Hallo.
Ich würde gerne Suversions (1.5.1) neuen Möglichkeiten der
Benutzer-Anmeldung via OpenLDAP nutzen, stoße allerdings mit meiner
Installation unter FreeBSD 7.0-STABLE zunehmend auf große Probleme.
Ziel ist, jeden autorisierten Benutzer lesend wie schreibend auf ein
Repositorium zugreifen zu lassen. Die Nutzer werden in einem LDAP
gehalten, der Subversion-Server ist auf einer anderen Maschine bzw. in
unserem Institut sind es mehrere.
Nun zu dem was bisher geschah:
Im LDAP existiert in der obersten Ebene ein Proxy-Benutzer, wie er im
OpenLDAP 2.4 Handbuch für den Administrator empfohlen wird:
dn: cn=svnaccess,dc=foo,dc=bar
objectClass: top
objectClass: organizationalPerson
cn: svnaccess
sn: svnaccess
saslAuthzTo: ldap:///dc=dc=foo,dc=bar??sub?(objectclass=person)
description: PROXY SVN User
userPassword: Blablabla
Soweit, so gut, dieser Proxy-User existiert.
OpenLDAP (Client wie Server) ist gegen die Cyrus-SASL2 Bibliothek
gebunden. Subversion meldet (svnserve --version) die Möglichkeit der
SASL Nutzung.
In einem Testrepositorium ist svnserve.conf entsprechend auf
SASL-Nutzung vorbereitet, die Nutzung der Datei authz ist zugelassen,
dort verwende ich in der Sektion
[alias] lediglich ein Pseudonym auf meinen Nutzer in der Form
ohartmann = dn: uid=ohartmann,ou=users,dc=foo,dc=bar
um nicht immer den vollen DN angeben zu müssen.
In /usr/local/lib/sasl2/ existiert eine Datei 'svn.conf' wie verlangt,
nur scheint es hier Konfusion zu geben über das, was in diese Datei
hinein muß:
#auxprop_plugin: ldap
#pwcheck_method: auxprop
ldapdb_uri: ldap://telesto.geoinf.fu-berlin.de/
ldapdb_id: cn=svnaccess,dc=foo,dc=bar
ldapdb_pw: Blablabla
ldapdb_mech: EXTERNAL
ldapdb_rc: /usr/local/etc/sasl2/svn_ldaprc
ldapdb_startls: yes
log_level: 7
In /usr/local/etc/sasl2/svn_ldaprc stehen folgende Parameter:
BASE dc=foo,dc=bar
URI ldap://foo.bar/
TLS_CACERT /foo/bar/CAcert.pem
TLS_REQCERT demand
#SASL_MECH EXTERNAL
Egal was ich mache, subversion baut nie eine Verbindung zum LDAP auf,
sondern fällt stets auf die Verwendung einer Berkeley DB zurück.
ich habe übrigens den Port 'cyrus-sasl2-ldapdb' installiert und OpenLDAP
komlett neu übersetzt. Meine LDAP Dienste arbeiten soweit anstandslos.
Kann mir jemand einen ipp geben?
Die Dokumentation ist sehr konfus, da offenbar noch viel LDAP 2.3-HowTos
im Umlauf sind.
Dank im voraus,
Oliver
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 26 Aug 2008 - 19:22:38 CEST