http://bbs.iusesvn.com/thread-158-1-1.html
翻译整理: PCplayer
关键词:subversion 安装 服务器 配置 apache ssl
最后更新:2007-8-19
版本:v1.0
修改历史:
v0.1 2006-08-06
v0.2 2006-09-10 加入ssl的配置
v0.21 2006-09-13 修正2.3配置中一个错误(由blair1978 报告)
v0.23 2006-09-26 在附件1中添加两个必要文件,不然无法创建SSL证书
修正一个创建证书的命令错误
v0.26 2006-10-16 更新mod_ssl_etc.rar(openssl必需软件包)中的mod_ssl.so,由sunbeam在
http://bbs.iusesvn.com/thread-418-1-1.html提供
v1.0 2007-8-19 告知已支持Apache2.2.4
转载请注意原文出处、版本、作者(译者)http://bbs.iusesvn.com/thread-158-1-1.html
--------------------------------------------------------------------------------
1. 引言
2. 安装过程
2.1. 安装Apache
2.2. 安装Subversion
2.3. 配置
2.4. 使用SSL来保护你的服务器
摘要
本文是TortoiseSVN1.3.5帮助中关于配置服务器一节的翻译,根据行文需要做了一些调整与增减。英文原文参见TortoiseSVN1.3.5帮助的3.1. Apache Based Server。
要使用TortoiseSVN(或者其它的Subversion客户端),你要有一个存放版本库的地方。你可以将版本库存放在本机,使用file://协议来访问,也可以将它们放在一个服务器上,使用http://或svn://协议来访问。两种服务器协议(http://和svn://)也可以被加密成https://及svn+ssh://。下面将一步一步地为你展示如何在windows上配置这样一个服务器。
如果你没有服务器或者你只想单独地工作,那么将版本库存放在本机并使用file://协议来访问是你最好的选择,这样的话,你可以略过本文。
注:目前windows下的subversion有专门的for apache2.2.x版本,可以跟Apache2.2.x配合,不过本文所带的附件只在Apache2.0.x上测试过
1. 引言
在所有的Subversion服务器配置方式中,基于Apache的是最灵活的。虽然配置起来有一点点复杂,但是它提供了其它方式所没有的好处:
WebDAV
基于Apache配置的Subversion服务器使用了被许多其它程序支持的WebDAV协议。举个例子,你可以在Windows的资源 管理器中将这样的一个版本库挂载成一个“Webfolder”,然后像文件 系统中的其它文件夹一样访问它。
浏览版本库
你可以在不安装Subversion客户端的情况下,使用 浏览器来浏览版本库中的内容。这将使得更大范围的 用户可以访问你的数据。
用户验证
你可以使用任何Apache支持的验证机制,包括SSPI和LDAP。
安全
Apache是非常的稳定和安全,因此你的版本库自然而然地拥有同样的安全性。包括SSL加密。
2.1. 安装Apache
安装Apache前,你要有一台 运行Windows2000、Windows XP + sp1或Windows2003的 电脑。
警告:请注意,没安装Service Pack 1的Windows XP将导致错误的 网络数据从而破坏你的版本库!
从 http://httpd.apache.org/download.cgi 最新版本的Apache Web服务器。确保你 下载的版本大于2.0.54。2.0.54版本的Apache将不能与Subversion 1.3.xx配合工作。而且,小于2.0.54的Apache也因为在windows上的 编译存在一个 bug而导致不能与subversion1.2配合使用。
一旦你已经有了Apache2的安装程序,你可以双击它,它将引导你完成整个安装过程。请确保你输入正确的服务器URL(如果你的服务器没有DNS名称,你可以直接输入IP 地址)。我建议你将Apache安装成 for all Users,on Port 80,as a service。注意:如果你已经有一个IIS或者其它的程序使用80端口,安装可能会 失败。如果是这样,你可以到程序 目录下的Apache Group/Apache2/ conf目录中找到文件httpd.conf,将其中的Listen 80改成一个不用的端口,比如Listen 81。然后重新运行这个安装程序,这次应该不会再有问题了。
现在你可以在你的浏览器中键入 http://loccalhost,如果呈现了一个已经配置好的网站,那么你的Apache就安装成功了。
警告:
如果你将Apache安装成一个服务,它将以本地system帐户来运行。为Apache创建一个单独的用户来运行它将会更安全一些。
请确保运行Apache的用户有版本库的完全访问 权限(右键版本库目录-> 属性->安全)。要不然,用户将无法提交他们的更改。
就算Apache以本机system来运行,你也要 设置它能完全读写版本库目录。
如果没有为Apache配置这个许可,用户将会得到"禁止访问"的错误信息,在Apache的错误 日志中表现为错误500。
2.2. 安装Subversion
从 http://subversion.tigris.org/ser ... entList?folderID=91 (英文)
或
http://bbs.iusesvn.com/forum-7-1.html( 中文)下载最新版本的Subversion。
运行Subversion安装程序,如果安装程序能够识别你已经安装了Apache,那么你的安装基本上就OK了。如果它不能,那么你要做一些额外的步骤。
注:如果你先安装Apache,再安装Subversion,正常情况下下面的工作(2.3配置前)Subversion安装程序已经帮你完成了
使用资源管理器,进入Sibversion的安装目录(通常为c:/program files/Subversion),找到文件httpd/mod_ dav_svn.so和mod_ authz_svn.so,将它们拷贝到Apache的modules目录(通常为c:/program files/apache group/apache2/modules)。
从Subversion的安装目录拷贝文件libdb43.dll到Apache的modules目录。
使用如记事本之类的文本编辑器编辑Apache的配置文件(通常为c:/program files/apache group/apache2/conf/httd.conf),修改以下内容:
去掉以下行的注释(将开头的# 删除):
- #LoadModule dav_fs_module modules/mod_dav_fs.so
- #LoadModule dav_module modules/mod_dav.so
- LoadModule dav_svn_module modules/mod_dav_svn.so
- LoadModule authz_svn_module modules/mod_authz_svn.so
现在,你已经安装了Apache和Subversion,但是Apache还不知道如果处理像TortoiseSVN一样的Subversion客户端。要让Apache知道哪个URL将被Subversion使用,你要像下面这样编辑Apache的配置文件(通常在c:/program files/apache group/apache2/conf/httpd.conf):
在配置文件的最后添加下面这些行:
- <Location /svn>
- DAV svn
- SVNParentPath D:/SVN
- AuthType Basic
- AuthName "Subversion repositories"
- AuthUserFile D:/passwd
- #AuthzSVNAccessFile D:/svnaccessfile
- Require valid-user
- </Location>
要创建passwd文件,可以打开命令行(DOS窗口),将当前目录切换到apache2目录(通常为c:/program files/apache group/apache2),然后打入以下命令以创建文件:
- bin/htpasswd -c passwd <username>
将你的浏览器指向 http://MyServer/svn/MyNewRepository(MyNewRepository是你之前创建的Subversion版本库)。如果一切正常,你将被 提示输入用户名密码,输入正确的用户名密码后你就可以看到版本库中的内容了。
对你刚刚输入的apache配置作一些简短的说明:
<Location /svn>
意味着可以通过像这样的URL( http://MyServer/svn)来访问Subversion版本库
DAV svn
告诉Apache哪个 模块负责服务像那样的URL--在这里就是Subversion模块
SVNListParentPath on
在Subversion 1.3及更高版本中,这个指示器使得Subversion列出由SVNParentPath指定的目录下所有的版本库
SVNParentPath D:/SVN
告诉Subversion在目录D:/SVN下寻找版本库
AuthType Basic
启用基本的验证,比如用户名/密码对
AuthName "Subversion repositories"
当一个验证对话框弹出时,告诉用户这个验证是用来做什么的
AuthUserFile D:/passwd
指定D:/passwd用为密码文件用来验证用户的用户名及密码
AuthzSVNAccessFile D:/svnaccessfile
指定D:/svnaccessfile来限定各个用户或组在版本库中目录的访问权限
Require valid-user
限定用户只有输入正确的用户名及密码后才能访问这个路径
上面的配置仅仅是一个简单的示例。你还可以对Apache进行许许多多的配置。
1如果你想让所有用户对版本库都有读的权限而只有特定的用户才有写的权限,你可以将这行
- Require valid-user
- <LimitExcept GET PROPFIND OPTIONS REPORT>
- Require valid-user
- </LimitExcept>
- #AuthzSVNAccessFile D:/svnaccessfile
- [groups]
- admin = john, kate
- devteam1 = john, rachel, sally
- devteam2 = kate, peter, mark
- docs = bob, jane, mike
- training = zak
- # 为所有库指定默认访问规则
- # 所有人可以读,管理员可以写,危险分子没有任何权限
- [/]
- * = r
- @admin = rw
- dangerman =
- # 允许开发人员可以完全访问他们的项目版本库
- [proj1:/]
- @devteam1 = rw
- [proj2:/]
- @devteam2 = rw
- [bigproj:/]
- @devteam1 = rw
- @devteam2 = rw
- trevor = rw
- # 文档编写人员对所有的docs目录有写权限
- [/trunk/doc]
- @docs = rw
- # 培训人员可以完全访问培训版本库
- [TrainingRepos:/]
- @training = rw
以上的工作已经可以让你的svn服务器正常工作了。
如果你要更安全一些,可以配置ssl来保护你的服务器。
因为美国出口限制,默认安装的Apache服务器不支持SSL。但是你自己可以很容易地在其它地方下载到所需要的模块,然后安装它。
首先你需要SSL的必需文件。你可以 http://hunter.campbus.com/ 或这里找到相应的软件包(或者下载本主题的附件1: mod_ssl_etc.rar (595.45 KB) )。然后只要将包解开将其中的mod_ssl.so拷到Apache的modules目录、openssl.exe、libeay32.dll、ssleay32.dll拷到bin目录、conf/ssl.conf拷到conf目录。
在Apache的conf目录中用文本编辑器打开ssl.conf。
将下面这些行用#注释掉:
- DocumentRoot "c:/apache/htdocs"
- ServerName [url]www.example.com:443[/url]
- ServerAdmin [email]you@example.com[/email]
- ErrorLog logs/error_log
- TransferLog logs/access_log
- SSLCertificateFile conf/ssl.crt/server.crt
- SSLCertificateFile conf/ssl/my-server.cert
- SSLCertificateKeyFile conf/ssl.key/server.key
- SSLCertificateKeyFile conf/ssl/my-server.key
- SSLMutex file:logs/ssl_mutex
- SSLMutex default
- <IfDefine SSL>
- </IfDefine>
- #LoadModule ssl_module modules/mod_ssl.so
下面你要创建一个SSL证书。你可以打开一个命令行窗口,然后cd到Apache安装目录(比如C:/program files/apache group/apache2),敲入以下命令:
- bin/openssl req -config bin/openssl.cnf -new -out my-server.csr
下一步,敲入以下命令:
- bin/openssl rsa -in privkey.pem -out my-server.key
- bin/openssl x509 -in my-server.csr -out my-server.cert -req -signkey my-server.key -days 4000
- bin/openssl x509 -in my-server.cert -out my-server.der.crt -outform DER
(比如C:/program files/apache group/apache2/conf/ssl),如果目录ssl不存在,你必须先创建一个。
重启Apache服务。
现在可以用类似这样的url来访问你的版本库了 https://servername/svn/project
强制通过SSL来访问
当你配置了SSL来提高版本库安全时,你可能想禁用无SSL的http访问方式,而只允许通过https访问。要达到这种效果,你要在<Location>块加入另外一个指示器SSLRequireSSL。
一个示例<Location>块可能像这样:
<Location /svn>
DAV svn
SVNParentPath D:/SVN
SSLRequireSSL
AuthType Basic
AuthName "Subversion repositories"
AuthUserFile passwd
#AuthzSVNAccessFile svnaccessfile
Require valid-user
</Location>