| UML软件工程组织 | |||
| |
|||
|
|||
为Subversion搭建基于SSL的 Apache服务器
作者:npulrj 来源: 我用Subversion
| 利用Subversion创建的仓库可以借助apche发布出去,让更多的开发人员访问;借助apache自身的用户管理,我们可以为Subversion进行用户和权限管理,使得只有相应权限的人才能访问我们资源;此外,为了更加安全,我们可以借助apache对于SSL的支持,使得开发人通过https访问仓库资源。下面分别介绍之。 1 需要准备的程序 Apache 可以到官方网站上下载:http://httpd.apache.org/download.cgi 注意: 不是版本越高越好,只有2.0系列的支持; 如果要搭建基于SSL的服务器,最好安装集成了openssl的版本; 作者使用版本:apache_2.0.59-win32-x86-openssl-0.9.7j.msi Subversion 2安装软件 注意: 1)要先安装Apache,再安装Subversion,这样subversion会自动为我们拷贝一些modules到apache中,避免了手动拷贝。 2)在安装subversion时,在一个面版中要选择Apache modules,如下图: 3) 若apache安装成功,可以在浏览器中访问之: http://localhost.; 4)若subversion安装成功可以在命令行中输入svn version察看版本信息. 现在就可以利用subversion创建仓库, 具体的使用办法可以参阅相关文档. 3配置apache, 发布仓库资源. 打开apche配置文件夹下的httpd.conf文件(在... \apache\Apache2\conf下): DAV svn # allow all access Satisfy Any 好了, 重启apache,我们就可以通过浏览器察看或subversion等工具访问仓库资源了。你可以打开浏览器输入: http://localhost/svn 。体验下成功的喜悦吧。 介绍下,各个的作用 现在,现在还有些不完备,比如我们可能要求只有注册的用户才能访问,不同的用户访问具有访问不同文件权限。这个的实现有多种方式,apache自身就提供了用户和权限管理的功能;此外,为了更好的进行用户管理,我们可以借助数据库,常用的有开源的MySQL。在此,我们介绍apache自带的管理。 4创建用户 Apache的 ..\apache\Apache2\bin文件下自带的程序:htpasswd.exe 即可完成用户创建。 C:\Apache Group\Apache2\bin>htpasswd –cm /path/to/passwd/fileName admin 好了,这样就在指定的路径处创建了一个指定名字的用户文件,并创建了一个用户名admin。其中c表示要创建新的文件,m表示要创建账户。这时候,会提示输入密码,并要求验证: 好了,一个账号建好了。可以接着建用户: 注意,因为第一次已经创建了文件,此处只需要-m 即可,不需要c了。 Ok,现在用户文件建好了。打开apache的httpd.conf文件,将<Location /svn>…<
Location>改为: DAV svn AuthType Basic </Location> 好了,重启apache,访问,看是不是要输入密码了.如果我们还要求对各个用户对具体文件的权限管理的话,就进行下面的权限管理。
11.png 5 权限管理 这同样需要一个权限管理文件。首先在httpd.conf中指定这个文件. AuthzSVNAccessFile / path/to/auth_access_police_file 下面我们来讨论如何写权限管理文件. 这之中权限有三个等级:读写,读,无,分别为(rw, r, 空) 权限文件中以空行分开多个单位。每个单位定义对一个文件的权限管理。此外,为了方便管理我们可以将用户分组。分组用一个单位,一般位于文件的前面。如下: [groups] calc-developers = harry, sally, joe paint-developers = frank, sally, jane admin = joe, frank, sally, jane 形式如下: [calc:/trunk/] harry = rw sally = r @=rw 设置calc工程中/trunk的权限.其中harry对其有读和写权限,sally有读的权限,组admin有读写权限(注意,组名前面有一个@符号). 上面定义针对多个库的情况,若只有一个可写为: [ /trunk/] harry = rw sally = r 若要设置所有用户对根目录的权限,为: [/] *=r 权限管理的工作原理:默认情况下对所有文件夹是有读写权限的;对于父文件的权限会被子文件夹和文件继承;对于子文件权限的定义会覆盖由父文件继承来的权限规则。当某用户访问某一文件夹时,首先会寻找是否对此文件夹下此用户进行了设置,若设置了就采用该规则;否则,就找他的父文件夹,若还是没有对该文件夹定义,则继续向上。直到根目录。若仍没有,就采用默认。 Ok。如果我们向增加安全性,可以让apache采取SSL方式发布,需要两步,首先是制作证书,然后是配置管理文件. 6 制作证书. 有两种方式,使用openssl和使用第三方工具opesnVPN. A 使用openssl。 你需要准备openssl.exe和openssl.cnf。 openssl.exe在..\apache\Apache2\bin下(注意只有支持SSL的apache安装后才有,也可下载http://hunter.campbus.com/);openssl.cnf下载http://tud.at/programm/openssl.cnf并拷贝到..\apache\Apache2\bin下 好了,开始制作了,在命令行下定位到..\apache\Apache2\bin,运行: $openssl req -config openssl.cnf -new -out active.csr 然后回答相关问题来制作一个证书active.csr.这个证书实际就是一个用公私密钥加密的文本文件,它需要被第三方机构授权. $openssl rsa -in privkey.pem -out active.key 得到使用密钥加密了的证书,有效期为4000天. $openssl x509 -in active.cert -out active.der.crt -outform DER Der形式的证书。 好了,现在,我们有文件:
7 配置文件 把文件active.der.crt和active.key拷贝到..\Apache Group\Apache2\conf\ssl 打开文件httpd.cnf,将下面行前的注释去掉: LoadModule ssl_module modules/mod_ssl.so 打开文件..\Apache Group\Apache2\conf\ssl.cnf,确保以下行是没有注释掉的. DocumentRoot "../Apache Group/Apache2/htdocs" ServerName www.active.com:443 ServerAdmin eric.du@active.com ErrorLog logs/error_log TransferLog logs/access_log SSLMutex default SSLRandomSeed startup builtin SSLSessionCache none (SSLSessionCache确保其他行是注释的) 做以下两个更改: SSLCertificateFile conf/ssl.crt/server.crt 好了,重启apache,测试访问:https://localhost和https://localhost/svn. 8 强制SSL和自动重定向 打开httpd.conf,进行配置. 如果只是要求subversion库使用此策略,则就将下面的命令放在<Location /svn>…< Location>中,若是整个apache,则放在<Directory />…</Directory>中. 1) 强制 SSLRequireSSL 2) 自动重定向 RewriteEngine on RewriteCond %{REMOTE_ADDR} !^172\.31\.224\.[0-9]+$ RewriteCond %{HTTPS} !on [NC] RewriteRule .* - [F]
|
| |||
组织简介 | 联系我们 | Copyright 2002 ® UML软件工程组织 京ICP备10020922号 京公海网安备110108001071号 |
