CVSNT 用户单一验证方式建设文档

1 配置cvs服务
CVSNT Control PanelRepository Configuration选项卡add弹出对话框
location选择cvs的目录(例如D:/cvsroot，这时候name会自动填充/cvsroot,是cvs的名称)点击”OK”按钮提示消息框，选择”是””应用”about选项卡重启services(包括cvsnt和cvsnt lock)“确定”后关闭CVSNT Control Panel 。
 

下边演示如何把一个项目（test）导入cvs并添加用户(cvsadmin和test1，test2)到该项目。
（主要是dos命令操作）
/*
说明：
1. 以下从命令行进行配置，注意步骤地顺序;
2. 设置权限等，都要把 项目 checkout 出来;
3. 对于 CVSNT 服务器的设置，实际上就是对 CVSROOT 这个特殊的项目进行设置，所以首先也要把 CVSROOT checkout 出来.注意 checkout CVSROOT 需要用管理员身份;
4. 刚安装完成之后的 CVSNT server 默认的管理员是操作系统的管理员，所以用操作系统管理员身份 checkout CVSROOT;
*/
2 cvs导入项目
1 进入命令行,建立一个临时目录，用来放置 checkout 出来的 Repository ，修改完成之后，再提交到 CVSNT server 上去。
d:\ md 00   # 在 d: 建立一个临时目录
d:\cd 00   # 进入00目录
d:\00\
2  用计算机管理员身份的用户登陆 CVSNT server
d:\00\set cvsroot=:pserver:administrator:123456@localhost/cvsroot
/*
说明：
set cvsroot 是设置一个临时的环境变量，变量值为 = 右边部分；
pserver     为登陆协议，是一种明文协议，用户名和密码可以被监测到。本次实验用这种协议，其他的协议以后再总结；
administrator:123456    为本机操作系统的管理员用户和密码；
localhost   为登陆的机器地址，可以用 IP；
/cvsroot    cvsroot 是安装 CVSNT server 的时候，指定 CVSROOT 的别名。
*/
3列表
d:\00\ cvs ls
/*
说明：
列出 CVSNT server 的 CVSROOT 下面的所有 Repository；
此时应该只有一个 CVSROOT ，它是服务器的根，服务器的所有配置都在这里；
此时登陆的身份是管理员，CVSNT ROOT 的 fileattr.xml 已经定义，默认是只有管理员拥有其所有权限；
列表命令成功，同时也说明登陆成功。
*/
 
4签出cvsrooot文件夹（checkout CVSNTROOT） 到 d:\00\
d:\00\cvs co cvsroot 
/*
说明：该命令一定要在00目录下运行，这样签出的文件保存在00目录下
该命令会把 CVSNTROOT checkout 到 d:\00\ ，并且会在 d:\00\ 建立一个 cvsroot 目录;
d:\00\cvsroot 里面是 CVSNTROOT 中的所有配置信息；
修改配置信息之后，再 commit 上去， CVSNT server 的配置随之改变了。
*/
 
5添加用户信息（添加时提示输入用户密码）
d:\00\cvs passwd -r administrator -a cvsadmin
d:\00\cvs passwd -r administrator -a test1
d:\00\cvs passwd -r administrator -a test2
d:\00\cvs passwd -r administrator -a test3
d:\00\cvs passwd -r administrator -a test4
/*
 
说明：
该命令会直接在 CVSNT server 的server端(就是d:\root\cvsroot目录下)直接建立一个 passwd 文件，而不会在已经 checkout 的 d:\00\cvsroot 目录中建立此文件;
该文件只能由管理员建立，并且不能被非管理员修改，不能被 checkout;
-r 是管理的操作系统用户的别名
注意：
该命令不会影响操作系统用户;
此操作系统用户必须为管理员。
-a 添加用户
添加用户的时候，会提示输入密码。(本次实验，用户名和密码取相同)。
建立的 passwd 文件内容应如下内容：
cvsadmin:oVaaG5hcPSOQY:administrator
test1:eXetD79lHrTgw:administrator
test2:zX3nQkEmS/Se2:administrator
test3:cZgugWplhpBd.:administrator
test4:pZ5M7WTmCHMmI:administrator./

3 修改登陆方式和添加用户
3.1 指定cvs管理员用户到admin文件
6 定义 cvsadmin 为 CVSNT server 管理员
在 d:\00\cvsroot 建立文件名为 admin 的文件(注意，无扩展名)
内容为 ：
cvsadmin
即定义了 cvsadmin 为 CVSNT Server 管理员;
 
如果还想加入其他的用户作为管理员，依次加入用户名即可，每个用户名一行;
实际上 CVSNT 把这个文件中的所有用户，当作是管理员组。
3.2 注册文件 admin 到 checkoutlist 文件
打开 d:\00\cvsroot 中 checkoutlist 文件，加入这一句：
admin file not founded
注意 admin 前后的空格，然后接着是错误信息。添加的 admin 文件需要注册到 checkoutlist 中，其他的添加文件不用。
 
3.3 定义 group 组（可忽略）
在 d:\00\cvsroot 建立文件名为 group 的文件(注意，无扩展名)
内容为 ：
#testall :hava all permissions
testaall:test1 cvsadmin
#testar :read only
testar:test2
#testbll :hava all permissions
testball:test3 cvsadmin
#testbr :read only
testbr:test4
 
/*testaall,testball 有完全权限；
testar,testbr     只读权限；
该文件不用注册到 checkoutlist。*/

3.4 在config文件中修改登陆验证方式
修改   d:\00\cvsroot 下面的 config 文件
修改前面第二行为：
SystemAuth=no
即修改验证方式为 CVSNT用户单一验证方式。
 
11提交对 CVSROOT 的修改
11.1 进入 d:\00\cvsroot
11.2 d:\00\cvsroot\cvs add admin group
由于 admin 和 group 文件是新产生的，所以提交之前要添加到 commit 的计划之中;
运行完该命令之后，会提示运行 cvs commit 命令提交该文件。
 
11.3 d:\00\cvsroot\cvs commit
运行该命令，会提交 d:\00\cvsroot\ 目录中的所有文件,包括新建立的文件；
中间过程会弹出来一个提示文件，说明哪些文件被修改了，哪些文件是添加的，该文件的信息如下：
CVS: ----------------------------------------------------------------------
CVS: Enter Log. Lines beginning with `CVS:' are removed automatically
CVS:
CVS: Committing in .
CVS:
CVS: Modified Files:
CVS: checkoutlist config
CVS: Added Files:
CVS: admin group
CVS: ----------------------------------------------------------------------
即提示修改了 checkoutlist config 二个文件，添加了 admin group 两个文件;
这个提示文件可以添加内容，所有信息都会被提交并且被 CVSNT Server 记录;
关掉该文件，回车继续提交。
 
/*
至此，完成工作如下：
CVSNT server 已经设置为 CVSNT用户单一验证方式；
CVSNT server 管理员已经设置为 cvsadmin;
test1,test2,test3,test4 已经添加。
此时，如果再运行命令 cvs ls ,则会提示该用户不存在。
 
因为我们最开始登陆的时候，设置的是
 set cvsroot=:pserver:administrator:123456@localhost/cvsroot
所以此时运行 cvs ls 是在 set cvsroot=:pserver:administrator:123456@localhost/cvsroot 环境下面进行的，而我们已经改变了验证方式为 CVSNT用户单一验证方式，administrator 用户不在 passwd 文件中，所以 cvs ls 命令不会被执行了。
以 cvsadmin 用户登陆:
进入临时目录 d:\00\
d:\00\set cvsroot=:pserver:cvsadmin:cvsadmin@localhost/cvsroot
d:\00\cvs ls
就可以看到 CVSROOT 下面的所有 Repository 了。
 
测试其他的用户为非管理员，即看不到 CVSROOT： 
进入临时目录 d:\00\
d:\00\set cvsroot=:pserver:test1:test1@localhost/cvsroot
d:\00\cvs ls
会提示
Listing modules on server
空白，即不能看到 CVSROOT。
 
CVSNT ROOT 默认是只有管理员拥有其所有权限，它是靠 fileattr.xml 文件这一句
<all deny="1" />
*/
12至此，对 CVSRT Server 的 CVSROOT 的修改已经完成，为了安全起见，删除临时 checkout 出来的 CVSROOT
d:/00/rd cvsroot /s
dos 命令，删除根目录下面的所有文件及文件夹。
 

4 cvs用户权限控制

13以 test1 用户身份 import 一个 testa 工程，做如下权限限制：
只有 cvsadmin,test1,test2 能看见 testa,;
test1 只能对 teata 进行 checkout(read);
cvsadmin,test2 能对 testa 进行 checkout,commit,add (read,write,create).

关闭窗口，建立临时目录 d:/00/test/,在 test 中放入几个文件，准备 import 到 CVSNT Server 上面去。
 
  
重新以 test1 用户登陆：
d:/00/test/set cvsroot=:pserver:test1:test1@129.9.200.253/CVSNTROOT
 
把 d:/00/test/目录中的所有文件 import 进入 CVSNT Server,并且命名为 testa：
d:/00/test/cvs import -m "Imported sources test1 " testa start
-m 为导入时的日志信息
 
设置权限：必须导出来才可以定制权限；
只有 CVSNT Server 的管理员才可以设置权限，项目的建立者(owner)也不能更改权限。
新建立的项目：默认是所有人拥有所有权限;
/*
关于权限的说明：
CVSNT2.5  对 Repository 的访问控制设置，是使用命令 chacl,chown 来进行的；
当新建立一个 Repository 之后，会在其中建立一个 cvs 文件夹，里面有一个 fileattr.xml 文件，该文件定义了其所在 Repository 的访问控制权限，实际上 chacl,chown 命令就是对该文件的操作；
chacl,chown 命令，只有管理员能够执行，就是 Repository 的创建者(owner)也不能执行!
执行 chacl 命令，必须先把 Repository 导出来，以下执行命令，都是导出来之后执行的。
*/
13.1 一个新的 Repository 创建之后，默认是对所有人开放所有权限的。一个新建立的 Repository 的 fileattr.xml 文件如下：
<?xml version="1.0" encoding="UTF-8"?>
<fileattr>
<directory>
    <owner>test1</owner>
</directory>
</fileattr>
 
仅仅表明，该 Repository 的拥有者 owner (即创建者) 是 test1.
CVSNT 2.5 权限管理的原则是：如果不显示的指出否定权限，则赋予肯定权限。(这一点个人觉得非常不方便，安全是第一位的。)
例如上面的 fileattr.xml 是所有人，拥有所有权限
13.2 如果要把默认的权限关闭，要用 chacl 命令
以管理员身份执行（先导出项目，该命令一定要在对应的项目目录下运行，此处为d:\00\test\testa）
 
进入testa项目目录
 
执行cvs命令：cvs chacl -a none
 
执行完毕之后，应该是这个样子：
  modified_by,modified_date 是注释信息;
<all deny="1" /> 一句，把默认得权限都关闭了，即使是管理员、创建者都没有任何权限了;
并且，如果不显示的指出肯定权限，都是默认的否定权限(和默认的权限规则相反)。
13.3 开通管理员的所有权限
cvs chacl -u testaall -a all
 
即，testaall 组对 testa 拥有全部权限;
-u 可以是组名称，也可以是单个用户名称。
S首先否定所有人的所有权限，然后分别给某个人设置权限
<?xml version="1.0" encoding="UTF-8"?>
<fileattr>
<directory>
    <acl>
      <all deny="1" />
      <modified_by>cvsadmin</modified_by>
      <modified_date>2005.12.11.11.00.04</modified_date>
    </acl>
    <owner>test1</owner>
    <acl user="testaall">
      <modified_by>cvsadmin</modified_by>
      <modified_date>2005.12.11.11.00.41</modified_date>
      <all />
    </acl>
</directory>
</fileattr>
这样，testaall 组中的用户拥有所有权限了，其他的用户无任何权限;
如果想要让一个用户拥有 所有权限，加入到 testaall 组即可。
13.4 添加 testar 组用户只读权限
cvs chacl -u testar -a read
 
说明：
经过 cvs chacl -a none ,如果不显示的指出肯定权限，都是默认的否定权限(和默认的权限规则相反);
相当于 cvs chacl -u testar -a read,nowrite,nocreate,no...(所有的参数加上前缀 no).

<?xml version="1.0" encoding="UTF-8"?>
<fileattr>
<directory>
    <acl user="testaall">
      <all />
      <modified_by>cvsadmin</modified_by>
      <modified_date>2005.12.11.11.00.41</modified_date>
    </acl>
    <acl>
      <all deny="1" />
      <modified_by>cvsadmin</modified_by>
      <modified_date>2005.12.11.11.00.04</modified_date>
    </acl>
    <owner>test1</owner>
    <acl user="testar">
      <modified_by>cvsadmin</modified_by>
      <modified_date>2005.12.11.11.09.33</modified_date>
      <read />
    </acl>
</directory>
</fileattr>

/*
对于 CVSNTROOT Repository 的说明
刚建立 CVSNTROOT 的时候 fileattr.xml 是这样的(CVSNT 自动建立的)
<?xml version="1.0" encoding="UTF-8"?>
<fileattr>
<directory>
    <owner>administrator</owner>
    <acl user="administrator">
      <all />
    </acl>
    <acl user="admin">
      <all />
    </acl>
    <acl>
      <all deny="1" />
    </acl>
</directory>
</fileattr>

即只有 administrator 用户和 admin 组的用户拥有全部权限;
而 安装 CVSNT 的时候，是以操作系统管理员 administrator 安装的，所以 administrator 默认给了所有权限,当更改了验证方式之后，administrator 用户就无效了。
admin 也是 CVSNT 自动加上的，即默认 admin组中的用户也拥有全部权限.
实际上，我们可以直接用编辑工具按照格式更改 fileattr.xml 文件，而不用 chacl 命令，效果是一样的。
5简单测试
建立以后，我们会发现:
test1,tes2 用户运行 cvs ls 的时候，只能看见 testa项目 ，test3,test4什么都项目没有
而 cvsadmin 用户，可以看见全部的 Repository(cvsroot,testa)
 
我们可以测试：
test1,cvsadmin 用户可以 read,write,create ...
而test2 用户只能 read
*/  
 
 
 
 

测试结束
6 参考引用和cvs代码demo：
http://hi.baidu.com/yyrs/blog/item/f7b2bf31bb7079a05edf0ed4.html

<?xml version="1.0" encoding="UTF-8"?>
<fileattr>
  <directory>
   	<acl>
      <all deny="1" />
    </acl>
    <acl user="cvsuseradmin">
    	<all />
    </acl>
    <acl user="lvchangchun">
    	<all />
    </acl>
    <acl user="yanjianzhong">
    	<all />
    </acl>
    <!---相关人员只读权限-->
    <acl user="yinqidong">
    	<read />
    </acl>
     <acl user="funanxiang">
    	<read />
    </acl>
    <acl user="zhangyuanzheng">
    	<read />
    </acl>
    <acl user="caigang">
    	<read />
    </acl>
    
        <!--美工-->
	<acl user="dongnanan">
		<read />
	</acl>

	<!--测试-->
	<acl user="xibenmin">
		<read />
	</acl>

    <owner>cvsuseradmin</owner>
  </directory>
</fileattr>