背景
目前公司使用SVN和GIT作为版本管理配置工具,而随着服务项目数量的增多,单个服务器的压力的压力越来愈大,集群部署成了必然之选(SVN,GIT的Nginx集群搭建后续再写),而集群部署最为麻烦的地方在于保证权限数据一致。采用本地文件/数据库方式然后同步固然可行,但使用LDAP域认证则在以下几个方面更具优势:
- 无论是SVN集群还是GIT服务器都使用相同用户名/密码
- 敏感的密码信息不会落地,没有失窃风险
- 用户信息失效(离职)等能够及时生效
同时由于目前公司了两个LDAP域,因此对LDAP认证的要求必然是能够支持多域认证,只有当两个域中有用户冲突(极少)时才需手工维护用户验证信息。
*PS:生产系统基于统一认证系统只用输一次用户密码,即可多系统间的单点登陆鉴权方式显然更为方便,不过由于SVN和GIT不是生产系统,因此还是使用了LDAP域认证。给SVN增加多LDAP域支持
- Subversion edge管理端配置LDAP域认证
SVN服务器使用的是免费的Collabnet的Subversion edge,它是一个集成了Apache+SVN并提供了管理端的整合工具,登陆它的管理端,就发现它管理端是支持配置LDAP认证的。
配置后验证LDAP域能够正常工作,但这显然不满足多域认证要求,这就需要进一步进行后台配置改造了!- 多LDAP域配置改造
后台的SVN权限认证工作还是Apache httpd来完成的,只要httpd支持,直接修改 httpd的配置文件应该能够实现多域的。故上网搜索httpd multiple ldap即可发现配置方法
参照网上方法直接编辑后台的httpd.conf文件如下:(注意httpd.conf中要注释掉这个引入#Include "data/conf/svn_viewvc_httpd.conf",否则会直接使用Subversion edge管理端配置,配置不生效) 再次验证!失败!难道网上是忽悠的么?这次直接去apache httpd官网上仔细搜索,经过千心万苦终于发现这个是由于apache httpd2.4.7之前存在bug,配置不报错,但是并不生效!需要升级到2.4.7版本之后才能起作用!这开源软件也是坑啊! 由于升级apache版本需要重新编译httpd和svn,操作太麻烦(原来在aix上编译这一套依赖包都找半天!C语言开源搞不起来不是没有道理的。。。)故直接重新升级了Subversion edge为最新版本,谢天谢地,它用的是正好是httpd2.4.7! 测试结果ok,SVN终于支持多LDAP域认证了!GITLAB-CE社区免费版增加多LDAP域支持
GIT的服务端使用了GITLAB-CE社区免费版,在官方说明文档上有LDAP域的详细配置信息,因此配置起来不难,直接修改/etc/gitlab/gitlab.rb中的相关LDAP配置信息即可
验证也是ok的。 接下来多LDAP域配置的支持是一个小小挑战,因为多域支持是GITLAB-EE收费版标明了的一个特性:再看看GITLAB-EE收费标准,每一个用户,一个月都要收4美金!!你怎么不去抢啊!!!
没钱只能自己动手了,LDAP多域认证,不就应该是认证时再加一个分支这么点事么?ruby这种脚本语言工程都不用搭,直接定位到代码修改就ok了!凭证这两点信念和自己半吊子ROR的水平开始了LDAP认证定位。 具体找的过程就不说了。。各种丑陋的Print打印日志进行跟踪,但是最终还是被我找到文件了:/opt/gitlab/embedded/lib/ruby/gems/2.3.0/gems/gitlab_omniauth-ldap-1.2.1/lib/omniauth/strategies/ldap.rbdef callback_phase #一个ldap相关信息 @options.host='' @options.password='' @options.bind_dn='' @adaptor = OmniAuth::LDAP::Adaptor.new @options return fail!(:missing_credentials) if missing_credentials? begin @ldap_user_info = @adaptor.bind_as(:filter => filter(@adaptor), :size => 1, :password => request['password']) #增加修改第二个ldap域认证支持 if !@ldap_user_info @options.host='' @options.password='' @options.bind_dn='' @adaptor = OmniAuth::LDAP::Adaptor.new @options @ldap_user_info = @adaptor.bind_as(:filter => filter(@adaptor), :size => 1, :password => request['password']) end return fail!(:invalid_credentials) if !@ldap_user_info @user_info = self.class.map_user(@@config, @ldap_user_info) super rescue Exception => e return fail!(:ldap_error, e) end end
我们在认证的时候增加自己需要的额外域分支就行了!短短几行代码搞定,虽然简陋,但是好歹支持多域认证了,省钱了不是:)
然而好事多磨,验证的时候仍然报了AccessDenied,继续跟踪,发现是在是否blockuser时也多ldap进行了判断,如果user在ldap中不存在,则会进行block处理,故这块也需要增加多域调整,对应文件如下:/opt/gitlab/embedded/service/gitlab-rails/lib/gitlab/ldap/access.rb,修改后再次认证终于通过了!终于至此,SVN和GIT都支持多域认证了!!完结撒花!!!