这里首先要注意一点,任何配置文件的有效配置行,都 不允许存在前置空格 ,否则程序可能会出错,给你一个 Option expected
的提示。也就是说,如果你直接从本文的纯文本格式中拷贝了相关的配置行过去,需要手动将前置的4个空格全部删除。
1、svnserve.conf
SVN\conf\svnserve.conf
文件,是 svnserve.exe 这个服务器进程的配置文件,我们逐行解释如下。
首先,我们告诉 svnserve.exe,用户名与密码放在passwd.conf 文件下。当然,你可以改成任意的有效文件名,比如默认的就是 passwd::
password-db = passwd.conf
接下来这两行的意思,是说只允许经过验证的用户,方可访问代码库。那么哪些是“经过验证的”用户呢?噢,当然,就是前面说那些在 passwd.conf 文件里面持有用户名密码的家伙。这两行的等号后面,目前只允许read write none 三种值,你如果想实现一些特殊的值,比如说“read-once”之类的,建议你自己动手改源代码,反正它也是自由软件::
anon-access = none
auth-access = write
接下来就是最关键的一句呢,它告诉 svnserve.exe,项目目录访问权限的相关配置是放在 authz.conf 文件里::
authz-db = authz.conf
当然,svn 1.3.2 引入本功能的时候,系统默认使用 authz 而不是 authz.conf 作为配置文件。
上述的 passwd.conf 和 authz.conf 两个文件也可以作为多个代码库共享使用,我们只要将它们放在公共目录下,比如说放在 D:\svn
目录下,然后在每个代码库的 svnserve.conf 文件中,使用如下语句::
password-db = ....\passwd.conf
authz-db = ....\authz.conf
或者::
password-db = ../../passwd.conf
authz-db = ../../authz.conf
这样就可以让多个代码库共享同一个用户密码、目录控制配置文件,这在有些情况下是非常方便的。
2、authz.conf 之用户分组
``SVN\conf\authz.conf``文件的配置段,可以分为两类, ``[group]`` 是一类,里面放置着所有用户分组信息。其余以 ``[SVN:/]`` 开头的是另外一类,每一段就是对应着项目的一个目录,其目录相关权限,就在此段内设置。
首先,我们将人员分组管理,以便以后由于人员变动而需要重新设置权限时候,尽量少改动东西。我们一共设置了5个用户分组,分组名称统一采用 ``g_`` 前缀,以方便识别。当然了,分组成员之间采用逗号隔开::
[groups]
# 任何想要查看所有文档的非本部门人士
g_vip = morson
# 经理
g_manager = michael
# 北京办人员
g_beijing = scofield
# 上海办人员
g_shanghai = lincon
# 总部一般员工
g_headquarters = rory, linda
# 小秘,撰写文档
g_docs = linda
注意到没有, linda 这个帐号同时存在“总部”和“文档员”两个分组里面,这可不是我老眼昏花写错了,是因为 Subversion 允许我这样设置。它意味着,这个家伙所拥有的权限,将会比他的同事rory 要多一些,这样的确很方便。具体多了哪些呢?请往下看!
3、authz.conf 之项目根目录
接着,我们对项目根目录做了限制,该目录只允许SVN事业部的经理才能修改,其他人都只能眼巴巴的看着::
[SVN:/]
@g_manager = rw
* = r
-
[SVN:/]
表示这个目录结构的相对根节点,或者说是 SVN 项目的根目录。其中的SVN 字样,其实就是代码库的名称,即前面用 svnadmin create命令创建出来的那个 SVN。 -
这里的
@
表示接下来的是一个组名,不是用户名。因为目前 g_manager 组里面只有一个 michael,你当然也可以将@g_manager = rw
这一行替换成michael = rw
,而表达的意义完全一样。 -
*
表示“除了上面提到的那些人之外的其余所有人”,也就是“除了部门经理外的其他所有人”,当然也包括总经理那个怪老头 -
* = r
则表示“那些人只能读,不能写”
4、authz.conf 之项目子目录
然后,我们要给总部人员开放日志目录的读写权限::
[SVN:/diary/headquarters]
@g_manager = rw
@g_headquarters = rw
@g_vip = r
* =
这个子目录的设置有些特色,因为从需求分析中我们知道,这个子目录的权限范围要比其父目录小,它不允许除指定了的之外其他任何人访问。在这段设置中,我们需要注意以下几点:
-
我敢打赌,设计svn的家伙们,大部分都是在类 unix 平台下工作,所以他们总喜欢使用
/
来标识子目录,而完全忽视在 MS Windows 下是用\
来做同样的事情。所以这儿,为了表示diary\headquarters
这个目录,我们必须使用[SVN:/diary/headquarters]
这样的格式。当然如果你一定要用\
,那么唯一的结果就是,Subversion 会将你的这部分设置置之不理,全当没看到。 -
这里最后一行的
* =
表示,除了经理、总部人员、特别人士之外,任何人都被禁止访问本目录。这一行是否可以省略呢?不行,因为 权限具备继承性 ,子目录会自动拥有父目录的权限。若没有这一行,则所有帐号都可以读取/diary/headquarters
目录下的文件。因为虽然我们并没有设置这个目录的父目录权限,可是默认的规则使得/diary
目录的权限与根目录完全一样,从而让其余帐号获得对/diary/headquarters
目录的 r 权限。所以简单来说,* =
这一句的目的,就是割断权限继承性,使得管理员可以定制某个目录及其子目录的权限,从而完全避开其父目录权限设置的影响。 -
之所以这儿需要将
@g_vip = r
一句加上,就是因为存在上述这个解释。如果说你没有明确地给总经理授予读的权力,则他会和其他人一样,被* =
给排除在外。 -
如果众位看官中间,有谁玩过防火墙配置的话,可能会感觉上述的配置很熟悉。不过这里有一点与防火墙配置不一样,那就是各个配置行之间,没有 先后顺序 一说。也就是说,如果我将本段配置的
* =
这一行挪到最前面,完全不影响整个配置的最终效果。
接下来我们看看这一段::
[SVN:/ref]
@g_manager = rw
@g_docs = rw
* = r
这里的主要看点,就是 g_docs 组里面包含了一个 linda 帐号,她也同时在 g_headquarters 组里面出现,这就意味着, linda 将具备对 /ref
和 diary\headquarters
两个目录的读写权限。
6、authz.conf 之目录表示法
在前面的描述中,我们都采用 ``[repos:/some/dir]`` 这样的格式来表示项目的某个目录,比如上一小节中的 ``[SVN:/diary/headquarters]`` 。而实际上,Subversion允许你采用 ```[/some/dir]`` 这样的格式,即不指定代码库的方式来表示目录,此时的目录就匹配所有项目。
对于使用 svnserve 的用户来说,只有当 svnserve 运行的时候使用了 ``-r`` 参数,并且让多个代码库共享同一个目录权限文件(即 authz.conf 或 authz)时,不指明代码库名称才有可能惹麻烦。一般情况下,我们对每个代码库都会独立使用配置文件,毕竟每个项目的目录结构,都有很大不同,混在一起意义不大。因此一般来说,为简洁起见,都可以不指明代码库名称。本文全都指明了代码库名称,主要是为了将来扩展成同一个配置文件,以方便配合 Apache 服务器。
对于使用 Apache 的用户来说,它们二者可有着很大的不同,因为此时往往习惯于使用一个公共的目录权限配置文件。如果你使用了 SVNParentPath 指令,则指定版本库的名字是很重要的,因为假若你使用后者,那么 ``[/some/dir]`` 部分就会与所有代码库项目的``[/some/dir]`` 目录匹配。如果你使用 SVNPath 指令,则这两种表示方式就没有什么区别了,毕竟只有一个版本库。
7、authz.conf 的其他注意点
7.1. 父目录的 r
权限,对子目录 w
权限的影响
把这个问题专门提出来,是因为在1.3.1及其以前的版本里面,有个bug,即某个帐号为了对某个子目录具备写权限,则必须对其父目录具备读权限。因此现在使用了1.3.2及其更高的版本,就方便了那些想在一个代码库存放多个相互独立的项目的管理员,来分配权限了。比如说央舜公司建立一个大的代码库用于存放所有员工日志,叫做 diary,而SVN事业部只是其中一个部门,则可以这样做::
[diary:/]
@g_chief_manager = rw
[diary:/SVN]
@g_SVN_manager = rw
@g_SVN = r
这样,对于所有SVN事业部的人员来说,就可以将svn://192.168.0.1/diary/SVN 这个URL当作根目录来进行日常操作,而完全不管它其实只是一个子目录,并且当有少数好奇心比较强的人想试着 checkout 一下 svn://192.168.0.1/diary 的时候,马上就会得到一个警告“Access denied”,哇,太酷了。
7.2. 默认权限
如果说我对某个目录不设置任何权限,会怎样?马上动手做个试验,将::
[diary:/]
@g_chief_manager = rw
改成::
[diary:/]
@g_chief_manager = rw
这样就相当于什么都没有设置。在我的 svn 1.3.2 版本上,此时是禁止任何访问。也就是说,如果你想要让某人访问某目录,你一定要显式指明这一点。这个策略,看起来与防火墙的策略是一致的。
7.3. 只读权限带来的一个小副作用
若设置了::
[SVN:/diary]
* = r
则 Subversion 会认为,任何人都不允许改动diary 目录,包括删除、 改名 ,和 新增 。
也就是说,如果你在项目初期创建目录时候,一不小心写错目录名称,比如因拼写错误写成 dairy,以后除非你改动 authz.conf 里面的这行设置,否则无法利用 svn mv 命令将错误的目录更正。
7.4. anon-access 属性对目录权限的影响
你想将你的代码库开放给所有人访问,于是你就开放了匿名访问权限,在 svnserve.conf 文件中添加一行: anon-access=read
。可是对于部分目录,你又不希望别人看到,于是针对那些特别目录,你在 authz.conf 里面进行配置,添加了授权访问的人,并添加了 * =
标记。你认为一切OK了,可是你缺发现,那个特别目录却无法访问了,总是提示 Not authorized to open root of edit operation
或者 未授权打开根进行编辑操作
。你再三检查你配置的用户名与密码,确认一切正确,还是无法解决问题。
原来,Subversion 有个小 bug ,当 anon-access=read
并且某个目录有被设置上 * =
标记,则会出现上述问题。这个 bug 在当前最新版本上(v1.4)还存在,也许在下一版本内可以被改正吧。
解决的办法是,在 svnserve.conf 中,将anon-access 设置成 none 。
8、改进,对中文目录的支持
上午上班的时候,Morson 来到 Michael 的桌子前面,说道:“你是否可以将我们的北京办、上海办目录,改成用中文的,看着那些拼音我觉得很难受?”Michael 心想,还好这两天刚了解了一些与 unicode 编码相关的知识,于是微笑地回答:“当然可以,你明天下午就可以看到中文目录名称了。”
8.1. 使用 svn mv 指令,将原来的一些目录改名并commit 入代码库,改名后的目录结构如下::
SVN
├─工作日志
│ ├─总部人员
│ ├─北京办
│ └─上海办
├─公司公共文件参考目录
└─临时文件存放处
8.2. 修改代码库的 authz.conf 文件,将相应目录逐一改名
8.3. UTF-8 格式的 authz.conf 文件,以及BOM
将配置文件转换成 UTF-8 格式之后,Subversion 就能够正确识别中文字符了。但是这里需要注意一点,即必须保证 UTF-8 文件不包含 BOM 。BOM是 Byte Order Mark 的缩写,指 UNICODE文件头部用于指明高低字节排列顺序的几个字符,通常是 FF FE
,而将之用 UTF-8 编码之后,就是 EF BB BF
。由于 UTF-8 文件本身不存在字节序问题,所以对 UTF-16 等编码方式有重大意义的 BOM,对于 UTF-8 来说,只有一个作用——表明这个文件是 UTF-8 格式。由于 BOM 会给文本处理带来很多难题,所以现在很多软件都要求使用不带 BOM 的 UTF-8 文件,特别是一些处理文本的软件,如 PHP、 UNIX 脚本文件等,svn 也是如此。
目前常用的一些文本编辑工具中,MS Windows 自带的“记事本”里面,“另存为”菜单保存出来的 UTF-8 格式文件,会自动带上 BOM 。新版本 UltraEdit 提供了选项,允许用户选择是否需要 BOM,而老版本的不会添加 BOM。请各位查看一下自己常用的编辑器的说明文件,看看它是否支持这个功能。
对于已经存在 BOM 的 UTF-8 文件,比如说就是微软“记事本”弄出来的,我们可以利用UltraEdit 来将 BOM 去掉。方法是,首先利用“UTF-8TO ASCII”菜单将文件转换成本地编码,通常是GB2312码,然后再使用“ASCII TO UTF-8(UNICODE Editing)”来转换到 UTF-8 即可。当然,这么操作之前,你肯定得先保证,你的 UltraEdit 保存出来的 UTF-8 文件的确是不带 BOM 的。
原文链接:https://blog.csdn.net/dsw846169600/article/details/6745322
网友评论