SVN 用户权限管理讲解 /***********************************************************/ //SVNSubversion 用户权限管理 //资料来源：网络、总结 //2010 年 7 月 20 日 /***********************************************************/ 基本的操作： 以 我创建的 Svn 工程为例子来讲解 SVN 权 /***********************************************************/ //SVNSubversion 用户权限管理 //资料来源：网络、总结 //2010 年 7 月 20 日 /***********************************************************/ 基本的操作： 以我创建的 Svn 工程为例子来讲解 SVN 权限管理的配置 仓库创建路径：D:\SVNLibrary >>>取消匿名登陆： 打开文件 D:\SVNLibrary\conf\svnserve.conf 找到：###anon-access = read 将前面的注释去掉，并将 read 改为：none 即使：anoe-access=none 表示匿名登陆下的用户权限为空。即：系统不支持匿名登陆 说明： auth-access = write #通过验证的用户可以读和写 auno-access = read #匿名登陆下可以只读文件，即：文件修改后无法提交到服务器 password-db =password #用户保存文件的名称 authz-db =authz #权限管理文件 这个是非常重要的，如果我们要对整个工程的文件进行权限分配 的时候，就必须将这个行文件前面注释掉，否咋即使我们在权限配置文件里面进行再多的配置都是无效的。 这点我已经犯错了。 然后我们在 authz 文件下面进行权限的分配 在权限分配的时候要注意的问题： >>>权限分配时，应遵守从根目录到子目录、从设置最广泛权限到最精细权限、从只读权限到读写权 限设置原则，即从根目录开始设置最广泛的访问权限，然后逐步设置下属子目录的访问权限。提示：目录 的访问权限既可以分配给组，也可以分配指定用户。 >>>对某个用户，如果只赋给他某个目录的权限，但对上级目录没有赋给，则他不能有上级目录的任 何权限 例如某个用户有：/repository/project1 的 r 权，而没有/repository 的 r 权 >>>对于所有的目录，都优先处理设置在这个目录上的权限设置。 例如 sai 用户： [/repository] sai = rw 对于 repository 目录，他有 rw 的权限。 [/repository/project1] sai = r 对于 repository 下的 project1 目录，他只有 r 权限。 

则，这个 saiy 用户只有 project1 的 r 权。而 repository 下其他目录有 rw 权。 >>>权限分配，只可以分配到某个目录，而不能到某个文件 >>>如果某个目录上没有对某个用户设置权限，则一直向上级目录查找，看是否有权限 例如 sai 用户 [/repository] sai=rw [/repository/project1] saiya=rw 则 sai 用户一样拥有/repository/project1 的读写权限 >>>分配权限时，= 的左边为用户，不能想当然的以，号分开加入多个用户 >>>如果想设置某用户都没有 rw 的权限，只要 = 号的右边这空即可 User1 = >>>如果某一个文件夹，对于人任何用户都没有权限 * = 其中*代表所有的人 SVN 深入的部分 本章将详细介绍前一章所涉及的两个配置文件， svnserve.conf 和 authz.conf，通过对配置逐行 的描述，来阐明其中的一些细节含义。 这 里首先要注意一点，任何配置文件的有效配置行，都不允许存在前置空格，否则程序会无法识别。 也就是说，如果你直接从本文的纯文本格式中拷贝了相关的配置行 过去，需要手动将前置的 4 个空格全部 删除。当然了，如果你觉得一下子要删除好多行的同样数目的前置空格是一件苦差使，那么也许 UltraEdit 的“Column Mode”编辑模式，可以给你很大帮助呢。 1 svnserve.conf arm\conf\svnserve.conf 文件，是 svnserve.exe 这个服务器进程的配置文件，我们逐行解释如 下。 首先，我们告诉 svnserve.exe，用户名与密码放在 passwd.conf 文件下。当然，你可以改成任意 的有效文件名，比如默认的就是 passwd: password-db = passwd.conf 接 下来这两行的意思，是说只允许经过验证的用户，方可访问代码库。 那么哪些是“经过验证的”用 户呢？噢，当然，就是前面说那些在 passwd.conf 文件里面持有用户名密码的家伙。这两行的等号后面， 目前只允许 read write none 三种值，你如果想实现一些特殊的值，比如说“read-once”之类的，建议 你自己动手改源代码，反正它也是自由软件： anon-access = none auth-access = write 接下来就是最关键的一句呢，它告诉 svnserve.exe，项目目录访问权限的相关配置是放在 authz.conf 文件里： authz-db = authz.conf 当 然，svn 1.3.2 引入本功能的时候，系统默认使用 authz 而不是 authz.conf 作为配置文件。 不过由于鄙人是处女座的，有着强烈的完美主义情结，看着 svnserve.conf 有后缀而 passwd 和 authz 没有就是不爽，硬是要改了。 2 authz.conf 之用户分组 arm\conf\authz.conf 文件的配置段，可以分为两类，``[group]`` 是一类，里面放置着所有用户 分组信息。其余以 [arm:/] 开头的是另外一类，每一段就是对应着项目的一个目录，其目录相关权限， 就在此段内设置。 

首先，我们将人员分组管理，以便以后由于人员变动而需要重新设置权限时候，尽量少改动东西。我 们一共设置了 5 个用户分组，分组名称统一采用 g_ 前缀，以方便识别。当然了，分组成员之间采用逗号 隔开： [groups] # 任何想要查看所有文档的非本部门人士 g_vip = morson # 经理 g_manager = michael # 北京办人员 g_beijing = scofield # 上海办人员 g_shanghai = lincon # 总部一般员工 g_headquarters = rory, linda # 小秘，撰写文档 g_docs = linda 注 意到没有， linda 这个帐号同时存在“总部”和“文档员”两个分组里面，这可不是我老眼昏花写错 了，是因为 svnserve.exe 允许我这样设置。它意味着，这个家伙所拥有的权限，将会比他的同事 rory 要多一些，这样的确很方便。具体多了哪些呢？请往下看！3 authz.conf 之项目根目录 接着，我们对项目根目录做了限制，该目录只允许 arm 事业部的经理才能修改，其他 人都只能眼巴巴的看着： #所有登录用户默认权限为只读 #设置对 arm 版本库中，所有项目的访问权限 #设置对根（即 SVNLibrary）目录下，所有版本库的访问权限 [/] * = r [arm:/] @g_manager = rw * = r [arm:/] 表示这个目录结构的相对根节点，或者说是 arm 项目的根目录 这里的 @ 表示接下来的是一个组名，不是用户名。你当然也可以将 @g_manager=rw 这一行替换成 michael=rw ，而表达的意义完全一样。 * 表示“除了上面提到的那些人之外的其余所有人”，也就是“除了部门经理外的其他所 有人”，当然也包括总经理那个怪老头 * = r 则表示“那些人只能读，不能写” 4 authz.conf 之项目子目录 然后，我们要给总部人员开放日志目录的读写权限： [arm:/diary/headquarters] @g_manager = rw @g_headquarters = rw @g_vip = r * = 我 敢打赌，设计 svn 的家伙们，大部分都是在 unix/linux 平台下工作，所以他们总 喜欢使用 / 来标识子目录，而完全忽视在 MS Windows 下是用 \ 来做同样的事情。所 以这儿，为了表示 arm\diary\headquarters 这个目录，我们必须使用 [arm:/diary/headquarters] 这样的格式。 

这里最后一行的 *= 表示，除了经理、总部人员、特别人士之外，任何人都被禁止访 问本目录。这一行是否可以省略呢？ 之所以这儿需要将 @g_vip=r 一句加上，就是因为存在上述这个解释。如果说你没有 明确地给总经理授予读的权力，则他会和其他人一样，被 * 给排除在外。 如果众位看官中间，有谁玩过防火墙配置的话，可能会感觉上述的配置很熟悉。不过这 里有一点与防火墙配置不一样，那就是各个配置行之间，没有 先后顺序 一说。也就是说， 如果我将本段配置的 *= 这一行挪到最前面，完全不影响整个配置的最终效果。 请注意这儿，我们并没有给 arm\diary 目录设置权限，就直接跳到其子目录下进行设 置了。我当然是故意这样的，因为我想在这儿引入“继承”的概念。 权限具备继承性 任何子目录，均可继承其父目录的所有权限，除非它自己被明确设置 了其他的权限。也就是说，在 arm 目录设置权限后， arm\diary 目录没有进行设置，就 意味着它的权限与 arm 目录一样，都是只有经理才有权读写，其他人只能干瞪眼。 【 * = 是否可以省略】【用例子引入覆盖】【单用户权限的继承问题】【父目录权限集 成与全面覆盖问题】 现在来看看 好了，我们现在掌握了“继承”的威力，它让我们节省了不少敲键盘的时间。可是现在又 有一个问题了， 属性具备覆盖性质子目录若设置了属性，则完全覆盖父目录。 5 authz.conf 的其他注意点 父目录的 r 权限，对子目录 w 权限的影响 把 这个问题专门提出来，是因为在 1.3.1 及其以前的版本里面，有个 bug，即为了子 目录的写权限，项目首目录必须具备读权限。因此现在使用了 1.3.2 版 本，就方便了那些 想在一个代码库存放多个相互独立的项目的管理员，来分配权限了。比如说央舜公司建立一 个大的代码库用于存放所有员工日志，叫做 diary，而 arm 事业部只是其中一个部门，则 可以这样做： [diary:/] @g_chief_manager = rw [diary:/arm] @g_arm_manager = rw @g_arm = r 这 样，对于所有 arm 事业部的人员来说，就可以将 svn://192.168.0.1/diary/arm 这个 URL 当作根目录来进行日常操作，而完全不管它其实只是一个子目录，并且当有少数 好奇心比较强的人想试着 checkout 一下 svn://192.168.0.1/diary 的时候，马上就会 得到一个警告“Access deni”，哇，太酷了。 默认权限 如果说我对某个目录不设置任何权限，会怎样？马上动手做个试验，将： [diary:/] @g_chief_manager = rw 改成： [diary:/] # @g_chief_manager = rw 这样就相当于什么都没有设置。在我的 svn 1.3.2 版本上，此时是禁止任何访问。也 就是说，如果你想要让某人访问某目录，你一定要显式指明这一点。这个策略，看起来与防 火墙的策略是一致的。 

只读权限带来的一个小副作用 若设置了： [arm:/diary] * = r 则 svnserve 认为，任何人，都不允许改动 diary 目录，包括删除和改名，和新增。 也就是说，如果你在项目初期创建目录时候，一不小心写错目录名称，比如因拼写错误 写成 dairy，以后除非你改动 authz.conf 里面的这行设置，否则无法利用 svn mv 命令 将错误的目录更正。 改进 1 对中文目录的支持 上 午上班的时候，Morson 来到 Michael 的桌子前面，说道：“你是否可以将我们的 北京办、上海办目录，改成用中文的，看着那些拼音我觉得很难受？” Michael 心想，还好 这两天刚了解了一些与 unicode 编码相关的知识，于是微笑地回答：“当然可以，你明天 下午就可以看到中文目录名称了。” 使用 svn mv 指令，将原来的一些目录改名并 commit 入代码库，改名后的目录结 构如下： arm ├─工作日志 │ ├─总部人员 │ ├─北京办 │ └─上海办 ├─公司公共文件参考目录 └─临时文件存放处 修改代码库的 authz.conf 文件，将相应目录逐一改名 使用 UltraEdit 将 authz.conf 文件转换成不带 BOM 的 UTF-8 格式 将 配置文件转换成 UTF-8 格式之后，Subversion 就能够正确识别中文字符了。但 是这里需要注意一点，即必须保证 UTF-8 文件不包含 BOM 。BOM 是 Byte Order Mark 的缩写，指 UNICODE 文件头部用于指明高低字节排列顺序的几个字符，通常是 FFFE ，而将之用 UTF-8 编码之后，就是 EFBBBF 。由于 UTF-8 文件本身不存在字节 序问题，所以对 UTF-16 等编码方式有重大意义的 BOM，对于 U