====== Mac OS X v10.6でSubversionリポジトリのパスベース認証を行う ======

Snow Leopardからmod_dav_svnが標準で入たようで、WebDAVを用いたSubversion環境を作りやすくなったっぽいので挑戦してみたメモ。

===== 前提条件 =====
  * Mac OS X v10.6.6（試した環境）
  * Subversion 1.6.5（システム標準）
  * Apache 2.2.15（システム標準）
  * プロジェクトごとにリポジトリを作り、プロジェクトごとにアクセス制御出来るようにする。
  * リポジトリ置き場:/doko/soko/svn/repos/
  * SVNサーバアドレス:mysvn.info

===== httpd.confの編集 =====
''/etc/apache2/httpd.conf''のLoadModuleの最後に以下を追加。 
<file>
LoadModule dav_svn_module libexec/apache2/mod_dav_svn.so
LoadModule authz_svn_module libexec/apache2/mod_authz_svn.so
</file>

===== mod_dav_svnの設定 =====
''/etc/apache2/other/subversion.conf''でmod_dav_svnの設定をする。拡張子が.confならファイル名は何でもおｋ。
<file>
<IfModule dav_svn_module>

<Location /svn-repos>                  # リポジトリにアクセスする際のURL（http://mysvn.info/svn-repos）の一部になる
    DAV svn
    SVNListParentPath on
    SVNParentPath /doko/soko/svn/repos # リポジトリの実際のパス
</Location>

</IfModule>
</file>

===== リポジトリの所有者の変更 =====
<code>
$ sudo chown -R _www:_www /doko/soko/svn/repos
</code>

==== 確認 ====
ここまでで問題なく設定出来ていれば、apacheを再起動後、チェックアウトやブラウザからリポジトリの表示が出来るようになっているはず。

現段階では、Subversionサーバにアクセス出来る人なら誰でも、無制限でリポジトリを操作出来るので要注意。

===== アクセス制御 =====
''subversion.conf''を再度開き、認証に必要なの設定を追加する。

<file>
<IfModule dav_svn_module>

<Location /svn-repos>
    DAV svn
    SVNListParentPath on
    SVNParentPath /doko/soko/svn/repos
    Satisfy Any                                # 匿名ユーザーを許可
    Require valid-user                         # 匿名ユーザーが許可されてない操作は正規ユーザーを要求
    AuthType Basic                             # ベーシック認証を使う
    AuthName "Subversion Authorization"        # 認証領域の設定。設定を忘れると500エラーで小一時間苦しむことになるので注意。
    AuthUserFile /doko/soko/svn/htpasswd       # ベーシック認証のユーザーとパスワードファイル
    AuthzSVNAccessFile /doko/soko/svn/authz    # リポジトリのアクセス制御情報ファイル
</Location>

</IfModule>
</file>

==== 正規ユーザーの設定 ====
''AuthUserFile''で指定したファイルにベーシック認証ユーザーを追加する。
<code>
$ sudo htpasswd -c /doko/soko/svn/htpasswd Decomo
New password: 
Re-type new password: 
Adding password for user Decomo
</code>

2人目以降、つまりhtpasswdが既にある場合は-cオプションは付けない。さもないと上書きされる。

==== リポジトリのアクセス制御の設定 ====
''AuthzSVNAccessFile''で指定したファイルにアクセス制御情報を書く。

<file>
[groups]
admins = Decomo

[/]
* = r

[Project1:/]
@admins = rw

[Project2:/]
@admins = rw

[secret:/]
Decomo = rw
* =
</file>

===== SSLの設定 =====
ここからSSLに関する設定。HTTPのままで良ければ以下は設定する必要はない。

==== 秘密鍵の生成 ====
sudoだと上手く行かなかったのでsuする。
<code>
$ cd /etc/apache2/other
$ su
# openssl genrsa -aes256 2048 > server.key
Generating RSA private key, 2048 bit long modulus
..................................................................................................+++
..............+++
e is 65537 (0x10001)
Enter pass phrase:
Verifying - Enter pass phrase:
</code>

==== 公開鍵の生成 ====
<code>
# openssl req -new -key server.key >server.csr 
Enter pass phrase for server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:Kanagawa
Locality Name (eg, city) []:Yokohama-shi
Organization Name (eg, company) [Internet Widgits Pty Ltd]:PRODUCTION KusoGA
Organizational Unit Name (eg, section) []:CA
Common Name (eg, YOUR name) []:ホスト名
Email Address []:メールアドレス

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: 空白         
An optional company name []: 空白
</code>

==== 自己証明書の生成 ====
<code>
# # openssl x509 -in server.csr -days 3650 -req -signkey server.key > server.crt
Signature ok
subject=/C=JP/ST=Kanagawa/L=Yokohama-shi/O=PRODUCTION KusoGA/OU=CA/CN=ホスト名/emailAddress=メールアドレス
Getting Private key
Enter pass phrase for server.key:
</code>

==== 秘密鍵のパスワードの解除 ====
上記方法で生成したキーだとApacheの起動時にパスワードの入力を求められるらしいが、Mac OS Xだと何それ美味しいの状態なのでパスワードを解除しておく。
<code>
# mv server.key server.key.bak
# openssl rsa -in server.key.bak -out server.key
Enter pass phrase for server.key.bak:
writing RSA key
</code>

==== subversion.confの編集====
subversion.conf.incにリネームし、''SSLRequireSSL''を追加する。
<code>
# mv subversion.conf subversion.conf.inc
# emacs subversion.conf.inc
<file>
<IfModule dav_svn_module>

<Location /svn-repos>
    DAV svn
    SVNListParentPath on
    SVNParentPath /doko/soko/svn/repos
    SSLRequireSSL                              # SSLを必須にする
    Satisfy Any                                # 匿名ユーザーを許可
    Require valid-user                         # 匿名ユーザーが許可されてない操作は正規ユーザーを要求
    AuthType Basic                             # ベーシック認証を使う
    AuthName "Subversion Authorization"        # 認証領域の設定。設定を忘れると500エラーで小一時間苦しむことになるので注意。
    AuthUserFile /doko/soko/svn/htpasswd       # ベーシック認証のユーザーとパスワードファイル
    AuthzSVNAccessFile /doko/soko/svn/authz    # リポジトリのアクセス制御情報ファイル
</Location>

</IfModule>
</file>
</code>

==== mod_sslの設定 ====
/etc/apache2/extra/にmod_ssl用の設定サンプルがあるのでコピーしておく。

<code>
$ cd /etc/apache2/other
$ sudo cp ../extra/httpd-ssl.conf ./ssl.conf
$ sudo mv subversion.conf subversion.conf.inc
</code>

ssl.confで必要な箇所だけ抜粋。

<file>
SSLRandomSeed startup file:/dev/urandom 512
SSLRandomSeed connect file:/dev/urandom 512

Listen 443

AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl    .crl
SSLPassPhraseDialog  builtin
SSLSessionCache        "shmcb:/private/var/run/ssl_scache(512000)"
SSLSessionCacheTimeout  300
SSLMutex  "file:/private/var/run/ssl_mutex"

<VirtualHost *:443>
DocumentRoot "/Library/WebServer/Documents"
ServerName mysvn.info:443
ServerAdmin メールアドレス
ErrorLog "/private/var/log/apache2/error_log"
TransferLog "/private/var/log/apache2/access_log"

SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile "/private/etc/apache2/other/server.crt"
SSLCertificateKeyFile "/private/etc/apache2/other/server.key"

<FilesMatch "\.(cgi|shtml|phtml|php)$">
    SSLOptions +StdEnvVars
</FilesMatch>
<Directory "/Library/WebServer/CGI-Executables">
    SSLOptions +StdEnvVars
</Directory>

BrowserMatch ".*MSIE.*" \
         nokeepalive ssl-unclean-shutdown \
         downgrade-1.0 force-response-1.0

CustomLog "/private/var/log/apache2/ssl_request_log" \
          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

Include /private/etc/apache2/other/subversion.conf.inc
</VirtualHost>
</file>

''&lt;VirtualHost&gt;''の最後でsubversion.conf.incを取り込んでSSL接続時にBasic認証を有効にするとともに、非SSL時はリポジトリにアクセス出来ないようにする。

===== 参考サイト =====
  * [[http://www.maruko2.com/mw/Apache/SSL%E8%87%AA%E5%B7%B1%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%81%AE%E4%BD%9C%E6%88%90%E3%81%A8mod_ssl%E3%81%AE%E8%A8%AD%E5%AE%9A|Apache/SSL自己証明書の作成とmod sslの設定 - maruko2 Note.]]
  * [[http://www.makies.com/2008/03/44/|家XenでTracを使えるようにしたよ « わすれないように.]]
  * [[http://blog.livedoor.jp/knaka01/archives/51410971.html|酔いどれ日誌:Subversion + AuthzSVNAccessFile = Forbidden 403 Error]]
  * [[http://www.caldron.jp/~nabetaro/svn/svnbook-1.5-final/html-chunk/svn.serverconfig.httpd.html#svn.serverconfig.httpd.authz.perdir.ex-1|第6章 サーバの設定httpd (Apache HTTP サーバ)]]
  * [[http://memo.kappa-lab.com/2007/06/svnwebdavssl.html|SVN+WebDAV+SSLをポートを分けて設定 (memo.kappa-lab.com)]]
  * [[http://kay.air-nifty.com/art/2008/09/sslbasic-77ec.html|SSL+Basic認証の設定で意外に苦労しました（技術的な話題）: ITスペシャリストが語る芸術]]

~~DISCUSSION~~