Subversion之路
实现精细的目录访问权限控制
作者: | 郑新星 |
---|---|
联系: | zhengxinxing <AT> gmail <DOT> com |
状态: | 草稿,编写中 |
版本: | 0.5 |
修订: | The.Road.to.Subversion_authz.rst 1589 2006-10-11 03:52:33Z zhengxinxing |
版权: | 作者保留对本文的一切修改、发布等权力。任何人想要转载本文部分或全部内容时,必须保留包括作者、联系、状态、版本、修订、版权,共六项信息,并给出出处。对本文的参考引用,则不受限制。 |
关键词: | Subversion 目录访问 权限 |
献辞: | 仅以本文,献给中国广大的自由软件爱好者们 |
摘要: | 本文从一个实际的例子入手,介绍了如何利用 Subversion 自带的目录管理功能,来实现对项目目录的精细访问权限的控制。同时描述了在配置的过程中,需要注意的一些地方,如对中文的处理等。 |
1 to-do list
- 调整文章结构,将“背景假设”改为“故事背景”或者“需求背景”,给“前言”添加 subversion 权限简介。
- 文章的内容好像比标题的要多很多,是不是要精简一下?或者分成好几个文章
- 添加 [/path] 与 [repos:/path] 格式的解释,因为发现很多人对这个比较迷惑
- 结合 svnserve -r 和 SVNParentPath,添加对“代码库”概念的解释,以及由于代码库位置不对导致的 Option expected 错误
- 添加“父目录未设置,直接设置子目录”时候,svn的行为
2 前言
本文面向那些 Subversion 的管理员,或者任何对 Subversoin 有兴趣的人们。本文假定读者对Subversion有一定的了解,因此不打算对所有涉及到的安装、使用,做一个细节性的描述。若对于文章中描述的技术细节有疑问,请访问“参考”一节里面的参考资料。如果你对本文任何地方有什么意见,或者发现本文有着大大小小的错误,请联系 zhengxinxing <AT> gmail <DOT> com 。
在实际的使用中,由于项目的目录本身就是作为版本库的一个部分被svn所收管,所以我们无法利用服务器操作系统的访问权限,来实现项目目录的访问控制。因此,这个问题就只有让svn自己来解决了。
Subversion 1.3以前的版本,只能利用 mod_authz_svn.so 模块,结合Apache服务器来实现目录访问控制,这对Apache的配置与使用不是很熟悉的人来说(比如说鄙人)就不是很方便了。而Subversion终于在 1.3 版本上,在 svnserve.exe 服务器里面添加了这一功能,现在用起来可就方便多了。
本文是基于 Subversion 1.3.2、MS Windows 2003 Server Edition 平台来编写的,且 Subversion 服务器是利用 svnserve.exe 来架设的。不过,本文讲述到的绝大多数内容,都是不仅与操作系统平台无关,而且与是采用 svnserve(.exe) 还是使用apache来作为 Subversion 服务器也基本无关。
本文是利用 reST 格式来编写的,如果你对它感兴趣,请访问 http://docutils.sourceforge.net/rst.html 。如果想要看到更好的html格式,你可以通篇复制本文到一个文本文件里,然后利用 docutils 的 rst2html.py 脚本编译它,当然,首先你必须安装 python。
本文的获得方式:
- 原始发布点: http://iusesvn.com/bbs/thread-6-1-1.html
- 完整源文件,请利用 svn 命令来获取,命令为 svn co svn://cvs.woodpecker.org.cn/woodpecker/zqlib/tangle/michael.zheng/road2svn
- HTML版式文件,请访问 http://zhengxinxing.googlepages.com/The.Road.to.Subversion_authz.html 或 http://swjr.blog.com.cn/archives/2006/TheRoadToSubversion1authz.shtml ,不过在最终版本发布之前,我不能保证它们的内容一定会是最新的。
3 致谢
非常感谢所有给本文提出宝贵意见的人,给我提出了很多宝贵的意见与建议。请允许我在这儿记录下他们的名字或代号:PCplayer
另外感谢 woodpecker.org.cn 提供的 Subversion 空间,让更多的人可以通过svn 获得本文件。
4 实战
本章先直接给出需求及其最终的结果,如果你觉得对配置有什么疑问,或者看不懂,请不要着急,我会在后面的章节详细描述的。
4.1 背景假设
厦门央瞬公司是一家电子元器件设备供应商,其中有个ARM部门,专门负责ARM芯片的方案设计、销售,并在北京、上海各设立了一个办事处。对于工作日志,原先采用邮件方式发给经理,但是这种方式有个缺点,那就是不具备连续性,要看以前的日志必须一封一封邮件去查看,很麻烦。于是就想到利用 Subversion, 让员工在自己电脑上编辑日志,然后利用svn传送回来,既方便员工自己编写日志,又方便对日志的归档处理,而且提交日志的时候只需要执行一下 svn commit 即可,比发送邮件还要简单的多。
-
svn服务器相关信息
- 服务器地址: 192.168.0.1
- 服务器OS: MS Windows 2000 Server Edition 中文版
- 用于存放日志的代码库本地目录: D:/svn/arm
-
arm部门文档的目录结构如下:
arm 部门名称 ├─diary 工作日志目录 │ ├─headquarters 总部工作日志目录 │ ├─beijing 北京办日志目录 │ └─shanghai 上海办日志目录 ├─ref 公司公共文件参考目录 └─temp 临时文件目录
-
人员情况
- morson,公司总经理,不习惯使用电脑,更喜欢传统的纸与笔,以及面对面的交流
- michael,arm事业部的部门经理,没事的时候喜欢弄点儿新技术,用svn来管理日志,就是他想出来的主意
- scofield,北京办人员,老员工,为人油滑难管
- lincon,上海办人员,老员工,大老实人一个
- linda,总部协调员、秘书,文笔不错,长得也不错
- rory,单片机技术员,技术支持
-
访问权限需求分析
- 允许总经理、部门经理读取所有文件。顺便给他们开放写权限,以便体现对他们职位的尊重,虽然对于某些文件来说,他们若拥有“写”权限其实也没什么用处
- 除部门经理外,所有其他人员,均只能看到本办事处人员工作日志
- 不允许匿名访问
- ref目录只允许经理和秘书读写,对其他人只读
- temp目录人人都可以随意读写
4.2 使用 svnserve.exe 作为 Subversion 服务器
4.2.1 启动 Subversion 服务
直接在命令行,运行如下指令:
svnserve -d -r d:/svn
由于计划将来可能在 D:/svn 目录下,存放多个代码库,所以使用了 -r 参数,指定代码库的根目录。
如果想要将 svnserve 安装成windows的一个 services,请参考其他文章。
4.2.2 编辑代码库基础配置文件
编辑代码库 arm/conf/svnserve.conf 文件,如下:
[general] password-db = passwd.conf anon-access = none auth-access = write authz-db = authz.conf
4.2.3 管理用户帐号
新建代码库 arm/conf/passwd.conf 文件,如下:
[users] morson = ShowMeTheMoney michael = mysecretpassword scofield = hellolittilekiller lincon = asyouknows111 rory = 8809117 linda = IlikeWorldCup2006
4.2.4 建立目录访问权限控制文件
新建代码库 arm/conf/authz.conf 文件,内容如下:
[groups] g_vip = morson g_manager = michael g_beijing = scofield g_shanghai = lincon g_headquarters = rory, linda g_docs = linda [arm:/] @g_manager = rw * = r [arm:/diary/headquarters] @g_manager = rw @g_headquarters = rw @g_vip = r * = [arm:/diary/beijing] @g_manager = rw @g_beijing = rw @g_vip = r * = [arm:/diary/shanghai] @g_manager = rw @g_shanghai = rw @g_vip = r * = [arm:/ref] @g_manager = rw @g_docs = rw * = r [arm:/temp] * = rw
4.2.5 建立代码库
在服务器 D:/svn 目录下,建立一个名为 arm 的代码库,命令如下:
D:/svn>svnadmin create arm
在客户机 F:/temp 目录下,建立好上述目录结构
如果是使用 svnserve 作为你的 Subversion 服务器的朋友,可以使用命令 F:/temp>svn import arm svn://192.168.0.1/arm 导入整个目录结构。
这条指令的精确意思是,将 arm 目录下面的所有东西,导入到那个名叫 arm 的代码库中去。如果你不指定源目录,则 svn 会默认将当前目录作为源目录。比如说,你处于 F:/temp 目录下的时候,直接执行 svn import svn://192.168.0.1/arm ,那么当你取出你的代码的时候,你会发现,居然多了一层名为 arm 的目录。结果,你就必须使用类似 svn://192.168.0.1/arm/arm 这样怪异的URL,才能够正确访问到你的代码们。
这一点粗看好像不是特别重要,不过联想到前述的目录授权规则,可都是按照标准的项目目录结构来设计的。突然之间,你项目的根目录之上,多出了一个名为 arm 的目录,那么我们的所有目录授权规则,基本上都要全部改过了,否则除了根目录,你永远会得到一个莫名其妙的“access denied”。由于 Subversion 在这一步骤上的界面不够人性化,因此这是初学者很容易弄混的地方之一。
4.2.6 测试
在服务器上,打开一个 DOS Prompt 窗口,输入如下指令:
svn co svn://127.0.0.1/arm --no-auth-cache --username rory --password 8809117
我们应该得到如下目录结构:
arm ├─diary │ └─headquarters ├─ref └─temp
然后修改ref目录下任意文件并提交,服务器将会报错“Access denied”
4.3 使用 Apache 作为 Subversion 服务器
4.3.1 编辑代码库基础配置文件
你需要在 httpd.conf 中添加类似如下的配置段:
<Location /svn> DAV svn # 我的代码库们,全部都放在 d:/svn_repository 这个目录下面 SVNParentPath d:/svn_repository # 禁止未授权用户的访问 Require valid-user # 使用密码系统验证用户 AuthType Basic AuthName "my Subversion Server" AuthUserFile d:/svn_repository/passwd.conf # 开启目录授权功能 AuthzSVNAccessFile d:/svn_repository/authz.conf </Location>
5 深入
本章将详细介绍前一章所涉及的两个配置文件, svnserve.conf 和 authz.conf,通过对配置逐行的描述,来阐明其中的一些细节含义。
这里首先要注意一点,任何配置文件的有效配置行,都不允许存在前置空格,否则程序会无法识别。也就是说,如果你直接从本文的纯文本格式中拷贝了相关的配置行过去,需要手动将前置的4个空格全部删除。当然了,如果你觉得一下子要删除好多行的同样数目的前置空格是一件苦差使,那么也许 UltraEdit 的“Column Mode”编辑模式,可以给你很大帮助呢。
5.1 svnserve.conf
arm/conf/svnserve.conf 文件,是 svnserve.exe 这个服务器进程的配置文件,我们逐行解释如下。
首先,我们告诉 svnserve.exe,用户名与密码放在 passwd.conf 文件下。当然,你可以改成任意的有效文件名,比如默认的就是 passwd:
password-db = passwd.conf
接下来这两行的意思,是说只允许经过验证的用户,方可访问代码库。 那么哪些是“经过验证的”用户呢?噢,当然,就是前面说那些在 passwd.conf 文件里面持有用户名密码的家伙。这两行的等号后面,目前只允许 read write none 三种值,你如果想实现一些特殊的值,比如说“read-once”之类的,建议你自己动手改源代码,反正它也是自由软件:
anon-access = none auth-access = write
接下来就是最关键的一句呢,它告诉 svnserve.exe,项目目录访问权限的相关配置是放在 authz.conf 文件里:
authz-db = authz.conf
当然,svn 1.3.2 引入本功能的时候,系统默认使用 authz 而不是 authz.conf 作为配置文件。不过由于鄙人是处女座的,有着强烈的完美主义情结,看着 svnserve.conf 有后缀而 passwd 和 authz 没有就是不爽,硬是要改了。
5.2 authz.conf 之用户分组
arm/conf/authz.conf 文件的配置段,可以分为两类, [group] 是一类,里面放置着所有用户分组信息。其余以 [arm:/] 开头的是另外一类,每一段就是对应着项目的一个目录,其目录相关权限,就在此段内设置。
首先,我们将人员分组管理,以便以后由于人员变动而需要重新设置权限时候,尽量少改动东西。我们一共设置了5个用户分组,分组名称统一采用 g_ 前缀,以方便识别。当然了,分组成员之间采用逗号隔开:
[groups] # 任何想要查看所有文档的非本部门人士 g_vip = morson # 经理 g_manager = michael # 北京办人员 g_beijing = scofield # 上海办人员 g_shanghai = lincon # 总部一般员工 g_headquarters = rory, linda # 小秘,撰写文档 g_docs = linda
注意到没有, linda 这个帐号同时存在“总部”和“文档员”两个分组里面,这可不是我老眼昏花写错了,是因为 Subversion 允许我这样设置。它意味着,这个家伙所拥有的权限,将会比他的同事 rory 要多一些,这样的确很方便。具体多了哪些呢?请往下看!
5.3 authz.conf 之项目根目录
接着,我们对项目根目录做了限制,该目录只允许arm事业部的经理才能修改,其他人都只能眼巴巴的看着:
[arm:/] @g_manager = rw * = r
- [arm:/] 表示这个目录结构的相对根节点,或者说是 arm 项目的根目录。【在这儿添加对项目目录与此处配置的详细解释,包括 [/]格式 】
- 这里的 @ 表示接下来的是一个组名,不是用户名。你当然也可以将 @g_manager = rw 这一行替换成 michael = rw ,而表达的意义完全一样。
- * 表示“除了上面提到的那些人之外的其余所有人”,也就是“除了部门经理外的其他所有人”,当然也包括总经理那个怪老头
- * = r 则表示“那些人只能读,不能写”
5.4 authz.conf 之项目子目录
然后,我们要给总部人员开放日志目录的读写权限:
[arm:/diary/headquarters] @g_manager = rw @g_headquarters = rw @g_vip = r * =
- 我敢打赌,设计svn的家伙们,大部分都是在 unix/linux 平台下工作,所以他们总喜欢使用 / 来标识子目录,而完全忽视在 MS Windows 下是用 / 来做同样的事情。所以这儿,为了表示 arm/diary/headquarters 这个目录,我们必须使用 [arm:/diary/headquarters] 这样的格式。
- 这里最后一行的 * = 表示,除了经理、总部人员、特别人士之外,任何人都被禁止访问本目录。这一行是否可以省略呢?【若省略本行,其他人是否可以从 arm/diary 的 * = r 权限上获得对 arm/diary/headquarters 目录的 r 权限呢】
- 之所以这儿需要将 @g_vip = r 一句加上,就是因为存在上述这个解释。如果说你没有明确地给总经理授予读的权力,则他会和其他人一样,被 * 给排除在外。
- 如果众位看官中间,有谁玩过防火墙配置的话,可能会感觉上述的配置很熟悉。不过这里有一点与防火墙配置不一样,那就是各个配置行之间,没有 先后顺序 一说。也就是说,如果我将本段配置的 * = 这一行挪到最前面,完全不影响整个配置的最终效果。
- 请注意这儿,我们并没有给 arm/diary 目录设置权限,就直接跳到其子目录下进行设置了。我当然是故意这样的,因为我想在这儿引入“继承”的概念。
- 权限具备继承性 任何子目录,均可继承其父目录的所有权限,除非它自己被明确设置了其他的权限。也就是说,在 arm 目录设置权限后, arm/diary 目录没有进行设置,就意味着它的权限与 arm 目录一样,都是只有经理才有权读写,其他人只能干瞪眼。
- 【 * = 是否可以省略】【用例子引入覆盖】【单用户权限的继承问题】【父目录权限继承与全面覆盖问题】
现在来看看
好了,我们现在掌握了“继承”的威力,它让我们节省了不少敲键盘的时间。可是现在又有一个问题了,
属性具备覆盖性质子目录若设置了属性,则完全覆盖父目录。
5.5 authz.conf 的其他注意点
- 父目录的 r 权限,对子目录 w 权限的影响
把这个问题专门提出来,是因为在1.3.1及其以前的版本里面,有个bug,即为了子目录的写权限,项目首目录必须具备读权限。因此现在使用了1.3.2版本,就方便了那些想在一个代码库存放多个相互独立的项目的管理员,来分配权限了。比如说央舜公司建立一个大的代码库用于存放所有员工日志,叫做 diary,而arm事业部只是其中一个部门,则可以这样做:
[diary:/] @g_chief_manager = rw [diary:/arm] @g_arm_manager = rw @g_arm = r
这样,对于所有arm事业部的人员来说,就可以将 svn://192.168.0.1/diary/arm 这个URL当作根目录来进行日常操作,而完全不管它其实只是一个子目录,并且当有少数好奇心比较强的人想试着 checkout 一下 svn://192.168.0.1/diary 的时候,马上就会得到一个警告“Access denied”,哇,太酷了。
- 默认权限
如果说我对某个目录不设置任何权限,会怎样?马上动手做个试验,将:
[diary:/] @g_chief_manager = rw
改成:
[diary:/] # @g_chief_manager = rw
这样就相当于什么都没有设置。在我的 svn 1.3.2 版本上,此时是禁止任何访问。也就是说,如果你想要让某人访问某目录,你一定要显式指明这一点。这个策略,看起来与防火墙的策略是一致的。
- 只读权限带来的一个小副作用
若设置了:
[arm:/diary] * = r
则 Subversion 会认为,任何人都不允许改动 diary 目录,包括删除、 改名 ,和 新增 。
也就是说,如果你在项目初期创建目录时候,一不小心写错目录名称,比如因拼写错误写成 dairy,以后除非你改动 authz.conf 里面的这行设置,否则无法利用 svn mv 命令将错误的目录更正。
- anon-access 属性对目录权限的影响
你想将你的代码库开放给所有人访问,于是你就开放了匿名访问权限,在 svnserve.conf 文件中添加一行: anon-access=read 。可是对于部分目录,你又不希望别人看到,于是针对那些特别目录,你在 authz.conf 里面进行配置,添加了授权访问的人,并添加了 * = 标记。你认为一切OK了,可是你缺发现,那个特别目录却无法访问了,总是提示 Not authorized to open root of edit operation 或者 未授权打开根进行编辑操作 。你再三检查你配置的用户名与密码,确认一切正确,还是无法解决问题。
原来,Subversion 有个小 bug ,当 anon-access=read 并且某个目录有被设置上 * = 标记,则会出现上述问题。这个 bug 在当前最新版本上(v1.4)还存在,也许在下一版本内可以被改正吧。
在Subversion允许匿名访问的时候,若此时某一目录具备 * = 属性,即禁止“其他任何人”访问该目录,则此时会出现无法身份验证的情况。比如说,当你在 svnserve.conf 文件里面配置上 anon-access=read 的时候,如果在 authz.conf 文件里面,对某个目录设置上 * = 属性,则可能会出现下属错误:
6 改进
6.1 对中文目录的支持
上午上班的时候,Morson 来到 Michael 的桌子前面,说道:“你是否可以将我们的北京办、上海办目录,改成用中文的,看着那些拼音我觉得很难受?” Michael 心想,还好这两天刚了解了一些与 unicode 编码相关的知识,于是微笑地回答:“当然可以,你明天下午就可以看到中文目录名称了。”
-
使用 svn mv 指令,将原来的一些目录改名并 commit 入代码库,改名后的目录结构如下:
arm ├─工作日志 │ ├─总部人员 │ ├─北京办 │ └─上海办 ├─公司公共文件参考目录 └─临时文件存放处
-
修改代码库的 authz.conf 文件,将相应目录逐一改名
-
UTF-8 格式的 authz.conf 文件,以及 BOM
将配置文件转换成 UTF-8 格式之后,Subversion 就能够正确识别中文字符了。但是这里需要注意一点,即必须保证 UTF-8 文件不包含 BOM 。BOM 是 Byte Order Mark 的缩写,指 UNICODE 文件头部用于指明高低字节排列顺序的几个字符,通常是 FF FE ,而将之用 UTF-8 编码之后,就是 EF BB BF 。由于 UTF-8 文件本身不存在字节序问题,所以对 UTF-16 等编码方式有重大意义的 BOM,对于 UTF-8 来说,只有一个作用——表明这个文件是 UTF-8 格式。由于 BOM 会给文本处理带来很多难题,所以现在很多软件都要求使用不带 BOM 的 UTF-8 文件,特别是一些处理文本的软件,如 PHP、 UNIX 脚本文件等,svn 也是如此。
目前常用的一些文本编辑工具中,MS Windows 自带的“记事本”里面,“另存为”菜单保存出来的 UTF-8 格式文件,会自动带上 BOM 。新版本 UltraEdit 提供了选项,允许用户选择是否需要 BOM,而老版本的不会添加 BOM。请各位查看一下自己常用的编辑器的说明文件,看看它是否支持这个功能。
对于已经存在 BOM 的 UTF-8 文件,比如说就是微软“记事本”弄出来的,我们可以利用 UltraEdit 来将 BOM 去掉。方法是,首先利用“UTF-8 TO ASCII”菜单将文件转换成本地编码,通常是GB2312码,然后再使用“ASCII TO UTF-8(UNICODE Editing)”来转换到 UTF-8 即可。当然,这么操作之前,你肯定得先保证,你的 UltraEdit 保存出来的 UTF-8 文件的确是不带 BOM 的。
Subversion 为什么讨厌 BOM 呢?我不知道,毕竟我也只是一个普通用户,不是开发人员。如果你感兴趣,并且英文够好的话,不妨参考一下这个讨论: http://subversion.tigris.org/servlets/ReadMsg?list=users&msgNo=51334
7 参考文献
- Subversion官方文档, http://svnbook.red-bean.com/en/1.1/ch06s04.html#svn-ch-6-sect-4.4.2
- Subversion 1.3变更记录, http://subversion.tigris.org/svn_1.3_releasenotes.html
- Subversion FAQ, http://subversion.tigris.org/faq.html
- UTF-8 常见问题, http://unicode.org/faq/utf_bom.html
8 历史轨迹
- 2006.06.04, v0.1, 在 http://iusesvn.com/bbs 首次发布
- 2006.07.07, v0.4, 加入 www.woodpecker.org.cn 的 OBP 项目
- 2006.10.11, v0.5, 修正部分错误,调整部分章节顺序