Question

好吧，我已经成功地将我的subversion在Linux机器上与Windows Server Active Directory集成，现在用户在使用subversion服务之前通过AD进行了身份验证。

我只是在SASL中定义LDAP基本搜索（假设：OU = users，DC = domain，DC = com），而另一方面使用sasl守护程序配置subversion。一切都好。

但是，我的组织要求阻止普通用户访问某些项目的“主干”。那么，他们在Windows Server AD中指定了两组用户： normal-devel：可以访问项目的所有部分，“主干”除外。 releng-devel：最终获得。

好吧，我不知道是否有可能在svnserve服务中过滤这些组，但我试过这个（svnserve.conf）：

[alias]
normal_usr = memberOf=CN=normal-devel
releng_usr = memberOf=CN=releng-devel

[group]
normal = &normal_usr
releng = &releng_usr

[repo:/project1/trunk]
@normal = none
@releng = rw

不幸的是，它不起作用，当我想用一个用户提交“trunk”来源时，我收到“授权错误”。在我看来，配置文件中存在错误。

是否有人根据群组成员身份过滤AD用户有成功经验？

Answer 1

您无法在任何AD | LDAP数据中引用群组定义 - mod_authz | svnserve对AD一无所知，也无法使用它。
您无法使用默认工具自动将AD群组转换为authz群组。

解决方案是the language specification，还有一个额外注意事项：使用SVN 1.8+，您可以在自己的文件中将组定义，与其他authz数据分开。

部分默认svnserve.conf：

### The groups-db option controls the location of the groups file.
...
# groups-db = groups

颠覆和AD整合

1 个答案: