SVN restringe o grupo apenas à subpasta

1

Eu tenho tentado encontrar uma solução para esse problema meu. Eu acho que estou perto, mas é tarde e estou cansado.

O que estou tentando fazer é bloquear um usuário específico para um único diretório ("/ QA" neste exemplo) e negar o acesso do meu testador de controle de qualidade ao resto do repositório. No entanto, meu erro me ilude porque, por algum motivo, o grupo "testers" pode acessar o repositório completo (indesejável).

Abaixo estão minhas configurações para o apache.

Authz:

[groups]
admins = admin1
coders = user1, user2,
designers = user3
testers = user4

[/]
* =
@admins = rw

[myrepo:/]
* = 
@testers = 
@designers =
@coders = rw


[myrepo:/QA]
* = 
@testers = r
@coders = rw
@designers = rw

Configuração do Apache:

<Location /svn>
        LimitXMLRequestBody 0
        LimitRequestBody 0

        DAV svn
        SVNParentPath   /home/svnuser/repositories

        <IfModule mod_authz_svn.so>
                AuthzSVNAccessFile      /home/svnuser/svn/authz
        </IfModule>

        AuthUserFile    /home/svnuser/svn/passwd

        AuthType        Basic
        AuthName        "My repos"

        Require         valid-user
</Location>

Outras verificações:

  • dav & & dav_svn são carregados no apache.
  • arquivo de senha funciona bem.
  • Eu duvido que seja importante, mas eu faço o svn do proxy na porta não-http através de uma instalação nginx local porque eu já o tinha instalado e não queria lutar contra as portas. O SVN funciona como deveria, então isso não é problema.

nota: não tem certeza se isso é serverfault ou stackoverflow material.

    
por Zack 12.03.2015 / 06:36

1 resposta

0
  1. Você pode ter uma versão menor do authz com a mesma funcionalidade, se você deixar apenas strings de acesso de sobrecarga
[groups]
admins = ...
coders = ...
designers = ...
testers = ...

[/]
* =
@admins = rw

[myrepo:/]
@coders = rw

[myrepo:/QA]
@testers = r
@designers = rw

As permissões são herdadas do pai, você precisa escrever apenas as alterações do pai em cada nó

  1. Se o usuário pertencer apenas a @testers, ele poderá (mesmo em sua configuração) ler somente / myrepo / QA e childs
por 25.06.2015 / 22:37

Tags