к репозиторию в принципе и позволяют это только некоторые LDAP-пользователей, вы должны точно настроить mod_authnz_ldap настройки и изменить AuthLDAPURL для ваших нужд или использовать другой тип Require директивы вместо Require valid-user

источник

2013-09-13 15:58:30

+0

Благодарим за ответ, поскольку вы упомянули, что мне нужно ограничить доступ к репозиторию, но я не смогу использовать директиву require, так как групп нет в LDAP. – anand

+0

@anand - не используйте группы, у вас есть много других методов, без групп. * Если LDAP-данные могут быть отредактированы ** - 'Требовать ldap-attribute' f.e., или просто перечислить всех пользователей в 'Require ldap-user' –

+0

Я проверил директивы Require, они хороши, но это полностью ограничивает запись для пользователя, хотя мы должны дать ему разрешение на чтение как минимум. – anand

Смежные вопросы

 Смежные вопросы