顛覆與廣告整合

Question

好吧，我已經成功地將我的Subversion在Linux機器上與Windows Server Active Directory集成在一起，現在用戶在使用Subversion服務之前已通過AD進行了身份驗證。

我只是通過在SASL中定義LDAP基本搜索（讓我們說：OU = users，DC = domain，DC = com）來完成此操作，而另一方面，使用sasl守護程序配置了Subversion。 一切順利。

但是，對於某些項目，我的組織需要阻止“ trunk”上的普通用戶訪問。 因此，然后他們在Windows Server AD中指定了兩組用戶：normal-devel：可以訪問項目的所有部分，但“ trunk”除外。 releng-devel：具有最終訪問權限。

好吧，我什至無法過濾svnserve服務中的那些組，但是我嘗試了這個（svnserve.conf）：

[alias]
normal_usr = memberOf=CN=normal-devel
releng_usr = memberOf=CN=releng-devel

[group]
normal = &normal_usr
releng = &releng_usr

[repo:/project1/trunk]
@normal = none
@releng = rw

不幸的是，它不起作用，當我想用​​一個相關的用戶將源提交到“ trunk”時，我收到“授權錯誤”。 在我看來，我的配置文件中有問題。

是否有成功的經驗根據組成員身份過濾AD用戶？

Answer 1

1. 您不能在任何AD | LDAP數據上引用組的定義-mod_authz | svnserve對AD一無所知，也無法對其進行操作。
2. 您無法使用默認工具將AD組自動轉換為authz組。

解決方案是從LDAP組到Subversion Authz組橋的腳本 ，還有一個附加說明：使用SVN 1.8+，您可以在自己的文件中定義組，並與其他authz數據分開。

默認svnserve.conf的一部分：

### The groups-db option controls the location of the groups file.
...
# groups-db = groups