本文档旨在描述 Apache™ Subversion® 的 1.7.x 系列。如果您运行的是其他版本的 Subversion,强烈建议您访问 https://svnbook.subversion.org.cn/ 并查阅适合您 Subversion 版本的文档。

基于路径的授权
上一页  第 6 章 服务器配置  下一页

基于路径的授权

Apache 和 svnserve 都能够授予(或拒绝)用户权限。通常,这在整个存储库中进行:用户可以读取存储库(或不能),并且可以写入存储库(或不能)。但是,也可以定义更细粒度的访问规则。一组用户可能被允许写入存储库中的某个目录,而其他用户则不能;另一个目录可能只有少数特殊人员才能读取。由于文件也是路径,因此甚至可以限制对每个文件的访问。

这两个服务器都使用通用的文件格式来描述这些基于路径的访问规则。在 Apache 的情况下,需要加载 mod_authz_svn 模块,然后添加 AuthzSVNAccessFile 指令(在 httpd.conf 文件中),指向您自己的访问规则文件。(有关完整说明,请参阅 名为“每个目录的访问控制”的部分。)如果您使用的是 svnserve,则需要使 authz-db 变量(在 svnserve.conf 中)指向您的访问规则文件。

您真的需要基于路径的访问控制吗?

许多第一次设置 Subversion 的管理员倾向于直接跳入基于路径的访问控制,而没有过多考虑。管理员通常知道哪些团队在处理哪些项目,因此很容易直接授予某些团队对某些目录的访问权限,而其他团队则没有。这似乎是一件自然的事情,并且满足了管理员对严格控制存储库的愿望。

但是请注意,此功能通常会带来一些看不见的(和可见的!)成本。在可见的类别中,服务器需要做更多工作来确保用户有权读取或写入每个特定路径;在某些情况下,性能损失非常明显。在不可见的类别中,请考虑您正在创建的文化。大多数时候,虽然某些用户 不应该 向存储库的某些部分提交更改,但这种社会契约不需要在技术上强制执行。团队有时可以自发地相互协作;有人可能想通过提交到她通常不工作的区域来帮助其他人。通过在服务器级别阻止这种事情,您正在为意外的协作设置障碍。您还在创建许多需要随着项目发展、添加新用户等而维护的规则。这需要维护大量额外工作。

请记住,这是一个版本控制系统!即使有人不小心将更改提交到不应该提交的地方,也很容易撤销更改。如果用户恶意地提交到错误的位置,那也是一个社会问题,需要在 Subversion 之外解决。

因此,在开始限制用户访问权限之前,问问自己是否真的需要这样做,还是仅仅因为对管理员来说“听起来不错”。决定是否值得牺牲一些服务器速度,并记住风险很小;依赖技术来解决社会问题是不好的。[61]

举个例子,Subversion 项目本身一直都有一个关于谁被允许在何处提交的概念,但它一直都是通过社会方式来执行的。这对于开源项目来说是一个很好的社区信任模型。当然,有时确实存在对基于路径的访问控制的真正合法需求;例如,在公司内部,某些类型的数据确实可能很敏感,需要将访问权限真正限制在少数人手中。

一旦您的服务器知道在哪里找到您的访问文件,就可以开始定义规则了。

该文件的语法与 svnserve.conf 和运行时配置文件使用的熟悉语法相同。以井号 (#) 开头的行将被忽略。在最简单的形式中,每个部分都命名一个存储库及其内部路径,以及经过身份验证的用户名是每个部分内的选项名称。每个选项的值描述了用户对存储库路径的访问级别:r(只读)或 rw(读写)。如果用户根本没有被提及,则不允许访问。

更具体地说:部分名称的值的形式为 [repos-name:path][path]

[Warning] 警告

在 1.7 版本之前,Subversion 在访问控制方面以不区分大小写的方式处理存储库名称和路径,在与访问文件内容进行比较之前,将它们内部转换为小写。现在,它以区分大小写的方式进行这些比较。如果您从旧版本升级到 Subversion 1.7,则应检查您的访问文件以确保大小写正确。

如果您使用的是 SVNParentPath 指令,则在您的部分中指定存储库名称非常重要。如果您省略它们,例如 [/some/dir] 这样的部分将匹配 每个存储库中的 /some/dir 路径。但是,如果您使用的是 SVNPath 指令,则只需在您的部分中定义路径即可——毕竟,只有一个存储库。

[calc:/branches/calc/bug-142]
harry = rw
sally = r

在第一个示例中,用户 harrycalc 仓库中的 /branches/calc/bug-142 目录拥有完全的读写权限,而用户 sally 只有只读权限。其他任何用户都被禁止访问此目录。

[Warning] 警告

mod_dav_svn 提供了一个指令 SVNReposName,允许管理员为仓库定义一个更人性化的名称。

<Location /svn/calc>
  SVNPath /var/svn/calc
  SVNReposName "Calculator Application"
…

这允许 mod_dav_svn 通过除服务器目录基本名称(例如,在前面的示例中为 calc)以外的其他方式来识别仓库,从而在提供仓库内容的目录列表时使用。但是请注意,在查询访问文件以获取授权规则时,Subversion 使用此仓库基本名称进行比较,而不是任何配置的人性化名称。

当然,权限是从父目录继承到子目录的。这意味着我们可以为 Sally 指定一个具有不同访问策略的子目录。

[calc:/branches/calc/bug-142]
harry = rw
sally = r

# give sally write access only to the 'testing' subdir
[calc:/branches/calc/bug-142/testing]
sally = rw

现在 Sally 可以写入分支的 testing 子目录,但仍然只能读取其他部分。同时,Harry 继续对整个分支拥有完全的读写权限。

还可以通过将用户名变量设置为无来通过继承规则显式拒绝某人的权限。

[calc:/branches/calc/bug-142]
harry = rw
sally = r

[calc:/branches/calc/bug-142/secret]
harry =

在这个例子中,Harry 对整个 bug-142 树拥有读写权限,但对其中的 secret 子目录完全没有访问权限。

[Tip] 提示

要记住的是,最具体的路径总是首先匹配。服务器尝试匹配路径本身,然后匹配路径的父级,然后匹配父级的父级,依此类推。最终效果是,在访问文件中提及特定路径将始终覆盖从父目录继承的任何权限。

默认情况下,任何人都没有访问仓库的权限。这意味着,如果您从一个空文件开始,您可能希望至少为仓库根目录中的所有用户授予读取权限。您可以使用星号变量 (*) 来实现这一点,它表示 所有用户

[/]
* = r

这是一个常见的设置;请注意,节名称中没有提及任何仓库名称。这使得所有仓库对所有用户都是世界可读的。一旦所有用户都获得了对仓库的读访问权限,您就可以在特定仓库内的特定子目录上为特定用户授予显式的 rw 权限。

访问文件还允许您定义整个用户组,就像 Unix 的 /etc/group 文件一样。

[groups]
calc-developers = harry, sally, joe
paint-developers = frank, sally, jane
everyone = harry, sally, joe, frank, jane

组可以像用户一样被授予访问控制。用 at (@) 前缀区分它们。

[calc:/projects/calc]
@calc-developers = rw

[paint:/projects/paint]
jane = r
@paint-developers = rw

另一个重要的事实是,组权限不会被单个用户权限覆盖。相反,会授予所有匹配权限的 组合。在前面的示例中,Jane 是 paint-developers 组的成员,该组具有读写访问权限。结合 jane = r 规则,这仍然使 Jane 具有读写访问权限。组成员的权限只能扩展到组已经拥有的权限之外。无法将属于组的用户限制为低于其组权限的权限。

组也可以被定义为包含其他组。

[groups]
calc-developers = harry, sally, joe
paint-developers = frank, sally, jane
everyone = @calc-developers, @paint-developers

Subversion 1.5 为访问文件语法带来了几个有用的功能——用户名别名、身份验证类令牌和新的规则排除机制——所有这些都进一步简化了访问文件的维护。我们首先描述用户名别名功能。

一些身份验证系统期望并使用我们一直在描述的这种类型的相对较短的用户名——harrysallyjoe 等等。但是其他身份验证系统——例如使用 LDAP 存储或 SSL 客户端证书的系统——可能使用更复杂的用户名。例如,Harry 在 LDAP 保护系统中的用户名可能是 CN=Harold Hacker,OU=Engineers,DC=red-bean,DC=com。对于这样的用户名,访问文件可能会因为长或模糊的用户名而变得非常臃肿,这些用户名很容易拼写错误。幸运的是,用户名别名允许您只需在将更易于理解的别名分配给它的语句中键入一次正确的复杂用户名。

[aliases]
harry = CN=Harold Hacker,OU=Engineers,DC=red-bean,DC=com
sally = CN=Sally Swatterbug,OU=Engineers,DC=red-bean,DC=com
joe = CN=Gerald I. Joseph,OU=Engineers,DC=red-bean,DC=com
…

定义了一组别名后,您可以在访问文件的其他地方通过别名引用用户,就像您可以在这些地方使用他们的实际用户名一样。只需在别名前面加上一个与号,以将其与普通用户名区分开来。

[groups]
calc-developers = &harry, &sally, &joe
paint-developers = &frank, &sally, &jane
everyone = @calc-developers, @paint-developers

如果您的用户用户名经常更改,您可能也选择使用别名。这样做允许您只需要在用户名更改时更新别名表,而不是对整个访问文件进行全局搜索和替换操作。

Subversion 还支持一些 魔法 令牌,帮助您根据用户的身份验证类别进行规则分配。其中一个令牌是 $authenticated 令牌。在授权规则中,您可以在需要指定用户名、别名或组名的地方使用此令牌,以声明授予任何已使用任何用户名进行身份验证的用户的权限。类似地,使用 $anonymous 令牌,但它匹配所有 使用用户名进行身份验证的用户。

[calendar:/projects/calendar]
$anonymous = r
$authenticated = rw

最后,访问文件语法魔法的另一个有用之处是使用波浪号 (~) 字符作为排除标记。在您的授权规则中,在用户名、别名、组名或身份验证类别令牌前加上波浪号字符,将导致 Subversion 将该规则应用于 匹配该规则的用户。虽然有点不必要的模糊,但以下代码块等同于上一个示例中的代码块

[calendar:/projects/calendar]
~$authenticated = r
~$anonymous = rw

一个不太明显的例子可能是:

[groups]
calc-developers = &harry, &sally, &joe
calc-owners = &hewlett, &packard
calc = @calc-developers, @calc-owners

# Any calc participant has read-write access...
[calc:/projects/calc]
@calc = rw

# ...but only allow the owners to make and modify release tags.
[calc:/projects/calc/tags]
~@calc-owners = r

以上所有示例都使用目录,因为在目录上定义访问规则是最常见的情况。但同样可以限制对文件路径的访问。

[calendar:/projects/calendar/manager.ics]
harry = rw
sally = r

部分可读性和检出

如果您使用 Apache 作为您的 Subversion 服务器,并且已将存储库的某些子目录对某些用户设为不可读,则需要注意 svn checkout 可能出现的非最佳行为。

当客户端通过 HTTP 请求检出或更新时,它会发出一个服务器请求并接收一个(通常很大)的服务器响应。当服务器收到请求时,这是 Apache 要求用户身份验证的 唯一 机会。这有一些奇怪的副作用。例如,如果存储库的某个子目录只有用户 Sally 可以读取,而用户 Harry 检出了父目录,他的客户端将以 Harry 的身份响应初始身份验证挑战。当服务器生成大型响应时,它无法在到达特殊子目录时重新发送身份验证挑战;因此,该子目录将被完全跳过,而不是要求用户在正确的时间以 Sally 的身份重新进行身份验证。类似地,如果存储库的根目录对匿名用户可读,则整个检出将在没有身份验证的情况下完成——同样,跳过不可读的目录,而不是在中途要求身份验证。[62]


[61] 本书中的一个常见主题!

[62] 有关更多信息,请参阅博客文章 Authz and Anon Authn Agony,网址为 https://subversion.org.cn/blog/2007-03-27-authz-and-anon-authn-agony.html

上一页  向上  下一页
httpd,Apache HTTP 服务器  主页  高级日志记录