[linux-l] Subversion und Authentifizierung durch Apache (was: Neuorganisation der Berlinux-Seiten)
Mike Dornberger
Mike.Dornberger at gmx.de
Mo Nov 21 00:46:58 CET 2005
Hallo Volker,
On Sun, Nov 20, 2005 at 08:13:38PM +0100, Volker Grabsch wrote:
> On Sun, Nov 20, 2005 at 03:10:19PM +0100, Benjamin Schieder wrote:
> [SubWiki]
> > Das Verzeichnis innerhalb des svn trees ist konfigurierbar. Authentifikation
> > existiert nicht, ist ueber apache zu machen bzw. per subversion, diese
> > beinhalten bereits hervorragende Mechanismen dafuer.
>
> Hmm, das sieht nur auf den ersten Blick so aus, als wäre es
> "naheliegend", aber eigentlich ist es ein großer Umweg.
nein, siehe unten.
> Ich habe mir gedacht, das CGI-Script verlangt eine Authentifikation
> (z.B. per Formular+Cookie), merkt sich Usernamen und Passwort, und
> nutzt genau *diese* Infos, um sich gegen den Subversion zu
> authentifizieren und die Seiten zu committen.
> Ersetzt man Wiki gegen Mailbox und Subversion gegen IMAP, so hat
> man dann genau das, was Squirrelmail macht.
> Das sollte IMHO das Subwiki-CGI-Script ebenfalls machen.
>
> Wenn das CGI-Script jedoch das Erfassen der Login-Informationen
> komplett dem Apache überlässt (via HTTP-Auth), dann kennt es nur
> den Usernamen und nicht das Passwort. Aber es muss sich irgendwie
Es reicht unter Umständen vollkommen aus, nur den Benutzernamen zu kennen.
Das CGI-Script könnte z. B. snvserv -t --tunnel-user=<username> aufrufen.
Auch wenn das Repository dem User gehört, unter dessen Rechten das
CGI-Script bzw. snvserv läuft, werden die Änderungen im Log trotzdem User
username zugeschrieben. Oder die User werden ohne Repository-Paßwort
angelegt, müssen sich also nur gegen das CGI mit einem (Apache-)Paßwort
authentifizieren. Kann auch sein, daß das CGI-Script direkt auf das
Repository über die svn-Libraries zugreift.
Die Zugriffskontrolle auf einzelne Pfade muß man derzeit (svn 1.1) noch über
die Hook-Scripts machen. (Später sollen dann mal ACLs eingesetzt werden.)
(Siehe auch svnbook: http://svnbook.red-bean.com/en/1.1/ch06.html )
> gegen Subversion authentifizieren, d.h. extra für das CGI-Script muss
> ein User im Subversion eingerichtet werden, der auf alle Wikiseiten
> Schreibzugriff hat. An diese Sch**** haben sich viele Leute dank
> MySQL gewöhnt, aber ich finde das weder sicher noch sauber.
Nein, man braucht hier keinen "common-user".
Gruß,
Mike
Mehr Informationen über die Mailingliste linux-l