差分

このページの2つのバージョン間の差分を表示します。

--- mac:mac_os_x_v10.6でsubversionリポジトリのパスベース認証を行う [2011-05-31 00:55]
Decomo
+++ mac:mac_os_x_v10.6でsubversionリポジトリのパスベース認証を行う [2015-01-06 11:51]
@@ 行 1: / 行 1: @@
-====== Mac OS X v10.6でSubversionリポジトリのパスベース認証を行う ======
-Snow Leopardからmod_dav_svnが標準で入たようで、WebDAVを用いたSubversion環境を作りやすくなったっぽいので挑戦してみたメモ。
-===== 前提条件 =====
-  * Mac OS X v10.6.6（試した環境）
-  * Subversion 1.6.5（システム標準）
-  * Apache 2.2.15（システム標準）
-  * プロジェクトごとにリポジトリを作り、プロジェクトごとにアクセス制御出来るようにする。
-  * リポジトリ置き場:/doko/soko/svn/repos/
-  * SVNサーバアドレス:mysvn.info
-===== httpd.confの編集 =====
-<ilcode>/etc/apache2/httpd.conf</ilcode>のLoadModuleの最後に以下を追加。
-<file>
-LoadModule dav_svn_module libexec/apache2/mod_dav_svn.so
-LoadModule authz_svn_module libexec/apache2/mod_authz_svn.so
-</file>
-===== mod_dav_svnの設定 =====
-<ilcode>/etc/apache2/other/subversion.conf</ilcode>でmod_dav_svnの設定をする。拡張子が.confならファイル名は何でもおｋ。
-<file>
-<IfModule dav_svn_module>
-<Location /svn-repos>                  # リポジトリにアクセスする際のURL（http://mysvn.info/svn-repos）の一部になる
-    DAV svn
-    SVNListParentPath on
-    SVNParentPath /doko/soko/svn/repos # リポジトリの実際のパス
-</Location>
-</IfModule>
-</file>
-===== リポジトリの所有者の変更 =====
-<code>
-$ sudo chown -R _www:_www /doko/soko/svn/repos
-</code>
-==== 確認 ====
-ここまでで問題なく設定出来ていれば、apacheを再起動後、チェックアウトやブラウザからリポジトリの表示が出来るようになっているはず。
-現段階では、Subversionサーバにアクセス出来る人なら誰でも、無制限でリポジトリを操作出来るので要注意。
-===== アクセス制御 =====
-<ilcode>subversion.conf</ilcode>を再度開き、認証に必要なの設定を追加する。
-<file>
-<IfModule dav_svn_module>
-<Location /svn-repos>
-    DAV svn
-    SVNListParentPath on
-    SVNParentPath /doko/soko/svn/repos
-    Satisfy Any                                # 匿名ユーザーを許可
-    Require valid-user                         # 匿名ユーザーが許可されてない操作は正規ユーザーを要求
-    AuthType Basic                             # ベーシック認証を使う
-    AuthName "Subversion Authorization"        # 認証領域の設定。設定を忘れると500エラーで小一時間苦しむことになるので注意。
-    AuthUserFile /doko/soko/svn/htpasswd       # ベーシック認証のユーザーとパスワードファイル
-    AuthzSVNAccessFile /doko/soko/svn/authz    # リポジトリのアクセス制御情報ファイル
-</Location>
-</IfModule>
-</file>
-==== 正規ユーザーの設定 ====
-<ilcode>AuthUserFile</ilcode>で指定したファイルにベーシック認証ユーザーを追加する。
-<code>
-$ sudo htpasswd -c /doko/soko/svn/htpasswd Decomo
-New password:
-Re-type new password:
-Adding password for user Decomo
-</code>
-人目以降、つまりhtpasswdが既にある場合は-cオプションは付けない。さもないと上書きされる。
-==== リポジトリのアクセス制御の設定 ====
-<ilcode>AuthzSVNAccessFile</ilcode>で指定したファイルにアクセス制御情報を書く。
-<file>
-[groups]
-admins = Decomo
-[/]
-* = r
-[Project1:/]
-@admins = rw
-[Project2:/]
-@admins = rw
-[secret:/]
-Decomo = rw
-* =
-</file>
-===== SSLの設定 =====
-ここからSSLに関する設定。HTTPのままで良ければ以下は設定する必要はない。
-==== 秘密鍵の生成 ====
-sudoだと上手く行かなかったのでsuする。
-<code>
-$ cd /etc/apache2/other
-$ su
-# openssl genrsa -aes256 2048 > server.key
-Generating RSA private key, 2048 bit long modulus
-..................................................................................................+++
-..............+++
-e is 65537 (0x10001)
-Enter pass phrase:
-Verifying - Enter pass phrase:
-</code>
-==== 公開鍵の生成 ====
-<code>
-# openssl req -new -key server.key >server.csr
-Enter pass phrase for server.key:
-You are about to be asked to enter information that will be incorporated
-into your certificate request.
-What you are about to enter is what is called a Distinguished Name or a DN.
-There are quite a few fields but you can leave some blank
-For some fields there will be a default value,
-If you enter '.', the field will be left blank.
------
-Country Name (2 letter code) [AU]:JP
-State or Province Name (full name) [Some-State]:Kanagawa
-Locality Name (eg, city) []:Yokohama-shi
-Organization Name (eg, company) [Internet Widgits Pty Ltd]:PRODUCTION KusoGA
-Organizational Unit Name (eg, section) []:CA
-Common Name (eg, YOUR name) []:ホスト名
-Email Address []:メールアドレス
-Please enter the following 'extra' attributes
-to be sent with your certificate request
-A challenge password []: 空白
-An optional company name []: 空白
-</code>
-==== 自己証明書の生成 ====
-<code>
-# # openssl x509 -in server.csr -days 3650 -req -signkey server.key > server.crt
-Signature ok
-subject=/C=JP/ST=Kanagawa/L=Yokohama-shi/O=PRODUCTION KusoGA/OU=CA/CN=ホスト名/emailAddress=メールアドレス
-Getting Private key
-Enter pass phrase for server.key:
-</code>
-==== 秘密鍵のパスワードの解除 ====
-上記方法で生成したキーだとApacheの起動時にパスワードの入力を求められるらしいが、Mac OS Xだと何それ美味しいの状態なのでパスワードを解除しておく。
-<code>
-# mv server.key server.key.bak
-# openssl rsa -in server.key.bak -out server.key
-Enter pass phrase for server.key.bak:
-writing RSA key
-</code>
-==== subversion.confの編集====
-subversion.conf.incにリネームし、<ilcode>SSLRequireSSL</ilcode>を追加する。
-<code>
-# mv subversion.conf subversion.conf.inc
-# emacs subversion.conf.inc
-<file>
-<IfModule dav_svn_module>
-<Location /svn-repos>
-    DAV svn
-    SVNListParentPath on
-    SVNParentPath /doko/soko/svn/repos
-    SSLRequireSSL                              # SSLを必須にする
-    Satisfy Any                                # 匿名ユーザーを許可
-    Require valid-user                         # 匿名ユーザーが許可されてない操作は正規ユーザーを要求
-    AuthType Basic                             # ベーシック認証を使う
-    AuthName "Subversion Authorization"        # 認証領域の設定。設定を忘れると500エラーで小一時間苦しむことになるので注意。
-    AuthUserFile /doko/soko/svn/htpasswd       # ベーシック認証のユーザーとパスワードファイル
-    AuthzSVNAccessFile /doko/soko/svn/authz    # リポジトリのアクセス制御情報ファイル
-</Location>
-</IfModule>
-</file>
-</code>
-==== mod_sslの設定 ====
-/etc/apache2/extra/にmod_ssl用の設定サンプルがあるのでコピーしておく。
-<code>
-$ cd /etc/apache2/other
-$ sudo cp ../extra/httpd-ssl.conf ./ssl.conf
-$ sudo mv subversion.conf subversion.conf.inc
-</code>
-ssl.confで必要な箇所だけ抜粋。
-<file>
-SSLRandomSeed startup file:/dev/urandom 512
-SSLRandomSeed connect file:/dev/urandom 512
-Listen 443
-AddType application/x-x509-ca-cert .crt
-AddType application/x-pkcs7-crl    .crl
-SSLPassPhraseDialog  builtin
-SSLSessionCache        "shmcb:/private/var/run/ssl_scache(512000)"
-SSLSessionCacheTimeout  300
-SSLMutex  "file:/private/var/run/ssl_mutex"
-<VirtualHost *:443>
-DocumentRoot "/Library/WebServer/Documents"
-ServerName mysvn.info:443
-ServerAdmin メールアドレス
-ErrorLog "/private/var/log/apache2/error_log"
-TransferLog "/private/var/log/apache2/access_log"
-SSLEngine on
-SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
-SSLCertificateFile "/private/etc/apache2/other/server.crt"
-SSLCertificateKeyFile "/private/etc/apache2/other/server.key"
-<FilesMatch "\.(cgi|shtml|phtml|php)$">
-    SSLOptions +StdEnvVars
-</FilesMatch>
-<Directory "/Library/WebServer/CGI-Executables">
-    SSLOptions +StdEnvVars
-</Directory>
-BrowserMatch ".*MSIE.*" \
-         nokeepalive ssl-unclean-shutdown \
-         downgrade-1.0 force-response-1.0
-CustomLog "/private/var/log/apache2/ssl_request_log" \
-          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
-Include /private/etc/apache2/other/subversion.conf.inc
-</VirtualHost>
-</file>
-<ilcode>&lt;VirtualHost&gt;</ilcode>の最後でsubversion.conf.incを取り込んでSSL接続時にBasic認証を有効にするとともに、非SSL時はリポジトリにアクセス出来ないようにする。
-===== 参考サイト =====
-  * [[http://www.maruko2.com/mw/Apache/SSL%E8%87%AA%E5%B7%B1%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%81%AE%E4%BD%9C%E6%88%90%E3%81%A8mod_ssl%E3%81%AE%E8%A8%AD%E5%AE%9A|Apache/SSL自己証明書の作成とmod sslの設定 - maruko2 Note.]]
-  * [[http://www.makies.com/2008/03/44/|家XenでTracを使えるようにしたよ « わすれないように.]]
-  * [[http://blog.livedoor.jp/knaka01/archives/51410971.html|酔いどれ日誌:Subversion + AuthzSVNAccessFile = Forbidden 403 Error]]
-  * [[http://www.caldron.jp/~nabetaro/svn/svnbook-1.5-final/html-chunk/svn.serverconfig.httpd.html#svn.serverconfig.httpd.authz.perdir.ex-1|第6章 サーバの設定httpd (Apache HTTP サーバ)]]
-  * [[http://memo.kappa-lab.com/2007/06/svnwebdavssl.html|SVN+WebDAV+SSLをポートを分けて設定 (memo.kappa-lab.com)]]
-  * [[http://kay.air-nifty.com/art/2008/09/sslbasic-77ec.html|SSL+Basic認証の設定で意外に苦労しました（技術的な話題）: ITスペシャリストが語る芸術]]