lunes, 24 de noviembre de 2008

Instalar SVN como modulo de Apache, con SSL y autentificación básica, en Ubuntu

Publicado por Covent en 17:08 ,

Paquetes necesarios

Hay que instalar, o verificar que estén instalados los siguientes paquetes:
  • subversion
  • libapache2-svn
  • libapache-mod-dav
  • apache2
En ubuntu 8.10 el paquete libapache-mod-dav, no existe simplemente continuamos sin el pues mod-dav ya esta incluido en apache2

Habilitar el modulo de SSL en apache

Para hacer este paso primero hay que habilitar el modulo de apache que deja comunicarse via SSL, luego hay que editar un archivo de configuración de apache para decirle que escuche por el puerto 443, que es el default de SSL

Habilitar el modulo de apache2 de SVN

sudo a2enmod ssl

Editar el archivo de configuración /etc/apache2/ports.conf del apache.

Agregando al final la linea: “Listen 443”. Es decir deben haber dos lineas, la del 80 y la del 443
Nota me acabo de dar cuenta de que en Ubuntu 8.10, no es necesaria la edición del archivo, pues el comando anterior a2enmod, ya edita el archivo por nosotros, lo que se debe de hacer es fijarnos en este archivo y que escuche el 443.

Generar un certificado

Para hacer un certificado hay que ocupar una herramienta, desde Ubuntu Festy en adelante esta herramienta es: make-ssl-cert, antes de eso la herramienta era: apache2-ssl-certificate.
Sea cual sea el caso, hay que hacer un certificado, el certificado es un archivo .pes y una llave, que es un archivo con números raros de nombre.
Para hacer el certificado la herramienta nos hace algunas preguntas, como quienes somos, donde se ubica el servidor físicamente, a que organización pertenecemos, etc.
Es importante usar el nombre real de nuestro servidor, cuando lo pida, por que de lo contrario cada vez que un usuario quiera acceder al repositorio, su cliente le marcara un warning diciendo que el servidor y el emisor del certificado no corresponden.
Si el servidor va a ser accesible por un dominio, el dominio es el nombre del servidor, si va a ser accedido por una IP fija, la IP es el nombre del servidor, si va a ser accedido dentro de una red interna el nombre en la red de la maquina es el nombre del servidor.
La herramienta debe generar ambos archivos el apache.pem y el de la llave, lo mas recomendable es que estos se encuentren en la carpeta ssl, dentro de la carpeta de apache. Puede que sea necesario que nosotros tengamos que mover los archivos manualmente.
La herramienta antes de Festy 7.04 se usaba asi:
sudo apache2-ssl-certificate
Desde Festy en adelante se usa así:
sudo /usr/sbin/make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/apache2/ssl/apache.pem
En donde el primer argumento es el comando a invocar en este caso make-ssl-cert, el segundo es una plantilla de certificado en este caso se ubica en /usr/share/ssl-cert/ssleay.cnf, y el tercero el lugar donde se pone el certificado /etc/apache2/ssl/apache.pem. Es decir que lo único que podría cambiar es el tercer argumento aunque no se recomienda. Es importante que antes se cree la carpeta donde va a vivir el certificado

Crear un host virtual

En apache2 hay posibilidad de que un solo servidor maneje muchos sitios, lo mas recomendable es hacer un sitio aparte para nuestros repositorios de SVN.
Copiamos el sitio de default, para ocuparlo de plantilla
sudo cp /etc/apache2/sites-available/default /etc/apache2/sites-available/$NOMBRESITIO
En donde $NOMBRESITIO, es el nombre que queremos que tenga nuestro sitio que maneja los repositorios. por ejemplo podemos ponerle repos.

Editamos configuración del sitio

Abrimos con nuestro editor de textos plano favorito el recién creado archivo de configuración del sitio y lo editamos:
Cambiamos la parte que dice:
NameVirtualHost *
Por:
NameVirtualHost *:443
Y añadimos las siguientes lineas:
 SSLEngine on
           SSLCertificateFile /etc/apache2/ssl/apache.pem
           SSLProtocol all
           SSLCipherSuite HIGH:MEDIUM
Dentro de las etiquetas VirtualHost, pero fuera de cualquier etiqueta Directory
Habilitamos el nuevo host virtual
Primero le decimos a apache que ya hay un nuevo sitio
sudo a2ensite $NOMBRESITIO
Y reiniciamos apache
sudo /etc/init.d/apache2 restart
Si hubo errores al editar el archivo, ahora se quejara, corregimos hasta que apache arranque, si hay un warning de que no puede determinar el nombre de dominio calificado, es normal.
Y se puede arreglar añadiendo ServerName $NOMBREDELSERVIDOR al archivo de configuración principal de apache: /etc/apache2/apache2.conf (el nombre del servidor es el nombre de la maquina que lo hospeda)

Creando los repositorios:

Suponemos que queremos tener varios repositorios, creamos una carpeta donde ponerlos todos, un buen lugar para hacerlo es en: /var/svn, luego hacemos los repositorios y le cambiamos los permisos a los repositorios para que el usuario de apache (www-data), tenga total control sobre ellos.
Por ejemplo:
sudo mkdir /var/svn
sudo svnadmin create /var/svn/$REPOS
sudo chown -R www-data:www-data /var/svn/$REPOS
sudo chmod -R g+ws /var/svn/$REPOS
Donde $REPOS, es el nombre del repositorio a crear, se pueden hacer varios repositorios. Que deberían vivir bajo la mima carpeta, en este caso /var/svn.

Agregar usuarios al repositorio

Para que un usuario pueda consultar el repositorio, debe de tener un password, el encargado de hacer la validación sera Apache, y la manera como lo hará sera verificando que el usuario y el password, estén en un archivo de texto plano.

Creando el archivo de password

Hay que ocupar la herramienta htpasswd, en versiones de Ubuntu anteriores a 7.04, la herramienta se llama htpasswd2, ambas son la misma herramienta, solo le quitaron el 2, en el nombre, así que es cuestión de usar el que nos corresponda.
Ejemplo:
sudo htpasswd -c -m /etc/apache2/svn-auth-file $NOMBREUSUARIO
En este momento nos preguntara cual va a ser el password del para el usuario $NOMBREDEUSUARIO y se crea el archivo de nombre svn-auth-file. El nombre del archivo puede ser cualquiera pero se sugiere algo que nos recuerde que son los passwords del svn, y puede vivir en cualquier lado, pero se recomienda que viva donde el apache lo hace.
El modificador -c, es para que cree el archivo de passwords y el modificador -m para que encripte el password.
Importante: Si queremos agregar un nuevo usuario usamos el comando sin el modificador -c y lo apuntamos al archivo que ya creamos, de esta manera los passwords de ambos usuarios están guardados en el mismo archivo. En nuestro ejemplo seria:
sudo htpasswd -m /etc/apache2/svn-auth-file $NOMBRENUEVOUSUARIO

Agregando políticas de acceso

Vamos a hacer una archivo de control de acceso, lo mas simple es usar como plantilla alguno de los que viene en cualquier repositorio. Por ejemplo podemos ir al repositorio que acabamos de hacer y dentro de su directorio conf, hay un archivo de ejemplo: authz
Podemos tomar este archivo de ejemplo como plantilla. Y copiarlo al directorio de apache, cambiarle por los permisos adecuados y después editarlo con nuestras preferencias. Podemos ponerle cualquier nombre yo aquí lo llamo svn-authz-file.
sudo cp /var/svn/$REPOS/conf/authz /etc/apache2/svn-authz-file
sudo chmod 644  /etc/apache2/svn-authz-file
sudo gedit /etc/apache2/svn-authz-file
Editar el archivo no es difícil y podemos ver que la plantilla ya trae un ejemplo con la sintaxis. Yo por ejemplo solo le agrego algo como esto:
[$REPOS:/]
$NOMBREUSUARIO = rw
$NOMBRENUEVOUSUARIO = r
En donde $NOMBREUSUARIO puede leer y escribir el repositorio $REPOS y $NOMBRENUEVOUSUARIO solo puede leerlo.

Poniendo todas las opciones de configuración a nuestro repositorio

Ahora solo resta decirle a apache que sirva de interfaz a nuestro repositorio con todas las opciones que le acabamos de dar.
Para hacer esto editamos el archivo dav_svn_conf que se encuentra dentro de la carpeta mods-available del directorio de apache.
sudo gedit /etec/apache2/mods-available/dav_svn_conf
Este archivo tiene de nuevo un ejemplo de llenado, cada repositorio tiene sus opciones dentro de las etiquetas location. Podemos repetir la que ya tiene por defecto y agregarle nuestras opciones.
$REPOS>
DAV svn
# our access control policy
AuthzSVNAccessFile /etc/apache2/svn-authz-file
SVNPath "/var/svn/$REPOS"
AuthType Basic
AuthName "Subversion repository"
AuthUserFile /etc/apache2/svn-auth-file
Require valid-user
SSLRequireSSL
De estas opciones debemos modificar dentro de la etiqueta de apertura de location el nombre de nuestro repositorio. En donde dice SVPath ponemos el lugar donde esta el repositorio. En la opción de AuthzSVNAccessFile el archivo que creamos de políticas de control de acceso. Y en la opción de AuthUserFile el archivo donde están las contraseñas de los usuarios. No olvidemos añadir tambien la linea SSLRequireSSL

Reiniciamos apache

Por ultimo para que todos los cambios surtan efecto:
sudo /etc/init.d/apache2 restart
Si algún archivo no quedo bien editado ahora se quejara, de no ser así podemos proceder a probarlo:
Abrimos nuestro navegador web favorito y visitamos las dirección http://localhost/$REPOS y debe de contestarnos algo así como 403: Forbiden. Ahora visitamos el sitio https://localhost/$REPOS y debe pedirnos usuario y contraseña, en caso de que la contraseña sea incorrecta o que el usuario que introducimos no tenga permiso de lectura sobre $REPOS volverá a contestarnos 403: Forbiden.
Si el usuario se autentifica correctamente y tiene los permisos necesarios, debe mostrarnos el repositorio si aun no hemos hecho ningún import o commit, debe ser un repositorio vacío en la revisión 0.
He probado que estos pasos funcionan en Ubuntu 6.10, 7.04, 7.10 y 8.10

Si esta información te ha sido de ayuda pincha en mis anuncios. Nos ayudamos mutuamente. Gracias

Back Top

Etiquetas:

0 comentarios:

Publicar un comentario