在服務器 D:\svn 目錄下��,建立 arm 代碼庫,命令如下:
D:\svn>svnadmin create arm
在客戶機 F:\temp 目錄下���,建立好上述目錄結構
用命令 F:\temp>svnimportarmsvn://192.168.0.1/arm 導入結構
【注意點:關于導入時候的細微差別】
新建代碼庫 arm\conf\passwd.conf 文件���,如下:
[users]
morson = ShowMeTheMoney
michael = mysecretpassword
scofield = hellolittilekiller
lincon = asyouknows111
rory = 8809117
linda = IlikeWorldCup2006
新建代碼庫 arm\conf\authz.conf 文件,內容如下:
[groups]
g_vip = morson
g_manager = michael
g_beijing = scofield
g_shanghai = lincon
g_headquarters = rory, linda
g_docs = linda
[arm:/]
@g_manager = rw
* = r
[arm:/diary/headquarters]
@g_manager = rw
@g_headquarters = rw
@g_vip = r
* =
[arm:/diary/beijing]
@g_manager = rw
@g_beijing = rw
@g_vip = r
* =
[arm:/diary/shanghai]
@g_manager = rw
@g_shanghai = rw
@g_vip = r
* =
[arm:/ref]
@g_manager = rw
@g_docs = rw
* = r
[arm:/temp]
* = rw
在服務器上��,打開一個 DOS Prompt 窗口��,輸入如下指令:
svn co svn://127.0.0.1/arm --no-auth-cache --username rory --password 8809117
我們應該得到如下目錄結構:
arm
├─diary
│ └─headquarters
├─ref
└─temp
然后修改ref目錄下任意文件并提交��,服務器將會報錯“Access deni”
本章將詳細介紹前一章所涉及的兩個配置文件, svnserve.conf 和 authz.conf�����,通過對配置逐行的描述���,來闡明其中的一些細節含義��。
這里首先要注意一點,任何配置文件的有效配置行��,都不允許存在前置空格���,否則程序會無法識別���。也就是說�����,如果你直接從本文的純文本格式中拷貝了相關的配置行過去���,需要手動將前置的4個空格全部刪除��。當然了,如果你覺得一下子要刪除好多行的同樣數目的前置空格是一件苦差使�����,那么也許 UltraEdit 的“Column Mode”編輯模式���,可以給你很大幫助呢��。
arm\conf\svnserve.conf 文件��,是 svnserve.exe 這個服務器進程的配置文件,我們逐行解釋如下。
首先��,我們告訴 svnserve.exe�����,用戶名與密碼放在 passwd.conf 文件下。當然,你可以改成任意的有效文件名,比如默認的就是 passwd:
password-db = passwd.conf
接下來這兩行的意思,是說只允許經過驗證的用戶���,方可訪問代碼庫。 那么哪些是“經過驗證的”用戶呢?噢���,當然,就是前面說那些在 passwd.conf 文件里面持有用戶名密碼的家伙。這兩行的等號后面���,目前只允許 read write none 三種值,你如果想實現一些特殊的值,比如說“read-once”之類的���,建議你自己動手改源代碼,反正它也是自由軟件:
anon-access = none
auth-access = write
接下來就是最關鍵的一句呢,它告訴 svnserve.exe,項目目錄訪問權限的相關配置是放在 authz.conf 文件里:
authz-db = authz.conf
當然,svn 1.3.2 引入本功能的時候���,系統默認使用 authz 而不是 authz.conf 作為配置文件。不過由于鄙人是處女座的���,有著強烈的完美主義情結��,看著 svnserve.conf 有后綴而 passwd 和 authz 沒有就是不爽,硬是要改了。
arm\conf\authz.conf 文件的配置段���,可以分為兩類,``[group]`` 是一類,里面放置著所有用戶分組信息���。其余以 [arm:/] 開頭的是另外一類,每一段就是對應著項目的一個目錄,其目錄相關權限,就在此段內設置���。
首先,我們將人員分組管理,以便以后由于人員變動而需要重新設置權限時候��,盡量少改動東西�����。我們一共設置了5個用戶分組�����,分組名稱統一采用 g_ 前綴��,以方便識別��。當然了,分組成員之間采用逗號隔開:
[groups]
# 任何想要查看所有文檔的非本部門人士
g_vip = morson
# 經理
g_manager = michael
# 北京辦人員
g_beijing = scofield
# 上海辦人員
g_shanghai = lincon
# 總部一般員工
g_headquarters = rory, linda
# 小秘��,撰寫文檔
g_docs = linda
注意到沒有���, linda 這個帳號同時存在“總部”和“文檔員”兩個分組里面���,這可不是我老眼昏花寫錯了�����,是因為 svnserve.exe 允許我這樣設置��。它意味著,這個家伙所擁有的權限�����,將會比他的同事 rory 要多一些��,這樣的確很方便�����。具體多了哪些呢?請往下看�����!
接著���,我們對項目根目錄做了限制��,該目錄只允許arm事業部的經理才能修改,其他人都只能眼巴巴的看著:
[arm:/]
@g_manager = rw
* = r
- [arm:/] 表示這個目錄結構的相對根節點��,或者說是 arm 項目的根目錄
- 這里的 @ 表示接下來的是一個組名�����,不是用戶名���。你當然也可以將 @g_manager=rw 這一行替換成 michael=rw �����,而表達的意義完全一樣。
- * 表示“除了上面提到的那些人之外的其余所有人”��,也就是“除了部門經理外的其他所有人”�����,當然也包括總經理那個怪老頭
- * = r 則表示“那些人只能讀��,不能寫”
然后��,我們要給總部人員開放日志目錄的讀寫權限:
[arm:/diary/headquarters]
@g_manager = rw
@g_headquarters = rw
@g_vip = r
* =
- 我敢打賭,設計svn的家伙們�����,大部分都是在 unix/linux 平臺下工作��,所以他們總喜歡使用 / 來標識子目錄���,而完全忽視在 MS Windows 下是用 \ 來做同樣的事情。所以這兒�����,為了表示 arm\diary\headquarters 這個目錄��,我們必須使用[arm:/diary/headquarters] 這樣的格式���。
- 這里最后一行的 *= 表示��,除了經理、總部人員、特別人士之外��,任何人都被禁止訪問本目錄���。這一行是否可以省略呢���?
- 之所以這兒需要將 @g_vip=r 一句加上��,就是因為存在上述這個解釋�����。如果說你沒有明確地給總經理授予讀的權力,則他會和其他人一樣��,被 * 給排除在外���。
- 如果眾位看官中間��,有誰玩過防火墻配置的話���,可能會感覺上述的配置很熟悉��。不過這里有一點與防火墻配置不一樣�����,那就是各個配置行之間���,沒有 先后順序 一說��。也就是說,如果我將本段配置的 *= 這一行挪到最前面��,完全不影響整個配置的最終效果�����。
- 請注意這兒��,我們并沒有給 arm\diary 目錄設置權限,就直接跳到其子目錄下進行設置了。我當然是故意這樣的,因為我想在這兒引入“繼承”的概念�����。
- 權限具備繼承性 任何子目錄�����,均可繼承其父目錄的所有權限��,除非它自己被明確設置了其他的權限��。也就是說,在 arm 目錄設置權限后, arm\diary 目錄沒有進行設置���,就意味著它的權限與 arm 目錄一樣,都是只有經理才有權讀寫,其他人只能干瞪眼��。
- 【 * = 是否可以省略】【用例子引入覆蓋】【單用戶權限的繼承問題】【父目錄權限集成與全面覆蓋問題】
現在來看看
好了���,我們現在掌握了“繼承”的威力�����,它讓我們節省了不少敲鍵盤的時間?��?墒乾F在又有一個問題了,
屬性具備覆蓋性質子目錄若設置了屬性��,則完全覆蓋父目錄�����。
- 父目錄的 r 權限�����,對子目錄 w 權限的影響
把這個問題專門提出來,是因為在1.3.1及其以前的版本里面���,有個bug,即為了子目錄的寫權限�����,項目首目錄必須具備讀權限�����。因此現在使用了1.3.2版本�����,就方便了那些想在一個代碼庫存放多個相互獨立的項目的管理員�����,來分配權限了�����。比如說央舜公司建立一個大的代碼庫用于存放所有員工日志,叫做 diary,而arm事業部只是其中一個部門���,則可以這樣做:
[diary:/]
@g_chief_manager = rw
[diary:/arm]
@g_arm_manager = rw
@g_arm = r
這樣,對于所有arm事業部的人員來說�����,就可以將 svn://192.168.0.1/diary/arm 這個URL當作根目錄來進行日常操作��,而完全不管它其實只是一個子目錄��,并且當有少數好奇心比較強的人想試著 checkout 一下 svn://192.168.0.1/diary 的時候,馬上就會得到一個警告“Access deni”�����,哇�����,太酷了��。
- 默認權限
如果說我對某個目錄不設置任何權限,會怎樣?馬上動手做個試驗,將:
[diary:/]
@g_chief_manager = rw
改成:
[diary:/]
# @g_chief_manager = rw
這樣就相當于什么都沒有設置。在我的 svn 1.3.2 版本上��,此時是禁止任何訪問�����。也就是說�����,如果你想要讓某人訪問某目錄,你一定要顯式指明這一點��。這個策略��,看起來與防火墻的策略是一致的���。
- 只讀權限帶來的一個小副作用
若設置了:
[arm:/diary]
* = r
則svnserve認為���,任何人�����,都不允許改動diary目錄,包括刪除和改名�����,和新增�����。
也就是說�����,如果你在項目初期創建目錄時候,一不小心寫錯目錄名稱,比如因拼寫錯誤寫成 dairy���,以后除非你改動 authz.conf 里面的這行設置���,否則無法利用 svn mv 命令將錯誤的目錄更正�����。