4.支持多种版本库访问方法

Posted on Posted in 7.服务配置

支持多种版本库访问方法

你已经看到了一个版本库可以用多种方式访问,但是可以—或者说安全的—用几种方式同时并行的访问你的版本库吗?回答是可以,倘若你有一些深谋远虑的使用。

在任何给定的时间,这些进程会要求读或者写访问你的版本库:

  • 常规的系统用户使用Subversion客户端(客户端程序本身)通过file://URL直接访问版本库;

  • 常规的系统用户连接使用SSH调用的访问版本库的svnserve进程(就像它们自己运行一样);

  • 一个svnserve进程—是一个守护进程或是通过inetd启动的—作为一个固定的用户运行;

  • 一个Apache httpd进程,以一个固定用户运行。

最通常的一个问题是管理进入到版本库的所有权和访问许可,是前面例子的所有进程 (或者说是用户)都有读写Berkeley DB的权限?假定你有一个类Unix的操作系统,一个直接的办法是在新的svn组添加所有潜在的用户,然后让这个组完全拥有版本库,但这样还不足够,因为一个进程会使用不友好的umask来写数据库文件—用来防止别的用户的访问。

所以下一步我们不选择为每个版本库用户设置一个共同的组的方法,而是强制每个版本库访问进程使用一个健全的umask。对直接访问版本库的用户,你可以使用svn的包裹脚本来首先设置umask 002,然后运行真实的svn客户端程序,你可以为svnserve写相同的脚本,并且增加umask 002命令到Apache自己的启动脚本apachectl中。例如:

$ cat /usr/bin/svn

#!/bin/sh

umask 002
/usr/bin/svn-real "$@"

     

另一个在类Unix系统下常见的问题是,当版本库在使用时,BerkeleyDB有时候创建一个新的日志文件来记录它的东西,即使这个版本库是完全由svn组拥有,这个新创建的文件不是必须被同一个组拥有,这给你的用户造成了更多地许可问题。一个好的工作区应该设置组的SUID字节到版本库的db目录,这会导致所有新创建的日志文件拥有同父目录相同的组拥有者。

一旦你跳过了这些障碍,你的版本库一定是可以通过各种可能的手段访问了,这看起来有点凌乱和复杂,但是这个让多个用户分享对一个文件的写权限的问题是一个经典问题,并且经常是没有优雅的解决。

幸运的是,大多数版本库管理员不需要这样复杂的配置,用户如果希望访问本机的版本库,并不是一定要通过file://的URL—他们可以用localhost机器名联系Apache的HTTP服务器或者是svnserve,协议分别是http://svn://。为你的Subversion版本库维护多个服务器进程,版本库会变得超出需要的头痛,我们建议你选择最符合你的需要的版本库,并且坚持使用!

svn+ssh 服务器检查列表

让一些用户通过存在的SSH帐户来共享版本库而没有访问许可问题是一件很有技巧的事情,如果你为自己需要在(作为一个管理员)类Unix系统上做的事情感到迷惑,这里是一些快速的检查列表,总结了本小节讨论的事情:

  • 所有的SSH用户需要能够读写版本库,把所有的SSH用户放到同一个组里。

  • 让那个组拥有整个版本库。

  • 设置组的访问许可为读/写。

  • 你的用户在访问版本库时需要使用一个健全的umask,确定svnserve/usr/bin/svnserve或者是任何一个$PATH说明的位置)是一个设置了umask 002和执行真正的svnserve程序的包裹脚本,对svnlooksvnadmin使用相同的措施,或者是使用一个健全的umask运行或者是使用上面说明的包裹。

  • svnlooksvnadmin的使用类似,使用健全的umask或者使用前面提到的包裹程序。