让Git使用Trac账户进行授权
Trac安装2 - 账户管理中我们可以看到,Trac中可以很方便的进行账户管理,包括用户建立(甚至可注册)、账户信息更改等。搭建Git Http服务器告诉我们如何搭建一个Git的http服务托管。现在,如果能把Trac中的账户信息用作Git Http服务的认证该多好啊:给新人开一个Trac账户,指定相应的授权,那么他就可以检出/更新Git库了!下面就来实现这个想法吧。
?
原理
Trac的账户信息是存储在DB中的(比如MySQL),实际上,我们需要Apache2利用DB中存储的信息来做授权。Apache的MySQL认证?告诉我们,这很还是简单的(遗憾的是目前只能用MySQL)。
?
但是,我们的Case还要稍微麻烦一点:
问题1)Trac中账户密码的加密方式可以自由选择,超出了Apache MySQL认证的支持(参考Trac 账户管理插件加密方式);
问题2) Trac中账户信息不是简单的user专用表(选择SessionStore方式保存Auth信息时,账户信息在表session_attributes中),没有特定的username和password列。
?
对于问题1,我们需要做的是:指定Trac账户管理插件使用Apache MySQL认证支持的方式进行密码加密,比如MD5。而对于问题2,我想到的方案是:在MySQL中建立独立的用户信息表,利用MySQL触发器同步Trac账户的信息到此表中。
?
为了让Git使用到Trac中的用户权限设置,本例子中我们除了监控trac库中的session_attributes表外,也监控permissions表。下面我们就看一下配置过程:
?
配置Trac
1. 选择AuthStore为SesstionStore,具体参考Trac安装2 - 账户管理
?
2. 选择密码加密(hash)方式为“crypt”(注意MD5中明确告诉我们,Trac账户管理插件不是简单的md5密码,而是?用户名 +?“::”?+ 密码)
?
配置MySQL
1. 创建用户信息表:
?
/*简单起见,这里将Git用户表建在Trac的库中,实际操作请自建另外的库*/CREATE TABLE gituser( username char(100), passwd char(100), primary key (username));
?
2.创建MySQL触发器,同步Trac账户信息到我们自己创建的Git用户表中:
?
use trac_database; /*切换到trac库中*//*初始化gituser数据*/INSERT INTO gituser (SELECT username, SUBSTRING(password, 2) FROM session_attributes where name="password");/*监听trac账户权限记录的新建,将满足权限的用户同步到git用户表中*/delimiter //CREATE TRIGGER sync_user_on_insert AFTER INSERT ON permissionsFOR EACH ROW BEGIN IF action='BROSWER_VIEW' THEN INSERT INTO gituser (SELECT sid, SUBSTRING(value, 2) FROM session_attributes WHERE sid=NEW.username); END IF;END;//delimiter ;/*监听trac账户记录的更改,将更改后的账户信息同步到git用户表中*/CREATE TRIGGER sync_user_on_update AFTER UPDATE ON session_attributesFOR EACH ROWUPDATE gituser SET username=NEW.sid, password=SUBSTRING(NEW.password, 2) WHERE username=OLD.sid;/*监听trac账户权限记录的删除,将满足权限的用户记录从git用户表中删除*/delimiter //CREATE TRIGGER sync_user_on_delete AFTER DELETE ON permissionsFOR EACH ROW BEGIN IF action='BROSWER_VIEW' THEN DELETE FROM gituser WHERE username=OLD.username; END IF;END;//delimiter ;?
?
配置Apache2的MySQL认证
1. 安装并激活MySQL认证插件:
?
sudo apt-get install libapache2-mod-auth-mysqlcd /etc/apache2/mods-enabledsudo ln -s ../mods-available/auth_mysql.load .
2. 配置Git Http及其认证:
?
SetEnv GIT_PROJECT_ROOT /my_repos_root_path SetEnv GIT_HTTP_EXPORT_ALL ScriptAlias /repos/ /usr/lib/git-core/git-http-backend/ <Directory /repos> Options Indexes FollowSymLinks MultiViews AuthType Basic AuthName "restricted git zone by apache" AuthUserFile /dev/null AuthBasicAuthoritative Off AuthMYSQL on AuthMySQL_Authoritative on AuthMySQL_DB trac_db Auth_MySQL_Host localhost Auth_MySQL_User dbuser Auth_MySQL_Password dbuserpwd AuthMySQL_Password_Table gituser AuthMySQL_Username_Field username AuthMySQL_Password_Field password AuthMySQL_Empty_Passwords off #AuthMySQL_Encryption_Types SHA1Sum AuthMySQL_Encryption_Types PHP_MD5 #注意此处必须和Trac账户管理的加密方式吻合,事实上,只有这个可用 #Auth_MySQL_Encrypted_Passwords on # Standard auth stuff Require valid-user</Directory>?
?
?
