FreeBSD 7/8, OpenLDAP 2.4, Subversion 1.5 und SASL

From: O. Hartmann <ohartman(at)zedat.fu-berlin.de>
Date: Tue, 26 Aug 2008 14:56:56 +0000



Hallo.



Ich würde gerne Suversions (1.5.1) neuen Möglichkeiten der 


Benutzer-Anmeldung via OpenLDAP nutzen, stoße allerdings mit meiner 


Installation unter FreeBSD 7.0-STABLE zunehmend auf große Probleme.



Ziel ist, jeden autorisierten Benutzer lesend wie schreibend auf ein 


Repositorium zugreifen zu lassen. Die Nutzer werden in einem LDAP 


gehalten, der Subversion-Server ist auf einer anderen Maschine bzw. in 


unserem Institut sind es mehrere.



Nun zu dem was bisher geschah:



Im LDAP existiert in der obersten Ebene ein Proxy-Benutzer, wie er im 


OpenLDAP 2.4 Handbuch für den Administrator empfohlen wird:



dn: cn=svnaccess,dc=foo,dc=bar


objectClass: top


objectClass: organizationalPerson


cn: svnaccess


sn: svnaccess


saslAuthzTo: ldap:///dc=dc=foo,dc=bar??sub?(objectclass=person)


description: PROXY SVN User


userPassword: Blablabla



Soweit, so gut, dieser Proxy-User existiert.



OpenLDAP (Client wie Server) ist gegen die Cyrus-SASL2 Bibliothek 


gebunden. Subversion meldet (svnserve --version) die Möglichkeit der 


SASL Nutzung.



In einem Testrepositorium ist svnserve.conf entsprechend auf 


SASL-Nutzung vorbereitet, die Nutzung der Datei authz ist zugelassen, 


dort verwende ich in der Sektion


[alias] lediglich ein Pseudonym auf meinen Nutzer in der Form



ohartmann = dn: uid=ohartmann,ou=users,dc=foo,dc=bar



um nicht immer den vollen DN angeben zu müssen.



In /usr/local/lib/sasl2/ existiert eine Datei 'svn.conf' wie verlangt, 


nur scheint es hier Konfusion zu geben über das, was in diese Datei 


hinein muß:



#auxprop_plugin: 	ldap


#pwcheck_method:         auxprop


ldapdb_uri:             ldap://telesto.geoinf.fu-berlin.de/


ldapdb_id:              cn=svnaccess,dc=foo,dc=bar


ldapdb_pw:              Blablabla


ldapdb_mech:            EXTERNAL


ldapdb_rc:              /usr/local/etc/sasl2/svn_ldaprc


ldapdb_startls:         yes


log_level:              7



In /usr/local/etc/sasl2/svn_ldaprc stehen folgende Parameter:



BASE		dc=foo,dc=bar


URI		ldap://foo.bar/


TLS_CACERT	/foo/bar/CAcert.pem


TLS_REQCERT	demand



#SASL_MECH	EXTERNAL



Egal was ich mache, subversion baut nie eine Verbindung zum LDAP auf, 


sondern fällt stets auf die Verwendung einer Berkeley DB zurück.



ich habe übrigens den Port 'cyrus-sasl2-ldapdb' installiert und OpenLDAP 


  komlett neu übersetzt. Meine LDAP Dienste arbeiten soweit anstandslos.



Kann mir jemand einen ipp geben?



Die Dokumentation ist sehr konfus, da offenbar noch viel LDAP 2.3-HowTos 


im Umlauf sind.



Dank im voraus,



Oliver



To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org


with "unsubscribe de-bsd-questions" in the body of the message


Received on Tue 26 Aug 2008 - 19:22:38 CEST













search this site