Как добавить две группы "AD" в 1 сервер LDAP?

Question

Я установил и настроил subversion в Linux7, а из внешнего интерфейса я использую svn tortoise.С серверного рычага я хочу интегрировать мой subversion с AD.

У меня есть два репозитория внутри /u01/ciroot/subversion, например DEV_REPO и PROD_REPO.

Также в AD У меня есть две группы;один OBIEE_DEV, а другой OBIEE_PROD.Теперь я хочу, чтобы члены группы OBIEE_DEV имели доступ к хранилищу DEV_REPO, а члены группы OBIEE_PROD - к хранилищу DEV_REPO и PROD_REPO (оба).Так что в моей AD, в группе OBIEE_DEV, у меня есть user1 и user2 там, но в AD группе OBIEE_PROD у меня есть только user2.

Эти вещиразмещены правильно.Но в файле /etc/httpd/conf.d/subversion.conf как мне это объявить?Ниже приведен мой файл subversion.conf, где прямо сейчас упоминается только одна запись группы, которая является OBIEE_DEV, я хочу добавить запись для группы OBIEE_PROD здесь.Пожалуйста, подскажите, как этого добиться.

<code><pre>
    <location /svn>
        DAV svn
        SVNParentPath /u01/ciroot/subversion
        AuthType Basic
        AuthBasicProvider ldap
        AuthName "Root Repo"
        AuthLDAPURL "ldap://ldap.server.com:389/DC=macgroup,DC=local?sAMAccountName?sub?(&(ObjectClass=*)(memberOf=CN=OBIEE_DEV,OU=OBIEE,OU=Security,OU=Groups,OU=Global Resources,DC=MACGROUP,DC=LOCAL))" STARTTLS

        AuthLDAPBindDN "CN=oidkerbt,OU=Service Accounts,OU=Users,OU=Global 
        Resources,DC=macgroup,DC=local"
        AuthLDAPBindPassword password_of_ldap_server
        Require valid-user
    </location>

Answer 1

Во-первых, прочитайте рамку под заголовком «Вам действительно нужен контроль доступа на основе пути?»здесь: http://svnbook.red -bean.com / ru / 1.7 / svn.serverconfig.pathbasedauthz.html

Но если вы все же решите, что хотите это сделать, эта ссылка должна помочь вам установитьэто до.Но в основном создайте две записи location: по одной для каждого хранилища.Каждый указывает на группу в группе AD, которая предоставляет это разрешение.

Если вы хотите, чтобы люди из группы OBIEE_PROD тоже имели доступ к DEV_REPO, просто добавьте группу OBIEE_PROD вВаша OBIEE_DEV группа в AD.

Это пример, но я не могу гарантировать, что он будет работать точно так же, как есть:

<location /svn/DEV_REPO>
    DAV svn
    SVNParentPath /u01/ciroot/subversion
    AuthType Basic
    AuthBasicProvider ldap
    AuthName "Root Repo"
    AuthLDAPURL "ldap://ldap.server.com:389/DC=macgroup,DC=local?sAMAccountName?sub?(&(ObjectClass=*)(memberOf=CN=OBIEE_DEV,OU=OBIEE,OU=Security,OU=Groups,OU=Global Resources,DC=MACGROUP,DC=LOCAL))" STARTTLS

    AuthLDAPBindDN "CN=oidkerbt,OU=Service Accounts,OU=Users,OU=Global 
    Resources,DC=macgroup,DC=local"
    AuthLDAPBindPassword password_of_ldap_server
    Require valid-user
</location>
<location /svn/PROD_REPO>
    DAV svn
    SVNParentPath /u01/ciroot/subversion
    AuthType Basic
    AuthBasicProvider ldap
    AuthName "Root Repo"
    AuthLDAPURL "ldap://ldap.server.com:389/DC=macgroup,DC=local?sAMAccountName?sub?(&(ObjectClass=*)(memberOf=CN=OBIEE_PROD,OU=OBIEE,OU=Security,OU=Groups,OU=Global Resources,DC=MACGROUP,DC=LOCAL))" STARTTLS

    AuthLDAPBindDN "CN=oidkerbt,OU=Service Accounts,OU=Users,OU=Global 
    Resources,DC=macgroup,DC=local"
    AuthLDAPBindPassword password_of_ldap_server
    Require valid-user
</location>