假设每个用户都有一个常规的user-account“test”和一个单独的admin-account“test-adm”,用于服务器上的专用部分。
当用户使用定义的 IP 地址范围中的“admin-account”时,我想授予对服务器上某个区域(SVN 存储库)的访问权限。同时,这个 admin-account 应该没有对服务器其余部分的写入权限。
这个 admin-account 不应该在 ip 地址范围 之外的安全区域工作,但是应该允许其他 (LDAP) 用户组访问使用他们的普通用户帐户的安全区域。
有没有办法在Apache内部的用户访问限制范围内实现互斥的概念?
【问题讨论】:
标签: apache authentication svn ldap authorization
我想在以下情况下授予对服务器(SVN 存储库)区域的访问权限 用户带有来自定义的 IP 地址范围的“管理员帐户”
基于 IP 的 ACL 超出了 SVN 的 Path-Based Authorization 的范围 - 它只知道“用户”、“组”、“repo 内的路径”实体
同时,这个 admin-account 应该没有写入权限 服务器的其余部分。
这也是(Apache)后端的责任,而不是 SVN 部分
此管理员帐户不应该从外部用于安全区域 ip 地址范围,但还有其他 (LDAP) 用户组,
您的情况更糟 - SVN 可以在 authz 文件中使用来自其他授权层的用户名(甚至是 LDAP|AD),但是haven't access to LDAP-groups,您必须将 LDAP 组转移到 SVN(但 some solutions 已经存在)
当|如果单个用户可能有两个角色(ro 或 rw),根据条件,SVN 之外的授权子系统的工作是将其表示为不同的用户,你必须向 LDAP-guru 询问可能性(这个将比包含在另一个组中并与 SVN 同步组更容易和更快)
【讨论】: