問題タブ [authz]

グループ doc のメンバーがドキュメントをチェックアウトしようとしても、機能しません。doc のメンバーがサブディレクトリ doc をチェックアウトできるようにするだけで、それ以外は禁止されています。これを達成する方法はありますか？

よろしくロニー

[アップデート]

クライアント: svn、バージョン 1.5.4 (r33841) サーバー: svn、バージョン 1.4.6 (r28521)

svn+ssh:/user@host/fullpath-to-repos 経由でアクセス

• 1つは2年間完全に機能します
• 2 の可能性があります - 上記のバージョン番号を参照してください (すぐに管理者に連絡します)
• 3いいえ？ただssh
• 4 いいえ
• 5 いいえ

[アップデート]

• クライアントバージョンsvn 1.4.6（r28521）を使用しても機能しません-同じエラー
• 単純なコマンド ライン アクセスを使用します。svn co svn+ssh://....

[アップデート]

• サーバー:Linux 2.6.16.60-0.39.3-default9 i686 athlon i386 GNU/Linux - suse 10? またはそのようなものだと思います
• クライアント: Kubuntu 9.04
• OpenSSH SSH クライアント経由の接続
• サーバーは localhost からの svn:// 接続を拒否します - すべての接続 --- すぐに自宅でコピーを試してみる必要があります

[更新 4] * これは自分のサーバーではないため、やりたいことができません。これは、数百人のユーザーがいる、少なくとも 10 年間稼働している非常に古いサーバーです。標準的なものはうまくいくはずです。何か不足している場合は修正してください。

[更新 5] 信じられないかもしれません。私は間違ったパスを使用していましたが、今ではすべてが正常に機能しています。時間を無駄にして申し訳ありません。FoxyBOA の努力に報奨金を差し上げます。

要するに、アプリケーション名または JAR 名に基づいて接続プール X へのアクセスを制限するにはどうすればよいですか? 簡単なユースケースが役立つかもしれません...

ビジネス Web アプリ (WEB_APP_A と呼びます) は、プール Y を使用して基本的なルックアップ SQL を実行します。この Web アプリの一部のユーザーは、データベース内の機密データの更新にもアクセスできます。このコードは、必要な場所にドロップできる JAR ファイル (HR_JAR と呼びます) によって提供されます。この JAR は、すべての接続にプール X を使用します。

WEB_APP_A の開発者がプール X を使用することは望ましくありません。プール X を使用する HR_JAR のみが必要です。これは、WEB_APP_A の開発者が X が提供するアクセス プールを誤ってまたは意図的に悪用するのを防ぐためです。

いくつかの考慮事項:

1. これはレガシー コードであるため、HR_JAR がそのまま使用されます。
2. Weblogic 9.2で実行しています
3. ソースコードからパスワードを保持することはできません
4. JDBC リソースの weblogic ユーザー レベルの認証/認証を調査しましたが、これには疑問があります。アプリ/jarごとにユーザーになるために使用するユーザーの資格情報をどのように保護しますか?

アイデア？考え？私が試したことについて詳しく説明することはできますが、新鮮なアイデアが必要でした.

Web サーバーに Trac をインストールしました。まず第一に、私のリポジトリがすぐに世界に公開されたので、安全に見えます. authz で保護されたリポジトリにアクセスするための資格情報を提供せずに、Trac はどのように私のリポジトリにアクセスしますか? 次に、svn の authz で同じユーザーまたはグループを使用して、Trac のユーザーおよびグループとして使用できますか?

すべてのプロジェクトに対して単一のsvn リポジトリがあります。svn には、プロジェクトによって直接参照されるコンパイル済みライブラリ(.dll、.swc など) を含むディレクトリもあります。

別の開発者にプロジェクトをやってもらいたいのですが、私の svn ツリー全体を彼に公開したくありません。コミットできないだけの場合は、authz で読み取り許可を設定するだけですが、他のすべてのソースコードを彼に見せたくありません。

チェックアウトしてコンパイルしようとすると、すべての相対パスが台無しになるため、プロジェクト用とライブラリ フォルダー用の 2 つのチェックアウトを彼に行わせたくありません。

したがって、以下が必要です。このユーザーによるトランクのチェックアウトは、このユーザーに関連するすべてのディレクトリのフォルダー構造を含むチェックアウトにつながり、関連しないすべてのディレクトリを省略します。

つまり: 私の svn svn checkout が次のようになっている場合:

彼のチェックアウトを次のようにしたい:

それは可能ですか？はいの場合: どのように?

どんな助けでも大歓迎です！

編集：Windows環境でsvnserveを使用しています（Apacheなし）

リモートユーザーがVisualSVNサーバーで自分のパスワードを変更できるようにする方法を思いついた人はいますか? 「スタンドアロン」(非 ActiveDirectory) モードで実行していますが、この優れた製品の唯一の欠点は、ユーザーがパスワードを設定または変更できないことです。

私はそれを受け入れることができますが、決して変更されないパスワードのセキュリティへの影響はよく知られています. 機能を追加することは可能だと確信していますが、私は VisualSVN で使用されているテクノロジーのいずれにおいても少しも才能がありません。

2010年12月21日更新

私はこれを自分で実装することを決めました。助けていただければ幸いな最初の障害は、パスワードの暗号化です。VisualSVN にはパスワード ファイルがありhtpasswd、次の形式のユーザーのリストが含まれていることがわかりました。

JoePublic:$apr1$lpq$kF8nZjjuFxgJBExK8ruf20

JoePublic はユーザー名です。コロンは区切り文字で、残りはパスワード ハッシュのようなものだと思います。この場合に使用された実際のパスワードはForgetMeNot.

これは MD5 または SHA ハッシュではないようですが、私はこの分野についてあまり世俗的な知識を持っていないので、そうかもしれません。上記の情報から、使用されているアルゴリズムを推測できる人はいますか?

特定のユーザーがSVNリポジトリ内の特定のフォルダーにアクセスするのを防ぎたいとしましょう。私はただします：

しかし、そのフォルダーの名前がSecretFolderからNewSecretFolderに変更された場合はどうなるでしょうか。ユーザーsome_poor_sapは/SecretFolderの履歴にアクセスできますか？

authz ファイルを使用して、svn サーバー (projA、projB) へのアクセスを制限しています。幹と枝に同じ制限を適用したいと思います。構成をコピー/貼り付けする代わりに、それを行う良い方法はありますか:

プロジェクトとブランチがたくさんあるので、この構成を維持するのは難しくなります。

MySQL データベースを使用して従業員を認証するクライアント用の Subversion サーバーと、他のユーザー (ベンダー) をリポジトリに認証するための AuthUserFile (htpasswd) があります。

従業員にはフル アクセスを許可* = rwし、ベンダーにはサブツリーのみにアクセスを許可する必要があります。（このようなもの）：

残念ながら、SVN 認証の設計は、次の* = rwようなより制限的なルールにもかかわらず、すべてにカスケードしているようです 。vendor_user =

誰かアドバイスがあれば、私は深く感謝します！

C# アプリケーションで動作するようにAuthzAccessCheckの PInvoke を実行しようとしていますが、エラー コード 87 : 無効なパラメーターが発生し続けます。最初のテストとして、ここにあるサンプル コードから GetAccess ルーチンの基本構造をたどってみました。

これを機能させるために考えられるすべてのバリエーションを試しましたが、この時点でほとんど行き詰まっています。私が間違っていることを説明できる人はいますか？

完全なテスト コードは次のとおりです。

[これは、私が既にここで尋ねた質問のもう少し具体的なバージョンです: Active Directory オブジェクトに対する有効なアクセス許可を照会するにはどうすればよいですか? - ここで受け取った回答が、そこで受け取った回答をよりよく理解し、判断するのに役立つことを願っています。]

具体的には、現在のユーザーが、別のユーザー (つまり、メールボックス)、メールが有効なパブリック フォルダー、または配布リストです。グループ メンバーシップを介して間接的に付与 (または拒否) されたアクセス許可も考慮に入れることが重要です。中長期的には、Windows セキュリティ モデルとその API についてもっと学びたいと思っています。このタスクは、私の出発点にすぎません。

Delphi で利用可能な C++ の例のいくつかを実装する最善の方法を調査しているときに、JWSCL (JEDI Windows Security Code Library) に出くわしました。しかし、AD 関連のコードが最近いくつか寄稿されたように見えますが、JWSCL ブログと wiki のいくつかのドキュメントでは、「Active Directory サポート」がまだ追加されていないことを指摘しています。

しかし、これは単に古いドキュメントの問題でしょうか? そうでない場合でも、この特定のタスクにそれが本当に必要ですか? SECURITY_DESCRIPTORを使用して、チェックしたいオブジェクトの属性を取得することができますIDirectoryObject.GetAttributes。その SD を取得した後でも、AD オブジェクトのアクセス許可をチェックしていることに違いはありますか? おそらくADサポートが欠落しているにもかかわらず、すでにそこにあるコードでそれを使用できませんでしたか?
もしそうなら、どのように？

JWSCL に同梱されているGetEffectiveRightsFromAclWithAuthZサンプルを既に変更しようとしましたが、ポインタTJwSecurityDescriptorからオブジェクトを作成することにすでに失敗しています。PSECURITY_DESCRIPTORに渡すだけでTJwSecurityDescriptor.Create()失敗し、EJwsclInvalidSIDException.

何か案は？私はリモートで正しい軌道に乗っていますか?