Hei,
Holder på å sette opp Subversion med autentisering mot Windows AD.
Jeg har et Location definert i Apache som benytter mod_dav. Jeg prøver å sette opp to grupper i AD; en for read-only, og en for read-write. Benytter Limit og LimitExcept for dette:
# Alle ikke-leseopperasjoner gis kun til RW gruppen
<LimitExcept GET PROPFIND OPTIONS REPORT>
Require ldap-group CN=SVN-repo-RW,OU=Grupper,DC=domene,DC=her
</LimitExcept>
# Alle leseopperasjoner gis kun til RO gruppen
<Limit GET PROPFIND OPTIONS REPORT>
Require ldap-group CN=SVN-repo-RO,OU=Grupper,DC=domene,DC=her
</Limit>
Men, dette fungerer dårlig. Slik det er nå må en AD bruker være medlem av begge gruppene for at de skal få read or write, er man kun medlem av gruppen "SVN-repo-RW", får man ikke gjort noen operasjoner.
Apache gir en 401 når jeg prøver å gjøre en OPTIONS, så jeg er rimelig sikker på at apache configen min er feil, men jeg skjønner ikke helt hvorfor.
Noen som er dreven på dette?
Etter en DEL pusling, ser det ut som jeg har løst dette på en annen måte:
<LimitExcept GET PROPFIND OPTIONS REPORT>
Require ldap-filter memberOf=CN=SVN-repo-RW,OU=Grupper,DC=domene,DC=her
</LimitExcept>
<Limit GET PROPFIND OPTIONS REPORT>
Require ldap-filter |(memberOf=CN=SVN-repo-RW,OU=Grupper,DC=domene,DC=her) (memberOf=CN=SVN-repo-RO,OU=Grupper,DC=domene,DC=her)
</Limit>
Dette fungerer jo, sjekker om brukeren er medlem av RW eller RO gruppen, så lenge de er medlem av en av de får de leserettigheter. Men ved write må de være medlem av RW gruppen.
Hurra!
Holder på å sette opp Subversion med autentisering mot Windows AD.
Jeg har et Location definert i Apache som benytter mod_dav. Jeg prøver å sette opp to grupper i AD; en for read-only, og en for read-write. Benytter Limit og LimitExcept for dette:
# Alle ikke-leseopperasjoner gis kun til RW gruppen
<LimitExcept GET PROPFIND OPTIONS REPORT>
Require ldap-group CN=SVN-repo-RW,OU=Grupper,DC=domene,DC=her
</LimitExcept>
# Alle leseopperasjoner gis kun til RO gruppen
<Limit GET PROPFIND OPTIONS REPORT>
Require ldap-group CN=SVN-repo-RO,OU=Grupper,DC=domene,DC=her
</Limit>
Men, dette fungerer dårlig. Slik det er nå må en AD bruker være medlem av begge gruppene for at de skal få read or write, er man kun medlem av gruppen "SVN-repo-RW", får man ikke gjort noen operasjoner.
Apache gir en 401 når jeg prøver å gjøre en OPTIONS, så jeg er rimelig sikker på at apache configen min er feil, men jeg skjønner ikke helt hvorfor.
Noen som er dreven på dette?
Etter en DEL pusling, ser det ut som jeg har løst dette på en annen måte:
<LimitExcept GET PROPFIND OPTIONS REPORT>
Require ldap-filter memberOf=CN=SVN-repo-RW,OU=Grupper,DC=domene,DC=her
</LimitExcept>
<Limit GET PROPFIND OPTIONS REPORT>
Require ldap-filter |(memberOf=CN=SVN-repo-RW,OU=Grupper,DC=domene,DC=her) (memberOf=CN=SVN-repo-RO,OU=Grupper,DC=domene,DC=her)
</Limit>
Dette fungerer jo, sjekker om brukeren er medlem av RW eller RO gruppen, så lenge de er medlem av en av de får de leserettigheter. Men ved write må de være medlem av RW gruppen.
Hurra!