Merci de fermer les portes !
Par Fred le mercredi 13 février 2013, 14:17 - Système et réseau - Lien permanent
J'aurais pu sous-titrer ce billet Quand la confiance ne règne plus 
Il m 'avait déjà été demandé par le passé de sécuriser l'accès à un serveur Subversion mais vu les effets de bord, j'étais revenu en arrière, histoire de pas embêter mes petits camarades développeurs.
Comme toutes les choses ont une fin, c'est reparti de plus belle.
Heureusement, cette fois-ci, j'ai réussi à m'y coller, non sans avoir foutu un beau bordel pendant quelques heures.
Je vais quand même tenter de vous expliquer ce qu'il y avait à faire et comment je suis arrivé à mes fins.
Ça vous semblera peut-être très simple mais il y avait des pièges.
Imaginons un référentiel Subversion ayant la structure suivante :
/
├── Projet1
│ ├── branches
│ ├── tags
│ └── trunk
└── Projet2
├── branches
├── tags
└── trunk
Un exemple simple de fichier d'accès est le suivant :
[groups] projet1_devs=john, joe projet1_admins=john projet2_devs=jane, joe projet2_admins=jane [/] * = r [Projet1] @projet1_devs = r [Projet1/tags] @projet1_admins = rw @projet1_devs = r [Projet1/branches] @projet1_devs = rw #Et ainsi de suite pour chaque projet
Jusque là, c'est pas trop grave mais tous les développeurs peuvent voir le code de chaque projet mais ne peuvent pas y écrire, on est typiquement dans le cas classique tel que décrit dans la doc.
Tant que l'on a confiance, pas de problème mais quand le doute vous habite, ça va plus.
Allons-y, fermons les portes !
Le premier réflexe est de retirer la partie liée au /... C'est une bonne idée mais dont le principal effet de bord est de gêner les outils de navigation dans le référentiel et qui oblige le développeur à connaître l'URL complète vers son projet.
Alors comment faire pour continuer à pouvoir browser tranquillement mais que dans les projets où on a les droits ?
Et bien, au lieu de mettre des droits, on en retire explicitement :
[groups] projet1_devs=john, joe projet1_admins=john projet2_devs=jane, joe projet2_admins=jane [/] * = r [Projet1] * = @projet1_devs = r [Projet1/tags] * = @projet1_admins = rw @projet1_devs = r [Projet1/branches] * = @projet1_devs = rw #Et ainsi de suite pour chaque projet
Vous avez remarqué la subtilité ?
Pour chaque section de projet, il suffit de retirer les droits mis à tous.
Bon, c'est simple mais fallait y penser.
Commentaires
Yeah un tuto \o/
@Admin guy :
Yep, c'est le plus court tuto de ma carrière :D