Paquetes necesarios
Hay que instalar, o verificar que estén instalados los siguientes paquetes:
- subversion
- libapache2-svn
- libapache-mod-dav
- apache2
Habilitar el modulo de SSL en apache
Para hacer este paso primero hay que habilitar el modulo de apache que deja comunicarse via SSL, luego hay que editar un archivo de configuración de apache para decirle que escuche por el puerto 443, que es el default de SSL
Habilitar el modulo de apache2 de SVN
sudo a2enmod ssl
Editar el archivo de configuración /etc/apache2/ports.conf del apache.
Agregando al final la linea: “Listen 443”. Es decir deben haber dos lineas, la del 80 y la del 443
Nota me acabo de dar cuenta de que en Ubuntu 8.10, no es necesaria la edición del archivo, pues el comando anterior a2enmod, ya edita el archivo por nosotros, lo que se debe de hacer es fijarnos en este archivo y que escuche el 443.
Generar un certificado
Para hacer un certificado hay que ocupar una herramienta, desde Ubuntu Festy en adelante esta herramienta es: make-ssl-cert, antes de eso la herramienta era: apache2-ssl-certificate.
Sea cual sea el caso, hay que hacer un certificado, el certificado es un archivo .pes y una llave, que es un archivo con números raros de nombre.
Para hacer el certificado la herramienta nos hace algunas preguntas, como quienes somos, donde se ubica el servidor físicamente, a que organización pertenecemos, etc.
Es importante usar el nombre real de nuestro servidor, cuando lo pida, por que de lo contrario cada vez que un usuario quiera acceder al repositorio, su cliente le marcara un warning diciendo que el servidor y el emisor del certificado no corresponden.
Si el servidor va a ser accesible por un dominio, el dominio es el nombre del servidor, si va a ser accedido por una IP fija, la IP es el nombre del servidor, si va a ser accedido dentro de una red interna el nombre en la red de la maquina es el nombre del servidor.
La herramienta debe generar ambos archivos el apache.pem y el de la llave, lo mas recomendable es que estos se encuentren en la carpeta ssl, dentro de la carpeta de apache. Puede que sea necesario que nosotros tengamos que mover los archivos manualmente.
La herramienta antes de Festy 7.04 se usaba asi:
sudo apache2-ssl-certificate
Desde Festy en adelante se usa así:
sudo /usr/sbin/make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/apache2/ssl/apache.pem
En donde el primer argumento es el comando a invocar en este caso make-ssl-cert, el segundo es una plantilla de certificado en este caso se ubica en /usr/share/ssl-cert/ssleay.cnf, y el tercero el lugar donde se pone el certificado /etc/apache2/ssl/apache.pem. Es decir que lo único que podría cambiar es el tercer argumento aunque no se recomienda. Es importante que antes se cree la carpeta donde va a vivir el certificado
Crear un host virtual
En apache2 hay posibilidad de que un solo servidor maneje muchos sitios, lo mas recomendable es hacer un sitio aparte para nuestros repositorios de SVN.
Copiamos el sitio de default, para ocuparlo de plantilla
sudo cp /etc/apache2/sites-available/default /etc/apache2/sites-available/$NOMBRESITIO
En donde $NOMBRESITIO, es el nombre que queremos que tenga nuestro sitio que maneja los repositorios. por ejemplo podemos ponerle repos.
Editamos configuración del sitio
Abrimos con nuestro editor de textos plano favorito el recién creado archivo de configuración del sitio y lo editamos:
Cambiamos la parte que dice:
NameVirtualHost *
Por:
NameVirtualHost *:443
Y añadimos las siguientes lineas:
SSLEngine on SSLCertificateFile /etc/apache2/ssl/apache.pem SSLProtocol all SSLCipherSuite HIGH:MEDIUM
Dentro de las etiquetas VirtualHost, pero fuera de cualquier etiqueta Directory
Habilitamos el nuevo host virtual
Primero le decimos a apache que ya hay un nuevo sitio
sudo a2ensite $NOMBRESITIO
Y reiniciamos apache
sudo /etc/init.d/apache2 restart
Si hubo errores al editar el archivo, ahora se quejara, corregimos hasta que apache arranque, si hay un warning de que no puede determinar el nombre de dominio calificado, es normal.
Y se puede arreglar añadiendo ServerName $NOMBREDELSERVIDOR al archivo de configuración principal de apache: /etc/apache2/apache2.conf (el nombre del servidor es el nombre de la maquina que lo hospeda)
Creando los repositorios:
Suponemos que queremos tener varios repositorios, creamos una carpeta donde ponerlos todos, un buen lugar para hacerlo es en: /var/svn, luego hacemos los repositorios y le cambiamos los permisos a los repositorios para que el usuario de apache (www-data), tenga total control sobre ellos.
Por ejemplo:
sudo mkdir /var/svn sudo svnadmin create /var/svn/$REPOS sudo chown -R www-data:www-data /var/svn/$REPOS sudo chmod -R g+ws /var/svn/$REPOS
Donde $REPOS, es el nombre del repositorio a crear, se pueden hacer varios repositorios. Que deberían vivir bajo la mima carpeta, en este caso /var/svn.
Agregar usuarios al repositorio
Para que un usuario pueda consultar el repositorio, debe de tener un password, el encargado de hacer la validación sera Apache, y la manera como lo hará sera verificando que el usuario y el password, estén en un archivo de texto plano.
Creando el archivo de password
Hay que ocupar la herramienta htpasswd, en versiones de Ubuntu anteriores a 7.04, la herramienta se llama htpasswd2, ambas son la misma herramienta, solo le quitaron el 2, en el nombre, así que es cuestión de usar el que nos corresponda.
Ejemplo:
sudo htpasswd -c -m /etc/apache2/svn-auth-file $NOMBREUSUARIO
En este momento nos preguntara cual va a ser el password del para el usuario $NOMBREDEUSUARIO y se crea el archivo de nombre svn-auth-file. El nombre del archivo puede ser cualquiera pero se sugiere algo que nos recuerde que son los passwords del svn, y puede vivir en cualquier lado, pero se recomienda que viva donde el apache lo hace.
El modificador -c, es para que cree el archivo de passwords y el modificador -m para que encripte el password.
Importante: Si queremos agregar un nuevo usuario usamos el comando sin el modificador -c y lo apuntamos al archivo que ya creamos, de esta manera los passwords de ambos usuarios están guardados en el mismo archivo. En nuestro ejemplo seria:
sudo htpasswd -m /etc/apache2/svn-auth-file $NOMBRENUEVOUSUARIO
Agregando políticas de acceso
Vamos a hacer una archivo de control de acceso, lo mas simple es usar como plantilla alguno de los que viene en cualquier repositorio. Por ejemplo podemos ir al repositorio que acabamos de hacer y dentro de su directorio conf, hay un archivo de ejemplo: authz
Podemos tomar este archivo de ejemplo como plantilla. Y copiarlo al directorio de apache, cambiarle por los permisos adecuados y después editarlo con nuestras preferencias. Podemos ponerle cualquier nombre yo aquí lo llamo svn-authz-file.
sudo cp /var/svn/$REPOS/conf/authz /etc/apache2/svn-authz-file sudo chmod 644 /etc/apache2/svn-authz-file sudo gedit /etc/apache2/svn-authz-file
Editar el archivo no es difícil y podemos ver que la plantilla ya trae un ejemplo con la sintaxis. Yo por ejemplo solo le agrego algo como esto:
[$REPOS:/] $NOMBREUSUARIO = rw $NOMBRENUEVOUSUARIO = rEn donde $NOMBREUSUARIO puede leer y escribir el repositorio $REPOS y $NOMBRENUEVOUSUARIO solo puede leerlo.
Poniendo todas las opciones de configuración a nuestro repositorio
Ahora solo resta decirle a apache que sirva de interfaz a nuestro repositorio con todas las opciones que le acabamos de dar.
Para hacer esto editamos el archivo dav_svn_conf que se encuentra dentro de la carpeta mods-available del directorio de apache.
sudo gedit /etec/apache2/mods-available/dav_svn_conf
Este archivo tiene de nuevo un ejemplo de llenado, cada repositorio tiene sus opciones dentro de las etiquetas location. Podemos repetir la que ya tiene por defecto y agregarle nuestras opciones.
$REPOS> DAV svn # our access control policy AuthzSVNAccessFile /etc/apache2/svn-authz-file SVNPath "/var/svn/$REPOS" AuthType Basic AuthName "Subversion repository" AuthUserFile /etc/apache2/svn-auth-file Require valid-user SSLRequireSSL
De estas opciones debemos modificar dentro de la etiqueta de apertura de location el nombre de nuestro repositorio. En donde dice SVPath ponemos el lugar donde esta el repositorio. En la opción de AuthzSVNAccessFile el archivo que creamos de políticas de control de acceso. Y en la opción de AuthUserFile el archivo donde están las contraseñas de los usuarios. No olvidemos añadir tambien la linea SSLRequireSSL
Reiniciamos apache
Por ultimo para que todos los cambios surtan efecto:
sudo /etc/init.d/apache2 restart
Si algún archivo no quedo bien editado ahora se quejara, de no ser así podemos proceder a probarlo:
Abrimos nuestro navegador web favorito y visitamos las dirección http://localhost/$REPOS y debe de contestarnos algo así como 403: Forbiden. Ahora visitamos el sitio https://localhost/$REPOS y debe pedirnos usuario y contraseña, en caso de que la contraseña sea incorrecta o que el usuario que introducimos no tenga permiso de lectura sobre $REPOS volverá a contestarnos 403: Forbiden.
Si el usuario se autentifica correctamente y tiene los permisos necesarios, debe mostrarnos el repositorio si aun no hemos hecho ningún import o commit, debe ser un repositorio vacío en la revisión 0.
He probado que estos pasos funcionan en Ubuntu 6.10, 7.04, 7.10 y 8.10
Si esta información te ha sido de ayuda pincha en mis anuncios. Nos ayudamos mutuamente. Gracias
0 comentarios:
Publicar un comentario